19 апреля 2022 года в Азербайджане было создано новое общественное объединение — Ассоциация организаций кибербезопасности Азербайджана (Azərbaycan Kibertəhlükəsizlik Təşkilatları Assosiasiyası — AKTA). В планах Ассоциации — оказание поддержки во внедрении научно-технических достижений в области кибербезопасности, просветительская и информационная работа в этой сфере, защита национальных интересов, а также борьба с дезинформацией. Ассоциация будет развивать инновационные проекты, технические ресурсы и программное обеспечение в сфере кибербезопасности, укреплять позиции Азербайджана в международных рейтингах и отчетах, проводить регулярный анализ для выявления, оценки и прогнозирования существующих угроз и рисков в сфере кибербезопасности. Председателем правления Ассоциации был назначен Раид Алекберли, достаточно известный нашим читателям как специалист в области кибербезопасности, имеющий за плечами многолетний опыт работы в частных и государственных структурах. Более подробно о целях и планах АКТА Раид Алекберли рассказывает в интервью нашему журналу.
— Учитывая мировой опыт создания подобных ассоциаций, АКТА должна быть посредником между государством, обществом и международными институтами. Каким принципам будет следовать организация и на каких направлениях вы сегодня сосредоточены больше всего?
— Наша основная роль — оказать поддержку всем сторонам, занимающимся вопросами обеспечения кибербезопасности, со стороны гражданского или, как сегодня уже принято говорить, информационного общества на фоне тех технологических трансформаций, которые происходят в стране. Второе важнейшее направление деятельности АКТА — это образование и повышение уровня осведомленности в области информационной безопасности. Здесь огромное поле деятельности, которое мы разделили на несколько составляющих. Во-первых, необходимо оказать поддержку в образовании перегруженных основной работой сотрудников компаний, которые лишены времени на самообразование. И здесь наблюдаются разительные отличия в зависимости от секторов экономики, поэтому мы разрабатываем программы для каждого сегмента, стараясь обращать пристальное внимание именно на их нужды в вопросах обеспечения кибербезопасности. Также AKTA работает над созданием программ, нацеленных на профессиональное образование, которое непосредственно зависит от технологических трендов и специфичных направлений деятельности. В рамках подготовки этих программ мы тесно взаимодействуем с образовательными учреждениями и используем ресурсы технологических вендоров, потому что именно они лучше всего понимают технологические нюансы и знают, что кибербезопасность — это больше практика, чем теория. Их знания как раз помогают нам построить такие программы, которые гарантируют получение не только теоретического образования. Студенты должны иметь возможность доступа в лаборатории, где можно на практике ощутить, что такое киберугроза, попробовать отразить атаки, узнать, как настраивается оборудование в работающей сети и т.д. И, безусловно, одна из программ в сфере образования будет рассчитана на всех, кто хоть как-то в своей деятельности взаимодействует с цифровыми технологиями.
Следующее направление деятельности АКТА — международное сотрудничество, которое подразумевает тесную интеграцию с глобальными и региональными ассоциациями и регуляторами в вопросах обмена информацией. Данные сегодня являются основной темой для построения стратегии обеспечения кибербезопасности, так что мы должны пристально следить за тем, какие атаки совершаются в мире, какие объекты больше всего оказываются им подвержены, как развивается мировой рынок кибербезопасности и как распространяется эта информация. Многие компании, стремясь сохранить свой имидж, не афишируют информацию об атаках, свершенных на них. AKTA как член международных институтов в сфере кибербезопасности получает информацию об этом и сама может распространять данные о таких атаках в нашей стране, сохраняя вашу анонимность.
Необходимо затронуть и тему оценки уровня обеспечения кибербезопасности, что АКТА реализует на нескольких уровнях. На первом уровне у нас находится непосредственно сам пользователь, уровень знаний которого необходимо поднять настолько, чтобы он понимал, как действуют современные механизмы социальной инженерии и т.п. Второй уровень — это непосредственно сами технологии. Например, сегодня в нашей стране активно реализуются проекты Smart City и Smart Village, которые представляют собой виртуальную среду, объединяющую многочисленные информационные системы. Кто занимается вопросами обеспечения кибербезопасности каждой из этих систем? Это очень серьезный вопрос, так как, если на каком-то участке будут уязвимости в кибербезопасности, может пострадать вся система. Серьезную обеспокоенность в этих вопросах вызывает и широкое применение устройств Интернета Вещей (IoT), что увеличивает необходимость обеспечения самого высочайшего уровня кибербезопасности, так как в индустриальных решениях на основе IoT используются самые разнообразные протоколы передачи данных. А учитывая их многообразие, мы порой сталкиваемся с полным отсутствием какой-либо документации, что еще более усложняет вопросы обеспечения кибербезопасности.
— Давайте вернемся к сфере образования. Не так давно в вузах Азербайджана начали появляться кафедры кибербезопасности. Как тесно AKTA сотрудничает с ними и стоит ли, на ваш взгляд, ввести уроки кибербезопасности в школах?
— Мы понимаем, что вести сразу несколько направлений одновременно очень сложно, но вопрос повышения осведомленности в вопросах кибербезопасности для нас в числе самых приоритетных. И сегодня мы начинаем работать именно с теми вузами, которые уже имеют собственную программу в этой области. Не исключаю, что к новому учебному году мы успеем предоставить им и собственную программу. Что же касается школьного образования, то я за то, чтобы начинать преподавать азы кибегигиены еще с дошкольного возраста. Дети сегодня очень рано начинают пользоваться смартфонами и планшетами, поэтому уже в том возрасте должны понимать, как следует использовать эти устройства и как вообще вести себя в цифровом мире, чтобы не стать жертвами кибербуллинга. И для самых маленьких, и для учащихся начальных классов это должны быть не какие-то официальные уроки. Лучше всего доносить такие знания через геймификацию, для чего существуют разнообразные фреймворки, например, COFELET. Подобные фреймворки дают возможности для всех возрастов, в том числе и для учащихся старших классов, которые также с помощью геймификации могут начать изучать основополагающие принципы кибербезопасности. Этому можно посвящать не целые уроки, но в рамках уроков по информатике такая инициатива была бы очень полезна.
Не стоит забывать, что у нас есть и такие пользователи, как пожилые люди, которых очень сложно привлечь к получению образования в области кибербезопасности, поэтому простые правила кибергигиены до них доносят именно дети, которые представляют собой прекрасный канал распространения информации. Если пожилой человек откровенно будет отвечать на вопросы мошенника, использующего методы социальной инженерии, то ребенок может быстро понять, что что-то происходит не так, и даст отбой.
Но я хочу еще раз отметить, что вопрос образования в сфере кибербезопасности должен затрагивать все слои населения и все возрастные группы. За 3 месяца своей деятельности мы только изучали рельеф данной проблемы и поняли, что необходимо проводить очень серьезные операции в этой области. Я расскажу лишь один из случаев, с которым столкнулся сам в одном из учреждений. По стечению обстоятельств я забыл взять с собой копию удостоверения личности. Отправить ее оператору на электронный адрес оказалось невозможным, потому что доступа к электронной почте на его рабочем компьютере не было, но, запустив web-версию WhatsApp и подключив к нему мой профиль в этом мессенджере, оператор смог извлечь оттуда фотографии моего удостоверения. Вы представляете, какому риску в этот момент оператор подвергал свою организацию? Даже не используя какие-то изощренные методы социальной инженерии, я мог бы под видом фотографий загрузить на компьютер шпионскую программу или вирус. И это именно те вопросы, которые должны решаться с помощью повышения осведомленности и регулирования протоколов работы сотрудников предприятия.
— Но ведь у каждой относительно серьезной организации должны существовать определенные протоколы для таких случаев…
— Да, каждая организация сейчас своими силами создает собственные правила. Я бы не сказал, что ситуация в этой сфере катастрофическая. У нас есть регуляция именно в банковском секторе, потому что со стороны Центрального Банка Азербайджана разрабатываются очень грамотные требования. Но кроме регуляции, необходима еще и система мониторинга, которая бы проверяла степень реализации этих требований и насколько внутренняя стратегия кибербезопасности предприятия вообще продумана. Например, в ряде банков клиенты не имеют возможности проводить дополнительные операции с зарплатными картами. Еще действует ряд устаревших правил, которые уже необходимо менять в соответствии с запросами текущего времени, но пересматривая при этом стратегию по обеспечению кибербезопасности. Многие виды кибермошенничества существовали несколько лет назад и сегодня неактуальны, а другие появились только вчера и именно под них надо строить безопасность периметра предприятия. Сегодня мы уже практически не сталкиваемся со случаями, когда какой-то вирус просто стирает файлы на вашем компьютере. Сейчас, скорее всего, это будет письмо с угрозой зашифровать ваши данные в случае, если вы откажетесь перевести определенную сумму в биткоинах. Кстати, это тоже одна из важнейших опасностей, призывающая к повышению уровня кибербезопасности. Во-первых, деньги у вас вымогают с помощью новейших технологий, из-за чего мошенники остаются полностью анонимными. Во-вторых, в более 60% подобных случаях данные бывает невозможно восстановить, даже если вы внесете на счет мошенников обозначенную сумму. Чтобы предотвратить подобные ситуации, кроме повышенного уровня кибербезопасности, предприятиям необходимо регулярно производить резервное копирование собственных данных и активнее использовать облачные технологии.
Но кроме того что предприятия должны иметь собственные политики в вопросах обеспечения кибербезопасности, необходимо и более тщательно следить за своим киберарсеналом. Я часто встречаюсь с представителями индустриальных предприятий, переориентирующими свое производство в соответствии с концепцией Индустрии 4.0, и меня всегда интересует вопрос, какие средства они применяют для обеспечения кибербезопасности. На одной из таких встреч мне рассказали о том, что приобрели очень дорогой файервол, но после встречи со специалистом предприятия по информационной безопасности оказалось, что на его конфигурации компания решила сэкономить, не пригласив соответствующего специалиста от производителя. Коробка с устройством так и осталась на складе, а новейшее оборудование, предназначенное для производства, никак не защищено от хакерских атак. Самое интересное, что их следы уже были в сети предприятия, но по каким-то причинам, скорее всего, из-за того, что ущерб оказался бы минимальным, атак не последовало. Но представьте, что производственная линия выйдет на полную мощность, тогда подобная атака может оказаться фатальной. Поэтому в вопросах обеспечения кибербезопасности любой организации нельзя останавливаться на половине пути, и киберосведомленность здесь играет очень большую роль. Ведь если крупный бизнесмен, в штате предприятия которого работают сотни человек, не понимает, что может последовать в случае получения злоумышленниками доступа через открытые уязвимости, то это может привести к серьезным репутационным издержкам, вплоть до потери всего бизнеса.
— Является ли сама АКТА членом каких-либо международных ассоциаций в сфере кибербезопасности?
— Мы серьезно работаем в этом направлении, и я очень надеюсь, что Азербайджан станет достойным участником международного сообщества. Благодаря тому, что в нашей стране есть очень хорошие практики, в будущем мы можем занять место одного из центров регуляции. Ведь создание АКТА уже стало одним из знаковых событий в регионе и даже в мире. Безусловно, это повлечет за собой более пристальное внимание к нашей стране хакерских группировок. Как показывает практика, они обычно бывают нацелены на те страны, в которых вопросы регуляции киберпространства поставлены во главу угла общей стратегии кибербезопасности, и если взять top 10 стран с передовыми решениями в области киберрегуляции, то именно они больше всего подвергались атакам и представляют больший интерес для хакеров. Тем более что их интересы и подходы к осуществлению атак тоже не отстают от текущих трендов. Например, был какой-то период, когда большим угрозам подвергались финансовые институты, а сегодня основную роль играют политические процессы, поэтому атаки хакеров переориентировались непосредственно на промышленный сектор и государственные организации.
Сейчас мы прослеживаем определенные тренды, когда соглашения в сфере обеспечения кибербезопасности заключаются на уровне государств. И в этих вопросах Азербайджан должен быть одним из первых. Необходимо внедрять и развивать такое направление, как кибердипломатия, потому что в мире ведутся серьезные политические игры. Кроме того что такие специалисты должны иметь соответствующее образование в области международного права, они должны понимать политическую подоплеку кибератак, прослеживать цепочки действий, которые могут привести к подобным последствиям и т.д.
— И когда у нас появятся подобные специалисты?
— Знаете, я думаю, что появление профессионалов в сфере кибердипломатии, кибермаркетинга, киберстрахования и т.д. обусловлено современными трендами. В нашей жизни практически везде присутствуют различные направления, связанные с кибербезопасностью. Не мы должны инициировать их появление, они должны появляться сами. Ведь достаточно посмотреть через окна кибермира и понять, что там происходит много чего интересного, открываются новые возможности и новые направления. Очень большую роль в этом играет практика. Я бы даже сказал, что кибербезопасность — это политика технологических практик. И в кибердипломатии так же. Поэтому если мы сегодня откроем, допустим, один факультет или организуем курсы по кибердипломатии, то в реальности результатов не получим. Параллельно с получением теоретических знаний студенты должны получать практический опыт, которым с ними будут делиться гуру в этой области. Других возможностей для появления новых профессий я пока не вижу. И именно в этом может сыграть большую роль то, что Азербайджан рассчитывает занять место одного из центров кибербезопасности. Это позволит привлечь к нашей стране интерес профессионалов в данной сфере из разных отраслей. Но вначале необходимо поднять общий уровень киберкультуры, научить людей вести себя в кибермире так, чтобы эти действия не отличались от поведения в мире физическом. Взять, например, такое направление, как киберстраховка. Если в физическом мире банки страхуют ваши вклады, то почему такое понятие не очень распространено в отношении данных? И эту стратегию следует применять ко многим новым возможностям в сфере профессионального образования.
— Строит ли ваша Ассоциация отношения с так называемыми «белыми» хакерами?
— У нас действует ряд программ для поддержки киберсообщества Азербайджана, в рамках которых мы, конечно же, встречаемся и с хакерами. Это очень полезное сотрудничество, так как оно дает возможность получать информацию непосредственно от людей, близких к этой сфере. Такие встречи служат повышению уровня осведомленности общества о ландшафте киберугроз, а также помогают скоординировать действия в каких-то определенных случаях. Многие из этих ребят используют профессиональные подходы в своей работе, помогая предприятиям находить и устранять уязвимости в собственных системах кибербезопасности. Но даже такое отношение не всегда бывает воспринято главами компаний на должном уровне, что может привести к серьезным бизнес-потерям в перспективе. Стоит помнить, что хакеры ведут свою деятельность не только с целью совершения атак, а польза от действий «белых» хакеров заключается в том, чтобы предупредить такие атаки и найти слабое звено в системе информационной безопасности. У нас было несколько примеров, когда один из членов АКТА нашел уязвимости в киберзащите организаций ряда стран, в том числе и в их силовых ведомствах. Предупредив их о возможности осуществления атак через эти слабые места, он получил вознаграждение. Мы также можем заслуженно отметить любого, кто предоставит свидетельства уязвимости наших ресурсов, потому что понятие киберкультуры требует именно такого подхода. А совершение атак в корыстных целях или просто с целью заявить о себе наказуемо и против этого нацелено законодательство любой страны.
— Многие страны сегодня создают собственные Стратегии кибербезопасности? Какое участие принимает AKTA в построении подобной стратегии в Азербайджане?
— Это очень важный вопрос и для Азербайджана, потому что подобную стратегию необходимо создавать, учитывая системный подход ко всем областям кибербезопасности и обладая очень серьезным уровнем экспертизы в этих вопросах. АКТА обладает подобной экспертизой, так как отвечает за всю сферу, а не за отдельный специфический сегмент. Наш подход включает практики регуляторов, производителей оборудования, профессионалов в обеспечении кибербезопасности обычных и беспроводных сетей, кибербезопасности мобильных устройств, приложений и т.д. Очень важно, чтобы эта стратегия вписывалась в общую стратегию развития государства, потому что в ином случае мы не дождемся результатов. В том числе и законодательно, потому что ряд законов в этой сфере, которые принимались без согласования с профессиональными игроками рынка, просто не работает. И такая стратегия не должна быть догмой, так как ландшафт киберугроз меняется ежеминутно. Она должна быть близка к индустриальным предприятиям и к тем же хакерам, потому что многие страны при создании собственных стратегий буквально «на блюдечке» преподносили хакерам потенциальные уязвимости. АКТА — это единая платформа, объединяющая и государственные организации, и частные предприятия, и игроков Индустрии 4.0, и электронное правительство, и хакеров, поэтому нам будет проще решать подобные вопросы.
