Терміни «кібербезпека», «кіберзлочинність» входять до словника кожного, хто активно користується Інтернетом. У мережі ховається багато небезпек. Під різноманітні ризики потрапляють не тільки пересічні користувачі, а й громадські організації. Чим займаються фахівці з кібербезпеки та що потрібно знати ОГС про захист інформаційного простору, Ресурсний центр ГУРТ дізнався у Миколи Костиняна, консультанта з цифрової безпеки.
– Ми часто чуємо термін «кібербезпека». Дайте, будь ласка, Ваше визначення. Що це означає?
– Кібербезпека – це управління ризиками інформаційної безпеки. Щоправда, знання визначення навряд особливо допомагає організаціям захиститися від ризиків.
– Чи врегульоване питання кібербезпеки на законодавчому рівні в нашій країні?
– У Кримінальному кодексі передбачена відповідальність за втручання в роботу комп’ютерних чи телекомунікаційних систем. Але це не вберігає від небезпек. Хіба від того, що прописано в законах, стає неможливим злам Вашої пошти чи крадіжка даних із подальшим викладенням онлайн?
– Чим небезпечні сторонні втручання саме для організації? Це такі ж небезпеки, що підстерігають пересічного користувача, чи щось інше?
– Організації підпадають під специфічні ризики, які дуже залежать від сфери їхньої діяльності. Крім того, для різних організацій ризики різні. В цьому складність вирішення питання, як допомогти організації. Не можна ззовні прийти й діяти, бо в кожній із них – свої проблеми. І ніхто краще за керівництво конкретної організації не знає, які саме ризики їй загрожують. Керівникам чудово відомо, які дані потрібно захистити, хто є їхніми опонентами і які в них можливості. Важливо, аби в самій організації інформація про це була структурована і впорядкована. Інколи потрібна модерація, щоб допомогти сформулювати проблеми, але в будь-кому разі джерелом цих знань є керівництво конкретної ОГС.
– Чи може організація при визначенні проблемного поля обійтися без консультацій фахівця і зробити це самостійно?
– Самостійно ризики визначати однозначно можна. Якщо керівництво організації вміє чітко формулювати свої думки і оцінювати об’єктивну реальність, то можливо обійтися без зовнішнього консультанта. Треба взяти декілька простих питань і дати на них розгорнуті відповіді. Перше – що організація хоче захистити, які дані. Потрібно сісти й виписати все важливе, що є. Наприклад: бухгалтерія, персональні дані членів організації, звіти, проектна документація тощо. Потім потрібно подумати над запитанням «Хто може цьому загрожувати?» і оцінити небезпеку від наслідків такого втручання. Може виявитися, що рівень ризиків, які є в організації, прийнятний і управляти цими ризиками, тобто вдаватися до якихось дій, не потрібно.
Як правило, тим, кому дійсно необхідна допомога, чітко уявляють свої проблеми. Якщо, наприклад, під час тренінгу, протягом декількох годин не вдається придумати чи сформулювати, що і від чого треба захистити, то скоріше за все нагальних проблем немає. Іноді їх важко сформулювати, та під час кількагодинної розмови вони «викристалізовуються».
– Якщо організація потребує допомоги в цих питаннях і хоче звернутися до фахівця, як це можна зробити?
– Немає умовної «лінії довіри», куди кожен може зателефонувати і одразу отримати допомогу. Коли виникає така потреба, організація може звернутися до своїх партнерів чи донорів, написати листа і попросити відповідного сприяння.
– Чи вистачає спеціалістів відповідного рівня і кваліфікації, які можуть надавати свої послуги із захисту кіберпростору в неурядовому секторі?
– Таких фахівців повно, але вони працюють за великі гроші в комерційному секторі. Тих, хто працює з громадськими організаціями, значно менше. Може здатися, що всім організаціям потрібна допомога і всі організації готові цю допомогу приймати й активно працювати над своєю цифровою безпекою, але не вистачає фахівців. Це не зовсім так. Зазвичай треба дуже багато часу. З окремими організаціями деколи треба вести тривалу переписку, розмову, поки вони погодяться отримувати допомогу. Не буває так, щоб хтось прийшов, щось безкоштовно зробив і автоматично стало краще. Організація сама повинна мати час і натхнення на те, щоб змінювати якісь процедури в організації, встановлювати нові правила, технічно щось змінювати. Це важкий процес, як і будь-який процес системного розвитку. Небагато організацій дійсно готові до змін. Найбільш зрілі працюватимуть, щоб якось покращити свою безпеку, але це не є масовим явищем.
– Розкажіть про ISC Project в Україні. На що він спрямований?
– Це глобальний проект, підтриманий до 2019 року, з офісом у Вашингтоні. Він має свої місії, або представництва, у Латинській Америці, на Близькому Сході, в Африці і на пострадянському просторі. На пострадянському просторі працюють дві людини, і конкретно в Україні одна – я. Спрямований він на цифрову безпеку для громадських і правозахисних організацій, а також для незалежних медіа в найширшому сенсі. В різних країнах – різні потреби, і організація підлаштовується під ці проблеми. В Україні, наприклад, останнім часом це оцінка ризиків, аудит безпеки, організаційний розвиток окремо взятих організацій, сприяння цьому в сфері цифрової безпеки, тривала підтримка окремих організацій.
– Як організації захиститися від ризиків належним чином?
– Якщо в організації ліцензійні Windows і вони автоматично оновлюються, то ця організація від конкретної загрози – зараження вірусами, наприклад – захищена краще. Але якщо говорити про таку загрозу, як злам електронної скриньки, то ліцензійний Windows тут не особливо допоможе. А по-справжньому забезпечити цифрову безпеку можуть тільки якісна оцінка ризиків і система управління ризиками. Часто люди вживають якихось заходів із безпеки, і це хороші заходи, але не вони не від того, від чого хотілося захиститися. Спочатку потрібно сформулювати проблему, а вже потім шукати рішення.
– А як щодо вартості? Наскільки дорого для організації забезпечити інформаційну безпеку?
– У результаті оцінки ризиків може вийти, що всі заходи можливо зробити безкоштовно, приміром, захистити свої електронні скриньки. Якщо в організації є хоча б два комп’ютери, то, як мінімум, на годину в тиждень має приходити людина, котра ці комп’ютери обслуговує. Таку витрату варто передбачити. Краще звертатися до фахівця не тоді, коли щось поламалося, а постійно проводити профілактику обладнання. Якщо в організації є сайт, то має бути людина, яка постійно його обслуговує. І краще, коли цим займається не волонтер, а спеціаліст на комерційній основі, оскільки обслуговування повинно бути постійним.
– Ресурсний центр ГУРТ є членом Глобальної мережі TechSoup – програми технологічної підтримки неприбуткових організацій України. Як Ви оцінюєте цю програму з точки зору користі для ОГС?
– Це завжди одна з перших порад. Якщо в організації неліцензійні Windows, чи Office, чи інше програмне забезпечення, найперша рекомендація – зареєструватися на сайті TechSoup. Ми про TechSoup знали задовго до того, як він з’явився в Україні, і дуже чекали на його появу в нашій країні. У тих країнах, де TechSoup присутній, ми завжди радимо звертатися до цієї програми, адже вона дуже допомагає. Для багатьох організацій, які не змогли б собі дозволити купити ліцензійне програмне забезпечення, відкривається можливість отримати його.