Глава Минцифры: «Роль кибербезопасности немного преувеличена»

itc.ua/...​ti-nemnogo-preuvelichena

Министр цифровой трансформации Михаил Федоров считает, что роль кибербезопасности в современном мире преувеличена. Такую точку зрению он высказал в недавнем интервью изданию LB.ua.

Ниже приводим точный комментарий министра:

«Я думаю, что роль кибербезопасности немного преувеличена. О ней много говорят, но по факту привести каких-то реальных кейсов киберугроз мало кто может. Приведу простой пример. Когда мы пришли в Офис президента, IT-команда показала дашборды с тысячью атак в день, перегрузкой сайтов и тд. Через две недели мы их уволили, и ничего не происходило на протяжении нескольких месяцев, пока мы собирали новую команду».

Также министр отметил, что после серии атак в 2016 году с применением вируса-шифровальщика Petya, Украина значительно улучшила позиции в сфере киберзащиты.

«После этого кибербезопасность вышла на другой уровень. На базе Госспецсвязи созданы новые киберцентры. В это достаточно много инвестировалось. Можно смело себя чувствовать нормально защищенным. Сильно выросло и СБУ в плане киберразведки», — добавил Федоров.

Из этих двух достаточно противоречивых комментариев, неясно, какой конкретно посыл заключен в этом достаточно спорном заявлении, учитывая, что с каждым годом количество угроз только растет (про кибератаки на энергосистему Украины, видимо, уже забыли), о чем постоянно трубят эксперты по кибербезопасности, а технологические гиганты только увеличивают гонорары за выявление уязвимостей в своих продуктах.

В конце концов, если все так, как говорит Федоров, зачем тогда Госспецсвязи Украины специальный киберполигон для обучения специалистов по кибербезопасности и все другие инициативы, введенные за последнее время? Не исключено, что таким образом предварительно оценивают реакцию на урезание финансирования и сворачивание действующих программ киберзащиты.

Источник: LB.ua

а що думає наша ІТ спільнота?

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Розкажіть краще хто придумав страшилку «не переходьте по лінку!!111»
Я готовий перейти по будь-якій страшній лінці навіть без інкогніто і впевнений що фіг що вона зробить.

В одному з проєктів робили тест кібербезпеки й на робочу пошту кожного співробітника прийшла «така лінка» = 0 переходів, це частина аудиту, яку мала пройти компанія для отримання інвестицій

В ентерпрацзі якому колись працював було десь 50 кліків із 1000+ офісних співробітників. Аудитори сказали що це норм процент (треба рахувати що айтішників з них не більше сотні).
Усі щасливці заробили квитки на курси із квбербезпеки

Треба курси здорового глузду бо майже в кожному проєкті натрапляв на якісь діри в безпеці

Десь можна зайти під чужим профілем бо Senior розробник полінувався створити «recovery_token» й відновлення паролю встановлювало пароль в «change_password»

Десь полінувались створити окреме API й можна було отримати чужу персональну інформацію

Таких прикладів повно

Так хоч на курсах відкрили тайну що страшного може лінка зробити чи коло замкнулось?

У браузерів Chrome, Firefox, Opera, Safari є вразливості

1. Дуже давно, коли ще користувався Windows XP то перейшов за посиланням та підципив на комп’ютер вірус-вимагача

2. Можна завалити аудит та втратити інвестиції

1. Ну ХР то зовсім давно було, з цього десятиріччя щось є?

2. Мова не про бюрократів, а про шкоду юзеру/компу

Якось отримав SMS про «доступний кредит» від альфанумеричного номеру, захотів дізнатись кому належить й відписатись, але такі реєстри поки в Україні відсутні

Вирішив в інкогніто перейти за посиланням з SMS й пошукати юридичну особу, за півгодини отримав купу спаму, навіть від ПриватБанку

так це приватна інформація мобільних операторів, а не дані що належать/збираються державою

тому і не буде таких реєстрів ніколи хіба що з’явиться закон який зобов’яже операторів зробити такі реєстри

справа ще в тому що таке ім’я не реєструєтьтся як власніть когось одного, тобто не є унікальним

от наприклад немає зараз телефоних довідників які були за часи стаціонарних телефонів

В кінцевому результаті це привєтбанк займається СМС-спамом, ще й оплачуючи при цьому сервіс оператора. Тобто роль самої лінки тут майже ніяка, крім того що вона підтвердила використання конкретного номера. Це не заважає займатись таким же спамом наугад по всім підряд.

за півгодини отримав купу спаму,

Отримав куди?
На email?

А хто сказав що такі розсилки для шкоди компу. Фішинг
1. Парсимо список емейлів якихось менегерів по продажам компанії. Ну або робимо розсилку навмання — часто емейли виглядають щось типу [email protected]
2. Розсилаємо листа — супер головний адмін попереджає що якщо у продовж 5-ти хвилин не зміниш пароль до тебе прийде Петро Олексійович, а вазилін ти так і не придбав
3. Юзер заходить на фішингову сторінку типу azure AD і без зайвих думок «змінює» пароль.
4. Звісно хтось дуже уважний із цього списку розсилки звертає увагу на цей фішинг і на усіляк випадок повідомляє підтримку. Але доки цей тікет доходить до СБ і СБ разом із адмінами дивляться логи проксі чьї ж акаунти могли бути скомпрометовані на даркнетах з’являжться свіжа клієнська база скачана через акк того Васі Пупкіна бо у контори все погано із рольовою модельлю і звичайні юзери мають більше прівілегій ніж їм потрібно

Так стоп, страшилка звучить як «не відкривайте лінк!!!11»
Це значить:

Юзер заходить на фішингову сторінку типу azure AD

І все, закриває, а не робить кілька кліків на ній в т.ч. ввід паролів.

Тобто ми вертаємось до основного мого тезиса:

Я готовий перейти по будь-якій страшній лінці навіть без інкогніто і впевнений що фіг що вона зробить.

Може їх хтось попередив?
Як в тому анекдоті «товарищ майор, сьогодні вночі запланована несподівана перевірка»

мож якщо не патчитися можна на якусь D0 натрапити cve.mitre.org/...​e.cgi?name=CVE-2023-32435

Я не дуже розумію як такі таблички читати, але memory corruption issue + apple значить що на макбуках DDR дохне якщо юзер відкриє лінк чи щось таке?

Вітаю всіх з майбутнього. Сьогодні 12/12/2023. Фьодоров помилявся.

У затяжній фазі коли військовий фронт стоїть активізується у тому числі кіберфронт. Йому ікатиметься ще мінімум раз на тиждень.

Через две недели мы их уволили, и ничего не происходило на протяжении нескольких месяцев, пока мы собирали новую команду

А потом в сети оказалась база ВУ на несколько миллионов записей.

The Russian state-sponsored hacking group known as Gamaredon has been targeting various Ukrainian diplomats, government and military officials, and law enforcement since mid-October 2019, threat intelligence company Anomali reports.
www.securityweek.com/...​rgeting-ukraine-officials

И правда, нахрен нам не нужна эта безопасность

Пропоную піти ще далі і зробити авторизацію користувачів в усіх державних сервісах через вкантактє і аднакласнікі.

поддержу министра, все последние серьезные взломы — или социальная инженерия (банк на карибах, банк пакистана) или другая социальная инженерия так как для взлома нада закинуть трояна во внутреннюю сеть и лучше что бы это было не через имейл так как имейлы давно проверяются разными дким, черными списками хостов и айпи адресов. Поэтому 90% тикетов СОКа это спам (90%!!) и потом забытые пароли, попытка установки левого софта и т.д. И вот на открытие закрытие тикетов по спаму и тратится 90% ресурсов кибербезопастности. Недавно внедряли систему которая с помощью АИ (да АИ) отсеивала спам и закрывала тикеты, так оказалось что можна обойтись всего 2мя дежурными аналитиками на поддержке а не 4мя, и двух других отправили писать новые рулсы для сиема.

Когда Зеленский только объявил о вхождении в президентскую гонку, на их сайт прилетела минимум успешная DoS атака.

Давайте еще с такими ИТ-ыкспертами будем строить онлайн голосование, чтобы коломойша смог сам вбивать имя кандидата-победителя, который ему понравится.

В интервью «Лига.net» вы говорили, что хотите его апробировать на местных выборах, которые, возможно, пройдут весной.

Да. На местных выборах возможно создать в каком-то регионе цифровой округ. Люди, которые живут в этом округе, смогут подать заявку для того, чтобы проголосовать в режиме онлайн. Как это физически реализовать? Будем над этим работать.

Що тут думати — невігласи на марші

Через две недели мы их уволили, и ничего не происходило на протяжении нескольких месяцев, пока мы собирали новую команду".

Интересные выводы :)
Так может потому ничего и не происходило — следить то некому.

Може й справді нічого не відбувалося, як нічого не траплялося до певного часу в того стартапу, що зберігав дані клієнтів на Амазоні, а потім трапився гакер, який видалив їх всі звідти разом із бекапами.

С ЗП у безопасников очень туго. Большинство июней на тонущей гарлере получает больше. Вот и вся «кибербезпека» в нас в стране.

Як я і казав раніше, задекларована такими відмороженими дебілами «діджиталізація» — одна з найбільших наразі внутрішніх загроз.

В чем угроза систематизации реестров, которой сейчас этот хлопец занимается?

Після новин про бомжів, яких «заочно» зробили держреєстраторами й перереєстрували чуже майно треба ще щось пояснювати?

28 лет такое творится, а для тебя это новость? Бабу Галю, на которую записали контракты минобороны и 15 квартир тоже не встречал никогда?

Після новин про бомжів, яких «заочно» зробили держреєстраторами й перереєстрували чуже майно треба ще щось пояснювати?

Якщо нерухомість реєструвалась до 2013 і її не занесли в електроний держ.реєстр, то є схема реєстрації на того ж бомжа по липовим документам.

В том что систематизированные рееестры легче п***ить, а о безопасности мы уже увидели как он думает.

У нас в проекте сидели какие-то дармоеды показывали какие-то билды которые не билдятся, тесты какие-то красные. Уволили, набрали джунов и ничего не происходит . Заказчик как платил, столько же и платит за проект

О ней много говорят, но по факту привести каких-то реальных кейсов киберугроз мало кто может.
после серии атак в 2016 году с применением вируса-шифровальщика Petya

Где-то тут многоуважаемый министр начал читать не с того листочка

роль кибербезопасности в современном мире преувеличена

Так и есть!
Нужно понимать что современные операционные системы, а тем более «облака» «из коробки» предоставляют достаточно высокий уровень безопасности. Плюс к анализу угроз подключен самообучающийся ИИ.
Все эти угрозы можно условно разделить на «хулиганство», «киберпреступность» и «кибервойну».
Хулиганство — это бесплатное развлечение. Соответственно это уровень доморощенных кулхацкеров, которые скачали готовые софтины для брудфорса с хакерских сайтов. Или написали свой ужасный вирус для лохов, которые запускают любые скачанные в инете файлы. Жертвами таких хулиганов могут стать в первую очередь ламеры, которые поставили Виндоз-Зверь 5 лет назад и с тех пор не обновлялись. Или лохи, которые ставят паролем на Вконтактик кличку любимого котика. В любых серьезных сетях, где есть нормальный админ, такие попытки заблокируются автоматически еще на входе! И даже если какой удачливый хацкер случайно найдет новую, неизвестную «дырку» — то уже через несколько часов после обнаружения первого взлома пройдут обновления и дырка закроется.
Киберпреступность — это уже совсем другой уровень. Как ограбление банка. Операция может готовиться месяцами, работают профи, используются все методы: от брудфорса до социальной инженерии... Но такое будут делать только что бы украсть минимум шестизначные суммы! Или взломать почту кандидата в президенты. Никто не будет так напрягаться что бы взломать, например, Розетку или украсть с гос-сервера базу украинских ФОП. Целей, которым стоит опасаться такой атаки в Украине немного. Но и что бы защититься от такой атаки одного толкового админа уже не хватит. Тут нужен свой отдел специалистов. И они то же захотят получать как минимум пятизначную сумму (иначе им выгоднее зарабатывать взломом, а не защитой). Выходит один раз потерять миллион из-за взлома будет дешевле, чем каждый месяц платить 100К за защиту.
Кибервойна — это уже не к специалистам по кибербезопасности, а к военным и спецслужбам. Тут другое оружие другие средства защиты. Обычным гражданским админам бесполезно и пытаться строить защиту. Но и какое-нибудь АНБ, которое мониторит вообще весь трафик, не будет взламывать чей-то инстаграмчик ради голых фоток. И им не нужно украсть миллионы из банка — у них совсем другие цели. К счастью, Украинская армия и так достаточно неплохо защищена от кибератак — в силу использования старого советского вооружения, в котором нечего взламывать!
Но в перспективе бесполезно строить украинскую «чебурашку», что бы защититься от русских кибервойск — банально не тот уровень. Тут нам поможет только интеграция в систему кибербезопасности НАТО — там уже давно ведут кибервойну против России и Китая.
Большинство тех, кто переживает за свою кибербезопасность на самом деле могут ничего не бояться. Их не достанут — как того самого «неуловимого Джо». Просто потому что никому нахер не надо его ловить! Ну а если человек клинический лох и вводит пинкод с бумажки — то ему никакое министерство не поможет.

Или лохи, которые ставят паролем на Вконтактик кличку любимого котика.

Ой не скажи. Давали на передержку кот-мейнкуна этим летом, когда спросили как его зовут, все члены той семьи ответили по разному o_O Мелкий называл его мурчик, я называл мурзиллой и catzilla’ой. Когда его отдавали, всё таки спросили как его зовут, ответ был — хз, каждый зовёт как хочет, кот откликается на все имена %) Тут такая конспирология, что позавидуешь секьюрным паролям!

Есть байка что когда Митник впервые взломал Пентагон он использовал словарь всего из 5000 слов — у военных туго с воображением.
Современные системы любое осмысленное слово или их комбинацию должны подбирать элементарно. И взломать 80% обычных обывателей — вообще без проблем. Но что это дает? Разве что ботнет сделать.

последний взлом банка на карибах — чуваку у которов в линкед ин написанно что он занимается поддержкой сфифт системы в банке на карибах (система переводов между банками) стучится рекрутер и предлагает больше денег в соседнем банке, заодно выспрашивая что конкретно чувак умеет и к каким частям системы имеет доступ. После этого ему назначают интервью и присылают специальный форматировщик резюме в который нада загрузить ворд файл и он все сам круто переведет в пдф (некоторые компании требуют специального оформления резюме). Чувак загружает форматировщик на вирустотал — вирустотал молчит, чувак запускает форматировщик, делает пдф, проходит интервью думая про то как уйдет на +500 а на следующий день с банка по свифту уходит 10 миллионов. Через неделю кто то из банка пакистана грузит на вирус тотал папку с файлами в которой лежит резюме инженера поддержки внутренних систем и этот же форматировщик. банк пакистана не признался была ли утечка, но ни внутренние антивирусы, ни спам фильтры, ни тренинги их не спасли, чуваки просто поверили что им светит +500 через дорогу

К счастью, Украинская армия и так достаточно неплохо защищена от кибератак — в силу использования старого советского вооружения, в котором нечего взламывать!

Была вот байка, не знаю, насколько достоверная, что один офицер ВСУ написал андроидоприложеньку для рассчёта параметров стрельбы из Д-20, а злые агенты мордора её подменили на зловредную, которая отправляла в мородор координаты артиллеристов

Если ты сидишь в окопе с мобильны телефоном — то зловредные вирусы для твоих координат не нужны!
Еще во времена второй мировой вычисляли шпионов по включенной рации. А при современных-то технологиях даже если кто-то электрический фонарик в лесу включит — сразу электромагнитный сигнал засекут. Хотя это и не обязательно: спрятаться от современных систем, которые засекают любые звуки (вплоть до сердцебиения), тепло, движение и т.д. в лесу невозможно.

А если ты чуть дальше передовой и пока ещё не стреляешь, а вокруг рядом сотни и тыщи других мобильных телефонов, то вот тут зловредный вирус может противнику помочь.

Цигарки забув.
Як запалив, то спалився 😎

Є ще ботмережі для систем накруток, кібервійни і майнінгу. Жертви власників таких мереж і є прості користувачі.

ДБ. Некомпетентный, как и подавляющее большинство зелёных клоунов.

Синьоры в 30? Пффф. Тут в 28 целый мимистр!

«Я думаю, что роль министра цифровой трансформации немного преувеличена. О ней много говорят, но по факту привести каких-то реальных кейсов его вклада и эффективности мало кто может.

Приведу простой пример. Когда министр пришел в Офис президента, IT-команда показала дашборды с тысячью атак в день, перегрузкой сайтов и тд. Через две недели все IT ребята уволились, в это самое время у министра ничего не происходило на протяжении нескольких месяцев, так как деньги не были выделены на цифровую трансформацию в бюджете 2020 года. К тому же сам министр не разбирается, что такое кибербезопасность и зачем она нужна в Украине в такое непростое для нас время.

А так как надо что-то делать, министр собрал новую команду, которая уже с понедельника посмотрит на старые дашборды».

этот министр явно напрашивается на персональную демонстрацию роли кибербезопасности

типа на халявное тестирование :-)

вы даже не представляете, насколько тру стори сочетание «министр» и «тестирование» ))

а сочетание «министр» и «халява»? :-))

Таки выпросил демонстрацию

Через две недели мы их уволили, и ничего не происходило на протяжении нескольких месяцев

Вот здесь заржал в голос :-)

Схоже, статуетка з однією мавпочкою вже є. Треба двох інших подарувати.

Анархисты опираются на постулат, что преступление должно быть выгодно преступнику.
Если на взлом системы нужно потратить количество ресурсов, сопоставимое с получаемой выгодой, ломать ее никто не станет.

Вывод: если нечего красть, то не нужна защита.

И обратный вывод — цена вашей информации равна затратам на ее защиту

Підписатись на коментарі