Безкоштовна онлайн-конференцiя з Python від fwdays. 14 грудня. Реєструйся!
×Закрыть

Глава Минцифры: «Роль кибербезопасности немного преувеличена»

itc.ua/...​ti-nemnogo-preuvelichena

Министр цифровой трансформации Михаил Федоров считает, что роль кибербезопасности в современном мире преувеличена. Такую точку зрению он высказал в недавнем интервью изданию LB.ua.

Ниже приводим точный комментарий министра:

«Я думаю, что роль кибербезопасности немного преувеличена. О ней много говорят, но по факту привести каких-то реальных кейсов киберугроз мало кто может. Приведу простой пример. Когда мы пришли в Офис президента, IT-команда показала дашборды с тысячью атак в день, перегрузкой сайтов и тд. Через две недели мы их уволили, и ничего не происходило на протяжении нескольких месяцев, пока мы собирали новую команду».

Также министр отметил, что после серии атак в 2016 году с применением вируса-шифровальщика Petya, Украина значительно улучшила позиции в сфере киберзащиты.

«После этого кибербезопасность вышла на другой уровень. На базе Госспецсвязи созданы новые киберцентры. В это достаточно много инвестировалось. Можно смело себя чувствовать нормально защищенным. Сильно выросло и СБУ в плане киберразведки», — добавил Федоров.

Из этих двух достаточно противоречивых комментариев, неясно, какой конкретно посыл заключен в этом достаточно спорном заявлении, учитывая, что с каждым годом количество угроз только растет (про кибератаки на энергосистему Украины, видимо, уже забыли), о чем постоянно трубят эксперты по кибербезопасности, а технологические гиганты только увеличивают гонорары за выявление уязвимостей в своих продуктах.

В конце концов, если все так, как говорит Федоров, зачем тогда Госспецсвязи Украины специальный киберполигон для обучения специалистов по кибербезопасности и все другие инициативы, введенные за последнее время? Не исключено, что таким образом предварительно оценивают реакцию на урезание финансирования и сворачивание действующих программ киберзащиты.

Источник: LB.ua

а що думає наша ІТ спільнота?

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

The Russian state-sponsored hacking group known as Gamaredon has been targeting various Ukrainian diplomats, government and military officials, and law enforcement since mid-October 2019, threat intelligence company Anomali reports.
www.securityweek.com/...​rgeting-ukraine-officials

И правда, нахрен нам не нужна эта безопасность

Пропоную розмістити Українські гов сайти на серверах Вкантактє.

Пропоную піти ще далі і зробити авторизацію користувачів в усіх державних сервісах через вкантактє і аднакласнікі.

поддержу министра, все последние серьезные взломы — или социальная инженерия (банк на карибах, банк пакистана) или другая социальная инженерия так как для взлома нада закинуть трояна во внутреннюю сеть и лучше что бы это было не через имейл так как имейлы давно проверяются разными дким, черными списками хостов и айпи адресов. Поэтому 90% тикетов СОКа это спам (90%!!) и потом забытые пароли, попытка установки левого софта и т.д. И вот на открытие закрытие тикетов по спаму и тратится 90% ресурсов кибербезопастности. Недавно внедряли систему которая с помощью АИ (да АИ) отсеивала спам и закрывала тикеты, так оказалось что можна обойтись всего 2мя дежурными аналитиками на поддержке а не 4мя, и двух других отправили писать новые рулсы для сиема.

Когда Зеленский только объявил о вхождении в президентскую гонку, на их сайт прилетела минимум успешная DoS атака.

Давайте еще с такими ИТ-ыкспертами будем строить онлайн голосование, чтобы коломойша смог сам вбивать имя кандидата-победителя, который ему понравится.

В интервью «Лига.net» вы говорили, что хотите его апробировать на местных выборах, которые, возможно, пройдут весной.

Да. На местных выборах возможно создать в каком-то регионе цифровой округ. Люди, которые живут в этом округе, смогут подать заявку для того, чтобы проголосовать в режиме онлайн. Как это физически реализовать? Будем над этим работать.

Що тут думати — невігласи на марші

Через две недели мы их уволили, и ничего не происходило на протяжении нескольких месяцев, пока мы собирали новую команду".

Интересные выводы :)
Так может потому ничего и не происходило — следить то некому.

Може й справді нічого не відбувалося, як нічого не траплялося до певного часу в того стартапу, що зберігав дані клієнтів на Амазоні, а потім трапився гакер, який видалив їх всі звідти разом із бекапами.

С ЗП у безопасников очень туго. Большинство июней на тонущей гарлере получает больше. Вот и вся «кибербезпека» в нас в стране.

Як я і казав раніше, задекларована такими відмороженими дебілами «діджиталізація» — одна з найбільших наразі внутрішніх загроз.

В чем угроза систематизации реестров, которой сейчас этот хлопец занимается?

Після новин про бомжів, яких «заочно» зробили держреєстраторами й перереєстрували чуже майно треба ще щось пояснювати?

28 лет такое творится, а для тебя это новость? Бабу Галю, на которую записали контракты минобороны и 15 квартир тоже не встречал никогда?

Після новин про бомжів, яких «заочно» зробили держреєстраторами й перереєстрували чуже майно треба ще щось пояснювати?

Якщо нерухомість реєструвалась до 2013 і її не занесли в електроний держ.реєстр, то є схема реєстрації на того ж бомжа по липовим документам.

У нас в проекте сидели какие-то дармоеды показывали какие-то билды которые не билдятся, тесты какие-то красные. Уволили, набрали джунов и ничего не происходит . Заказчик как платил, столько же и платит за проект

О ней много говорят, но по факту привести каких-то реальных кейсов киберугроз мало кто может.
после серии атак в 2016 году с применением вируса-шифровальщика Petya

Где-то тут многоуважаемый министр начал читать не с того листочка

роль кибербезопасности в современном мире преувеличена

Так и есть!
Нужно понимать что современные операционные системы, а тем более «облака» «из коробки» предоставляют достаточно высокий уровень безопасности. Плюс к анализу угроз подключен самообучающийся ИИ.
Все эти угрозы можно условно разделить на «хулиганство», «киберпреступность» и «кибервойну».
Хулиганство — это бесплатное развлечение. Соответственно это уровень доморощенных кулхацкеров, которые скачали готовые софтины для брудфорса с хакерских сайтов. Или написали свой ужасный вирус для лохов, которые запускают любые скачанные в инете файлы. Жертвами таких хулиганов могут стать в первую очередь ламеры, которые поставили Виндоз-Зверь 5 лет назад и с тех пор не обновлялись. Или лохи, которые ставят паролем на Вконтактик кличку любимого котика. В любых серьезных сетях, где есть нормальный админ, такие попытки заблокируются автоматически еще на входе! И даже если какой удачливый хацкер случайно найдет новую, неизвестную «дырку» — то уже через несколько часов после обнаружения первого взлома пройдут обновления и дырка закроется.
Киберпреступность — это уже совсем другой уровень. Как ограбление банка. Операция может готовиться месяцами, работают профи, используются все методы: от брудфорса до социальной инженерии... Но такое будут делать только что бы украсть минимум шестизначные суммы! Или взломать почту кандидата в президенты. Никто не будет так напрягаться что бы взломать, например, Розетку или украсть с гос-сервера базу украинских ФОП. Целей, которым стоит опасаться такой атаки в Украине немного. Но и что бы защититься от такой атаки одного толкового админа уже не хватит. Тут нужен свой отдел специалистов. И они то же захотят получать как минимум пятизначную сумму (иначе им выгоднее зарабатывать взломом, а не защитой). Выходит один раз потерять миллион из-за взлома будет дешевле, чем каждый месяц платить 100К за защиту.
Кибервойна — это уже не к специалистам по кибербезопасности, а к военным и спецслужбам. Тут другое оружие другие средства защиты. Обычным гражданским админам бесполезно и пытаться строить защиту. Но и какое-нибудь АНБ, которое мониторит вообще весь трафик, не будет взламывать чей-то инстаграмчик ради голых фоток. И им не нужно украсть миллионы из банка — у них совсем другие цели. К счастью, Украинская армия и так достаточно неплохо защищена от кибератак — в силу использования старого советского вооружения, в котором нечего взламывать!
Но в перспективе бесполезно строить украинскую «чебурашку», что бы защититься от русских кибервойск — банально не тот уровень. Тут нам поможет только интеграция в систему кибербезопасности НАТО — там уже давно ведут кибервойну против России и Китая.
Большинство тех, кто переживает за свою кибербезопасность на самом деле могут ничего не бояться. Их не достанут — как того самого «неуловимого Джо». Просто потому что никому нахер не надо его ловить! Ну а если человек клинический лох и вводит пинкод с бумажки — то ему никакое министерство не поможет.

Или лохи, которые ставят паролем на Вконтактик кличку любимого котика.

Ой не скажи. Давали на передержку кот-мейнкуна этим летом, когда спросили как его зовут, все члены той семьи ответили по разному o_O Мелкий называл его мурчик, я называл мурзиллой и catzilla’ой. Когда его отдавали, всё таки спросили как его зовут, ответ был — хз, каждый зовёт как хочет, кот откликается на все имена %) Тут такая конспирология, что позавидуешь секьюрным паролям!

Есть байка что когда Митник впервые взломал Пентагон он использовал словарь всего из 5000 слов — у военных туго с воображением.
Современные системы любое осмысленное слово или их комбинацию должны подбирать элементарно. И взломать 80% обычных обывателей — вообще без проблем. Но что это дает? Разве что ботнет сделать.

Вся история успешных взломов Митника сводится к грамотному применению соц.инженерии.

последний взлом банка на карибах — чуваку у которов в линкед ин написанно что он занимается поддержкой сфифт системы в банке на карибах (система переводов между банками) стучится рекрутер и предлагает больше денег в соседнем банке, заодно выспрашивая что конкретно чувак умеет и к каким частям системы имеет доступ. После этого ему назначают интервью и присылают специальный форматировщик резюме в который нада загрузить ворд файл и он все сам круто переведет в пдф (некоторые компании требуют специального оформления резюме). Чувак загружает форматировщик на вирустотал — вирустотал молчит, чувак запускает форматировщик, делает пдф, проходит интервью думая про то как уйдет на +500 а на следующий день с банка по свифту уходит 10 миллионов. Через неделю кто то из банка пакистана грузит на вирус тотал папку с файлами в которой лежит резюме инженера поддержки внутренних систем и этот же форматировщик. банк пакистана не признался была ли утечка, но ни внутренние антивирусы, ни спам фильтры, ни тренинги их не спасли, чуваки просто поверили что им светит +500 через дорогу

Тот случай, когда морковка на веревочке перед носом эффективнее паяльника.

К счастью, Украинская армия и так достаточно неплохо защищена от кибератак — в силу использования старого советского вооружения, в котором нечего взламывать!

Была вот байка, не знаю, насколько достоверная, что один офицер ВСУ написал андроидоприложеньку для рассчёта параметров стрельбы из Д-20, а злые агенты мордора её подменили на зловредную, которая отправляла в мородор координаты артиллеристов

Если ты сидишь в окопе с мобильны телефоном — то зловредные вирусы для твоих координат не нужны!
Еще во времена второй мировой вычисляли шпионов по включенной рации. А при современных-то технологиях даже если кто-то электрический фонарик в лесу включит — сразу электромагнитный сигнал засекут. Хотя это и не обязательно: спрятаться от современных систем, которые засекают любые звуки (вплоть до сердцебиения), тепло, движение и т.д. в лесу невозможно.

В лесу запросто, если мобильник не включать. А твой фонарик виден на 30 метров, дальше уже за деревьями не увидишь.
Кстати, для рации ее местоположение тоже очень сложно определить.

С мобильником легко, потому что БС-ки знают точное расстояние до мобильника.

А если ты чуть дальше передовой и пока ещё не стреляешь, а вокруг рядом сотни и тыщи других мобильных телефонов, то вот тут зловредный вирус может противнику помочь.

Прошу прощения. Из Вашего комментария я всё же не понял, стóит ли верить г-ну министру или это таки сатира?

Є ще ботмережі для систем накруток, кібервійни і майнінгу. Жертви власників таких мереж і є прості користувачі.

ДБ. Некомпетентный, как и подавляющее большинство зелёных клоунов.

Синьоры в 30? Пффф. Тут в 28 целый мимистр!

«Я думаю, что роль министра цифровой трансформации немного преувеличена. О ней много говорят, но по факту привести каких-то реальных кейсов его вклада и эффективности мало кто может.

Приведу простой пример. Когда министр пришел в Офис президента, IT-команда показала дашборды с тысячью атак в день, перегрузкой сайтов и тд. Через две недели все IT ребята уволились, в это самое время у министра ничего не происходило на протяжении нескольких месяцев, так как деньги не были выделены на цифровую трансформацию в бюджете 2020 года. К тому же сам министр не разбирается, что такое кибербезопасность и зачем она нужна в Украине в такое непростое для нас время.

А так как надо что-то делать, министр собрал новую команду, которая уже с понедельника посмотрит на старые дашборды».

этот министр явно напрашивается на персональную демонстрацию роли кибербезопасности

типа на халявное тестирование :-)

вы даже не представляете, насколько тру стори сочетание «министр» и «тестирование» ))

а сочетание «министр» и «халява»? :-))

Через две недели мы их уволили, и ничего не происходило на протяжении нескольких месяцев

Вот здесь заржал в голос :-)

Схоже, статуетка з однією мавпочкою вже є. Треба двох інших подарувати.

Анархисты опираются на постулат, что преступление должно быть выгодно преступнику.
Если на взлом системы нужно потратить количество ресурсов, сопоставимое с получаемой выгодой, ломать ее никто не станет.

Вывод: если нечего красть, то не нужна защита.

И обратный вывод — цена вашей информации равна затратам на ее защиту

Вопрос в том, захотят ли тратиться на такую информацию.

При достаточной цене информации жопа защищена часто бронированными теплоизолирующими трусами.
Но иногда не защищена.

Подписаться на комментарии