Почему хакерам выдали «ломать» ненастоящую «Дiю»? Говорим с Егором Аушевым

«Приходится исправлять репутацию: доказывать, что мы не чёрные, а белые»

Егор, как на отрасль кибербезопасности повлияла эпидемия? Клиентов хватает?

Клиентов хватает, с массовым переходом на удалёнку вопрос безопасности стал ещё актуальнее. Количество взломов постоянно растёт, а с ним и количество обращений к нам. Основные заказчики — из стран, где приняты стандарты и требования кибербезопасности: Южной Кореи, Сингапура, Японии, США, ЕС. Если там происходит утечка информации, ответственных сильно «бьют по головам» и наказывают штрафами. В Украине такого регулирования пока нет, делаются лишь первые шаги.

Сколько в Украине хакеров? Сколько из них «белых» и сколько «чёрных»?

Хакеров — несколько сотен. Вопрос про «чёрных» часто задают. На этот случай у меня заготовлена шутка, что «белые» ночью становятся «чёрными». Но эта шутка. Если кто-то будет пойман, то будет отвечать по всей строгости.

Самое главное, что есть у «белых хакеров», или white hat hackers, это их репутация. Я никогда не возьму на проект человека с улицы — кого не знаю, кто не прошёл проверку. Ведь мы видим все «внутренности» систем наших клиентов, и я своим именем отвечаю за то, что никакая информация не будет унесена и продана.

Запросы на «не-белые» взломы приходят то и дело — допустим, «а можете инстаграм бывшей девушки взломать»? Но это не наша клиентура. Мы пропагандируем идею, что зарабатывать на взломах можно и нужно честным путём. 

Откуда берутся ваши «белые хакеры»?

Один из источников — наша школа, где мы обучаем хакингу. Курсы длятся три месяца, но мы и не с нуля учим: к нам приходят люди, которые уже умеют программировать или имеют сисадминский опыт. При отборе проводим тестирование и если видим, что у человека неэтичные намерения, то просто не берём его. Конечно, на 100% уверенным быть нельзя, но лекторы постоянно напоминают слушателям об этике: не вздумайте ломать, за это уголовная ответственность, «белый хакер» пару тысяч долларов в месяц всегда заработает. Кстати, половина ИТ-департамента в Офисе президента Украины сформирована из наших выпускников, они защищают президента круглосуточно.

На самом деле, нам приходится исправлять репутацию, и это довольно сложно. Украинцев всегда знали как «чёрных хакеров», поэтому приходится доказывать, что мы не «чёрные», а «белые». Этому помогает работа с госсектором: когда нам доверяют министерства и киберполиция, больше верят и остальные.

«Весной я поспорил с Михаилом Федоровым на ТВ, что хакеры найдут в „Дiя“ уязвимости»

Расскажите про своё сотрудничество с госсектором.

В ноябре мы проводили тренинг для 20 представителей объектов критической инфраструктуры и украинских спецслужб. Это был недельный интенсив на базе Рады нацбезопасности и обороны Украины при поддержке CRDF Global и Госдепартамента США, мы рассказывали о методологиях, которые применяет частный сектор в бизнесе, чтобы взламывать или защищаться. По сути, первый случай частно-государственного партнёрства в этой области — первый раз, когда частный сектор обучал госсектор «белому хакингу».

Вы учили госслужащих защищаться от взломов, а киберследователей — ловить плохих хакеров?

Да, именно так. Наши ребята выступали с лекциями и практическими занятиями — показывали, как это происходит в бизнесе и как это можно использовать в госструктурах.

С 2014 года я на всех конференциях рассказываю, что невозможно сделать безопасную страну, не привлекая частников. У государства нет таких специалистов, как в частном секторе, хотя бы из-за разницы зарплат в 5-10 раз. Лучшие специалисты сегодня работают в частном секторе, и взаимодействие тут неизбежно: частники должны обучать государство, а государство должно выступать заказчиком.

Лет пять назад, когда мы плотно сотрудничали с эстонцами, я их спросил, какой процент заказов, связанных с государством, у них выполняет само государство. Оказалось, государство выступает только заказчиком, а исполнитель на 100% — частный сектор.

На Hackerone открылась программа для всех милитаризованных сайтов США — их можно официально взламывать на платформе. И это правильно, потому что другим способом, кроме как с привлечением хакеров, защититься невозможно: чтобы противостоять взлому, нужно понимать, как он происходит. 

Минцифры как раз сейчас проводит багбаунти приложения «Дiя». Зачем им это?

Вероятно, чтобы показать, что у них всё «секьюрно». На них навалилась волна критики после тех* утечек. Я тоже спрашивал: а кто вас тестировал? Сейчас им будет что отвечать: нас протестировали 50 хакеров со всего света, дырок нет. Это повышает уровень доверия. Часто компании используют кибербезопасность как элемент пиара и маркетинга — смотрите, мы заботимся о безопасности ваших данных.

Весной я поспорил с Михаилом Федоровым на ТВ, что хакеры найдут в «Дiя» уязвимости — сделал это специально для того, чтобы подстегнуть и обратить на это внимание. Он тогда не отреагировал. Но прошло полгода, и вот запускается эта программа. Замминистра даже тегнул меня в фейсбуке.

На проверку выставлена не вся платформа, а только мобильное приложение. Но есть ещё нюанс — это даже не само приложение, а его клон. «Дiя» создала копию системы, и именно её хакеры сейчас взламывают.

В Украине есть система госзакупок Prozorro. Два года назад я познакомился с её директором, и мы с ним почти год придумывали, как провести первую стране багбаунти-программу. В конце концов решили сделать копию существующей системы — протестировать её, найти проблемы и устранить их в действующей системе. Prozorro тоже нашла выход: там, где они не могли заплатить деньгами, они дарили подарки — чашки, пледики, победителю достался дрон.

Сейчас механизм клонирования повторяют с «Дiя» — лучше, чем ничего, но всё же это очень энергозатратный процесс. В США тестируют действующие системы напрямую — это закреплено законодательно.

Когда делаешь инновационное приложение для удобства людей, важно обращать внимание на соотношение скорости и безопасности. Как в автомобиле: нельзя ускоряться, не подумав о качестве резины. И лучше любого сертификата здесь обезопасит краудсорс-секьюрити — проверка от «белых хакеров».

Получается, вы с госорганами уже успешно сотрудничаете, раз тестировали Prozorro.

Да, но мы на этом не зарабатываем. Задачей Prozorro было популяризировать идею багбаунти. Для этого мы пригласили в оффлайн 20 хакеров со всей Украины. Младшему было 15 лет, он приехал с папой, старшему 40+. Они хакеры сидели в одном помещении и взламывали, при этом их снимало ТВ — мы хотели, чтобы все узнали, кто такие white hat hackers и почему их не надо бояться.

Сегодня у нас есть только рамочный закон об основах кибербезопасности, принятый ещё при прошлом президенте, в 2017 году. Но сфера не зарегулирована, в ней пока нет правил. И если мы, белые хакеры, сейчас найдём уязвимость в системе госоргана, то нам сложно будет даже сообщить об этом, потому что нас могут обвинить во взломе. 

А зачем вам искать уязвимости в госсистемах без заказа?

Это может выйти случайно. Мы можем работать с клиентом, который взаимодействует с каким-то министерством, и увидеть, что там «всё торчит наружу» — например, база данных. Однажды мы организовывали конференцию для «белых хакеров» в Киеве, и иностранные гости докладывали: у вас такие-то министерства «с дырками», у них есть багбаунти, куда можно зарепортить?

В Верховной Раде сейчас разрабатывают закон о кибербезопасности, в котором пропишут вопросы ответственности. Я участвую в рабочей группе. Но это долгий процесс, в лучшем случае закон будет подан на рассмотрение в следующем году. 

Расскажите, чего вы ждёте от закона.

Во-первых, механизмов взаимодействия частного сектора и государства. Нужна возможность легально заключить договор, чтобы частные «белые хакеры» могли прийти и отрегулировать госсистему. 

Сейчас это запрещено. Мол, а что будет, если хакер увидит нашу внутреннюю информацию? Мой ответ: а ничего что ваша информация и так «торчит наружу», и никто не может вам об этом сообщить, и нет людей, которые бы это исправили? 

Во-вторых, в Украине должны появиться международные стандарты безопасности и ответственность за их несоблюдение. В моем понимании она должна лежать на гендиректоре.

Несколько лет назад у нас было несколько больших историй хакерских взломов. Например, во время атаки вируса NotPetya. Помню, приезжаю на АЗС и не могу рассчитаться кредитной картой, потому что NotPetya заблокировал процессы. К сожалению, немногие тогда захотели что-то исправить. А зачем — всё равно никакой ответственности.

В общем, беспорядок. Поэтому сейчас мы потихоньку начинаем приучать госорганы к частному сектору, просим привлекать нас к обучению специалистов, разработке законодательства.

Какие-то изменения на госуровне уже идут. Например, раньше у нас Госспецсвязь была единственным центром, который отвечал за всю кибербезопасность, на правах монополиста они выдавали внутренние украинские сертификаты. Приходила крупная иностранная компания и не понимала, как законнектиться для обмена информацией с украинским госорганом, наш внутренний стандарт безопасности им был непонятен. Сейчас вводятся международные стандарты, которые должны быть более понятны иностранным компаниям.

«Нужен муравейник как в UBER: там все люди — таксисты, а тут все — хакеры»

Вы проводили семинар при поддержке Госдепа, призовой фонд на багбаунти «Дiя» выделил USAID. Штаты поддерживают кибербезопасность в Украине?

Сейчас мы видим большую активность в этом направлении. US-Ukraine cyber dialogue — программа на миллионы долларов, в её рамках проходит много тренингов. Например, наша компания выиграла тендер от CRDF Global, в его рамках мы до конца года помогаем настраивать систему обучения госорганов.

Украина — в состоянии кибервойны, как говорят наши официальные источники, на наши госструктуры постоянно летят атаки со стороны большого соседа. И тут у нас две линии поддержки: одна — помочь защититься, вторая — помочь исследовать атаки. Кибербезопасность — очень геополитическая история, что-то среднее между ИТ и оборонкой. 

Зачем вам как бизнесмену сотрудничество с государством? У госзаказчиков, как правило, денег мало, а претензий много.

Я жил пять лет в Германии, сейчас живу в Украине. Это моя страна, моя отрасль, и мне хочется, чтобы за неё не было стыдно. Хочется, чтобы в этой сфере был наведён какой-то порядок, чтобы из Сингапура мне не писали: ха-ха, у вас опять хакнули такую-то базу данных. 

Да, сейчас нам заплатили американцы, но что-то мы делаем бесплатно. Сегодня, например, мы ездили в киберполицию и договаривались о проведении тренингов. Бесплатных. Ведь это наша киберполиция, и кто им проведёт тренинги, как не мы? Это элемент социальной ответственности. Со времён революции он нас всех держит и пока не отпускает.

Я считаю, что в здоровом обществе должна быть тесная кооперация между частным сектором и государством. По любви, а не по принуждению. Это должно быть массовое явление — пусть оно напоминает муравейник.

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.