Нік Білогорський – визначна постать у світі кіберзахисту. Він обіймав посаду директора з кібербезпеки у корпорації Google з 2019 до 2023 року. Саме на цій позиції він застав новину про повномасштабне вторгнення в Україну. Його команда відповідала за безпеку Google-акаунтів у всіх сервісах – від Gmail до YouTube, а також за безпеку Google Chrome web browser і рецензування застосунків у Google Play.
Нік закінчив фізмат-ліцей у Харкові, після чого у 1998 році разом із молодшим братом переїхав до матері в Канаду.
У послужному списку Ніка Білогорського багато зіркових етапів. У 2010 році він почав працювати в департаменті безпеки у Facebook: був керівником антивірусного підрозділу у Facebook, допомагав правоохоронним органам у боротьбі з кіберзлочинністю.
Після IPO Facebook у 2012-му Білогорський реалізував свій опціон і сам став інвестором. У портфелі його фонду 408 Ventures – багато проєктів з українськими засновниками: People.аi, Petcube, AxDraft, Rallyware, Eclypsium, Augmented Pixels. Був одним із засновників корпорації Cyphort, серед клієнтів якої Uber, Netflix і Tribune Media.
Про те, які загрози та виклики має Україна в кіберпросторі та як хакери можуть вплинути на хід війни з росією, ми поговорили в ексклюзивному інтерв’ю для ProIT.
– У грудні минулого року мобільний оператор Київстар зазнав кібератаки, яка вразила ядро і залишила без зв’язку пів країни. Деякі експерти кажуть, що такі атаки готуються місяцями, а то й роками. Крім того, ми чи не щодня маємо дрібні атаки на різні інституції як то Нафтогаз, Укрзалізниця. Чи реально зробити атаки рівня тієї, що відбулася на Київстар, масовими?
– У своїй практиці я в основному відбивав атаки вірусів і те, що називається malware. Часто ті атаки, з якими я мав справу, відбувалися заради фінансової вигоди, тобто намагались або вкрасти гроші, або отримати викуп за зашифровані дані. За такими атаками стоять або групи хакерів, які хочуть заробити грошей, або nation states, такі як росія, Північна Корея, Китай та інші.
Відомо, що ці країни спрямовують великі бюджети на підготовку кіберфахівців, роблять дослідження, купують останні винаходи в cybersecurity, купують zero-day exploit.
Часто, щоб зламати компанію, потрібен exploit, і щоб гарантовано це вийшло, потрібно, щоб про цей exploit ніхто не знав. Це те, що називається zero-day. Ці речі продаються в інтернеті за великі гроші, і я знаю, що вони дуже потрібні як основний ключ для відкриття дверей як для російських атак, так і для наших атак по російській інфраструктурі.
– Великі гроші – це скільки? Який порядок цифр?
– Я знаю, що zero-day продаються від пів мільйона до кількох мільйонів доларів. Це залежить від того, наскільки вони нові, наскільки перевірені, наскільки легко вони можуть бути weaponized, тобто застосовані в тандемі з іншими атаками, наскільки вони вражають систему. Exploit для айфона коштуватиме дорожче, аніж для якогось софту для Microsoft.
Мета зазвичай – спробувати увійти в систему, використовуючи цей zero-day exploit. І звідти рухатися всередині системи латерально, зберігаючи непомітність, і якомога більше даних красти для продовження атаки, і залишатися непомітними якомога довше.
Часто атаки, коли хакери сидять у системі, можуть тривати місяцями, а то й роками, поки вони розкриються. І за цей час можна дуже багато вкрасти та зіпсувати.
– Якщо вони так сиділи місяцями чи роками, скільки часу треба на відновлення після такого втручання?
– Відновити наслідки атаки складно. Там є дві різні частини. Перше, якщо це видалені дані, то відновити їх із бекапу. Друге, якщо вони в системі, – прибрати із системи, змінивши всі паролі та перебудувавши систему. І ось на те, щоб позбутися їх із системи, можуть піти тижні, залежно від того, наскільки складною була атака і наскільки багато даних було видалено.
Але те, що дуже важко, – так це сказати, що вони за цей час встигли зробити в системі та інших системах, у які проникли. Може йтися і про інші компанії. Наприклад, в атаках у США часто метою є програмний код – source code. Якщо source code був вкрадений, або в source code можливо було вбудувати якісь свої віруси, або вразливість, або exploit. Ці речі потім дуже важко розвідати й зрозуміти, наскільки вони можуть бути в системі.
Тому просто обрубати зв’язок, викинути хакерів, поміняти всі паролі – це може бути справа кількох днів. Відновити ж систему, щоб усе працювало, – може бути справа тижнів. А ось зрозуміти, наскільки все погано у плані того, що вони робили з цими даними і як вони їх використали, – це просто невідомо.
– Скажіть, будь ласка, чого можна чекати щодо кібератак і хакерства, про що ми ще не знаємо в контексті війни? Є поле бою, але якщо одночасно атакувати багато систем, чи можна фактично перевести війну в кіберпростір? Можливо, в плані якогось такого футуристичного погляду, чого ще можна чекати найближчими роками в Україні?
– Поки триває війна з росією, категорично важливо уникнути використання будь-якого російського програмного забезпечення. Будь-яке популярне забезпечення, яке робиться у росії, контролюється. З росії можна створити те, що називається supply chain attacks. Коли вони «отруюють» якийсь апдейт для свого ж софту і через це вражають комп’ютер, а далі залазять до інших систем.
У США зараз дуже популярна тема, як влазити в компанію не безпосередньо, а заражаючи якогось підрядника. Наприклад, хтось працює з компанією, має доступ, і у нього може бути захист слабший. Приміром, можна влізти у банк, не атакуючи банківські системи, а атакуючи системи водопровідників, яких банк залучає, якщо вони мають достатній доступ у систему. За кілька кроків через ланцюжок посередників це відбувається.
Чого б я очікував? Більше подібних supply chain attacks. Україна теж контратакує у кіберпросторі. Я не поширюватимусь про те, що мені відомо про це, але я думаю, що це невід’ємна частина війни, і вона впливає як на військову міць росіян, так і на їхній настрій. І чим більше ускладнювати життя у зв’язку з атаками, тим більше, сподіваюся, можна створити невдоволення російським режимом і вплинути на їхній настрій у плані завершення війни.
Дуже популярними знаряддями атаки залишаються віруси, черв’яки – computer worms. Ці речі вже досить легко робити – в інтернеті є багато інструкцій, багато готових модулів для швидкого створення. І ця постійна гонка творців вірусів та антивірусних компаній ніколи не закінчиться.
У моєму досвіді ніколи не закінчувалася, оскільки як тільки ми створюємо найкращий продукт захисту, вони вигадують новий спосіб обійти його, запаковуючи вірус новим архіватором, криптором – якимись речами, які роблять його невпізнанним, змінюючи його поведінку, використовуючи якісь нові формати файлів тощо.
Крім того, основний тренд цього десятиліття – штучний інтелект і його стрибок із використанням великих моделей. Всі хвилюються про безпеку і про те, що хакери будуть використовувати ШІ для зламу системи. Наприклад, можна використовувати LLM-агенти, так звані автопілоти, для створення частин кібератак і для створення тексту. Вони досить пришвидшують процес соціального інжинірингу.
Social engineering – це коли ми зламуємо не комп’ютер і не ПЗ, а людину. Коли ми їй пишемо щось, змушуємо повірити й вона сама надає нам пароль чи відчиняє двері. Це і є social engineering або, як його ще називають, phishing. І шахраї можуть краще, швидше та якісно використовувати штучний інтелект для цих цілей. Напевно, це вже відбувається.
Крім того, дуже цікава ще одна тема. Це не зовсім кібербезпека, але це суміжна сфера пропаганди, дезінформації та впливу на вибори, на те, як люди проходять до влади у демократичних системах. Якщо ти влізеш, так би мовити, в підкір людині, в мозок, і зміниш її думку, вона проголосує так, як тобі треба. Через це росія також може впливати на ситуацію підтримки України і європейськими країнами, і американськими країнами, і на кількість військової допомоги, економічної допомоги. Це все робиться через організовану потужну пропаганду, яка продукується різними комп’ютерними програмами у різних соціальних мережах.
– А у 2024 році вибори будуть у такій кількості країн, що голосувати будуть 4 мільярди.
– Так. У деяких країнах проросійським силам, напевно, вдасться взяти реванш і встановити більше впливу на те, що відбувається.
Отже, кібервійна – це така річ, де ресурси мають велике значення. Грошові та людські. І це комп’ютерні ресурси.
Але те, що я рекомендую, – це використовувати якнайбільше не російське ПЗ, і, може бути, навіть не українське ПЗ, бо в Україні також можуть бути агенти, зрадники, шпигуни й таке інше. А використовувати перевірені ПЗ, що пройшли аудит системи великих технологічних компаній, таких як Google, Facebook, Microsoft. Вони теж не без «дірок», але їх важче знайти. Це як мінімум дорожче і потребує більше часу. І коли ваші дані у хмарі, за межами країни, у них не так просто влізти, як буває, якщо ваші дані зберігаються в росії.
Окремо я хотів би кілька слів сказати про те, наскільки вважаю нерозумним і небезпечним використовувати Telegram. Він дуже популярний в Україні, незважаючи на його сумнівне коріння. Я раджу всім, хто займається якимись важливими та чутливими речами, навіть не обов’язково військовими, просто економічні секрети чи бізнесові секрети, краще не писати в Telegram. У нього інвестували гроші російські олігархи.
Я користуюся Signal. Це більш технічна, перевірена open-source мережа без російського коріння.
– Є певні стандарти, скільки варто ВВП спрямовувати на оборону, на освіту. А чи є такі стандарти для кібербезпеки? Зараз ми, напевно, вже дійшли того, що держава має мати великий системний бюджет на кіберзахист. Які це суми, на вашу думку?
– В США бюджет на кібербезпеку обчислюється у мільярдах доларів, можливо, 5 чи 10, 12 мільярдів. Це, безумовно, має бути якась пропорція бюджету, можливо, 0,5%, можливо, 2%.
Важко щось рекомендувати. Але було б важливо, щоб цей бюджет був окремою статтею, і, напевно, щоб він зростав з року в рік, тому що це стає більш важливою частиною витрат.
– Персональні дані понад 15 мільйонів користувачів інструменту для управління проєктами Trello продаються у даркнеті. Як ви оцінюєте наслідки таких зливів і їхні впливи на корпоративний та особистий рівні?
– Ну, дивіться, у ситуації з Trello, наскільки я пам’ятаю, близько 15 мільйонів записів було викладено, вкрадено. Але якщо подивитися детально, там були, на мою думку, імейли, імена користувачів, якісь деталі акаунтів. Там не було паролів, не було кредитних карток, і власники компанії Trello, Atlassian, казали, що вони не мають підтвердження, що їх зламали.
Тобто іноді такі дані виходять не за рахунок того, що зламали компанію і злили їхню базу даних, а через так званий скрейпінг. Тобто через відкриті системи, де можна, наприклад, маючи якусь інформацію про користувачів, мати імейл та пароль іншого сервісу, піти на сайт Trello і спробувати, а раптом спрацює.
Якщо сайт спрацює, то ви, типу, зламали Trello, хоча насправді просто перевірили наявні у вас дані. Або ви знайшли якийсь вебсайт, на якому щось не до кінця залочено. Загалом скрейпінг – це зростаючий спосіб атаки й він буде поширюватися.
Даних в інтернеті є велика кількість. Пароль більше не може захистити. Їх за останні 10-12 років було викладено мільярди. Практично на кожного користувача інтернету вже є, якщо добре пошукати, історія, де у нього були акаунти, як він ними користувався, які з цих служб були зламані й навіть багато із цих паролів.
– Що ви радите в такому випадку?
– Користуватися кількома рівнями захисту. У вас є логін, пароль, але у вас є ще й через мобільний зв’язок фактор ідентифікації. У вас є ключ USB, який ви встромляєте, або у вас є відбиток пальця, або у вас є файл вашого голосу чи зіниці.
Тобто гарна ідея – це поєднувати три різні речі: те, що у вас є фізично, те, що ви знаєте, і те, що є частиною вашої біологічної істоти.
І три рівні ідентифікації дозволяють уникнути таких ситуацій, як із Trello. Такі історії все одно відбуватимуться, але зменшити їхній вплив можна, якщо люди просто не користуватимуться виключно паролями й припинять вірити, що їхній пароль витримає перевірку часом.
– Чи є якась уніфікована канва в кіберзахисті? Умовно, як нам передали ППО Patriot, і Київ зараз набагато захищеніший. Чи можна наявні напрацювання так само імплементувати, припустимо, до Міноборони, до Укрзалізниці, чи це все одно підв’язане під те програмне забезпечення, яке існує всередині компанії?
– Наскільки я знаю, у кіберсфері немає такої речі, навіть аналога Patriot – якогось дуже дорогого та дуже ефективного засобу захисту. Дуже багато компаній намагаються зробити, але ні в кого немає підтвердженого навіть 99% ефективного захисту від вірусів та атак. Як я казав, на кожний захист є способи його обійти. Тому ні – такого немає.
Є просто вендори, є компанії, які продають захист, і вони зацікавлені рекламувати, розхвалити своє рішення. У чомусь воно працюватиме, у чомусь ні, але воно не є універсальним. Нічого універсального я не бачив. Це не програмне забезпечення, не захист якийсь, не щось, що можна купити.
Поки для мене універсальним є лише те, що треба займатися просвітою і вихованням населення, яке зазнає атак. Дбати, щоб воно використовувало багаторівневу аутентифікацію, щоб не користувалося Telegram.
Ці речі також не 100% працюють, але від них набагато більше прямої допомоги, ніж від того, щоб купити й поставити собі якесь круте обладнання. Ну, це теж величезні інвестиції в рівень освіти людей, у рівень їхньої усвідомленості.
Якби були, наприклад, безкоштовні тренінги для пересічних користувачів інтернету і різного віку, і співробітників Збройних сил, і співробітників будь-яких критичних індустрій, і просто українців, і якби ця програма була масовою, цим можна було б суттєво зрушити рівень захищеності України в кіберпросторі. Але це не робиться миттєво, адже такі тренінги треба повторювати й вони дадуть ефект через місяці чи роки, а не за кілька днів. Але в це я вірю.
Крім того, є цікаві технології. Я трішки розповідав про дезінформацію, пропаганду і що є багато способів маніпулювати громадською думкою, зокрема використовуючи фейк-ньюс і створені штучним інтелектом фейк-фото і відео, так звані дип-фейки.
Те, що вже зараз у цьому напрямі працює і різні групи намагаються використовувати, – це пребанкінг. Це система, у якій коли хтось збирається атакувати вас пропагандою, ви заздалегідь аналізуєте, в чому полягатиме їхня пропаганда і головний меседж, і робите «вакцину» від цього, заздалегідь інформуючи населення, що планується такий вкид.
– Які аспекти важливі для ефективної кіберстратегії держави під час конфліктів і як вони можуть координуватися із традиційними військовими заходами?
– Кіберстратегія має включати в себе плани, як використовувати штучний інтелект для захисту і як запобігати його використанню проти вас. Крім того, мають проводитися постійні роботи з виявлення «дірок», експлойтів і всього іншого, що дає змогу хакнути критичні сервіси у країні.
Для цього має бути складений реєстр важливих для країни мереж і компаній, їхніх сильних та слабких сторін. Треба проводити регулярний аудит. Для цього періодично винаймаються хакери, які мають протестувати захист і надати свої рекомендації.
Також має бути стратегія щодо рекрутингу та навчання великої кількості спеціалістів у цій галузі. Важливо проводити колаборації із вашими союзниками: НАТО, Японією, США, Ізраїлем. Розвивати відносини з ними та засвоювати їхні уроки. Але хочу відзначити й надзвичайно високий рівень спеціалістів в Україні. Порівняно з іншими країнами рівень значно вищий за середній.
– Чи існує міжнародний обмін та співробітництво в цьому напрямі щодо якихось нових виявлених вірусів, чи це співробітництво між компаніями? І як цей обмін відбувається?
– Я знаю, що є неприбуткові організації, які ґрунтуються на тому, щоб покращувати кіберзахист усієї глобальної екосистеми. Вони включають обмін інформацією про кібератаки між компаніями й організаціями. Один такий наприклад – це Cyber Threat Alliance (CTA), я мав із ними справу. Але насправді їх багато.
Я сам заснував подібну платформу багато років тому. Вона називається MUTE (Malicious URLs Tracking and Exchange Group). Тобто між окремими ресерчерами, працівниками індустрії існують ініціативи, де є змога отримати інформацію про атаки та додаткову, так би мовити, мета-інформацію про те, що сталося, коли і як.
Це дозволяє одній компанії краще захиститися, дізнавшись про те, що сталося в іншій компанії. Тобто компанії з компаніями спілкуються або безпосередньо, або ж через такі системи.
– Але умовно між Google і Facebook реально є обмін такою інформацією? Прямий, так?
– Так, є більше одного способу, налагодженого працівниками Google і Facebook, який не завжди санкціонувало керівництво. Тобто щось на офіційному рівні є, щось на неофіційному. Чи є такі речі між державами, США та Британією чи Україною й США, я не знаю, але сподіваюся, що є.
У моєму досвіді краще працювало, коли спочатку досягається якийсь рівень довіри між людьми, які мають цю спільну місію боротьби з хакерами. Ці люди зустрічаються на конференціях, виступають там, знайомляться та починають ділитися чимось неформально. А потім хтось із них каже, давайте організуємо якусь групу (чи закриту, чи відкриту, чи організацію), де ми будемо ділитися цим більш формально і глобальніше. Такі ініціативи мають попит. Google у них бере участь, і Facebook, і Microsoft, і великі компанії також.
А поки цю "лавочку" ще не прикрили, підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!