Нік Гісінто провів 10 років у ЦРУ, де зокрема обіймав посаду операційного офіцера. Підходи спецслужби він реалізовував під час роботи в Uber та Tesla. Що він радить українському бізнесу?
Головні матеріали Forbes Ukraine у email-розсилці. Раз на тиждень на вашій пошті.
Дякуємо за підписку Підписатися
Ветеран та колишній операційний офіцер американської ЦРУ Нік Гісінто, 42, вважає, що інвестувати в кібербезпеку треба від початку існування компанії. Після звільнення з ЦРУ він працював у гігантах Кремнієвої долини Uber та Tesla, де створив програми реагування на внутрішні загрози. «Масштаб ризиків набагато нижчий, ніж в ЦРУ, хоч і не менш важливий для самої компанії», – каже Гісінто, який є запрошеним професором у SET University.
За майже два роки великої війни хакери здійснили понад 9000 кібератак на українські компанії та держпідприємства, свідчать дані СБУ. Останні гучні кейси – атака на «Київстар» 12 грудня 2023 року, яка на кілька днів залишила без зв’язку 24,1 млн абонентів найбільшого оператора, та січнева атака на дата-центр «Парковий». Клієнтами останнього є десятки державних компаній.
«Росія дозволяє розповсюдження методологій кібератак серед населення, а не лише військових і заохочує цивільних до здійснення таких атак», – зазначає Гісінто. Що український бізнес може запозичити зі стратегії кібербезпеки Uber та Tesla?
Інтервʼю скорочено та відредаговано для зрозумілості.
Як бізнесу захищатися від кібератак
Що мають робити компанії, щоб мінімізувати ризик атак, які стаються через співробітників?
Кожна кібератака коштує компаніям мільйони доларів. Співробітники повинні розуміти, що поставлено на карту. Якщо вони не усвідомлюють ризик, то не сприймають загрозу серйозно.
Часто тренінги з кібербезпеки у компаніях є суто формальними. Правильне навчання – це не коли компанія просить працівників прослухати 30-хвилинний курс і натиснути кілька кнопок, щоб показати, що він все зрозумів. Вам потрібен тренінг, під час якого працівники включатимуться в процес. Це дозволить перевірити, чи зрозуміли вони всі ключові принципи.
Скільки компанія має витрачати на кібербезпеку?
Не менше 10% ІТ-бюджету повинно йти на кібербезпеку. Щоб визначити конкретний розмір витрат, компанія має оцінити ризики й проаналізувати, що є найважливішим для захисту. Тоді бізнес зможе робити належні інвестиції.
Як працює оцінка? Компанія може мати трьох співробітників, але створювати інтелектуальну власність на мільярд доларів. У такому разі вона має інвестувати багато. У той час, як великі компанії, що не мають значну кількість інтелектуальної власності, можуть не потребувати таких самих витрат.
Після звільнення з ЦРУ Гісінто працював у гігантах Кремнієвої долини Uber та Tesla, де створив програми реагування на внутрішні загрози
Головний кіберрозвідник СБУ Ілля Вітюк порадив «Київстару» використовувати поліграф, оскільки вони зазнали атаки через акаунт одного з їхніх співробітників. Наскільки ефективний цей підхід?
Як людина, яка працювала в ЦРУ, я розумію необхідність поліграфа у певних випадках. Але у більшості компаній і корпоративних культур поліграф може мати протилежний вплив на психологію співробітників. Застосування поліграфа у звичайній компанії – це перебір.
Я б застеріг бізнес від цього. Натомість потрібно більше інвестувати в корпоративну культуру, щоб працівники відчували, що їх цінують, почувалися захищеними й вірили, що вони приносять цінність компанії. Такі фахівці не зливають інформацію, не продають секрети й не дають доступ хакерам.
Чим вирізняються підходи до кібербезпеки в Uber і Tesla?
Великі технологічні компанії прагнуть мати власні команди з кібербезпеки через високу цінність технологій, якими вони володіють. В інших галузях це відбувається рідше. Найбільш вразливими є стартапи, оскільки більша частина оборотного капіталу у таких компаніях йде на розвиток продукту та стратегію виходу на ринок. На початку роботи у них обмежені ресурси. Коли стартапи розуміють, що в них є щось цінне для хакерів, буває занадто пізно.
Чого може навчитися український бізнес із підходів Tesla та Uber до кібербезпеки?
Інвестувати в кібербезпеку треба від самого початку існування компанії. Хороший інституційний контроль над ІТ-інфраструктурою може зробити багато для захисту компанії від потенційної атаки. Багато чого можна імплементувати без використання додаткових інструментів. Приміром, багатофакторна автентифікація – ефективна річ, що майже нічого не коштує. При цьому відсутність надійних методів захисту паролем є однією з головних причин, чому компанії стають жертвами шкідливих програм.
Як ви оцінюєте рівень безпеки українських компаній?
Українські компанії, мабуть, краще за інших розуміють, які ризики несуть кібервразливості. Коли країна втягнута в такий конфлікт, в якому зараз опинилася Україна, ресурси стають дуже важливими. Компанії мають бути креативнішими у своїх рішеннях. Їм потрібно шукати недорогі, інноваційні рішення, щоб отримати якусь конкурентну перевагу або досягти певної мети без значної витрати ресурсів.
Російсько-українська кібервійна
Атаку на «Київстар» приписують угрупуванню Sandworm. Скільки часу може знадобитися, щоб на 100% довести, що це були саме вони?
Під час таких розслідувань ви рідко отримуєте на 100% чітку картину. Це як дивитися на пазл, де бракує кількох частинок. Іноді доводиться робити атрибуцію, не маючи повної картини. Також коли у розслідуванні бере участь держава, важко публічно приписати напад конкретному суб’єкту. Державні органи не завжди можуть оприлюднити конфіденційну інформацію, що може розкрити джерела та методи її отримання.
За даними СБУ, росіяни використовували Mimikatz під час атаки на «Київстар». Цей інструмент відомий з 2011-го. Чому його використання досі є успішним?
Такі проблеми часто виникають через недостатню обізнаність співробітників. Також усі великі компанії часто мають певний технічний борг – застаріла інфраструктура, старі сервери, використання співробітниками програм, які не схвалені ІТ-відділом. Великим компаніям дуже важко управляти цим технічним боргом, не залишаючи певних уразливостей.
Кожна кібератака коштує компаніям мільйони доларів, говорить Гісінто
Росія – перша країна, яка систематично навчає людей бути хакерами. Наскільки ефективний цей підхід у кіберсвіті?
Ми бачимо, що Росія дозволяє розповсюдження методологій кібератак серед населення, а не лише військових і заохочує цивільних до здійснення таких атак.
Часом важко відрізнити російських державних хакерів на кшталт Sandworm від російських кіберугруповань, які слабко фінансуються державою та атакують закордонні цілі у форматі «вимагання як сервіс». Такі угруповання можуть заробляти мільйони доларів на своїх жертвах в інших країнах.
Скільки, за вашими оцінками, Росія інвестувала в кібервійну з 2016 року?
Мільйони доларів, якщо не більше, у розробку технологій. Водночас це в рази менше, ніж розробка конвенційних видів зброї. Атаки можна здійснювати не лише за допомогою розроблених державою інструментів. Mimikatz не був створений державою, але подібні інструменти стрімко поширюються у дарквебі.
Україна чи НАТО повинні робити те саме, що Росія у кібервійні?
Кібератаки можна успішно застосовувати, щоб виводити з ладу ключову частину військової інфраструктури вашого противника. Різниця у тому, чи застосовуєте ви наступальні кібероперації так само, як це роблять росіяни – атакуючи критичну цивільну інфраструктуру. Ми повинні відрізнятися від росіян. Ми думаємо не тільки про перемогу в конфлікті, а й про те, як перемогти у спосіб, який відповідає міжнародному праву та етичним нормам.
Тоді як виграти війну, якщо ви граєте за правилами, а ворог – ні?
Не обов’язково атакувати цивільних, щоб дати асиметричну кібервідповідь. Існують інші цілі – фінансові, військові. Це може бути надійним способом стримування ворога.
