В эпоху цифровых технологий, когда каждый житель Земли активно пользуется возможностями всемирной сети Интернет, очень легко стать жертвой киберпреступности. Интернет – это самое внушительное по размерам хранилище информации, а персональные данные часто не защищены. Кроме того, азербайджанское законодательство по обеспечению информационной безопасности требует серьезной доработки. Очень многих норм, защищающих от утечки конфиденциальной информации, у нас просто нет.
В связи с этим сотрудник Minval.az поговорил с IT-инженером Фаридом Велизаде, который рассказал, как именно нужно действовать, чтобы не стать жертвой взлома.
— Сегодня проблема кибербезопасности — одна из глобальных проблем, увеличивается количество хакерских атак, взломщики становятся сильнее, ведь преступность всегда на один шаг опережает действия правоохранительных органов, и весь мир постоянно подвергается угрозе утечки персональной информации. Азербайджан в этом плане — не исключение. Здесь участились взломы почтовых серверов, банковских счетов и личных переписок. Есть ли какая-то возможность противостоять этим атакам, и вообще, как можно надежно защититься от киберугроз?
— Дабы предотвратить взлом счетов в банках, прежде всего, следует проводить просветительскую работу, и государство этим занимается: мы видим, как социальные организации работают с населением и объясняют, какую информацию распространять не следует. К примеру, если клиенту банка звонит человек, представившийся сотрудником банка, и просит сообщить личные данные, в частности, кодовое слово, то не следует тут же выкладывать пароль или кодовое слово. Нужно сначала позвонить в банк, удостовериться, уполномочен ли кто-то там звонить для выяснения такого рода информации. И только если банк подтвердит, что действительно существуют проблемы в личном кабинете пользователя, скажем, из-за сбоя программы, и их сотрудник действительно звонил, чтобы выяснить, в этом случае можно сообщить информацию личного характера, ранее обговоренную с банком.
Но все же желательно лично пойти в банк, чтобы разобраться на месте. Если у хакеров был прямой доступ к счетам клиентов, ответственность лежит, естественно, на банке. И если это случилось, значит система защиты была неидеальна. И вообще для банков такие случаи не частые, так как они применяют всевозможные способы обезопасить счета своих клиентов. Но, как правило, утечка персональной информации происходит из-за уязвимости на каком-то сайте. Допустим, вы где-то заплатили картой, а сайт был устроен таким образом, чтобы перехватывать данные карты, когда вы их вводите. Сейчас, конечно, браузеры этим озаботились, и проделывать такие трюки гораздо сложнее, но теоретически это все еще возможно.
А потому не стоит вводить данные своей карты на сайтах, в первую очередь, незнакомых, применяющих свою систему платежей. Как правило, все сайты принимают оплату через сторонний сервис, к примеру, через PayPal или через Stripe,, у нас в стране применяется такая платежная система как Hesab.az, на которую перекладывается вся забота о безопасности.
— Что может сделать государство?
— Оно может только регулировать эти отношения. В принципе в УК есть достаточно серьезных статей, касающихся неправомерного и незаконного доступа к компьютерной информации. И такие кейсы уже были, но их не очень много, в год 5-6 дел, но, тем не менее, правоохранительные органы стараются, выявляют преступников. Однако в сети всегда очень легко скрыться. В Азербайджане с этим проблем поменьше, чем в других странах, потому что наша система устроена таким образом, что далеко не везде можно быть анонимом. Если ты где-то регистрируешься, то обязательно должен указать номер телефона, а номер этот занесен в общую базу, в которой мгновенно можно выйти на человека. На сайте my.gov.az, помимо всего прочего, отображаются все номера телефонов. И это означает, что вся информация прослеживается госорганами. Отмечу также, что в принципе, порталы, специализирующиеся на оплатах госуслуг не очень безопасны, потому что это единственная «точка отказа»: там собирается огромное количество персональной информации граждан, что для любого хакера является очень лакомым куском. Рано или поздно те, кто будет «ковырять» данные таких порталов, пусть даже это будут агенты иностранных спецслужб, они смогут взломать эти сайты, поскольку безупречной системы безопасности нет. Где-то, да и были совершены ошибки при создании. Хакеры же, совершенствуясь, нацеливаются именно на такие огрехи и рано или поздно, как я уже отметил, нащупав нужную брешь, взломают и украдут личные данные миллионов пользователей.
— Какие из способов защиты более эффективны?
— Существует три основных фактора аутентификации: то что вы знаете, то, чем вы владеете и то, кем вы являетесь. Последнее можно установить по скану глаз, отпечаткам пальцев, и вообще биометрические данные – это самая точная система идентификации личности. Но для того, чтобы проверять таким образом, нужна специальная лицензия. Да, некоторые банки могут себе это позволить. Фактор «то, чем вы владеете» — это СМС-аутентификация. Если вы – владелец сим-карты, и вам пришла смс-ка, то, соответственно, она не может прийти к кому-то другому. Но это не совсем надежный способ обезопаситься, так как с сим-картами тоже можно проделать некоторые мошеннические манипуляции. Опять же, добавлю, что за рубежом проще: там можно просто позвонить, представиться владельцем номера, и попросить сделать дубликат. Они задают дежурные вопросы, вы отвечаете и тем самым заверяете, что вы действительно владелец карты. Но есть мошенники, которые дублируют ответ на дежурный вопрос, и в результате вы теряете вообще всё – доступ к своим мессенджерам и доступ к 2-факторной аутентификации много где еще.
Поэтому сейчас инженеры по кибербезопасности стараются применять системы приложений-аутентификаторов. Самый популярный Гугл-аутентификатор. Суть этого приложения состоит в том, что вам генерируется специальная информация и эта информация добавляется в приложение, в результате со стороны Google и с вашей периодически генерируются номера. Вы заходите в приложение и видите 6-значный номер, который, благодаря тому, что вы владеете общей долей информации, будет совпадать с кодом на сервере Googlе. И потому если вы будете куда-то заходить, вы сначала войдете в данное приложение, введете этот код в качестве второго фактора аутентификации и залогинетесь. В любом случае это приложение – лучший способ обезопаситься, нежели СМС.
В последнее время в корпоративных структурах применяют физический аутентификатор, разработанный по типу флешки, и на устройствах есть специальный считывающий элемент, к которому вы эту флешку прикладываете в качестве ключа, и она пропускает вас в систему.
Прекрасный пример — YubiKey. Это устройство, напоминающее USB-флешку, которое можно приложить к гаджету или воткнуть в его USB-разъём и оно аутентифицирует вас в систему. YubiKey не хранит паролей и не отображает их, а сам является физическим ключом, который находится при вас. Его можно использовать как вместо пароля, так и в дополнение к нему (в качестве второго фактора аутентификации). Преимуществом такого способа аутентификации является то, что если пароль можно подсмотреть, выведать обманом, угадать или найти, взломав другой сервис, где вы используете тот же пароль, то ключ аутентификации постоянно при вас и его можно только украсть, что невозможно для хакеров в интернете.
Между тем учредитель и директор юридической фирмы Legalaid Сона Салимли-Алескерова в беседе с «Минвал» отметила, что превращение Азербайджана в место современных инноваций, совершенствование управления в сфере высоких технологий, развитие информационной безопасности обуславливают расширение деятельности в области кибербезопасности.
«Сегодня вопросы обеспечения кибербезопасности, онлайн-безопасности оцениваются как одно из важнейших приоритетных направлений и Азербайджан предпринимает соответствующие шаги, изучая существующие пробелы и угрозы в этой области. Конечно, пока есть небольшие пробелы в законодательстве, в имплементации законов, но государство упорно работает в этом направлении. Следует отметить Конвенцию «О киберпреступности», подписанную в Будапеште 23 ноября 2001 года, к которой 30 сентября 2009 года присоединился Азербайджан. 26 сентября 2012 года президентом Азербайджана был подписан Указ «О мерах по совершенствованию деятельности в области информационной безопасности», в котором Министерство цифрового развития и транспорта обязывают регулярно анализировать общую ситуацию с кибербезопасностью в стране, информировать население, частные и другие учреждения о существующих и возможных электронных угрозах при использовании электронных средств, оказывать им техническую и методическую помощь, принять превентивные меры совместно с национальным интернет-операторами для предотвращения кибератак и периодически информировать президента Азербайджана. Особенно в период войны некоторые сайты были подвержены кибератакам со стороны Армении, которая предпринимала великое множество попыток для получения доступа к личным данным. Поэтому очень много структур объединяет силы для обеспечения защиты информации и личных данных», — сказала юрист.
По ее словам, согласно Указу президента Азербайджана от 12 января 2018 года «О некоторых мерах по совершенствованию управления в сфере транспорта, связи и высоких технологий в Азербайджанской Республике» Центр ЭСБ был включен в структуру министерства как Служба электронной безопасности при Министерстве транспорта, связи и высоких технологий Азербайджана. ЭСБ — госорган, координирующий деятельность субъектов информационной инфраструктуры в сфере кибербезопасности, информирующий о существующих и потенциальных электронных угрозах на уровне страны, обучающий население, частные и иные учреждения в сфере кибербезопасности.
«Ильхам Алиев 5 июля 2022 года внес в действующее законодательство ряд изменений, нацеленных на усовершенствование контроля и защиты объектов критической информационной инфраструктуры. Коррективы внесены в закон «Об информации, информатизации и защите информации», который был принят 3 апреля 1998 года, а также в Кодекс об административных проступках. 5 июля 2022 года в Министерстве обороны Азербайджана был открыт Операционный центр по кибербезопасности. Центр, оборудованный современными системами автоматического управления, будет обеспечивать кибербезопасность путем непрерывного мониторинга и контроля пространства информационно-коммуникационных технологий. В целях создания среды кибербезопасности в стране и осуществления централизованной непрерывной деятельности была создана Ассоциация организаций кибербезопасности Азербайджана с учетом потребностей в этой области и международного опыта. Ассоциация, основанная 22 февраля 2022 года, представляет собой единую платформу специалистов, компаний и организаций, работающих в сфере информационно-коммуникационных технологий и кибербезопасности, и поставщика безопасного видения будущего», — рассказала Сона Салимли-Алескерова.
Она отметила что в целях обеспечения кибербезопасности в стране были внесены соответствующие изменения в Уголовный кодекс Азербайджана.
Согласно закону ужесточены наказания за нелегальный доступ к компьютерной системе, незаконный захват данных, их фальсификацию, оборот средств, предназначенных для совершения киберпреступлений.
«Мы очень часто получаем жалобы по поводу того, как некоторые киберпреступники воруют профили в соцсетях и наносят моральный ущерб гражданам. Поскольку компетентным органом по борьбе с киберпреступностью определена Служба государственной безопасности, этим органом ведется конкретная работа. Все более серьезный характер киберпреступлений, особенно кибертерроризма, увеличил потребность в совершенствовании деятельности СГБ для предотвращения таких угроз. В нашей стране ежегодно проводится комплексная работа по предупреждению киберпреступности, определению профилактических, а также иных организационно-правовых механизмов в этой сфере, усовершенствованию нормативно-правовых актов и механизмов, государственных программ, специальных проектов, охватывающих меры по борьбе с этой преступностью. Осуществляется дополнительная поддержка со стороны государства развитию других отраслевых законодательных норм», — заключила юрист.
Яна Мадатова
Данная статья подготовлена при финансовой поддержке Агентства развития медиа Азербайджанской Республики по направлению «Развитие информационных и коммуникационных технологий».
