Кібербезпека в Україні: Як стати фахівцем з онлайн безпеки?

Ми провели інтерв’ю, у якому Анастасія допомогла розібратися з актуальною ситуацією в Україні з онлайн безпеки, від чого залежить наша безпека та що потрібно для того, щоб стати фахівцем з кібербезпеки.

Анастасія Апетук — CEO в Apetyk consulting та є головою правління у МІНЗМІН. Основна задача це ефективне управління, участь у розробках продуктів. Також Анастасія бере участь в аналізі ризиків, проведенні аудитів цифрової безпеки. Розробки політик, ведення перемовин з партнерами та клієнтами.

Як зараз ситуація з онлайн безпекою в Україні? Наскільки багато кібератак?

Для початку варто розуміти хто атакує. Якщо казати про кібератаки з боку РФ, то їх стає щоразу більше. Особливо атакують органи місцевої та урядової влади. Наприклад, у 2022 році урядова команда реагування на комп’ютерні надзвичайні події зареєструвала 2194 кібератаки, чверть з них на органи влади.

Головною метою таких кібератак є шпіонаж. Отримання даних про громадян, системи, логістику переміщення всередині країни, в тому числі засобів ураження, знищення критичної інфраструктури, а також інформаційно-психологічні заходи впливу.

Але також атакують кібершахраї. Найчастіше — це проявляється в Україні через фішинг*. Шахраї хочуть заволодіти персональними даними людини, наприклад банківськими, щоб отримати кошти.

*Фішинг — це вид шахрайства, коли зловмисники через дублювання сторінок платіжних систем, банків, онлайн-магазинів тощо змушують інтернет-користувачів розкрити персональну та платіжну інформацію. Адже чимало людей у мережі не знають, що такого типу сервіси не розсилають листів з проханнями повідомити свої облікові дані або пароль.

Хто найчастіше стає жертвою таких атак? Та від чого залежить рівень нашої безпеки?

Атакують зараз усіх. Зазвичай компанії намагаються будувати системи захисту, і навчати команди правилам онлайн-безпеки.

Рівень онлайн безпеки залежить від наших знань та умінь їх застосовувати. Найслабша людина у сфері онлайн-безпеки — людина.

Людина має володіти певним рівнем цифрових навичок, щоб знати, як перевірити підозрілий електронний лист, які посилання можна, а які не варто відкривати. А також людина має розуміти правила паролінгу, всюди застосовувати мультифакторну аутентифікацію та свідомо використовувати ліцензоване ПЗ.

Яка кібератака запам’яталась найбільше?

Найбільше мені запам’яталось, коли шахраї підключили компанії псевдо послугу від банку «захист банківського рахунку від шахраїв». І кожного місяця списували з рахунків компанії та деяких працівників по кілька десятків грн впродовж року.

Цікаво було те, що ніхто у компанії не запідозрив, що це може бути шахрайство, не перетелефонував у банк та не запитався про таку «послугу».

З якими викликами приходиться стикатися?

Викликів чимало. Кожен раз коли ми починаємо аналізувати ризики для компанії чи організації, я постійно думаю: цікаво, а що тут у цій компанії. Чи колись проводили навчання для персоналу?

Також я люблю долучатись до проведення таких навчань. Цікаво людям простою мовою пояснювати правила онлайн-безпеки, розповідати як зробити смартфон безпечнішим. Та не менш цікаво чути від учасників таких навчань їх запитання та історії, щоб покращувати свої матеріали.

Іноді позапланово звертається одночасно чимало компаній, і ми не встигаємо з усіма працювати. Тому я завжди ділюсь зі своїми клієнтами із колегами з інших компаній. Адже я вважаю, що кожен має вчасно отримувати кібердопомогу.

Складно працювати коли до мене по допомогу звертається ІТ відділ, чи відділ HR, але саме керівництво компаній вважає кібербезпеку не надто важливою темою, яка потребує такої уваги. Тому у таких випадках мені доводиться вступати у перемовини, і переконувати керівництво компанії та показувати всю мапу ризиків.

Мені важливо, щоб кожен і кожна у компанії усвідомлював усі онлайн-ризики, і знав, що робити у кризовій ситуації.

Що потрібно знати та розуміти кожному, хто задумується стати професіоналом у сфері онлайн безпеки?

Кібербезпека — це сфера, яка буде точно затребуваною упродовж наступних 50 років, але я б сказала, що це складно-цікаво. Це дуже відповідальна і серйозна робота, яка потребує постійного навчання.

На мою думку, хороший кіберспеціаліст має володіти як хард скілами, так і софт скілами. Адже потрібно вміти комунікувати з колегами чи клієнтами, постійно навчатись та розвиватись.

Які навички необхідні для фахівця з кібербезпеки?

• Вміти навчатись та хотіти розвиватись.
• Бути цілеспрямованим.
• Оперативно оцінювати загрози і виявляти їх джерела.
• Вміти програмувати та розуміти програмування.
• Читати код, виявляючи приховані джерела вторгнення ззовні.
• Володіти аналітичними навичками, заздалегідь прораховуючи наслідки внесених в код змін.
• Вміти працювати з великими обсягами даних.
• Розуміти принципи здійснення різних кібератак, і знати, як від них захищатися.
• Знати, як відбувається веб-верстка.
• Бути знайомими з базами даних.
• Розумітись на стандартах ISO/IEC.

Де та як можна стати фахівцем з онлайн безпеки?

Усе залежить від того, який рівень знань та досвіду ти маєш на цю мить. Ось деякі з можливих шляхів:

1. Здобуття вищої освіти в галузі кібербезпеки або інформаційної безпеки.
2. Проходження професійних курсів, тренінгів та сертифікаційних програм, таких як CISSP, CISM та інших.
3. Робота у галузі ІТ з подальшим просуванням у напрямку безпеки.
4. Проведення власних досліджень та публікація статей у журналах, конференціях та інших спеціалізованих виданнях.

Можна розпочати з онлайн-курсів та вебінарів, організованих відомими компаніями та установами, такими як Coursera, Udemy та SANS. Більшість з них пропонують різні рівні складності, що дозволяє побудувати свій власний курс навчання.

Що можна порадити людині, яка тільки розпочинає свій шлях у світ кібербезпеки?

Ознайомся із різними типами/посадами професії. Наприклад є відмінності у роботі:

• Аналітик коду або фахівець з реверс-інжинірингу.
• Форензик (Forensics Experts)
• Анти-фрод аналітик (Anti-Fraud Analytic)
• Пентестер (Security Testing)
• Розробник СЗІ (систем захисту інформації).

Можна спробувати себе у цих професіях через онлайн-ігри, симулятори та онлайн-курси.

Спеціалісти з кібербезпеки необхідні всюди, тому обирай, що цікавить саме тебе та розпочинай свій кар’єрний шлях.

Більше дізнатися про діяльність Анастасії ти можеш тут: Facebook та LinkedIn.