Не раз уявляли себе тим крутим хакером з фільмів, а в реальності все ще далекі від омріяного ідеалу? Досі боїтеся застосовувати свої знання на практиці й вагаєтеся щодо напрямку роботи?
Як стати професіоналом у кібербезпеці й до того ж бути корисним нашій країні — шукаємо відповідь разом з HuckYourMom.
У минулій частині статті ми вже дещо розповідали про «академію мамкіних хакерів» і вебінар, що так схвилював студентську спільноту ХНУРЕ, а ще ділилися корисними інсайтами щодо особистої кібербезпеки та ролі ШІ у сфері захисту інформації.
Сьогодні ми продовжуємо говорити на тему cybersecurity разом із засновником HuckYourMom Микитою Книшем. На черзі питання, які хвилюють практично кожного сучасного студента — освіта та війна.
Кібервійна
Які атаки найнебезпечніші наразі, як їм протистояти?
Всі атаки, які призводять до результату, є небезпечними. Однак є OWASP, який розповідає про топ-10 найнебезпечніших, найактуальніших вразливостей кожного року у різних сферах, і ми публікуємо всі ці списки на нашому сайті.
Які основні помилки допускають підприємства та установи, намагаючись захистись від кібератак?
У нас основна помилка — це паперова кібербезпека, яку ніхто не перевіряв у бою. Зараз пентест — це не дуже якісний спосіб перевірити безпеку, а от ретімінг — так. Бо один пентестер може протестувати всі вектори й написати, що за паперами все пройшло тестування, але коли прийде професійна команда, вона може «розмотати» ту команду, яка захищає. Другою помилкою є нерозуміння, від чого треба захищатися: треба створювати карту ризиків, відстежувати бізнес-процеси.
Які найбільші кіберзагрози стоять перед Україною в умовах сучасної війни?
Найбільша загроза стоїть в тому, що якщо ви берете свою друга чи кума, то побудувати якісну систему складно. А якщо ви берете розумну людину, вона може бути з вами не згодна: дуже важко збирати якісних компетентних фахових спеціалістів, бо кожен з них має свою думку на ту чи іншу ситуацію. От і беруть на борт максимально лояльних, а треба брати максимально розумних.
Чи легалізована хакерська діяльність проти рф в ЄC?
Вона, на мою думку і за результатами практичної перевірки, декриміналізована. Це значить, що за таку діяльність в Євросоюзі неможливо отримати покарання. Наразі припинено будь-який правовий документальний обмін між правоохоронними системами ЄС та рф. росіяни не можуть написати заяву про вчинення злочину, бо не існує каналу обміну інформацією.
Чи є сенс наразі в тому, що робить ІТ Армія, в ДДОС атаках?
Проєкт ІТ Армії якісно працював на початку, коли це були комбіновані атаки. Коли це скоординовано, коли це порушує цілісність інфраструктури, то в цьому є сенс, але у 2024 році це є способом інформування ворога про недостатню захищеність його ІТ-систем.
Як студенти можуть розвивати свої навички кібербезпеки та бути корисними для країни?
У нас на сайті є розділ «Кібервійна». Заходите і тут одразу є такі задачі: «Як геоінтелект допоміг знайти локацію по фото», «Геолокаційний аналіз: як визначити місце фотографування по деталях фото» тощо. Ми вважаємо, якщо у вас є вільний час, то вам треба опанувати осінт та геоінт, а потім вже йти в хакінг. Також даємо інструкцію, як ламати системи відеоспостереження в раші, а потім щось корисне передавати СБУ. І в нас таких задач описано дуже багато, можна приєднуватися. Обираєте собі напрямок для душі й одразу до кібербитви.
Кіберосвіта
Кібербезпека — це завжди набір суворих стандартних правил чи інколи потрібне якесь нове, оригінальне рішення?
Користувач настільки може «витворяти» нестандартні дії, що всіх варіантів ви не можете передбачити. Ви можете написати, що треба змінювати пароль кожного дня, але хто це буде виконувати. Кібербезпека — це не завжди набір суворих стандартних правил, це набір ефективних рекомендацій, які діють, це зробити так, щоб люди робили те, що тобі потрібно, але при цьому не «замахувалися».
Які поради ви б дали початківцям у кар'єрі кібербезпеки? Які основні навички та сертифікації потрібні для початку?
Так само заходите на наш сайт в розділ «Освіта», далі «Сертифікація для хакера». Якщо ви хочете, приміром, займатися сертифікацією фахівців з безпеки програмного забезпечення або оцінки тестування з безпеки, або хочете знайти курси цифрової криміналістики, то тут багато статей і варіантів на цю тему.
Які напрямки та ресурси в галузі кібербезпеки найбільш потрібні та корисні для вивчення?
Ви маєте розуміти, що вся ваша праця в кібербезпеці йде до одного простого правила: ми робимо так, щоб вартість злому була значно вища за ціну інформації або активів, які можуть бути здобуті в результаті злому. Ми не робимо магію — ми захищаємо дорогу інформацію. Тобто найбільше грошей дають за найбільш критичний рівень вразливості. Є спосіб зробити оцінку за допомогою калькулятора CVSS v3.
Які основні помилки допускають початківці в кібербезпеці?
Основна помилка це те, що люди думають, що кібербезпека — це стан, а це процес. Якщо ви це зрозумієте, то ви також зрозумієте, що навчатися треба буде все життя, не треба зупинятися.
Як випускнику «Кібербезпеки» знайти першу роботу? Чи можна працевлаштуватися без досвіду?
Я вважаю, що якщо у вас немає досвіду, але ви можете показати свій Git чи ви можете представити свої проєкти, то вас можна працевлаштовувати. Але спочатку займайтеся анонімізацією, дбаєте про вашу особисту безпеку. Якщо ви якісно сховалися, розумієте, як працюють всі ідентифікатори відстежування, то можете працювати й в даркнеті, але я раджу всім займатися виключно білим бізнесом.
Як не перейти «межі дозволеного» при навчанні у кібербезпеці, які можуть бути наслідки?
Якщо ви за посиланням зайшли та не долали логічний захист, то це було легально: ви не перетнули жодні червоні лінії. Якщо ви щось модифікували, вводили логічний захист — це вже злочин. Якщо ви працюєте по росії, то ніщо не злочин, все дозволено.
«Я вважаю, що бізнес має приходити до ВНЗ і щось розказувати, а не університети ганятися за бізнесом. Бо якщо ми хочемо зрощувати кадри, то вони мають бути навчені», — висловлює свою позицію Микита Книш. А ми своєю чергою сподіваємося, що ХНУРЕ попереду чекає ще багато подібних освітніх заходів.
Разом на захисті даних!
Василина Яблонь
