Мы продолжаем публикацию расшифровок второго сезона подкаста Shyndyq. Слушайте, читайте, подписывайтесь и помните: у каждого есть право на правду. Девятая расшифровка — запись подкаста с Медетом Туриным, экспертом по информационной безопасности. Ведущая подкаста — Маргарита Бочарова, журналист FactCheck.kz.
Маргарита: Привет, друзья! Меня зовут Маргарита Бочарова, я журналист FactCheck.kz, и вы слушаете первый подкаст о фактчекинге и медиаграмотности в Казахстане. С вами девятый эпизод второго сезона Shyndyq подкаста. Проект реализуется Международным центром журналистики MediaNet при поддержке Фонда имени Конрада Аденауэра.
Сегодня мы поговорим о кибергигиене и о том, почему не стоит терять бдительность, ни держа телефон в руках, ни работая на подключенном к сети ноутбуке. И с нами сегодня Медет Турин, эксперт по информационной безопасности, руководитель Spectre Security Group. Медет, добро пожаловать к нам!
Медет: Всем привет! Спасибо, что представили, что позвали на такой интересный подкаст.
Маргарита: Давайте начнем с того, что разберемся в понятиях. Чем отличается информационная безопасность от кибербезопасности? И в целом из чего состоят эти концепции? Какую долю в них занимает пресловутый человеческий фактор, а какая доля приходится на технологические вещи?
Медет: В целом информационная безопасность и кибербезопасность — это смежные понятия. Информационная безопасность — это практика предотвращения несанкционированного доступа к информации. Там [в определении] очень много слов, но просто — это как правильно хранить информацию, чтобы она не утекла куда-то. Кибербезопасность — это раздел информационной безопасности. Она входит в информационную безопасность. Тут все проще, тут все именно в киберпространстве, как вы говорите, [где] технологические факторы, а где человеческое поведение.
На самом деле, если говорить про кибербезопасность, то нельзя сказать, что технологическими факторами можно полностью себя защитить. Как раз таки человеческое поведение… даже настройки этого оборудования могут допустить те самые утечки информации. Поэтому одно от другого в любом случае зависит. И в большей степени от человеческого поведения.
Маргарита: Медет, я знаю, что вы проводите тренинги по кибергигиене для неподготовленных людей, самых разных аудиторий. Интересно послушать, во-первых, зачем вы решили этим заняться? И во-вторых, какие аргументы с людьми работают, когда вы пытаетесь им объяснить, что нужно думать о своей безопасности чуть побольше?
Медет: Во-первых, начну, наверное, с философского момента, потому что люди сейчас очень быстро научились пользоваться WhatsApp и Telegram, Kaspi, какими-то банковскими приложениями, но не научились защищаться. То есть плавно, быстро перешли в мир цифрового формата, пользуются всеми благами, но не учитывают риски, которые есть в информационном и киберпространстве. Поэтому я делюсь с людьми и в социальных сетях, и на тренинги приезжаю, когда зовут, и в университетах выступаю. Говорю, что это важно, потому что очень большие риски существуют: как финансовые потери в случае, когда ваши данные утекают, так и репутационные, когда какая-то информация касательно вас может всплыть в интернете. Это может [ударить] по репутации как вас, так и вашей компании. А репутация напрямую влияет на финансовый фактор вашей компании.
Маргарита: И как аргументы — финансовые, репутационные — работают, например, со студентами?
Медет: Вообще, да, есть такой момент, когда: «Зачем эта информационная безопасность нам нужна?». Это отношение не только людей, но и целых компаний. До сих пор нет понимания, зачем это надо. В основном наши клиенты — это те, кто уже пострадал. Прибегают, когда уже все сгорело. Мы же всегда пытаемся заранее, на предупреждение работать и говорить об этом. Что нужно сейчас заниматься информационной безопасностью, что в целом это процесс, ежедневная рутина, которой надо заниматься. И кибергигиена — то же самое. То есть если вы пользуетесь WhatsApp, то будьте любезны не переходите по ссылкам, не спамьте друг друга, соблюдайте элементарные правила. Их не сложно учитывать, чтобы не допускать каких-либо ошибок. В основном это работает, допустим, на…
Когда мы готовимся непосредственно к тренингам, мы собираем информацию о нашей аудитории, о студентах, которые придут, либо о корпоративном секторе. Находим их почтовые имейлы, обнаруживаем их зачастую в базах утечек и говорим: «Ваш пароль вот такой». Это так работает, потому что пока ты человеку не скажешь, что его данные уже в чьих-то руках, он не испугается, он не выучит этот урок.
Много раз было, когда мы приезжали в компании, начинали рассказывать — всем неинтересно. Они говорят: «Информационная безопасность? Да-да. Мне заплатите денег, я сам всю информацию компании выдам». Но на деле, когда ты говоришь: «Ладно, вам нечего терять, но если, допустим, фотография вашей дочки в непристойном виде окажется на каком-то сайте знакомств или “взрослом” сайте, что вы будете делать?». И вот с этого начинаем разговор. После этого люди внимательнее к этому относятся.
Потому что не раз были кейсы, когда обращались люди, когда размещали фотографию ребенка на таких сайтах «взрослых», и как с этим бороться, что для этого надо, и что делать, чтобы это не попадало в интернет. Бывает, те же самые дети… мы знаем печальный «Синий кит», всякие такие штуки — это все как раз из-за того, что, во-первых, родители не занимаются своей кибергигиеной, киберграмотностью, во-вторых, они не объясняют ребенку. Задача взрослого — это же объяснить ребенку, зачем это надо, почему надо соблюдать какие-то правила поведения в интернете, что даже лишний комментарий где-то нельзя оставлять.
Маргарита: То есть вы конкретно давите на самое больное и дорогое?
Медет: Да, потому что иначе это не работает. Ну по опыту.
Маргарита: Не так давно много моих друзей — допустим, в том же Фейсбуке — в очень веселой манере делились своими историями о том, как им позвонили известные, наверное, всему Казахстану мошенники, представляющиеся службой безопасности банка. И мне показалось, что все эти посты свидетельствуют о том, что мы начинаем воспринимать это как нечто очень бытовое. И я могу ошибаться, но мне кажется, это довольно опасно. Как вы считаете? И вообще насколько важно после таких звонков менять номер телефона? Или уже бесполезно?
Медет: Номер телефона менять бесполезно. Смысла я в этом особого не вижу. Но это обыденно становится, да. Ежедневно мошенники… где-нибудь объявление подал, наткнулся на мошенника. Ваши данные и так нехорошие банковские сотрудники продают на форумах, их можно купить. О ком угодно какую-либо информацию. И уже можно давить на что угодно. Другое дело, что многие страдают от этого. И реальные потери денег происходят. Да, те люди, которые в Фейсбуке умные посты пишут, они молодцы, они более-менее понимают, что происходит, но если говорить о них, то это какой-нибудь 1 или 5% населения нашей страны. Многие продолжают от этого страдать.
Я могу кейс рассказать, немного оффтопный. В Караганде на фоне карантина произошел случай, когда шестеро женщин, ничего не подозревая, давали свои номера от банка Kaspi, сообщали SMS-код. У них на картах денег не было. Они принимали деньги и отправляли куда-то. Сами не понимали, но им платили за это зарплату. Это банальное непонимание, что они могут участвовать в какой-то схеме. Через несколько месяцев к ним приехали разъяренные граждане с Западного Казахстана, обычные граждане приехали. Их начали ловить, двери поджигать, ужасные вещи с ними пытались сделать, а женщины не понимали, что происходит. Почему их на улице пытается кто-то поймать, избить и т.д.
Оказалось, украинские граждане приехали в Казахстан, в западную часть Казахстана, открыли пирамиду, принимали деньги на счета вот этих девушек, женщин с Караганды, и потом выводили куда-то там за границу. Пирамида в течение трех месяцев лопнула, закрылась, и они уехали. В итоге обычные люди хотели наказать женщин, которые не понимали всего. Более того, когда приехала уже полиция, оказалось, что они тоже обвиняются в том, что помогали, работали в этой схеме. Из-за того, что не работали банально над своей грамотностью, получить уголовное наказание!
Вдруг эти деньги уходили на финансирование терроризма? Их можно было бы спокойно добавить в список террористов, какой-нибудь экстремистской группировки тоже. Так что этим надо делиться в любом случае. Не думать, что все умные. Это не обязательно показатель ума же. Это показатель неосведомленности, поэтому надо постоянно работать над осведомленностью граждан.
Маргарита: Но вы все-таки упомянули, что дело в какой-то образованности, грамотности, и в этой связи тоже к вам вопрос. А, может, не столько в образовании дело, а в том, что мошенники становятся более изощренными или используют более интересные методы? В одном из своих предыдущих интервью вы рассказывали, что там есть целая инфраструктура, база данных, система, в которой эти мошенники могут работать. Может быть, в этом дело?
Медет: Да, действительно мошенники не стоят на месте, развиваются, используют самые последние технологии, можно так сказать, но опять же раньше были карманники, жулики, пирамиды из 90-х, и пользовались доверием граждан. Сейчас то же самое в киберпространстве. Подмена номера, когда звонят. Это же тоже технология, можно так сказать, хотя она тоже старая, но тем не менее против нее пока никто не борется. А почему? Потому что даже если, допустим, у вас украли 1000 тенге, вы пойдете в полицию?
Маргарита: Вряд ли.
Медет: Да. Будете поднимать шум на весь интернет, говорить об этом?
Маргарита: Скорее всего, нет. Но это, наверное, неправильный ответ.
Медет: Это неправильный ответ. Вот поэтому! Никто с этим бороться особо не будет, потому что, во-первых, нет никакой заинтересованности от самих граждан. А если эти мошенники воруют… Есть же миф о том, что если хакер украдет по доллару с каждой банковской карты, его не поймают? Тут то же самое. Тут он не крадет банковские деньги, он крадет ваши деньги. И если каждый гражданин будет жаловаться, то будет уже резонанс. Будут какую-нибудь технологию разрабатывать против мошенников и т.д. Сейчас мошенники двигаются вперед, и никто против них никакую технологию не хочет придумывать. А если и придумают, её даже не купят. Некому покупать. Поэтому это все вот так работает.
Да, действительно мы проводили расследование, связанное с OLX. У нас в скором времени совместно с Qant выйдет фильм про это. Вроде бы казалось, что можно узнать про мошенников, которые на досках объявлений «кидают» людей, пишут своим жертвам, потом получают их данные от платежных карт и крадут деньги прям непосредственно с карты? Но мы обнаружили, что там есть целая сеть, CRM-система (система управления взаимоотношениями с клиентом — Прим. ред).
То есть сейчас мошенником стать достаточно просто. Просто можно зарегистрироваться там любому желающему и зарабатывать миллион тенге в день. Согласитесь, такая сумма — это, может, чья-то полугодовая зарплата? Чья-то месячная, а чья-то полугодовая зарплата. А тут ты это в день можешь сделать! Просто разводя людей. И плохо, что молодежь туда очень сильно и активно вовлекается. Культ легких денег. Поэтому это происходит. А страдают пенсионеры и взрослые, которые с технологиями на «вы». И против этого никто пилюлю еще не изобрел.
Маргарита: То есть вы говорите о том, что дело не только в какой-то образованности. Кроме этого, нашему обществу не хватает банальной бдительности, настороженности, готовности пойти и рассказать, что у меня украли эту 1000 тенге…
Медет: Естественно. Да, осознанности. Все не заработает, пока сами граждане не будут об этом говорить и требовать, чтобы что-то придумали против этого.
Маргарита: Предположим, в какой-то момент в ближайшем будущем какая-то определенная часть казахстанцев все-таки почувствует, что надо идти, писать заявления. Есть ведь и другая сторона — та самая полиция, правоохранительные органы. Вы сейчас сказали, что некому покупать технологии, которые направлены на борьбу с вот этими мошенниками. И создается впечатление, что все именно так и есть. Особенно когда узнаешь, что наши полицейские сами продают персональные данные казахстанцев. Где тогда надежда?
Медет: Действительно, да, даже если сегодня у вас взломали какую-нибудь социальную сеть или деньги украли с карты, вам эти деньги, скорее всего, никогда никто не вернет. Потому что деньги уже ушли куда-то, не совсем понятно куда, за границу на какой-то счет. Всё, никто не будет из-за каких-то мнимых 100 тыс. тенге ехать куда-то в Европу, требовать от какого-то банка что-то. Сама ценность этих операций дороже нежели вернуть ваши 100 тыс. тенге.
Другой момент. Да, когда вы приходите в отделение полиции, вас зачастую могут обратно отправить. Не будем скрывать, что это факт. Вам могут сказать: «Да мы даже это расследовать не будем. Зачем ты на нас лишний “глухарь” вешаешь? Езжай-ка ты домой лучше». Либо они примут все-таки заявление, испугавшись вас, что вы слишком грамотный человек. Примут заявление, и таких заявлений за 2021 год, как оказалось, более 36 тыс. Это дела о мошенничестве. Из них 17 или 18 тыс. именно в сфере интернет-мошенничества. Из них раскрывается одна десятая часть в лучшем случае. С остальным они справиться не могут.
И вопрос такой: а есть ли смысл идти? Который вы задаете. Я говорю, что есть смысл. Нужно, чем больше заявлений… По нашим подсчетам, вообще в год совершается около 100 тыс. интернет-мошенничеств, просто все забивают и не идут писать заявления. Если бы эти 100 тыс. человек подписали бы петицию, поднимали шумиху, обращались в МВД чаще и требовали: «Что там с моим делом?». Я думаю, что в целом это привело бы к тому, что, во-первых, реформа произошла бы, во-вторых, действительно создался бы правильный отдел «К». Не который есть сейчас. Куда нанимались бы специалисты и занимались бы расследованиями.
Почему это условно на Западе работает? Почему это работает в наших соседних странах? Там ловят этих мошенников, закрывают целые call-центры. В Казахстане это не работает. У нас за год сколько статей вы прочитали, что поймали интернет-мошенников? Один-два, да? Я сижу и непосредственно их читаю. Две статьи всего лишь есть об этом. Как поймали интернет-мошенников. Хотя, допустим, мы тоже предоставляем как частное лицо, как частная компания все данные о мошенниках, которых мы смогли деанонить. Их, на минуточку, 1500 мы предоставили. Есть такие моменты.
Если вам интересно, в этой CRM-системе было 103 тыс мошенников. Они работают по СНГ.
Маргарита: Вы имеете в виду, что вы деанонимизировали всех этих людей?
Медет: Да, удалось получить все их данные. Мы их все передали в МВД. И на каком моменте вся эта машина перестает работать, мы понятия не имеем, но знаем, что результатов очень больших можно добиться с этим, поймать этих всех… А по Казахстану как раз там 1,5 тыс человек мы смогли установить. Просто идите и отрабатывайте, казалось бы. Но, видите, здесь другая сторона есть. Юридическая сторона, где нужны заявления от пострадавших. А их нет.
И как ловить эти 1,5 тыс человек, если нет заявлений? Можно ли их просто поймать из-за того, что есть какой-то факт в интернете, что они занимаются мошенничеством? Вот я в этом не совсем понимаю. Я знаю, как деанонимизировать, поймать. Но опять же из-за того, что я частное лицо, юридическое лицо, я не могу все время заниматься этим. Если бы меня то же МВД наняло, заплатило бы моим сотрудникам, моей команде за это деньги (хоть какие-то), мы бы даже сами какие-то моменты приобрели бы, сделали. Но это никто не будет делать, пока сами граждане не будут этого требовать.
Я на многих конференциях прошу даже просто вот многие телеканалы: «Вы ежедневно крутите 30-секундный или 1-минутный ролик о том, какие правила кибергигиены есть. Банальные правила, давайте их крутить ежедневно!» Потому что телевизор все равно… В интернете, да, мы все такие грамотные. Хотя и не совсем. Но телевизор ежедневно смотрит взрослое поколение, очень большое количество народа. Если это все крутить ежедневно, то, я думаю, через какое-то время мы добьемся лучших результатов. И не будет 100 тыс. пострадавших. Будет гораздо меньше.
И почему бы не рассказывать в тех же новостях, уделить 2 минуты на то, что вот [появилась] новая схема мошенничества. В том ключе, что смотрите, не попадитесь. И если этим освещением заниматься, проблем, я думаю, никаких уже не будет. Иногда некоторые схемы мошенничества я сам не знаю. Я натыкаюсь, мне интересно, начинаю изучать, разбирать, пытаться противостоять этому. Если честно, нам в нашей команде очень сложно противостоять всей этой большой группировке. Особенно если это никому не надо. И то же МВД говорит: «У нас и так 17-19 тыс. дел, нам не до этого».
Маргарита: Я сейчас пытаюсь вспомнить новости про, например, финансовые пирамиды и вспоминаю, что довольно часто у наших правоохранительных органов все упирается в то, что создатели этих пирамид, идейные вдохновители где-то там далеко, в других странах, и чтобы их поймать, наказать и вернуть деньги, нужны какие-то не всегда посильные усилия, да? Может быть, и здесь дело в том же? Та же CRM-система, о которой вы говорили. Ведь её создали не казахстанцы…
Медет: Да, её создали украинцы, но тем не менее киберполиция Украины работает, она периодически ловит вот этих мошенников. Именно создателей. Но тем не менее нам же можно самих мошенников, которые в Казахстане украли очень много денег, поймать, посадить, и будет счастье. Если бы у нас были такие показательные кейсы, как делают за рубежом, мне кажется, больше народа было бы более осознанным. У нас все таки, да, есть проблемы в МВД, есть проблемы вообще в целом. С этим надо в общем разбираться. Пока не повысится осознанность самих граждан, это никак не исправить. Опять же будут отпускать, кто-то заплатит… ну, что мне об этом рассказывать? Все и так это понимают.
Маргарита: Давайте завершим наш разговор тем, что обсудим ситуацию с персональными данными. Это какая-то моя личная боль, потому что, я понимаю, с утечками данных казахстанцев из госорганов уже вряд ли мы что-то поделаем. Тем более, мы знаем, что закон о [защите] персональных данных очень избирательно работает в отношении госорганов. Но ведь есть другие компании (казахстанские, в том числе), которые любят проводить всякие розыгрыши. И не только компании, блогеры, да? И просят казахстанцев в общем предоставлять свои данные для участия во всяких этих розыгрышах и конкурсах. И вот я наблюдаю, как люди оставляют свои телефоны, имейлы, даже платежные документы…
Недавно я увидела розыгрыш в Инстаграме, где довольно крупная международная платежная система просит своих пользователей, подписчиков своей страницы, своего аккаунта выкладывать в сторис свои оплаты каких-то товаров, услуг с хештегом. И прям это меня поразило до глубины души, потому что речь все-таки о международном бренде, который наверняка знает, что такое информационная безопасность, и в других странах очень щепетильно относится к персональным данным. Давайте поговорим о том, почему эта, казалось бы, информация, которая всем нам кажется неважной, на самом деле является важной. Что могут с ней сделать злоумышленники?
Медет: Очень много всего интересного они могут сделать. Во-первых, есть же общепринятое [понимание]: взять на вас кредит — действительно это можно. Это малая часть. Вы как-нибудь будете отстаивать, доказывать, что это не вы брали кредит, а за вас кто-то взял. Вы докажете, но потеряете нервы и время, коллекторы на вас выйдут. Зачем вам такие проблемы? Это во-первых.
Во-вторых, на вас, имея ваши паспортные данные, можно открыть банковскую карту. Вы даже об этом не будете подозревать. Можно даже на зарубежных сайтах специальных открыть на вас банковскую карту и заняться спонсированием терроризма. Тогда вас не Казахстан, а в мире признают экстремистом. Все ваши счета заблокируют, вам нельзя будет вылетать, и попробуйте с этим разберитесь. Вам нужны будут юристы и т.д. Помимо этого еще куча-куча разных моментов, о которых можно разговаривать в принципе долго, но ничего хорошего из этого не выйдет. Это надо запомнить. Это во-первых.
Во-вторых, да, с утечками данных есть проблемы. Допустим, с ЦИКа 11 млн данных казахстанцев уплыло, и никто за это наказание не понес. Более того, там в судебном решении… то ли прокурор, то ли кто-то написал: «Мы эту базу данных в интернете не нашли» (спикер оговорился, похожая формулировка содержалась в официальном ответе МВД для СМИ — Прим. ред.). Хотя эта база данных у каждого школьника на компьютере есть, и пробивать данные сейчас гораздо легче стало.
Во-вторых, это потому что у нас законы плохо работают, и не проработан закон о [защите] персональных данных. Их надо ужесточать. И не в отношении людей, а в отношении компаний, госорганов. На западе есть прекрасный GDPR, который, если произошла утечка, то вы вынуждены заплатить какой-то процент от оборота вашей компании. Даже не от дохода, а от оборота. Это грозит огромными штрафами. Поэтому там щепетильно к этому относятся. И каждый гражданин… ваши данные утекли, вы можете порадоваться наоборот, побежать, подать в суд и забрать хорошие деньги. У нас же даже штраф заплатить не могут. Тот же ЦИК. Можно было показательную порку устроить, но этого не было. Закон надо ужесточать. И не в отношении людей, а в отношении компаний, организаций и пр.
Маргарита: Такой догоняющий вопрос у меня возник: Медет, вы изучали (или, может быть, ваши коллеги) рынок того самого пробива данных? Как он устроен в Казахстане? Кто их продает? Где они продаются? И знают ли об этом правоохранители?
Медет: Я надеюсь, что правоохранительные органы об этом знают. Да, это даже не в даркнете, как все привыкли [думать], что где-то там продают данные. Нет, это можно на открытых площадках — хакерских, кардерских и прочих. Там продают в открытую данные. И ваши паспортные данные можно купить за деньги. Можно купить данные даже о банковских картах, продленных банком. [Эти данные] часто обновляются.
Это как происходит? Это есть сотрудники, которые сидят в банках, в МВД или еще где-то, где у них есть доступ к этим данным. Их не устраивает зарплата, и они решают начать продавать. Где продать? Натыкаются на такие форумы, и начинают продавать. А это спросом большим пользуется, потому что есть мошенники, которые тоже хотят на этом зарабатывать. Это же целая иерархия: кто-то пробивщик, кто-то мошенник, кто-то вбивает ваши карточные данные, покупает какие-то вещи, кто-то принимает эти деньги, обналивает их. Это целая схема. И такие площадки действительно есть. Мы их мониторим.
Маргарита: А для чего вы их мониторите?
Медет: Мы их мониторим, потому что нам интересно, как противостоять этому всему. То есть, возможно, мы в каком-нибудь будущем придумаем против всего этого таблеточку, и это будет со временем в будущем полезно. Понадобится людям, по крайней мере.
Маргарита: Здорово!
Медет: Плюс помимо этого нам же об этом нужно знать, раз мы преподаем курс по осведомленности, кибергигиене людям. Последние тренды мошеннические и по пробиву информации.
Маргарита: Ну а теперь, Медет, напоследок расскажите, как после нашего с вами разговора людям не скатиться в панику.
Медет: Да, кстати! Такое тоже бывает, что после курса 1-2% студентов в панику подается, и начинают потом везде всего бояться, всех ссылок и т.д. Надо осознанно к этому подходить. Понимать свои риски, где какие риски могут быть. Изучить материал. Это все в интернете доступно, можете пройти, даже у меня в социальных сетях расписано, в Инстаграме есть посты. Банальные правила кибергигиены, сами можете загуглить. Я не буду перечислять, их там около десяти. И все, не надо прям с ума сходить. Понимать просто риски.
И во-вторых, самое… то, что я хочу посоветовать: если вы в интернете оплату какую-то совершаете, пожалуйста, заведите виртуальную карту. Остальные реальные карты, которыми вы пользуетесь, храните свою зарплату — не вводите данные с них в интернете. Заведите виртуальную карту, куда вы будете определенную сумму переводить. Именно ту, которую вы хотите оплатить в интернете, и все. Тогда хотя бы ваши деньги будут в безопасности.
Маргарита: Пожалуй, пойду и займусь этим. Спасибо, Медет, за этот разговор! С вами была Маргарита Бочарова, девятый эпизод нового — второго — сезона Shyndyq подкаста. Первого в Казахстане подкаста о фактчекинге и медиаграмотности. Проект реализуется Международным центром журналистики MediaNet при поддержке Фонда имени Конрада Аденауэра. Спасибо, что были с нами. Надеемся, вам было полезно. Впереди еще много интересного, оставайтесь с нами. И берегите себя и своих близких от фейков
