Інформаційна, комунікаційна та кібер- вразливість країни: аналізуємо причини та наслідки
Інтернет та технології є витворами західної цивілізації, і демократії бачили їхню позитивну роль у розвитку суспільства (економічне зростання, доступність). Водночас, велика кількість користувачів ...
Додано:
experthrcenter
Інтернет та технології є витворами західної цивілізації, і демократії бачили їхню позитивну роль у розвитку суспільства (економічне зростання, доступність). Водночас, велика кількість користувачів країн Східної Європи, на думку експертів, насправді недооцінює тих викликів, які створюють новітні технології.
Що турбує суспільство у сфері інформаційної, комунікаційної та кібер- безпеки перш за все? Відповідаючи на запитання модераторки дискусії Анастасії Апетик в рамках #26BookForum, звичайні люди говорили про те, що вони не знають, як саме мусять себе обороняти, до кого їм звертатися, та як протидіяти можливим порушенням у майбутньому.
Але що здивувало: здебільшого присутніх звертали увагу на те, що люди не переймаються визначенням того, коли саме порушуються їхні інформаційні права. Ще складніше, коли йдеться про уявлення суспільства про ступені вразливості країни.
Спікери дискусії «Інформаційна, комунікаційна та кібер- вразливість країни: аналізуємо причини та наслідки» Уляна Шадська, Ілля Мірошкін, Борис Потятиник, Мирослав Опир запропонували розглянути причини та наслідки інформаційної вразливості та замислитися про те, чи є загрози від перетворення кожного з нас на «прозорого громадянина»?
Модерувала розмову експертка ЕЦПЛ Анастасія Апетик.
На фото: Борис Потятиник, Мирослав Опир, Ілля Мірошкін, Уляна Шадська, Анастасія Апетик
Анастасія Апетик: Цифрові технології проникають у життя кожного з нас та обіцяють зробити його більш комфортнішим. Цифрова криміналістика, електронний суд, кібер-безпека — для суспільства вже не нові слова. Але проблеми завжди починаються там, де бракує інструментів та рішень, які відповідають новому досвіду. Чим загрожують цифрові технології, і що робить людину та державу вразливою?
Уляна Шадська, керівниця програм ЕЦПЛ “Безпека громад” та “Право на приватність”: Україна задекларувала стратегію «Країна в смартфоні», дедалі ми все більше будемо використовувати електронні сервіси, можливо, скоро взагалі не будемо бачити чиновників, і тим самим зменшимо корупційні ризики.
Але, якщо ми хочемо реалізувати цей масштабний проект цифрової трансформації країни, перше питання, що має цікавити кожного — це, як буде здійснюватися безпека даних.
Діючий Закон України «Про захист персональних даних» не регулює ризиків, що можуть виникнути під час оброблення даних у мережі Інтернет. Брак ефективної державної політики у сфері інформаційної безпеки призводить до масових витоків даних. Серед поширених ситуацій чимало випадків, коли маркетингові компанії збирають, здійснюють обмін або продаж даних користувачів, створюють профілі для рекламного таргетингу тощо. Вони це роблять для збільшення бази клієнтів, покращення алгоритмів роботи, аналізу політичних та інших уподобань. До того ж, існує таке поняття, як «інформаційна взаємодія в галузі передавання персональних даних, що реалізовуються за допомогою угод між компаніями».
Чому вони собі це дозволяють? А тому, що в нашій країні немає належного контролю з боку держави та низькі санкції до порушників. Наприклад, якщо за порушення права на приватність резидентів Європейського Союзу сума штрафу може складати сотні мільйонів євро, то максимальний штраф за порушення персональних даних українців — 17 000 грн. Нагадаю, що 25 травня 2018 року почав діяти Загальний регламент захисту даних (GDPR), у якому встановлені жорсткі вимоги щодо оброблення персональної інформації в електронному вигляді.
Ситуація з #dataprotection в Україні ускладнюється також низьким рівнем культури інформаційної безпеки в самому суспільстві.
Анастасія Апетик (запитує в учасників дискусії):
Коли ви передаєте персональні дані банку або іншим комерційним установам, чи замислюєтеся над тим, як вони будуть зберігатися та використовуватися?
Уляна Шадська: Щоразу, коли людина заповнює анкету для отримання дисконту або завантажує черговий мобільний додаток, вона чомусь довіряє компанії, яка вимагає докладної особистої інформації. Для чого такі вимоги? Звісно, для подальшого використання в комерційних цілях.
Минули часи, коли службам розвідки потрібні були роки аби зібрати хоча б половину тієї інформації, яку сьогодні людина сама про себе поширює. Я спостерігаю за процесами комунікації в соціальних мережах і дивуюсь тому, як відверто батьки розповідають про своїх дітей: де вони гуляють, де навчаються, що роблять. Водночас, вони, очевидно, не замислюються про загрози для малюків. Особисті вигоди виправдовують мотивацію людини поширювати дані про приватне життя. Але потрібно бути готовим знаходити баланс і аналізувати, яка інформація може зробити вас та членів родини вразливими.
Наша організація майже п’ять років працює з проблемами безпеки в громадах. Ми встигли побачити дуже різні процеси, які відбуваються в цій сфері, але розмова про необхідність розроблення політик захисту персональних даних під час застосування систем відеоспостереження на місцях розпочинається тільки зараз. Не тому, що згадали Закон, а тому, що стикнулися з конкретними кризами. Побачили, як дані з інформаційних систем можуть використовуватися проти населення. Звичайно, останні політичні події вплинули на свідомість людей та підштовхнули до більш системних дій.
Анастасія Апетик (запитує в учасників дискусії):
Коли ви передаєте персональні дані банку або іншим комерційним установам, чи замислюєтеся над тим, як вони будуть зберігатися та використовуватися?
Уляна Шадська: Щоразу, коли людина заповнює анкету для отримання дисконту або завантажує черговий мобільний додаток, вона чомусь довіряє компанії, яка вимагає докладної особистої інформації. Для чого такі вимоги? Звісно, для подальшого використання в комерційних цілях.
Минули часи, коли службам розвідки потрібні були роки аби зібрати хоча б половину тієї інформації, яку сьогодні людина сама про себе поширює. Я спостерігаю за процесами комунікації в соціальних мережах і дивуюсь тому, як відверто батьки розповідають про своїх дітей: де вони гуляють, де навчаються, що роблять. Водночас, вони, очевидно, не замислюються про загрози для малюків. Особисті вигоди виправдовують мотивацію людини поширювати дані про приватне життя. Але потрібно бути готовим знаходити баланс і аналізувати, яка інформація може зробити вас та членів родини вразливими.
Наша організація майже п’ять років працює з проблемами безпеки в громадах. Ми встигли побачити дуже різні процеси, які відбуваються в цій сфері, але розмова про необхідність розроблення політик захисту персональних даних під час застосування систем відеоспостереження на місцях розпочинається тільки зараз. Не тому, що згадали Закон, а тому, що стикнулися з конкретними кризами. Побачили, як дані з інформаційних систем можуть використовуватися проти населення. Звичайно, останні політичні події вплинули на свідомість людей та підштовхнули до більш системних дій.
Анастасія Апетик: З 2016 року експертна група програми «Resilient Ukraine» досліджує проблеми інформаційної, комунікаційної та кібер- безпеки в Україні. Упродовж 2019-го року команда українсько-естонських аналітиків поставила за мету виявити прогалини та спрогнозувати майбутні виклики на Півдні та Сході України у сферах інформаційної, комунікаційної та кібер- безпеки країни. Навіщо Естонії досліджувати сфери вразливості України?
Ілля Мірошкін, координатор естонсько-українського проекту Resilient Ukraine, член експертної групи з дослідження загроз інформаційній, комунікаційній та кібер- безпеці на Півдні та Сході України:
Я вважаю, що Україна та Естонія подібні одна до одної: нам загрожують схожі зовнішні чинники, доречно також говорити про певні історичні паралелі з розповсюдженням комуністичної ідеології. Дослідження — один з етапів розбудови спільних підходів наших країн до створення стратегій безпеки для протидії зовнішнім інформаційним інтервенціям.
І якщо говорити про інформаційну стійкість країни, вона складається з багатьох чинників, але завжди починається з людини. На мою думку, стійкість — це здатність людей самостійно об’єднуватися в спільноти, самостійно напрацьовувати досвід і знання, оборонятися в разі виникнення загроз та спільно вирішувати проблеми. У контексті кібер-оборони людина — найвразливіша одиниця. Від неї багато залежить, коли в умовах невизначеності обставин тих чи інших інформаційних впливів вона здатна захистити себе на елементарному рівні — від надійних паролів акаунтів — до трансляції іншим особам персональних даних, які вказуються в анкетах чи соціальних мережах.
Тому мені подобається визначення стійкості, що належить президенткі Естонії Керсті Кальюлайд: «Стійкість країни — це коли держава захищає демократію, а люди вже вміють самостійно розпоряджатися цією демократією та самостійно, без держави використовувати напрацьовані ресурси для збереження демократії»
Після проведення дослідження на Півдні і Сході України ми з колегами вражені, наскільки різними можуть бути суспільні уявлення про те саме. Наприклад, коли йдеться про мир та потенційні загрози для країни. Майже в усіх місцях, де ми були під час дослідження люди висловлювали незадоволення роботою місцевих журналістів, особливо тим, що вони неодноразово знімали і транслювали публічно те, що має бути закритою інформацією, що вони не завжди компетентні та здатні бути об’єктивними.
Анастасія Апетик: Але давайте також згадаємо про те, що ніхто з нас раніше не мав досвіду жити в країні, яка воює, захищається та водночас навчається протидіяти зміцненню інформаційної інтервенції з боку сусіда.
Мирослав Опир, Co-owner and Chief technical officer Quintagroup: Після Brexit, виборів Трампа й останніх виборів в Україні ми не можемо говорити про хакерські дії щодо комп’ютерних систем, але мусимо говорити про те, яку шкоду було завдано іншим інформаційним мережам державного та особистого захисту. І причина цього полягає в тому, що сучасні суспільства починають захищати себе вже після того, як щось сталося. Наприклад, спочатку з’явився вайбер, але інструкції до нього прийшли пізніше. Ми почали користуватися мережами, і там теж правила постійно змінюються. І як на мене, питання полягає в тому, хто займається регулюванням цих правил?
Чи можуть дії звичайної людини в інформаційній сфері становити загрозу для держави? Так.
Наші висловлювання та вподобання дають багато інформації щодо політичних поглядів, і в цьому сенсі профайл кожного з нас легко опрацьовувати за допомогою соціологічних інструментів та відстежувати певні суспільні тенденції.
А далі — достатньо зібрати людей у групи та годувати різними порціями інформації. Одні будуть бачити свою картинку реальності, а інші — свою. Одні будуть щось чути про загрози Brexit, інші — залишаться у своїй маленькій бульбащці.
Анастасія Апетик: Вам таке явище нічого не нагадує?
Мирослав Опир: Знов натякаєте на Джорджа Орвела? Зараз усі публікують в інстаграмі, у різних месенджерах повідомлення про події, заходи, пересування світом — ми самі створюємо можливості слідкувати за нами та формувати профілі користувачів. Я не є фанатом теорії змови, але на питання, чи спостерігає за нами великий брат, чи є для нас загроза стати прозорими громадянами, дам таку відповідь: соціальні мережі продукують спільноти та водночас технології керування ними. Ми розуміємо, що соціальна інженерія явище багатошарове, але поки не знаємо, як протидіяти його наслідкам, крім використання особистих засобів інформаційної гігієни. Як? Вчитися цьому можна й у шістдесят, і в тридцять і в три роки.
Борис Потятиник, професор Школа журналістики УКУ, доктор філологічних наук, дослідник медіа та соціальних комунікацій: Я хочу звернути увагу на китайський експеримент, в якому крім соціальних профілей користувачів, фахівці з моделювання поведінкових рішень почали використовувати інтегровані відеокамери. Камери фіксують усе та нараховують бали за те, як людина переходить дорогу, чи переходила вона на червоне світло, чи прибрала за своїм псом. Тобто, йдеться не про окремі рухи, а про поведінкові звички. У межах експерименту китайським властям знадобилося сім хвилин, щоби знайти й затримати репортера BBC Джона Садворда. Подивитися відео з експерименту
Наскільки така система приваблива для України? Для західних держав у контексті ідей секьюрітизації європростору подібні практики можуть бути дуже цікавими. Проте в Нідерландах правозахисні організації судяться з компаніями, які намагаються — хоча роблять вони це, ніби з гарними намірами — досліджувати суїцидальні нахили людей. На перший погляд, складається враження, що йдеться про турботу: збираються дані про осіб, які потенційно небезпечні самі для себе. Проте сам факт фіксації такої інформації спричинив протести правозахисних організацій.
З одного боку, китайський експеримент із контролювання громадян можна розглядати у якості блага — країна дбає про законослухняних громадян, що збільшує рівень безпеки в суспільстві. Але з іншого: чи готові ми поступитися власною свободою заради зміцнення безпеки?
Хто зараз скаже: «Так! Хай спостерігають, які крамниці я відвідую, які гроші знімаю»? (звертається до учасників дискусії)
Анастасія Апетик: П’ятеро людей проголосували за збільшення безпеки коштом обмеження свободи.
Борис Потятиник: Хто б не хотів збільшення контролю через обмеження власної свободи?
Здебільшого присутніх підняли руки вгору.
Бачите, за свободу голосує більше людей. Але все ж мені здається, що тут, у Львові, ми бачимо одну «картинку» — те, як думають місцеві жителі та гості Форуму, що поділяють патріотичні настрої. Проте на Сході чи Півдні люди можуть реагувати інакше.
Мирослав Опир: В мене відразу виникла асоціація: у Львові водій особистого транспорту поводиться, як господар, а якщо він у Польщі — то інакше. Тобто, у Китаї я б хотів бути більш свободним, але в Україні я б хотів більшого обмеження свободи.
Анастасія Апетик: Прогнозування майбутніх ризиків у сфері безпеки — ще одна серйозна проблема України. У проекті стратегії розвитку Національної поліції України до 2023 року вже закладено інструменти прогнозування злочинів. Але якщо держава створює систему кібербезпеки й хоче більше контролювати громадян, ми мусимо знати, де межі втручання в особистий простір кожного. Чи ми до цього вже готові?
Питання від учасників дискусії:
Чому університети України не навчають звичайних громадян кібербезпеці? Це могла би бути державна соціальна програма? Колись викладали такий курс «Безпека життя та життєвої діяльності людини», чому б і зараз не запровадити щось на кшталт цього для суспільної користі?
Борис Потятиник: В Українському католицькому університеті було кілька лекцій, присвячених проблемам сприйняття інформації, фейкам. Окремої спеціальної програми поки нема. Але ми над цим думаємо.
Мирослав Опир: Гадаю, що є різні рівні розуміння кібербезпеки. Маємо окремо говорити про кібербезпеку державних інституцій, військову сферу, комерційний сектор, і окремо — про медіаосвіту, яка допомагає зрозуміти принципи побудови інформаційного світу та його продуктів, якими користується звичайна людина. В кожному напрямку просвітницька робота, спрямована на зміцнення інформаційної стійкості країни та людини буде відрізнятися.
В який спосіб розповсюджувати знання про кібербезпеку — питання для фахівців. А для чого мені потрібно знати про кібер- безпеку? Це питання власної мотивації. Розумієте?
Анастасія Апетик: Гадаю, що кількість присутніх на цій дискусії у вихідний теплий день, коли замість розмови можна було би відправитися на погулянку, теж яскрава відповідь на питання про мотивацію.
Борис Потятиник: Погоджуюся з тим, що основна проблема з інформаційною та кібербезпекою лежить не стільки в технологічній (хоч і в технологічній теж), як у психологічній площині. Ми просто лінуємося. Здебільшого людей лінується застосовувати величезний і доволі ефективний інструментарій інформаційної та кібербезпеки, який до цього часу накопичено й доведено до широкого загалу у вигляді книг, статей чи веб-сайтів. В одних юзерів, які після роботи вирішили посерфіти, такі зусилля просто не є пріоритетом — вони в такий спосіб відпочивають.
Ішим банально бракує часу. Як от журналістам, які квапляться поставити неперевірену новину в стрічку на сайті.
З цих причин, ситуація з інформаційною та кібербезпекою виглядає доволі похмуро. Принаймні для дорослих.
Що ж стосується дітей, то ще є надія у формі гри довести до автоматизму ті навички, які знадобляться їм для життя в цифровому довкіллі завтра.
Нещодавно я завантажив у телефон CyberFables та CyberNinja. Уже з назви можна зрозуміти, що «Кібербайки» (перекладемо так першу назву) призначена для дошкільнят чи для дітей молодшого шкільного віку: ведмедик та інші персонажі розповідають казки про загрози цифрового довкілля і про те, як іх подолати.
Натомість CyberNinja призначена для середнього і старшого шкільного віку. Вона апелює до романтики ніндзя (в цьому випадку кібер-ніндзя), який, граючись, вчиться давати собі раду з архітектурою кібербезпеки, безпекою фінансових активів, безпекою в комунікаційних мережах, розробленням відповідного програмного забезпечення (Software Development Security) та подібним.
Гадаю, що такі платформи дають більше практичних можливостей для розвитку критичного мислення в умовах сучасного світу.
Мирослав Опир: А от мене найбільше вражають журналістські дослідження, які розповідають про інформаційні чи кібер-операції — наприклад, я згадав історію про знищення центрифуг в Ірані чи української енергетичної системи у 2015 році, а також про те, як викрадалися ключи з МЕДок. Такі яскраві приклади інтервенції в державну сферу та особисте життя розширюють суспільну уяву про ризики вразливості. Якщо ілюструвати подібні проблеми за допомогою документального кіно, збільшиться поінформованість суспільства в питаннях кібербезпеки. Але, на жаль, і тут є дуже тонка межа, яку не завжди хочеться перетинати: витягувати на поверхню випадки, що пов’язані з вразливістю держави — це створювати приводи для демонстрації вразливості репутації держави.
Тому, я гадаю, експерти мають об’єднуватися для співпраці, обмінюватися досвідом роботи в різних секторах інформаційної безпеки, щоби бачити проблеми під різними кутами зору та прогнозувати ризики з використанням більш гнучких і надійних методів.
Текст підготувала Юлія Голоднікова
Фото: ©Святослав Сідлецький
