Close

Безпека як стан захищеності і природна потреба людства. Вступ до основ кібербезпеки.

Концепція, психологія, філософія, етимологія безпеки. Історичні, юридичні, філософські передумови безпеки. Поява кібернетики. Виникнення інформаційної та кібернетичної безпеки. Безпекове мислення, культура, цінності. Цей матеріал є частиною курсу “Основи кібербезпеки” від KR. Laboratories.

Зміст статті

У чому полягає суть безпеки? Чому вона важлива для людей?

Безпека – це стани, норми, рівні, механізми захищеності 

Безпека – це дуже об’ємна і багатогранна категорія, яку досліджує філософія, психологія, соціологія, політологія, кримінологія, право, економіка, військова та інші сучасні науки.

Безпека охоплює майже усі аспекти життєдіяльності: матеріальні, морально-етичні, фінансові, юридичні, соціально-політичні, інтелектуальні, технічні тощо.

Вона існує на всіх рівнях – світоглядному, концептуальному, організаційному, технологічному.

Людина захищена у кіберпросторі

Безпеку як багатогранне і всеохоплююче явище можна поділити на такі складові:

  1. Духовно-моральна (психологічна) безпека
  2. Демографічна безпека
  3. Соціальна безпека
  4. Екологічна безпека
  5. Політична безпека
  6. Військова, оборонна безпека
  7. Економічна, фінансова безпека
  8. Інформаційна безпека
  9. Технологічна, кібернетична безпека (кібербезпека)

Національна безпека

Безпека – це базова потреба людства

Потреба у безпеці – актуальна від найдавніших часів до сьогодення. Це фундаментальна, базова потреба, яка вконструйована в тіло і психіку людини й продиктована нашою біологічною природою.

Тому що, безпека – це стійкість, постійність, структурованість, системність, визначеність, злагодженість, узгодженість, результативність.

Людина перебуває у середовищі постійної небезпеки. Довкола нас існують різноманітні дестабілізуючі фактори і чинники. Щомиті люди стають об’єктами загроз – втрачають здоров’я, життя, майно. Відбуваються екологічні і техногенні катастрофи, природні катаклізми, війни і терористичні акти, голод, репресії, епідемії, що призводять до жахливих наслідків.

Тому значення безпеки є глобальним. Безпека – це наш природній імунітет. Ідея безпеки = ідея життя, ідея виживання.

Безпеку варто поглиблювати, популяризувати та вивчати у всіх її проявах. Безпекознавці, спеціалісти і аналітики з безпеки – стануть найбільш затребуваними професіями майбутнього, адже для людства надзвичайно важливо бути захищеними. Їх роль, мабуть, можна прирівняти до ролі лікарів у стародавні часи, яких завжди не вистачало.

Піраміда Маслоу

Піраміда ієрархії людських потреб, розроблена американським психологом Абрахамом Маслоу у 1943 році.

У перекладі з грецької, слово “безпека” означає – володіти ситуацією, попереджати. Латинське “securitas” перекладається як – без турботи і страху. За мовознавцем В. Далем, “безпека” – це  збереженість, надійність.

В українців зберігся вислів “Береженого Бог береже!”. Бути береженим – означає бути безпечним, бути господарем свого життя. У слов’ян побутував окремий символ “бережа”, котрий уособлював богиню-заступницю Берегиню (Оранту, Богородицю) та символізував – захист персонального життя, захист долі. Цей знак наші пращури наносили на вишивках, предметах побуту, зброї і обладунках, на своїх домівках, щоб відвернути лихо, привернути злагоду та удачу.

Old slavic security symbol - Berezha

Отже, рівень особистої безпеки прямопропорційно впливає на благополуччя і добробут. Відтак, безпека – це основа і запорука успіху.

Структура безпеки

Безпека – це управління ризиками, загрозами, резервами, ресурсами

Будь-яка система, інфраструктура чи процес – включають безпеку як обов’язкову складову.

Тому що, безпека допомагає виявляти, оцінювати, знешкоджувати, запобігати та прогнозувати потенційні ризики і вразливості, загрози, проблеми, слабкі точки, ланки і місця.

Безпека – це постійний аудит і контроль, мотивація, аналіз, планування, вдосконалення, зростання, покращення. А отже, досягнення поставлених цілей і завдань у будь-якій сфері.

Стратегія безпеки

Безпека – це законність, гармонійність, успішність

Безпека – це закони, свободи, конституційні права і обов’язки людей. Це стабільність, відсутність страху і впевненість у завтрашньому дні.

Безпека – це “протиотрута”: проти брехні й обману, насильства і несправедливості, проти всього, що призоводить до розвалу і дестабілізації.

У 1994 році в ООН була проголошена концепція “human security” (особиста безпека), яка визначила базові матеріальні потреби та людську гідність найвищими пріоритетами, включаючи емансипацію (звільнення) від будь-якої залежності, обмеження, переслідування. Результатом “особистої безпеки” є гармонія, здоров’я, розум, гнучкість, досвід, забезпеченість.

Human security elements

Ще стародавні філософи, такі як Арістотель й Спіноза, писали про те, що ідеальне суспільство немислиме без забезпечення безпеки та прав громадян, які грунтуються на рівності, дотриманні людських прав та достоїнства. Держава, на їх думку, має виступати гарантом цих свобод та безпечного існування. Власне, держави початково і створювалися задля захисту об’єднання нації людей від зовнішніх загроз та загарбників.

Рано чи пізно, кожна держава приходила до потреби систематизувати закони та звичаї й регулювати ними суспільні відносини, що гарантувало безпечне мирне співіснування й злагоду. Одним із найдавніших прикладів кодексу права є давньоіндійський манускрипт “Закони Ману” (II ст. до н.е.), у якому було закладено індоєвропейські принципи судочинства, правила шляхетності, додержання традицій. Одним із значущих правових документів Давньої України є “Руська Правда”, складена в Києві у X-XI століттях на основі звичаєвого права. Її головним завданням було давати можливість усім сторонам боронити свої права на життя, здоров’я і майно, а судові — підставу до справедливого вироку. Характерною прикметою “Руської Правди” була еволюція судової влади в бік гуманності – наприклад, заміна смертної кари грошовим покаранням. Ще однією пам’яткою є Конституція Пилипа Орлика 1710 року (“Пакти і Конституції прав і вольностей Війська Запорозького”). У ній було відбито правові ідеали запорожців – громада виступала основним джерелом влади. Було проголошено національну безпеку – повна (фізична та духовна) незалежність від Московії.

Конституція Пилипа Орлика

У нашій сучасній Конституції України чітко прописані статті, які гарантують кожному громадянину інформаційну свободу:

  • Стаття 30. Кожному гарантується недоторканність житла. Не допускається проникнення до житла чи до іншого володіння особи, проведення в них огляду чи обшуку інакше як за вмотивованим рішенням суду.
  • Стаття 31. Кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. Винятки можуть бути встановлені лише судом у випадках, передбачених законом, з метою запобігти злочинові чи з’ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо.
  • Стаття 32. Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
  • Стаття 33. Кожному, хто на законних підставах перебуває на території України, гарантується свобода пересування, вільний вибір місця проживання, право вільно залишати територію України, за винятком обмежень, які встановлюються законом. Громадянин України не може бути позбавлений права в будь-який час повернутися в Україну.
  • Стаття 34. Кожному гарантується право на свободу думки і слова, на вільне вираження своїх поглядів і переконань. Кожен має право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб — на свій вибір. Здійснення цих прав може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров’я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя.
  • Стаття 40. Усі мають право направляти індивідуальні чи колективні письмові звернення або особисто звертатися до органів державної влади, органів місцевого самоврядування та посадових і службових осіб цих органів, що зобов’язані розглянути звернення і дати обґрунтовану відповідь у встановлений законом строк.
  • Стаття 50. Кожен має право на безпечне для життя і здоров’я довкілля та на відшкодування завданої порушенням цього права шкоди. Кожному гарантується право вільного доступу до інформації про стан довкілля, про якість харчових продуктів і предметів побуту, а також право на її поширення. Така інформація ніким не може бути засекречена.
  • Стаття 54. Громадянам гарантується свобода літературної, художньої, наукової і технічної творчості, захист інтелектуальної власності, їхніх авторських прав, моральних і матеріальних інтересів, що виникають у зв’язку з різними видами інтелектуальної діяльності. Кожний громадянин має право на результати своєї інтелектуальної, творчої діяльності; ніхто не може використовувати або поширювати їх без його згоди, за винятками, встановленими законом.
  • Стаття 59. Кожен має право на професійну правничу допомогу. У випадках, передбачених законом, ця допомога надається безоплатно. Кожен є вільним у виборі захисника своїх прав.
  • Стаття 64. Конституційні права і свободи людини і громадянина не можуть бути обмежені, крім випадків, передбачених Конституцією України.

Конституція України

Відсутність або порушення безпеки – це прямопротилежний процес, який призводить до численних зловживань, неадекватних рішень, фінансових втрат, системних помилок, а також їх наслідків.

Відсутність безпеки = відсутність стратегії і методології розвитку. Це невизначеність, збитковість, падіння успішності, ефективності, продуктивності, погіршення репутації.

Там, де немає безпеки – там настає хаос і безкарність. Там дикунство і варварство. А разом з тим – криза, зубожіння, занепад, деградація. Отже, виникає загроза для існування.

Відсутність безпеки - це загоза для існування.

Натомість, там, де безпека і людські права на першому місці – там захищені, щасливі і успішні люди працюють на благо Батьківщини та приносять користь своєму народу та усьому світу.

Варто додати, що ми говоримо не про тоталітарну і централізовану безпеку, як по роману Дж. Орвелла “1984”, а безпеку – як гармонійний, природний, захищений лад життя і спосіб конструктивного мислення. Безпеку відкриту, яку творить сам народ, а держава постає скріплювачем і проявленням його волі. 

У багатьох процвітаючих країнах з розвинутим Інститутом безпеки спостерігається високий рівень життя, майже відсутні внутрішні загрози і конфлікти, висока народжуваність, низькі безрозбіття, смертність і злочинність, наявність інтелектуальної еліти. Приклади: Великобританія, Швеція, Норвегія, Люксембург, Швейцарія, Австрія, Австралія, Нідерланди, Канада, Японія. Ці країни одними з перших включили концепцію “human security” у свою внутрішню політику.

Безпека - це добробут і успішність

Безпека – це ще й вміння критично мислити, приймати рішення, долати перешкоди, вирішувати суперечки й стресові ситуації, працювати над помилками та формулювати правильні висновки.

Таким чином, без безпеки неможливий ні особистий, ні суспільний поступ.

Що таке інформаційна та кібербезпека? У чому їх цінність?

Інформаційна безпека

Світ постав зі Слова. В основі світобудови лежать два початки: інформація та носії інформації. Життя – це по суті інформаційна система (ІС), людина – комп’ютер, а людське ДНК – носій закодованої інформації, наших ген, які передаються з покоління у покоління у спадок. Важливим аспектом функціонування будь-якої інформаційної системи є – захист та забезпечення цілісності інформації.

ДНК структура

Відомий вислів стверджує: “Хто володіє інформацією, той володіє світом”.  У всі часи люди намагалися отримати доступ до секретної, таємної, закритої інформації. Полководці, воїни, князі і вожді прагнули дізнатися, що думає і планує ворог, скільки сил у противника, де локалізується опонент і коли збирається напасти. Відправляли гінців-розвідників в далекі і небезпечні подорожі. Інформаційна безпека і гігієна вже тоді були на вагу золота.

Важливо було не лише добути чи передати, а й попередити, захистити інформацію від розкриття, поширення, перекручення. Люди використовували найрізноманітніші способи та засоби, вигадували спеціальні жести, шифри і стенограми.

Давньогрецький історик Плутарх писав так про принцип шифрування інформації у еллінів:

“Відправляючи до місця служби начальника флоту або сухопутного війська, ефори (вищі посадові особи спартанської держави) беруть дві круглі палиці абсолютно однакової довжини і товщини. Одну вони залишають собі, іншу передають від’їжджаючому. Ці палиці називають скиталами. Коли ефорам потрібно повідомити якусь важливу таємницю, вони вирізують довгу і вузьку, на зразок ременя, смужку папірусу, намотують її на свою скиталу, не залишаючи на ній жодного проміжку, так щоб вся поверхня палиці була охоплена цією смугою. Потім, залишаючи папірус на скиталі у тому вигляді як він є, вони пишуть на ньому те, що потрібно, і написавши, знімають смугу й без палиці відправляють її воєначальнику. Так як букви на ній стоять без будь-якого зв’язку, розкидані в безладді, прочитати написане він може тільки взявши свою скиталу і намотавши на неї вирізану смугу, розташовуючи її звивини в колишньому порядку, щоб водячи очима навколо палиці і переходячи від попереднього до наступного, скласти перед собою зв’язане повідомлення. Смуга папірусу зветься, як і дерев’яна палиця, “скиталою…“.

Скитала стала одним з найдревніших способів криптографії, історики назвали її “шифром давньої Спарти”. Дослідники зазначають, що скитала використовувалася у війні Спарти проти Афін наприкінці V століття до н.е.

Скитала

Згадаємо “Шифр Цезаря”, який застосовував римський імператор Юлій Цезар для приватного листування. В його основу була покладена система підстановки. Суть проста: літери алфавіту зсуваються на кілька позицій. Таким чином, літера “А” замінюється на “Г”, “B” на “Д” й так далі. Для непосвяченого такий текст виглядав “абракадаброю”. Щоб розшифрувати послання потрібно було скористатися спеціальним диском – це пристрій, що складається із зовнішнього та внутрішнього дисків, які дозволяють зашифрувати повідомлення з допомогою шифру простої заміни. “Шифр Цезаря” довго вважався надійним, адже його не могли розшифрувати.

Шифр Цезаря

Яскравим прикладом захисту інформації є німецька шифрувальна машина “ENIGMA”, яка була сконструйована на основі іншого шифрувального апарарату – “Дисків Джефферсона”. Можна було подумати, що “Енігма” щось друкувала і комусь передавала. Насправді вона зашифровувала повідомлення з допомогою тих же шифрувальних дисків. Усі повідомлення, які потрібно було зашифрувати, виводилися на спеціальній панелі у вигляді лампочок, що спалахують: натискаєш на клавішу “Т” – отримуєш лампочку “О”, записуєш отриманий символ. Третій Рейх випустив близько сотні тисяч різних модифікацій цієї шифрувальної машини. Останню модифікацію “Енігми” вдалося взламати геніальному британському математику, першому хакеру – Алану Тюрингу й тим самим переламати хід Другої світової війни.

Німецька шифрувальна машина Енігма

Починаючи з XX століття, з винайденням перших електронно-обчислювальних машин, інформаційна безпека набуває ще важливішого характеру. Почали створюватися науково-дослідницькі центри, інститути та лабораторії з вивчення інформаційних технологій. Інформаційну безпеку застосовують на об’єктах військового та стратегічного значення, включають в програму міністерств оборони різних країн.

У 1960-х роках в США при Массачусетському та Стенфордському інститутах започатковуються перші технологічні клуби, комуни та гуртки хакерів-інженерів ЕОМ, які виступали за децентралізацію, вільний доступ до знань та програмного забезпечення.

Перші хакери

В кінці 1960-х – початку 1970-х відбувається Науково-технічна революція, в світ випускають перший мікропроцесор Intel 4004, а в пресі з’являється термін “Кремнієва долина” (Silicon Valley), що позначає регіон у штаті Каліфорнія, де розміщуються центри великих технологічних компаній США, таких як Google, Amazon, Apple, Microsoft та інших. Одним з ключових питань над якими задумувались виробники – це безпека і захищеність їх продуктів.

Незабаром розробляються перші стандарти і фреймворки інформаційної безпеки. У 1985 році Міноборони США видало так-звану “Помаранчеву книгу” (названу за кольором обкладинки), у якій представлені критерії безпеки комп’ютерних систем. На її основі у подальшому виникне чимало важливих стандартів інформаційної безпеки, зокрема ISO/IEC 15408, ISO/IEC 27000.

Помаранчева книга - критерії безпеки

Таким чином, Інформаційна безпека (information security) перетворюється в самостійну галузь і багатодисциплінарну науку, основними завданнями якої є захист інформації і її носіїв, захист інформаційних вузлів та систем. Вона охоплює: комунікацію, програмні (Software) та апаратні (Hardware) засоби.

Об’єктами інформаційної безпеки є: 

  • Соціальні вузли – люди, громади, суспільні верстви;
  • Технічні вузли – інформаційні системи і підсистеми, електронні ресурси, канали телекомунікації, комп’ютерні мережі, елементи інфраструктури.

Інформаційну безпеку можна поділити на: Фізичну, Персональну та Організаційну.

Цілями інформаційної безпеки є: виявлення, запобігання, нейтралізація, усунення, локалізація, відбиття, знешкодження, знищення загроз, мінімізація ризиків.

Основоположниками були сформульовані три принципи інформаційної безпеки (тріада CIA):

  1. Конфіденційність (Confidentiality) – захист інформації від несанкціонованого доступу.
  2. Цілісність (Integrity) – захист інформації від несанкціонованих змін.
  3. Доступність (Availability) – забезпечення безпечної передачі та вчасного, зручного отримання інформації.

Структура інформаційної безпеки

Загрози інформаційної безпеки мають чимало форм, умовно їх можна поділити на: 

  • Апаратні – це тип загроз, джерело яких є апаратне забезпечення. До них належать: прослуховування, відеоспостереження, електромагнітне випромінення, відключення, пошкодження, незаконне підключення та інше.
  • Програмні – це тип загроз, джерелом яких є програмне забезпечення. Наприклад: злами, ін’єкції, атаки, перехоплення, відмова в обслуговуванні (DOS/DDOS), шкідливе ПЗ (Malware), помилки коду, системні збої, зависання, знищення і втрата даних, некоректні права доступу, хибна конфігурація (misconfiguration) та інші.
  • Антропогенні – це тип загроз, які пов’язані безпосередньо з людьми (від грец. ανθρωπος — людина). Це дезінформація, шпигунство, вербування, підкуп, шантаж, крадіжки, розкриття або викривлення інформації, будь-які людські помилки та необережні дії. Організаторами антропогенних загроз можуть виступати різноманітні групи: диверсанти, екстремісти, кримінальні структури, шахраї, зловмисники, недобросовісні партнери, агенти спецслужб і так далі. Подібні загрози можуть мати і ненавмисний характер, в такому випадку їх джерелом можуть бути: оператори, співробітники, технічний або обслуговуючий персонал тощо.
  • Стихійні – це тип загроз, які викликані певними надзвичайними обставинами природнього або штучного характеру. Аварії, диверсії, стихійні лиха, природні і техногенні катастрофи, пожежі, повені, землетруси, урагани, епідемії та інше.

15 жовтня 2021 року в Україні ввели рішення РНБО “Про Стратегію інформаційної безпеки”, згідно з якою інформаційна безпекаце складова національної безпеки України, стан захищеності державного суверенітету, територіальної цілісності, демократичного конституційного ладу та інших життєво важливих інтересів людини, суспільства і держави.

Кібербезпека

Початком становлення галузі кібербезпеки можна вважати Весняну комп’ютерну конференцію 1967 року в США, організовану Віллісом Вером (1920-2013) – американським дослідником комп’ютерних технологій, ентузіастом, випускником МІТ, шанувальником конфіденційності і основоположником комп’ютерної безпеки. У 1970 році Вілліс підготував звіт для Міноборони США – “Security Controls for Computer Systems”, у подальшому названий “Звітом Вера”. В ньому описувались основні ризики, атаки та вразливості комп’ютерних систем. Цей звіт стане основою для майбутніх концепцій цифрової безпеки, зокрема NIST.

Звіт Вілліса Вера про комп'ютерну безпеку

З розвитком інтернет-технологій, з’являється поняття кіберпростору (cyberspace) – це віртуальне, інтерактивне, комунікативне, інформаційне середовище, яке функціонує з допомогою електронно-обчислювальних систем, електронних ресурсів та комп’ютерних мереж. Сам термін вперше згадується у науково-фантастичних творах канадця Вільяма Гібсона“Burning Chrome” (1982) та “Neuromancer” (1984).

Кіберпростір породив кіберкультуру (cyberculture) – це соціокультурне явище, яке формує цифрову спільноту і ідентичність. Кіберкультура, подібно субкультурі, продукує різні форми самовираження, як от: мистецтво, музика, література, кіно, дизайн, стиль, цінності, звички, навички. Однак медіатором постають комп’ютерні мережі. Учасники комунікують між собою через соцмережі, месенджери, веб-сайти, форуми, блоги, чати, стріми, групи, канали. Яскравими носіями кіберкультури є: хакери, шифропанки (криптоанархісти), кіберпанки, кракери, фрікери, хактивісти, геймери, вікіпедисти, шанувальники GNU/OpenSource та інші.

Cyberspace

Сам термін “кібер”(cyber) походить від грецького κυβερ та означає – навігатор. А слово “кібернетика” від грецького κυβερνητικήмистецтво керувати. У давнину “кіберами” називали керманичів, правителів, капітанів морських кораблів. Вони згадуються в праці давньогрецького філософа Платона – “Закони” (354 р. до н.е.).

У 1830 році французький фізик і математик Андре-Марі Ампер (1775-1836) ввів поняття “кібернетика”, що означало – мистецтво керувати державою та передбачало забезпечення усіх благ громадянам.

У 1948 році виходить у світ фундаментальна книга американського математика Норберта Вінера (1894-1964)“Кібернетика: або Контроль і комунікація у тварин і машин”, де науковець вперше вжив термін “кібернетика” як наука для регулювання/керування/адміністрування будь-яких організмів, включаючи сервоорганізми – механічні, гідравлічні, електричні, електронні. З того часу кібернетика вивчає зберігання, відтворення і передачу інформації та тісно асоціюється з інформаційними технологіями й комп’ютерними системами.

Норберт Вінер - Кібернетика

Згідно науково-технологічної парадигми, ми живемо в епоху VI Економічного укладу (біо-, нано-, інфо-, когнотехнології), яка передбачає повну цифровізацію та автоматизацію. Об’єкти інфраструктури переносяться у “хмару” (Cloud) – віртуальне серверне середовище, що спрощує обробку і доступ до інформації. Поряд з цим, з’являються нові ризики, зловживання, загрози, вразливості – кібератаки, кіберінциденти, кібершпигунство, кібертероризм. Тож кіберпростір стає середовищем підвищеної безпеки і навіть театром бойових дій. Відповідно, надважливу роль відіграє кібернетична безпека або кібербезпека.

Цифрова трансформація інфраструктури

Цифрова трансформація об’єктів фізичної та критичної інфраструктури.

Кібербезпека (cybersecurity) – це захист цифрових технологічних активів, мережевих систем та об’єктів ІТ-інфраструктури у кіберпросторі. Кібербезпека включає методики, техніки, тактики, інструменти для комплекного забезпечення кіберзахисту та своєчасного виявлення, запобігання і нейтралізації загроз на всіх рівнях мережевої OSI-моделі.

Основними напрямками кібербезпеки є:

  1. Захист ком’ютерних мереж (Network Security)
  2. Захист додатків і програмного забезпечення (Application Security)
  3. Захист веб-сайтів і електронних ресурсів (Web Application Security)
  4. Захист мобільних пристроїв, додатків і систем (Mobile Security)
  5. Захист об’єктів критичної інфраструктури (SCADA Security)
  6. Захист інтернету речей (IoT Security)

Кібербезпека окрім захисту також включає кіберрозвідку та контрзаходи:

  • Кіберрозвідка – це збір і добування інформації усіма можливими цифровими засобами: інтернет, радіоінженерія, супутники, дрони, аудіо- і відеоспостереження, стільниковий зв’язок.
  • Контрзаходи – це будь-які попереджувальні операції й дії, заходи інформаційного впливу та кібернетичного спротиву з метою послабити або недопустити потенційні атаки/загрози.

Якщо порівнювати кібербезпеку та інформаційну безпеку, то остання є більш старішою, глобальною та академічною галуззю. Вона виникла ще тоді, коли кіберпростору як такого не існувало і все базувалося на теоретичних основах. Кібербезпека ж активно застосовує та втілює ці теоретичні основи на практиці. Кібербезпека вимагає бездоганного знання технологій і активну взаємодію з комп’ютерними пристроями, системами, мережами, розробку та обслуговування IT, володіння численними інструментами, знання мов програмування. Можна сказати, що інформаційна безпека – це голова, а кібербезпека – це руки.

Екосистема кібербезпеки

На сьогодні існує безліч професій та дисциплін, з яких складається кібербезпека, ось деякі з них:

  • Vulnerability Management – фокусується на пасивному і активному зборі інформації, аналітиці, пошуку, вивявленні, оцінці і систематизації вразливостей електронних систем та ресурсів. Включає практики IT Аудиту, Security Operation Center (SOC).
  • Penetration Testing – фокусується на моделюванні кібератак з метою відтворити дії зловмисників та перевірити стійкість кіберзахисту. Застосовуються Offensive Security практики, включаючи Ethical Hacking, Social Engineering, Red Team.
  • Malware Analysis – фокусується конкретно на дослідженні комп’ютерних вірусів і шкідливого програмного забезпечення, аналізі коду. Включає чимало лабораторної роботи. Застосовується Reverse-інженерія.
  • Threat Intelligence – фокусується на виявленні та знешкодженні кіберзагроз, вивчає та систематизує кібератаки і кіберзлочини. Включає постійне спостереження і моніторинг, оперативно-розшукову роботу, мережеву розвідку, деанонімізацію. Застосовується OSINT.
  • Digital Forensics – фокусується на ретельному вивченні кіберзлочинів і збору доказів, спостереженні, пошуках і аналізу цифрового сліду, виявленні, обробці та прочитанні зашифрованої, прихованої, технічної інформації. Застосовується в Цифровій криміналістиці.

У 2001 році була заснована міжнародна некомерційна організація OWASP (Open Worldwide Application Security Project), яка здійснила величезний вплив на розвиток кібербезпеки по всьому світі. Учасниками спільноти були розроблені численні інструкції, матеріали і документації, які у подальшому стали стандартами. Наприклад: OWASP TOP-10, OWASP Application Security Verification Standard (ASVS), OWASP Testing Guide та багато інших.

OWASP logo

У тому ж 2001 році Європейська Комісія представила перший документ «Мережева та інформаційна безпека: пропозиція щодо підходу до європейської політики», в якому окреслено підхід до проблеми кібербезпеки. У березні 2004 р. створено Агентство Європейського Союзу з мережевої та інформаційної безпеки (ENISA), яке активно співпрацює з Європолом, Європейським центром кіберзлочинності та іншими спеціалізованими структурами ЄС. У лютому 2005 р. Рада ЄС прийняла Рамкове рішення 2005/222/JHA про напад на інформаційні системи, встановивши мінімальні правила щодо визначення кримінальних злочинів і санкцій. У травні 2007 р. Європейська комісія представила документ «На шляху до загальної політики щодо боротьби з кіберзлочинністю». У березні 2009 р. опубліковано повідомлення Європейської комісії «Захист Європи від широкомасштабних кібератак та зривів: підвищення готовності, безпеки та стійкості», в якому визначено проблеми, що потребують негайного реагування. В лютому 2013 р. була затверджена стратегія кібербезпеки «Стратегія кібербезпеки Європейського Союзу: відкритий та безпечний кіберпростір». З тих пір розпочався інтенсивний розвиток політики ЄС щодо кіберпростору в усіх його
вимірах.

У 2015 році некомерційна американська організація MITRE створила фреймворк-матрицю з кіберзахисту під назвою MITRE Att&ck, яка містить велику кількість алгоритмів, сценаріїв, методик, технік атак і ризиків та допомагає командам безпеки в усіх секторах захищати свої організації від відомих й невідомих загроз.

MITRE Attack Matrix

27 січня 2016 року в Україні було створено Національний координаційний центр кібербезпеки (НКЦК), який покликаний координувати роботу усіх державних інституцій, які займаються кіберзахистом.

14 квітня 2016 року в межах законодавства Європейського Союзу був прийнятий “Загальний регламент про захист даних” (General Data Protection Regulation, GDPR), який був покликаний захистити персональні дані резидентів ЄС. Цей закон вплинув на чимало соцмереж і додатків, які збирали дані користувачів без їх відома.

У 2017 році в Україні був прийнятий Закон “Про основні засади забезпечення кібербезпеки України”. Кібербезпека була проголошена станом захищеності життєво важливих інтересів людини, громадянина, суспільства та держави, який забезпечує сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, виявлення і нейтралізацію загроз національній безпеці.

Перспективи галузі кібербезпеки

Кіберпростір за своїм впливом та значенням впевнено наближається до фізичного. Сюжети фантастів і футурологів стають реальністю. Левову частку дій та операцій людина проводить в Інтернеті: електронні книги, послуги, банки, гаманці, цифрові підписи, соціальні мережі, месенджери, дистанційні робота і навчання. Онлайн вдома, на роботі, на зупинці, в машині, в метро, у літаку. Всюди з нами цифровий слід. Ще 100 років тому усе це здавалось примарним.

Разом з тим, криміногенне середовище теж поступово оцифровується. Щороку мільйони людей стають жертвами кібербандитизму і шахрайства. Десятки тисяч нових зразків шкідливого ПЗ мало не щодня з’являються у кіберпросторі. Фішинг, смішинг та вішинг все ще є серйозною загрозою для більшості користувачів. Регулярно проводяться інформаційні атаки. Комп’ютерні мережі стають полігоном кібервійн. Щоб убезпечитися, різні держави світу створюють коаліції та розробляють власні національні стратегії та екосистеми кіберзахисту. Кібермогутність стає зброєю нового покоління.

Отже, світ стає все більш залежним від кібербезпеки. Надання послуг із захисту даних стають новим видом бізнесу. Хтось створює вакцини, а хтось системи кіберзахисту, які не менш важливіші. Фахівці з кібербезпеки – найзатребуваніші на ринку праці. І за статистикою, їх не вистачатиме. Тому що, кібербезпека стрімко та безперервно розвивається, застосовуючи передові знання із різних наук, практик, дисциплін. Постійно задіюються нові інструменти, пристрої, тактики, стратегії. З’являються нові професії, пов’язані з кібербезпекою. І цьому немає меж. Тому, що безпека є природнім станом й потребою людства.

Однією з найважливіших та найперспективніших сфер застосування кібербезпеки є медицина. Медичні пристрої, апарати, системи моніторингу, імпланти і стимулятори, підключені до Wi-Fi/Bluetooth/LAN мереж, можуть стати ціллю зловмисних атак. В такому випадку під загрозою опиняються тисячі людських життів.

Не менш важливою є критична інфраструктура. Трубопроводи, магістралі, аеропорти, залізничні колії, електростанції, очисні споруди, господарства вже неодноразово зазнавали атак в різних точках світу. Нагадаємо атаку на нафтопровід “Colonial Pipeline” в США, в результаті чого вся система трубопроводів була виведена з ладу, автомобільні заправки працювали з перервами, а в країні запровадили надзвичайний стан.

Приорітетною є фінансова безпека. Банки, фінансові установи, blockchain і платіжні системи перебувають під постійною загрозою організованих APT-груп (Advanced Persistent Threats), вірусів-шифрувальників, діпфейків та ботнетів. У найближчі 5-10 років ці атаки тільки посиляться.

Нові виклики безпеки несуть в собі мобільні мережі та стільниковий зв’язок (4G/5G), фунціональність яких залежать від коректної роботи програмного забезпечення, обслуговуючого персоналу та устаткування.

Штучний інтелект, машинне навчання (роботизація) та програми освоєння космосу теж вимагають посиленої кібербезпеки.

Таким чином, можливості та перспективи кібербезпеки безграничні. Можна впевнено сказати, що за нею майбутнє.

Безпека як базова потреба людства

Використана література:

  1. Ситник Г.П., Орел М.Г. Національна безпека в контексті європейської інтеграції України (2021).
  2. Ліпкан В.А. Національна безпека України (2009)
  3. Даник Ю.Г., Ворoбієнко П.П., Чернега В.М. Основи кібербезпеки та кібероборони (2019)
  4. Ю.П. Лісовська. Кібербезпека: Ризики та заходи (2019)
  5. В.В.Горлинський. Філософія безпеки і сталого людського розвитку (2011)
  6. Бурячок В.Л. Інформаційна та кібербезпека: соціотехнічний аспект (2018)
  7. Богуш В.М. Інформаційна безпека: Термінологічний навчальний довідник (2004)
  8. Д. В. Дубов. Кіберпростір як новий вимір геополітичного суперництва (2014)
  9. Ліпкан В.А. Безпекознавство (2003)
  10. В. М. Богуш, В. В. Богуш, В. Д. Бровко, В. П. Настрадін. Основи кіберпростору, кібербезпеки та кіберзахисту (2020)

ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:

5 1 голос
Рейтинг статті
Підписатися
Сповістити про
guest
6 Коментарі
Старіші
Новіші Найпопулярніші
Вбудовані Відгуки
Переглянути всі коментарі
Wanderer
Wanderer
5 місяців тому

Дякую за матеріал!

Я своє життя можу розділити на 2 частини:

Перша – життя без розуміння безпеки, а відтак і без розуміння, що таке справжня небезпека та її наслідки. Переважно, це дитячі і юнацькі роки, коли всю безпеку на себе брали рідні, а моє життя було різнобарвним, цікавим, веселковим… Ця частина вела мене кудись наосліп без чітко окресленої мети. Що приводило до численних “шишок” і завдавало не завжди приємного, радісного досвіду.

Друга – життя з безпекою. Ця частина більш осмислена, більш грунтовна і правильна, яка базується не на нових помилках, а вже пережитому. Безпекознавство вчить думати, прогнозувати і передбачати. Дає уміння концентруватися і прислухатися, вести хроніку усіх подій (адміністрування). Цікавитися минулим (історія) і майбутнім (футурологія). Зв’язувати докупи факти (osint/форензика). Вести здоровий спосіб життя та шанувати рідних, коханих і близьких, яких ми у кожен момент можемо втратити…

Отже, безпека формує Справжню Людину, яка йде по вірному, добросовісному Шляху!

Wanderer
Wanderer
5 місяців тому
Відповісти  KR. Laboratories

Зрозумів! Дуже специфічний, але разом з тим цікавий, вдалий, фундаментальний підхід! Дякую Вам!

R-0-x-o-LAN
R-0-x-o-LAN
5 місяців тому

У цьому матеріалі, як на мене, розставлені важливі точки. Наприклад, раніше ніде не чув, щоб хтось розповідав про кібернетику. А з неї виявляється пішла кібербезпека. Про “Помаранчеву книгу” теж не чув. Цікавою є етимологія того чи іншого терміну. Не знав, що в українській культурі існує слово “бережа”, яке має свій сакральний символ. Хотілося б бачити продовження цього курсу.

6
0
Цікаво почути Вашу думку!x
Отримати комерційну пропозицію
Оформити заявку
Замовити консультацію

Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!

Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!