В конце прошлого года Украина присоединилась к мировой коцепции безопасности в сфере IT. Мы расскажем, как создавалось ведомство «белых хакеров», об отборе, обучении и первых результатах украинских киберполицейских.
15 октября 2015 года стартовал набор в киберполицию. Министр внутренних дел Арсен Аваков огласил, что на благо безопасности украинцев будут работать так называемые «хакеры», они же спецагенты с зарплатой 30 тыс. грн, и инспекторы с зарплатой от 8 тыс.
В киберполицию, которая стала межрегиональным территориальным подразделением Национальной полиции, планировали набрать около 400 сотрудников, среди которых — 187 инспекторов и 39 специальных агентов информационных технологий.
На должность киберполицейских искали специалистов со знанием английского, которые ранее работали в сфере программирования и IT. Хотя айтишники в Украине получают намного больше, чем может им предложить государство. Средняя официальная зарплата специалиста информационных технологий составляет 11 тысяч гривен в месяц. Если говорить о деньгах «в конвертах», сумма в разы больше.
Артём
работник IT-сферы с 11-летним стажем
Я работаю на украинскую частную фирму в сфере веб-разработок и получаю $ 3000. Официально мне начисляют 3 тысячи гривен, но пенсионные накопления меня не особо волнуют. Я сам позабочусь о своей старости. Для толкового айтишника 30 000 грн — это смешные деньги, и никто на такую зарплату не пойдёт. Правительство хочет создать департамент, где профессионалы будут бороться с хакерами и киберпреступниками, но на самом деле получит в свои ряды дилетантов.
На форумах программистов также критично отреагировали на новое межрегиональное подразделение полиции:
Отбор
Через две недели после подачи заявки кандидатов пригласили на первый отборочный этап — зачёт по физической подготовке. Нормативы были такими же, как у патрульных: девушки сдавали упор лёжа, а юноши показывали свои силы в беге и подтягивании.
Участников в зависимости от близости к городу приглашали приехать в Одессу, Киев, Львов или Харьков, однако не все были готовы бросить дела и ехать за несколько сот километров: из заявленных в списках явилось около трети претендентов, — пишет участник отбора во львовское подразделение киберполиции Леонид Косташ.
Тех, кто справился с нормативами, спустя три недели пригласили на компьютерное тестирование. Оно включало в себя комплексный тест общих навыков, тест на знание технического английского и тест профессиональных навыков — в основном, на знание сетевых технологий.
Леонид Косташ
участник отбора в киберполицию
Заостряться на этом этапе случая мне не представилось, скажу лишь, что пройти было не так сложно, как я предполагал вначале, но всё же последний тест я чуть не завалил (не успевал на поезд). И снова людей приехало меньше, чем было в списках (по крайней мере, в Львове все, кто приехал, из моей группы уместились в один кабинет).
Участник харьковского отбора Юрий Кныш отмечает, что перед тестированием у него трижды проверили паспорт для избежания мошенничества на разных этапах — от КПП до входа в компьютерный класс. После проверки участники получили свои уникальные зашифрованные номера и приступили к тестированию.
Юрий Кныш
УЧАСТНИК ОТБОРА В КИБЕРПОЛИЦИЮ
Лично в моём классе люди уже через 5 минут начали вставать и уходить. Тесты были довольно сложными, но не в плане информационной безопасности, а в плане того, что они были заточены под разработчиков и системных администраторов.
Вещи, которые они спрашивают, характерны для времён Кевина Митника, Ишимуры и пары-тройки преподов, которые сохранились под формалином со времён совка.
Участник киевского отбора отмечает вопросы из блока «Логика»:
Максим Сорокин
журналист, участник отбора в киберполицию
Например, о девушках и длине их волос: «Все длинноволосые девушки работают кассирами в банке. В крупном городе нет банков, отсюда выходит что...». Далее нужно было выбрать наиболее подходящий вариант из указанных ниже: «Некоторые девушки работают в городе», «Длинноволосые девушки не работают в банке», «В городе нет банков», «В городе не работает ни одна длинноволосая девушка».
Спустя почти месяц после компьютерного тестирования кандидатов в киберкопы пригласили пройти ВЛК. Среди плюсов этого этапа участники отмечают возможность пройти его по месту жительства. Однако, учитывая современные реалии системы здравоохранения, он, похоже, единственный.
Леонид Косташ
УЧАСТНИК ОТБОРА В КИБЕРПОЛИЦИЮ
Я проходил в Ровно, тяжело было: ММРI на 377 вопросов, функционалка, психиатр и куча нервов, пока всё прошёл, впечатлений море. Когда был на тесте в Львове, никого из тех, с кем проходил, не заметил. Может, им на другое время было, хотя я в лица особо не всматривался, может, на второй этап. Не знаю, как у кого с мотивацией, а я пойду, куда смогу, мне этим заниматься было бы интересно.
Четвёртым этапом стало психологическое тестирование на благонадёжность по израильской системе Midot. Тест позволяет оценить вероятность рисков деструктивного поведения и служебных злоупотреблений на рабочем месте путём оценки мнений, суждений и поступков в прошлом.
Многих смутило то, что участников отбора разделили на две группы, из-за чего некоторым пришлось ждать тестирования ещё месяц. Большая часть отборов проходила лишь в четырёх городах и требовала постоянных разъездов, что угнетало мотивацию будущих киберкопов, так как в это время фактически невозможно было работать.
Леонид Косташ
УЧАСТНИК ОТБОРА В КИБЕРПОЛИЦИЮ
Полгода без работы мало кто захочет ждать ... Я потерплю до начала марта, потом, если не будет ничего нового, буду звонить на горячую линию, если дозвонюсь ... Ситуация давит на психику, надо приспосабливаться.
Автор рассказывает, что вопросы были нескольких типов: на лояльность к руководству, склонность к обману и краже, отношения в коллективе и вредные привычки. Тест имеет базу из 600 вопросов, но тестируемому предлагалась выборка из ста вопросов, которые подбирались алгоритмом системы в зависимости от ответа на предыдущий вопрос. Важным фактором оценки было время, потраченное на размышления и ответ.
Никита Кныш, который проходил Midot в Харькове, пишет, что тест был предсказуемым и заключался в том, что на 90 % вопросов нужно было отвечать «нет» с минимальной задержкой:
Всю серьёзность подготовки показывал просроченный SSL сертификат компании, которая проводила тестирование.
Но дело вовсе не в нём, а в том, что весь тест из 500 вопросов по сути отражали только три:
1. Вы берёте взятки? / А может всё-таки берёте? / А если кто-то берёт, то это плохо?
2. Вы употребляете наркотики? / А когда последний раз употребляли? / А может, хотя бы чуть-чуть употребляли?
3. Вы стрессоустойчивый? / Вы можете подчиняться? / Вы склонны к суициду?
Пятым, завершающим этапом отбора было личное собеседование. Впервые за всё время кандидатов оценивали люди, а не компьютеры, что наконец дало ответы на многие вопросы.
Среди членов комиссии были общественные активисты, известные эксперты в области информационной безопасности и сотрудники МВД. Никита Кныш отмечает прозрачность этапа и то, что вопросы были довольно конструктивными — о практических навыках и реальных кейсах документирования и сбора информации в сфере информационной безопасности.
Участник из Ровно дал более критичную оценку данному этапу. Он не разглядел в нём ни конструктива, ни открытости руководства:
Леонид Косташ
УЧАСТНИК ОТБОРА В КИБЕРПОЛИЦИЮ
Что тут можно сказать, кроме матов? Всех загнали в Киев, вопросы были разные, иногда весьма провокационные, и в силу усталости (ночь ехал в автобусе) не всегда успевал уловить, чего они (эти активисты) таки хотят услышать ... После собеседования у участников неофициальной группы Киберполиция появилось ещё больше вопросов и ещё меньше терпения. Но это мало кого волновало из официальных организаторов, которыми были, по словам горячей линии и Департамента Киберполиции, международные заказчики в лице ICITAP, но, со слов куратора ICITAP, они лишь помогали консультациями.
Обучение
После всех бюрократических тонкостей, этапов отбора и собеседований будущих киберполицейских посадили за парты. Изначально предполагалось, что курс обучения составит три месяца, в течение которых будущих копов обеспечат жильём и стипендией (2500 грн), но киевским киберкопам также пришлось из этой суммы выделить 580 грн на проживание. Позже курс продлили ещё на 3 месяца, но в конечном итоге сошлись на длительности обучения в 4,5 месяца.
Жизнью киберстудентов делится один из них, киевлянин Дмитрий Хотин. В своём дневнике он рассказывает о буднях будущих инспекторов кибер-ведомства.
Обучение киберкопов в Харькове началось в марте. Курсантов разделили на пять групп по 20 человек, но, как отмечает Дмитрий, значительная часть заявленных в списке (8 человек, в том числе и единственная девушка в группе) так и не явились.
Занятия проходят в Харьковском национальном университете внутренних дел. Будущие киберкопы живут в казармах, в среднем в день у них по четыре пары, но автор отмечает, что в последнее время между занятиями есть «окна», которые позволяют перевести дух.
Список предметов довольно обширен, в программе есть как теоретические, так и чисто практические дисциплины. Последние по большей части основаны на аналогичных курсах учебных заведений МВД, однако материальное и техническое обеспечение здесь на порядок выше.
Дмитрий Хотин
будущий киберинспектор
Огневая подготовка — следующий новый предмет в нашем расписании. Несмотря на то, что сегодня у нас была только вступительная лекция, нас уже познакомили с реальными образцами оружия, с которыми мы в дальнейшем будем работать. Это пистолеты Форт-12 и Форт-17. Учимся мы на 12-м, стрельбы — с 17-го, экзамен комплексный, из трёх элементов. Пар достаточно много, из них только первое занятие теоретическое, но даже на нём каждый из нас провёл неполную сборку/разборку, а также неоднократно снарядил магазин. Преподаватели приятные, с юмором. От себя замечу, что подход к обучению в разы лучше, чем был у нас на военной кафедре ЖВИ НАУ: образцов оружия выдают не менее 10-ти на группу из 13-ти человек, а не 3 на 30, как было у нас на военке, к тому же регулярные стрельбы, а не только их имитация, когда тебе дали аж восемь патронов, и ты должен что-то там настрелять. Это реальный прогресс в системе образования, так как «теория без практики мертва, а практика без теории слепа» (А. Суворов).
О лекционных занятиях автор также отзывается положительно, отмечая комфорт аудиторий и наличие проекторов. Теоретическая часть обучения киберкопов сопровождается презентациями, которые частично дублируют учебные материалы (в первый день курсантам выдали первую часть учебного пособия объёмом в 839 страниц). Знания, полученные на лекциях, регулярно закрепляются тестированиями и практическими занятиями — уже на второй день курсов киберкопы прошли аттестацию по дисциплинам «Профессиональная этика» и «Коррупция, противодействие и ответственность».
Учитывая то, что специальность для нашей страны новая, лекции и практические занятия по некоторым дисциплинам проводят не дипломированные преподаватели, а специалисты связанных с темой отраслей. Также в рамках лекций киберкопам рассказывают о работе аналогичных структур в США и Англии. Кроме того, к ним приезжали члены миссии ОБСЕ, студенты обсудили с ними борьбу с киберпреступностью в Чехии и Словакии. Дмитрий отмечает современный подход к системе образования, актуальность тем лекций и их формат.
Быт будущих стражей киберпорядка мало чем отличается от курсантов военных академий — подъём в 6 утра, холодный душ (за неимением ничего иного), завтрак по талону и далее по плану. Отдельно автор вспоминает питание в местной столовой. Студентов кормят по строгому графику и талонам — завтрак обходится копам в 20 грн и начинается в 7:30 утра, обед по талону за 25 гривен — с 11:25 до 13:25.
Также сотрудники киберполиции поучаствовали в тренинге «Silver Shadow», который проводился киберподразделением Национального агентства по борьбе с преступностью Великобритании (NCA NCCU). Офицеры из восьми стран (Болгария, Грузия, Литва, Молдова, Румыния, Украина, Великобритания (представители NCA NCCU), и Соединённые Штаты Америки (представители FBI)) собрались в Северном Йоркшире (Великобритания), чтобы оценить коллективное реагирование на смоделированную кибератаку на вымышленную международную нефтяную компанию. Целью упражнения была проверка того, как следователи и прокуроры будут сотрудничать в случае необходимости расследования сложного киберпреступления, которое бы охватило несколько правовых юрисдикций.
Джейми Сондерс
Директор Национального киберподразделения Национального Агентства по борьбе с преступностью Великобритании (NCA NCCU)
Киберпреступность по своей природе является международным явлением, большинство преступников и технические базы, на которые они полагаются, находятся за границей, но отрицательный результат их деятельности испытывают реальные люди и существующие компании на территории всей Великобритании. Это значит, что наша реакция должна включать возможность налаживать связь между полицейскими, которые имеют дело с жертвами на местном уровне, с их коллегами-правоохранителями в других странах, где могут находиться лица, которые совершили преступление.
Киберполиция сегодня
Исходя из соображений безопасности или же из-за неподготовленности законодательной базы, о деятельности киберкопов на просторах интернета и всевозможных ведомств пока не так много информации. Фактов — ещё меньше. В интервью изданию «АСН» глава Департамента киберполиции Национальной полиции Украины полковник полиции Сергей Демедюк опровергает информационный вброс относительно того, что полиция теперь имеет доступ к переписке каждого украинца в соцсетях:
Это байки о нас. Это невозможно, если лицо не совершает преступление. Права каждого гражданина защищены Конституцией и государством.
Чтобы посмотреть, к примеру, вашу частную переписку, нам необходимо иметь законные основания, обратиться в суд, получить разрешение. И только тогда, с использованием специального программного обеспечения, осуществить это. Вмешательство без решения суда — нарушение закона.
Но есть те, кто это делает. Недавно мы задержали студента, который незаконно получил доступ к почтовому ящику одной девушки, получил интимные фото и потребовал деньги за нераспространение. Сейчас этот парень ждёт приговора суда.
Сергей Демедюк отмечает, что киберполиция — обычное оперативное подразделение уголовной полиции, основное направление деятельности которого — борьба с преступностью в киберпространстве, выявление преступлений, которые совершаются с помощью высоких цифровых технологий, в том числе и информационных, вредоносного программного обеспечения и незаконных программно-технических комплексов.
Также киберкопы, благодаря своим ресурсам, призваны помогать подразделениям Национальной полиции в розыске и установлении местонахождения пропавших граждан или преступников.
Сергей Демедюк
глава Департамента киберполиции Национальной полиции Украины
Наш преступник — за монитором. Обнаружить его не так-то просто. Мы можем найти адрес, определить местонахождение того или иного устройства.
А вот кто им пользуется? Иногда определить трудно. Но мы это делаем.
Результаты
О первых успехах киберкопов написали спустя месяц после анонсирования набора. Речь идёт об обнаружении и прекращении деятельности онлайн порно-студии, основатели которой использовали для своего обогащения пятилетнего ребёнка. Однако, судя по информации на сайте подразделения, роли украинских киберкопов здесь второстепенны.
ПРЕСС-СЛУЖБА КИБЕРПОЛИЦИИ
Начиная с конца августа текущего года работники киберполиции в рамках международной операции, которая проводилась совместно с правоохранительными органами США, Таиланда и Новой Зеландии, принимали меры по идентификации и установлению пользователей, которые, используя онлайн-ресурсы, занимались изготовлением, распространением и сбытом детской порнографии. В результате принятых мер было установлено и задокументировано противоправную деятельность жителя Новой Зеландии, который перечислял денежные средства лицам, проживающим на территории Украины и Таиланда, за то, что последние в онлайн режиме демонстрировали ему обнажённых детей и выполняли любые сексуальные прихоти клиента.
Операции по задержанию проходили на территориях Украины, Таиланда и Новой Зеландии. За преступную деятельность жителю Новой Зеландии грозит лишение свободы на срок до 15 лет, а украинцу — от пяти до десяти лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет.
В декабре на распространении детского порно поймали 41-летнего директора одного из учебных заведений г. Ровно. В отделе коммуникаций ведомства отметили, что мужчина отправлял видео через Р2Р-сеть со своего рабочего кабинета. Согласно ч. 4 ст. 301 (ввоз, изготовление, сбыт и распространение порнографических предметов, содержащих детскую порнографию) УК Украины, чиновнику грозит лишение свободы на срок от трёх до семи лет с лишением права занимать соответствующие должности на срок до трёх лет.
Также в первые месяцы работы «белые хакеры» задержали международного киберпреступника.
На территории Украины задержали гражданина Германии, которого подозревают во вмешательстве в работу электронно-вычислительных машин, в том числе большого количества мощных распределённых кибератак на отказ в обслуживании объектов информационной инфраструктуры немецких компаний, и вымогательстве денежных средств на общую сумму более полутора миллионов евро за прекращение таких атак.
Правонарушитель задержан в рамках ст. 208 УПК Украины, готовятся материалы в суд относительно временного ареста задержанного и дальнейшего проведения экстрадиции в Федеративной республики Германия, — резюмировали в отделе коммуникаций ведомства.
Среди заслуг одесской киберполиции задержание мошенника, который ограбил свою компанию-работодателя на 20 тысяч гривен.
Юрий Выходец
НАЧАЛЬНИК ПРИЧЕРНОМОРСКОГО УПРАВЛЕНИЯ КИБЕРПОЛИЦИИ ДКП НПУ
Злоумышленник в течение четырёх месяцев систематически незаконно пополнял свой телефонный счёт путём несанкционированного изменения информации в автоматизированной системе о способе расчёта якобы бонусными баллами из незарегистрированных карточек программы лояльности.
В марте киберполицейские Одессы предотвратили кражу средств горожан с банковских карточек. Злоумышленники установили на банкоматах одного из банков несанкционированные считывающие устройства для снятия информации с чужих банковских платёжных карт. Сотрудники подразделения задержали иностранца и жителя Николаева. При обыске из квартиры второго задержанного они также изъяли два пистолета, боевую гранату РГД, две сим-карты и три мобильных телефона, которые использовались в преступных целях.
Также одесские киберкопы поймали женщину, которая обманывала людей под предлогом продажи товара через интернет на «Одесском форуме» и задержали организаторов фальшивого интернет-магазина бытовой техники.
На первый взгляд, возможно, кажется, что деятельность нового подразделения Национальной полиции не соответствует ожиданиям и высказанным политиками амбициям. Повышенное внимание и требования к сотрудникам киберполиции также могут быть объективно связаны и с их уровнем зарплат, которые гораздо выше средних и финансируются государственным бюджетом, плюс расходы на оборудование и ПО. Однако международное сообщество всячески поддерживает Украину в создании и обучении кибеполицейских, в частности Япония, Великобритания, Швеция, Словакия, Чехия и прочие. Исходя из этого, можно сделать выводы, что:
1) создание и эффективная работа данного подразделения имеет мировое значение;
2) в этих успешных в борьбе с киберпреступностью странах когда-то проходил такой же процесс становления и внедрения ведомства: постепенно, возможно, долго и мелкими шагами, через процессы подготовки и изменения законодательства и отношения общества в целом.