Культура кібербезпеки як складник цифрової компетентності

Чергінець Ірина Петрівна,

заступник директора з навчально-виховної роботи

Охтирської ЗОШ І-ІІІ ступенів № 8

Охтирської міської ради Сумської області

Культура кібербезпеки як складник цифрової компетентності

Постановка проблеми. Однією з основних ознак розвитку сучасного суспільства є стрімкий розвиток комп’ютерних інформаційних технологій. Сьогодні Інтернет став невід’ємною частиною нашого життя. У той же час у кіберпросторі існує ряд онлайн-загроз: дезінформація та маніпуляція; пропаганда насильства, терористичної та екстремістської діяльності; розповсюдження через Інтернет заборонених та обмежених до продажу товарів і послуг; шахрайство; жорстоке поводження з дітьми, сексуальна експлуатація та розбещення дітей у кіберпросторі; надмірне використання екранного часу; кіберпереслідування та кіберцькування; пропаганда суїциду та самокалічення. Загрози у кіберпросторі постійно змінюються. Людство все більше усвідомлює необхідність забезпечення передових технологій кібербезпеки. Але щоб реагувати на інциденти тільки усвідомлення недостатньо. Питання кібербезпеки повинні бути предметом постійної уваги. На сьогоднішній день люди недостатньо медіаграмотні, не сприймають повною мірою загрози, не виконують необхідних дій з реалізації заходів кібербезпеки. Проблема протидії кіберзлочинності є одним із пріоритетів у системних заходах забезпечення кібербезпеки на національному та міжнародному рівні, має правовий, технічний і організаційний аспект у запобіганні, виявленні (розслідуванні), припиненні та розкритті кіберзлочинів [2]. Актуальність цієї проблеми обумовлена наявними і прогнозованими тенденціями збільшення кількості кримінальних правопорушень у кіберпросторі у зв’язку зі значним поширенням технологій електронної економіки, масштабами комунікації у кіберпросторі.

Результати аналізу наукових публікацій. Стрімкий розвиток інформаційних технологій в Україні, який ми спостерігаємо останнє десятиріччя, невблаганно супроводжується динамічним розвитком злочинів у цій сфері. З уроків історії ми добре знаємо, що будь-який розвиток і прогрес, який приносив людству цивілізаційні блага й нові можливості, завжди супроводжувався негативними явищами. У цьому разі масова комп’ютеризація та стрімкий розвиток цифрових технологій, які значно спростили життя людині, не стали винятком. Так, з абсолютною впевненістю можна сказати, що саме так звані кіберзлочини є найдинамічнішою групою суспільно небезпечних діянь, адже з кожним роком кіберзлочини стають дедалі масовішими й небезпечнішими. В 2017 році було зафіксовано 1795 справ проти кіберзлочинців, в 2018 – 1023, у жовтні 2019 – 1500. І надалі кількість кіберзлочинів зростає [4].

Програмними документами ООН визначалося, що потрібна глобальна культура кібербезпеки, яка буде вимагати від усіх учасників врахування наступних дев’яти взаємодоповнюючих елементів [3]:

1) поінформованість;

2) відповідальність;

3) реагування;

4) етика;

5) демократія;

6) оцінка ризику;

7) проектування і впровадження засобів забезпечення безпеки;

8) управління забезпеченням безпеки;

9) переоцінка.

Відповідно, головними напрямами розробки питань з кібербезпеки вважаються інформаційна безпека, безпека мережі, безпека Інтернету та захист критичних інфраструктур, а також захист даних різної природи, що відбилося в Законі України від 05.10.2017 р. № 2163-VІІІ «Про основні засади забезпечення кібербезпеки України» [5].

Проведений аналіз публікацій В. Брижка, В. Бутузова, В. Гавловського, О. Довганя, М. Карчевського, М. Кравцової, В. Пилипчука, К. Тітуніної, В. Хахановського, В. Шеломенцева, та інших авторів свідчать про достатню розробленість проблеми протидії кіберзлочинності, однак залишається малодослідженим соціальний аспект заходів запобігання кіберзлочинів, що стосується формування глобальної культури кібербезпеки особливо у сфері освіти.

Мета статті полягає у науковому обґрунтуванні сутності поняття “культура кібербезпеки”, оцінка ключових проблем та завдань кібербезпеки учасників освітнього процесу та можливих загроз у цифровому навчальному середовищі.

Виклад основного матеріалу. Комп’ютерна безпека – це сукупність проблем у галузі телекомунікацій та інформатики, пов’язаних з оцінкою і контролюванням ризиків, що виникають при користуванні комп’ютерами та комп’ютерними мережами і розглядуваних з точки зору конфіденційності, цілісності і доступності.

Закон України «Про основні засади забезпечення кібербезпеки України» дає таке визначення: «Кібербезпека – захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі».

У сучасному розумінні культура – це складний суспільний феномен життєдіяльності людини, що стосується побуту, дозвілля, способу життя як окремої особи, так й усього суспільства. У філософії культура (матеріальна і духовна категорія) розглядається у всесторонньому історичному розумінні як: процес розвитку людських сил і здібностей; показник міри людського в людині; характеристика розвитку людини як людської істоти; процес освоєння природи, який одержує своє зовнішнє вираження у всьому багатстві і різноманітті створюваної людьми дійсності, у всій сукупності результатів людської праці і думки. При цьому, на думку більшості сучасних філософів, в структурі феномена культури можна виділити два класи елементів. Перший характеризує культуру як систему еталонів суспільної поведінки людей, другий – як систему, що здійснює соціальний контроль над цінностями та ідеями. Вочевидь, у контексті запобігання кіберзлочинності доцільно розглядати матеріальну культуру в розумінні системи еталонів суспільної поведінки людей. В даний час у культурології виділяють передусім наступні аспекти культури як неприродного штучного явища:

•    генетичні – культура є продуктом суспільства з позиції її виникнення;
•    гносеологічні – культура є сукупністю досягнутих у процесі освоєння світу матеріальних і духовних цінностей;
•    гуманістичні – культура є розвитком самої людини, її духовних, творчих здібностей;
•    психологічні – культура є процесом адаптації до життєвого середовища, навчання та формування звичаїв;
•    історичні – культура є процесом соціального наслідування та формування традицій;
•    структурні – культура є організованими повторювальними реакціями суспільства  звичаями та традиціями;
•    правові – культура є системою, що регулює соціальні відносини в суспільстві, орієнтує людину в світі;
•    соціологічні – культура є обмеженнями в діяльності конкретного соціального суб’єкта, а також станом і розвитком тієї чи іншої діяльності.

Отже, виходячи із завдань запобігання кіберзлочинності варто звернути увагу на психологічний, правовий та соціологічний аспекти культури суспільства, особистості соціальної взаємодії з формування досвіду, розвитку форм та способів інформаційної діяльності у кіберпросторі.

Культура кібербезпеки – це система переконань, уявлень та етичних норм щодо ведення інформаційної діяльності у кіберпросторі, знань, вмінь та навичок із забезпечення кібербезпеки, а також вимоги до професійно-психологічних якостей осіб, що необхідні для безпечної інформаційної діяльності у кіберпросторі. Історично, термін «культура кібербезпеки» був використаний у глобальному розумінні в Резолюції Генеральної Асамблеї «Створення глобальної культури кібербезпеки» (Creation of a global culture of cybersecurity) у 2002, 2003 та 2009 роках, хоча у цих документах не запропоновано його визначення. Зазначені документи були запропоновані як рекомендації для розроблення національних стратегій кібербезпеки, що визначають сутність національних систем кібербезпеки та заходи з поширення передових практик кіберзахисту [2].

Ще десять років тому небезпеки для учасників освітнього процесу можна було звести до відносно невеликої кількості груп – вірусні атаки, кіберзлочинність, небезпеки інтернет-серфінгу. На часі розмаїття небезпек і загроз зростає постійно. Найбільшу загрозу для здобувачів освіти мають приховані активні небезпеки [1]. Серед них мережні загрози. Активне використання мереж, особливо підлітками, супроводжується збільшенням різних видів загроз, що надходять з мережі. Найбільш активні приховані загрози, що походять з комп’ютерної мережі, можуть бути представлені наступною класифікацією [1]:

•    вірусні атаки;
•    кіберзлочинність (спамерство, кардінг, фішинг, ботнети тощо);
•    загрози від мережевого серфінгу (кібер-булінг, «дорослий» контент, незаконний вміст, насильство в режимі онлайн, розголошення приватної інформації, платні послуги тощо).

Загрози, що надходять з мереж, можна розділити на наступні типи: активні та пасивні, відкриті та приховані, поточні та відкладені.

Як свідчать останні дослідження щодо кібербезпеки, інформаційно-технічні засоби в цій сфері постійно вдосконалюються і хакерські атаки переорієнтовуються більше не на техніку, а на людину. Це особливо важливо враховувати через гостроту питання особистої безпеки та результатів діяльності людей. «Відкриваючись» під час роботи в інформаційному середовищі, людина стає не тільки предметом, а й об’єктом діяльності інших учасників інформаційного простору.

Зміщення цілей кіберзлочинності з технічних (інформаційних) об’єктів на людину спричинило появу соціальної інженерії як методів і технологій отримання необхідного доступу до інформації, заснованих на особливостях психології людей, зокрема – маніпуляція людськими страхами, зацікавленістю або довірою [2]. Основними типами соціальної інженерії на часі можна вважати наступні:

•    Претекстінг – це набір дій, відпрацьованих за певним, заздалегідь складеним сценарієм, у результаті якого жертва може видати будь-яку інформацію або вчинити певну дію. Для використання цієї техніки зловмисник спочатку збирає певні дані про жертву (ім’я, місце навчання та проживання; дату народження; дані про батьків), використовуючі реальні запити з іменами щодо оточення жертви, а після того, як увійде в довіру, отримує необхідну йому інформацію або дії.
•    Фішинг – техніка інтернет-шахрайства, спрямована на отримання конфіденційної інформації користувачів авторизаційних даних різних систем. Основним видом фішингових атак є підроблений лист, відправлений жертві електронною поштою, який виглядає як офіційний. У листі міститься форма для введення персональних даних (пінкодів, логіна і пароля тощо) або посилання на web-сторінку, де розташовується така форма.
•    Троянський кінь – це техніка ґрунтується на цікавості, страху або інших емоціях користувачів. Зловмисник відправляє лист жертві за допомогою електронної пошти, як додаток, до якого знаходиться «оновлення» антивірусу, ключ до грошового виграшу або компромат на співробітника. Насправді ж у вкладенні знаходиться шкідлива програма, яка після того, як користувач запустить її на своєму комп’ютері, буде використовуватися для збору або зміни інформації зловмисником.
•    Qui pro quo (послуга за послугу) – ця техніка передбачає звернення зловмисника до користувача по електронній пошті або корпоративному телефону. Зловмисник може представитися, наприклад, співробітником технічної підтримки та інформувати про виникнення технічних проблем на робочому місці та необхідність їх усунення. У процесі «вирішення» такої проблеми, зловмисник підштовхує жертву на вчинення дій, що дозволяють атакуючому виконати певні команди або встановити необхідне програмне забезпечення на комп’ютері жертви.
•    Дорожнє яблуко – цей метод є адаптацію троянського коня і полягає у використанні фізичних носіїв (CD, флеш-накопичувачів). Зловмисник зазвичай підкидає такий носій у загальнодоступних місцях. Для того, щоб виник інтерес до даного носія, зловмисник може нанести на носій логотип відомої популярної компанії.
•    Байтинг – метод, схожий на попередній, а також фішинг і троянський кінь, проте відрізняється тим, що байтер може запропонувати користувачеві реальну безкоштовну послугу (музику, фільм тощо) в обмін на конфіденційну (приватну) інформацію.
•    Зворотня соціальна інженерія – даний вид атаки спрямований на створення такої ситуації, при якій жертва змушена буде сама звернутися до зловмисника за «допомогою». Наприклад, створити оборотні неполадки в ґаджеті жертви з попереднім інформуванням щодо служби «підтримки». Користувач у такому випадку зателефонує або зв’яжеться по електронній пошті зі зловмисником сам, і в процесі «виправлення» проблеми зловмисник зможе отримати необхідні йому дані.
•    Дружні листи – надсилання електронних листів, у яких особу повідомляють про отримання спадщини, призів, бонусів чи дружнього переказу грошей.
•    Вішинг – голосова версія фішінгу. Як правило, дії пов’язані з телефонним шахрайством, метою якого є отримання реквізитів банківських карток або будь-якої іншої конфіденційної інформації або змушення жертви перевести гроші на банківський рахунок зловмисника.
•    Контакти – розсилання спаму від імені знайомих. Тобто, заволодівши чиїмось акаунтом, чи то в соціальній мережі, чи в електронній пошті, зловмисники можуть спробувати надсилати від його імені посилання. Психологічна дія, що побудована на схильності людини довіряти своїм знайомим і не дуже вагатися, коли отримують від них пропозицію відкрити посилання.

Перераховані засоби широко застосовуються в останні роки для впливу на осіб, що приймають рішення, в політиці та бізнесі. Розроблені та вдосконалюються рекомендації, методи та засоби протидії їм. Проте практично відсутній розгляд дії та протидії методам соціальної інженерії стосовно освітньої сфери, незважаючи на те, що діти та підлітки стають все частіше об’єктами атак через Інтернет. Використання засобів протидії для дорослих може бути поширене і на підлітків, але з урахуванням вікових особливостей та сфери діяльності.

З огляду на положення Закону України «Про основні засади забезпечення кібербезпеки України» [5] сфера освіти не входить до критичних галузей, на захист яких націлений цей Закон. Проте сьогоднішні учні дуже багато часу проводять в мережі і активно використовують комп’ютерні інформаційні технології. Тому вони вже сьогодні потребують захисту та відповідної підготовки, а також розуміння загальних правил кібербезпеки.

Основним способом захисту від методів соціальної інженерії є навчання учасників освітнього процесу. Усі вони (учні, педагоги, батьки) мають бути попереджені про небезпеку розкриття персональної інформації та конфіденційної інформації, а також про способи запобігання витоку даних. Крім того, у кожного учасника, в залежності від місця та функції в освітньому процесі, повинні бути інструкції про те, як і на які теми можна спілкуватися із сторонніми особами стосовно персональних особливостей, яку інформацію можна надавати для служби технічної підтримки, як і яку інформацію може повідомити учасник освітнього процесу стороннім особам і працівникам масмедіа. Крім того, можна виділити дев’ять типових правил протидії соціальній інженерії.

1) Призначені для користувача облікові дані є власністю навчального закладу.

2) Всім співробітникам в день прийому на роботу має бути роз’яснено те, що ті логіни і паролі, які їм видали (якщо це має місце), не можна використовувати в інших цілях (на webсайтах, для особистої пошти тощо), передавати третім особам або іншим співробітникам, які не мають на це права. Наприклад, дуже часто, йдучи у відпустку, співробітник може передати власні авторизовані дані своєму колезі для того, щоб той зміг виконати деяку роботу або подивитися певні дані в момент його відсутності. Персональні дані з результатів тестування та виконання психологічних і медичних обстежень можуть бути застосовані користувачами соціальної інженерії, тому потребують обережного використання.

3) Необхідно проводити вступні та регулярні навчання педагогів і учнів, спрямовані на підвищення знань з інформаційної безпеки. Проведення таких інструктажів дозволить учасникам освітнього процесу мати актуальні дані про існуючі методи соціальної інженерії, а також не забувати основні правила з інформаційної безпеки.

4) Обов’язковою є наявність регламентів з безпеки, а також інструкцій, до яких користувач повинен завжди мати доступ. В інструкціях повинні бути описані дії учасника освітнього процесу при виникненні тієї чи іншої ситуації. Наприклад, у регламенті можна прописати, що необхідно робити і куди звертатися при спробі третьої особи запросити конфіденційну інформацію або облікові дані.

5) На комп’ютерах користувачів завжди має бути актуальне антивірусне програмне забезпечення, а також слід встановити брандмауер.

6) У корпоративної мережі навчального закладу або об’єднання закладів необхідно використовувати системи виявлення та запобігання атак.

7) Необхідно також використовувати системи запобігання витоку конфіденційної інформації. Усе це дозволить знизити ризик виникнення фішингових атак.

8) Необхідно максимально обмежити права користувача в системі. Наприклад, можна обмежити доступ до web-сайтів і заборонити використання знімних носіїв, які можуть бути використані за межами навчального закладу.

9) Необхідно бути пильним щодо джерела, яке запитує конфіденційні дані. Представники Міністерства освіти і науки навряд чи будуть телефонувати до школи, щоб дізнатися дані щодо конкретного учня або студента. Якщо людину просять ввести особисті дані – краще окремо зайти на сайт компанії, наприклад, банку. Ще краще – зателефонувати на офіційний номер установи для уточнення інформації. Ніколи не слід відкривати вміст додатків або переходити за посиланням, не вивчивши всіх деталей. Часто адреса відправника містить помилки в назвах, а посилання мають неправдоподібний вигляд. Варто також критично ставитися до отриманих повідомлень. Рекомендується сповіщати про такі небезпеки інших членів сімей, насамперед, літніх людей, які не мають досвіду користування електронними засобами та не обізнані з питань соціальної інженерії. Останнім часом в Україні запроваджуються спеціальні навчальні програми і курси для учнів та вчителів, які займаються питаннями безпечного Інтернету.

Висновки. Проблеми кібербезпеки не зводяться лише до технічних аспектів захисту інформаційних ресурсів, у повному обсязі вони мають включати такі види захисту: правові, технічні, інформаційні, організаційні та психологічні. На часі доцільно виокремити роль психологічних засобів забезпечення кібербезпеки, оскільки населення в цілому та особливо діти і підлітки все частіше стають об’єктами кібератак. Загрози учасникам освітнього процесу з боку кіберпростору доцільно розглядати як пасивні та активні, розробляючи адекватні засоби захисту та життєстійкості системи «суб’єкт освітнього процесу – засоби навчання – середовище». Найбільш значущими серед кіберзагроз для учасників освітьного процесу є методи соціальної інженерії, знання яких та протидія яким можуть бути найбільш ефективними для забезпечення кібербезпеки.

Список використаних джерел

1. Буров О. Ю., Камишин В. В., Поліхун Н. І., Ашеров А. Т. Технології використання мережевих ресурсів для підготовки молоді до дослідницької діяльності : Монографія / О. Ю. Буров, В. В. Камишин, Н. І. Поліхун, А. Т. Ашеров; За ред. О. Ю. Бурова. – К. : ТОВ «Інформаційні системи». – 2012. – 416 с.

2. Довгань О.Д., Тарасюк А.В. Глобальна культура кібербезпеки в системі запобігання кіберзлочинності в Україні. Інформація і право. 2018. № 3(26). С. 94-103.

3. «Элементы для создания глобальной культуры кибербезопасности. Документы ООН». URL: http://www.un.org/ru/documents/decl_conv/conventions/ elements.shtml (дата звернення 09.05.2021).

4. Кількість кіберзлочинів в Україні зросла вдвічі за останні п’ять років - Opendatabot. URL: https://mind.ua/news/20203511-kilkist-kiberzlochiniv-v-ukrayini -zrosla-vdvichi-za-ostanni-p-yat-rokiv-opendatabot (дата звернення 09.05.2021).

5. Про основні засади забезпечення кібербезпеки України: Закон України від 05.10.2017 р. № 2163-VІІІ. Дата оновлення: 24.10.2020. URL: https://zakon.rada.gov.ua/laws/show/2163-19#Text (дата звернення 09.05.2021).