Керівник кіберполіції Сергій Демедюк: Про нас багато міфів і казок

Кіберзлочинність давно перестала бути сюжетом американських фільмів. В Україні, державі з потужним ІТ-потенціалом, створено кіберполіцію. Навіщо? Для посилення контролю держави за громадянином або переформатування контролю за кіберпростором? Про це та багато іншого в інтерв’ю «Аналітичній службі новин» (АСН) розповів очільник Департаменту кіберполіції Національної поліції України полковник поліції Сергій Демедюк.

Зауважимо, офіс не в центрі Києва, а в одному з промислових районів столиці. Жодних вивісок. Знайти його самостійно — непросто. В Мережі особистої інформації про головного кіберполіцейського країни немає. Та Сергій Васильович розповів АСН, що родом він з Волині. Свого часу закінчив Львівський інститут внутрішніх справ. З тих пір в органах. Пройшов від звичайного оперативного працівника до сьогоднішньої посади, не оминувши жодної сходинки.

Що стосується кіберполіції, Демедюк зазначив: про неї існує багато байок і домислів, які він завжди готовий прокоментувати, а факти — відкрити. Так і зробив. Як і пояснив, чому камери на моніторах у його кабінеті заклеєні.

Ще під час тригодинної розмови хотілося відмовитися від усіх технологічних штучок, видалитися з соцмереж і залишити Інтернет назавжди. Але хіба це вихід? Краще ворога знати в обличчя.

— Сергію Васильовичу, чим займається кіберполіція? Збирає дані на громадян? Стежить за людьми?

— Це звичайний оперативний підрозділ кримінальної поліції. Напрям діяльності — боротьба зі злочинністю в кіберпросторі, виявлення злочинів, які скоюються за допомогою високих цифрових технологій, у тому числі й інформаційних, шкідливого програмного забезпечення та незаконних програмно-технічних комплексів.

Також ми допомагаємо іншим структурним та територіальним підрозділам Національної поліції в розшуку та встановленні місцезнаходження зниклих громадян або злочинців, надаємо іншу допомогу в розкритті злочинів тощо.

— Функції дублюються з тими, що є у Служби безпеки України?

— Ні. Це не так. З СБУ ми тісно співпрацюємо, обмінюємося інформацією в режимі онлайн. Але СБУ займається кібербезпекою держави в цілому. Її пріоритетними напрямами є боротьба із зовнішніми агресорами, кіберзахист  державних установ, стратегічних об’єктів та інфраструктур. А наш пріоритет — це розкриття кіберзлочинів, ми захищаємо від кіберзагроз звичайного громадянина та займаємося кібербезпекою в приватному секторі: збереженням облікових записів на будь-якому електронному ресурсі, наданням роз’яснень, як уникнути кіберзагрози, та ін.

— Як ви ловите злочинців?

— Наш злочинець - за монітором. Виявити його не так вже й легко. Ми можемо знайти адресу, визначити місце знаходження того чи іншого пристрою.

А ось хто ним користується? Інколи визначити важко. Але ми це робимо.

— Можете «раптово завітати у гості»?

— Звісно. Так і робимо. Якщо не дотримуватися ефекту раптовості, то підозрювані одним натиском на кнопку назавжди можуть стерти інформацію, важливу в розкритті кіберзлочинів, а для її відновлення необхідно буде витратити чимало часу.

— Це правда, що можете бачити все, що роблять люди, які листи пишуть?

— Ні. Це байки про нас. Це неможливо, якщо особа не скоює злочин. Права кожного громадянина захищені Конституцією та державою.

Щоб подивитися, наприклад, вашу приватну переписку, нам необхідно мати законні підстави, звернутися до суду, отримати дозвіл. І лише тоді, з використанням спеціального програмного забезпечення, здійснити це. Втручання без рішення суду — порушення закону.

Щоб подивитися, наприклад, вашу приватну переписку, нам необхідно мати законні підстави, звернутися до суду, отримати дозвіл

Та є ті, хто це робить. Нещодавно ми затримали студента, який незаконно отримав доступ до поштової скриньки однієї дівчини, отримав інтимні фото і почав вимагати гроші за нерозповсюдження. Зараз цей хлопець чекає на вирок суду.

— Тобто, якщо з’явився такий шантажист, зламали скриньку чи аккаунт, телефонувати «102»?

— Як один із варіантів. У громадян є й інший варіант - написати онлайн-звернення на форму зворотного зв'язку. Будь-хто може звернутися до нас, заповнивши на сайті https://www.cybercrime.gov.ua форму для звернення громадян: https://www.cybercrime.gov.ua/feedback5-ua. І не лише повідомити про злочин, а й отримати консультацію. Навіть перевірити за номером телефону, реквізитами рахунку, адресою сайту, чи не належать вони шахраям.

Проблема, що в поліцейських відділеннях на місцях немає працівників нашого підрозділу, а лише в обласних підрозділах Національної поліції. А 99% громадян звертаються до райвідділів, де не завжди прості поліцейські можуть правильно кваліфікувати інцидент як кіберзлочин.

Підозрювані одним натиском на кнопку назавжди можуть стерти інформацію, важливу в розкритті кіберзлочинів

Ось, для прикладу, якщо людина стала жертвою схеми з телефонним дзвінком, коли нібито когось з рідних затримали правоохоронці і потрібно переказати гроші за звільнення. Людина повірила шахраям, переказала гроші. Окрім карного розшуку, це і наша юрисдикція. Ми допомагаємо оперативно відслідкувати спосіб конвертації електронних коштів у готівку. А знаєте, що такі злочини скоюються засудженими з місць позбавлення волі? Регулярно виявляємо такі групи, припиняємо їхню діяльність.

— Це не нова схема. Загальновідома. Чому працює?

— Злочинці використовують соціальну інженерію. Підбирають так ключики до людей, що ті забувають про все на світі. Працюють як справжні психологи, вводячи людей в оману з метою отримання різного роду інформації.

Так само працюють при крадіжках грошей з карток, з доброчинних рахунків. Втираються в довіру, випитують всю інформацію. А люди забувають залізне правило: пін-код ніколи нікому не можна називати, його працівники банку не запитують.

— Днями пройшла інформація про збільшення крадіжок з банкоматів. Прокоментуйте.

— Це, зокрема, наслідки економічного становища в державі. Зловмисники активізували свою роботу.  Ми спільно з банками активно працюємо на запобігання та виявлення таких злочинів. Щодня фактично затримуємо групи скімеристів у різних регіонах України та осіб, які проводять несанкціоновані операції з підробленими банківськими картками.

На запитання про те, як себе убезпечити від таких крадіїв, ми невтомно повторюємо: для зняття коштів користуватися банкоматами, які не викликають підозри та мають реквізити банку, що їх встановив; переконатися, що на банкоматі немає жодних пристроїв та прикрити рукою клавіатуру під час набору паролів; попросити того, хто занадто близько підійшов, відійти; знаючи свої щоденні затрати, встановити ліміти та смс-інформування щодо будь яких операцій, які проводяться з вашою карткою. Це елементарні поради. А якщо виникли якісь підозри, негайно припинити операцію, повідомити про інцидент нам або у свій банк.

— Це правда, що є пристрої для безконтактного зчитування даних з кредитних карток у чергах та в громадському транспорті?

— Такі пристрої є і були зафіксовані поодинокі випадки компрометації карток таким чином в Європі. Тут слід розуміти, що здійснюється не викрадення технічної інформації з магнітної стрічки, а дистанційне викрадення інформації, яка є на чипі, вмонтованому в картку.

Ця технологія має назву PayPass. Але для нашої країни поки що ця проблема не актуальна у зв’язку з малим відсотком в обігу безконтактних банківських карток, а також внесенням платіжними системами додаткового захисту в банківські безконтактні картки, що унеможливлює використання пристроїв такого роду. Однак зловмисники можуть винайти нові способи зчитування, і ми готові до таких викликів.

Більше проблем виникає через інтернет-покупки, добровільне введення всіх даних навіть на неперевірених сайтах. Злочинці, спеціально для заволодіння банківськими реквізитами, часто створюють подібні сайти до відомих українських ресурсів, так звані фейкові сторінки. Звичайний користувач, не підозрюючи пастки, самостійно вводить усю необхідну шахраям інформацію реквізитів картки. Нещодавно ми затримали в Одесі таку організовану злочинну групу. Справу вже передано до суду.

Звичайний користувач, не підозрюючи пастки, самостійно вводить усю необхідну шахраям інформацію реквізитів картки

Щоб убезпечити себе, варто користуватися такою банківською послугою, як інтернет-карта. Вона — віртуальна. На неї ви переказуєте рівно ту суму, яку потрібно заплатити, а також варто встановити ліміти на проведення розрахунків в Інтернеті та подвійну верифікацію через смс-підтвердження. Це коли на ваш номер телефону приходить секретний код, який необхідно ввести для підтвердження тієї чи іншої операції.

— Через Мережу можна дістати все, що завгодно: зброю, наркотики. Як тут дієте?

— Це злочин. І не лише торгівля, а й замовлення та переказ передоплати. Тому навіть, якщо сайт фейковий, гроші взяли, а послугу не надали, потерпілі до нас не звертаються. Ось у Харкові нещодавно затримали іноземних студентів. Вони з Марокко. Організували в Україні «бізнес»: пропонували американцям та європейцям придбати препарати для евтаназії, наркотики та заборонені медпрепарати. Сума збитків — мільйони. Та заяв від потерпілих, які оплатили та не отримали товар, нема. Є ризик, що затриманих доведеться відпустити. Ми збираємо цифрові докази, відправимо їх до тих країн, де жили замовники, щоб наші колеги нам допомогли.  

Слід зазначити, що ми постійно співпрацюємо з іншими підрозділами Національної поліції, допомагаємо їм виявляти осіб, котрі, використовуючи можливості мережі Інтернет, займаються злочинною діяльністю на території нашої держави.  

— Чи не щодня на поштову скриньку надходить спам про роботу з дому. Найчастіше — це шахраї. Як не попастися в їхні тенета?

— В Інтернеті існує ціла індустрія дропів. «Дроп», або «мул», — людина, яка надає свої послуги з відкриття банківської картки, отримання на неї коштів і перерозподіл їх на інші рахунки, вказані злочинцем.

Цілі компанії існують для розсилки спам-листів. Якщо хтось зреагує, шахраї маніпулюватимуть таким громадянином, доки не отримають гроші. З ним навіть контракт ніби офіційний «укладають», аби ще більше втертися в довіру. Надходять інструкції, людина їх виконує. Її використовують у темну. Так триває доти, доки в двері не постукають правоохоронці, щоб висунути звинувачення в участі в легалізації викрадених коштів. Це проблема не лише України. У цілому світі це шалений обіг грошей.

Цілі компанії існують для розсилки спам-листів. Якщо хтось зреагує, шахраї маніпулюватимуть таким громадянином, доки не отримають гроші

— Кажуть, через безплатні маркети з іграми та програмами поширюють шкідливий контент...

— Це так. І це найбільше розраховано на дітей. Або ж ігри передбачають, що спершу вони безкоштовні, а згодом додаткові функції та можливості треба купувати. Тоді батьки до нас: «Кошти з кредитки зникають!»

Інсталювати можна й програму, яка знищить ваші дані або ж дасть доступ злочинцям до вашої інформації, можливість здійснювати розсилки, знімати кошти та ін.

Але не обов’язково самому щось встановлювати на свій девайс. Телефони, особливо на операційній системі «Андроїд», — ключ до ваших персональних даних. Є можливість навіть віддалено встановити вам шкідливе забезпечення, так, що ви й не помітите, - повідомлення в кеші не залишиться. Та є спеціальні настройки, щоб мінімізувати доступ вимагачів, шахраїв та інших злочинців. Їх варто встановити.

— Ще одна проблема — бази персональних даних громадян, як державні, так і приватні. Є витоки. Ними торгують. Це ж злочин?

—  І він передбачає кримінальну відповідальність. Але тут треба розуміти, чому це відбувається.

Наприклад, якщо та чи інша державна установа використовує піратське програмне забезпечення, не пролонговані функції, не забезпечує захист системи, на який потрібні фахівці та кошти, — маємо витоки. Хакер (навіть середньої ланки) може отримати цю базу даних і продати її. Потрібно вводити відповідальність за недбале ставлення до захисту безпеки в установах та відомствах. Нехай вона буде не кримінальна, а фінансова.

Ще одне. Гучних справ щодо зламу баз супермаркетів у нас немає тільки тому, що українці незаможні, не зберігають на картках великі гроші. Зверніть увагу на торговельні центри. Там збирають повні дані про покупців: ПІП, номери телефонів, адреси, склад сім’ї, кількість покупок, витрачені суми та ін. Також є дисконтні картки, до яких прикріплюються банківські реквізити, хоча цього робити не можна. Захист таких баз належним чином не здійснюється. Люди, які залишають відомості про себе, повинні це розуміти.

Гучних справ щодо зламу баз супермаркетів у нас немає тільки тому, що українці незаможні

— Якою є ситуація у соціальних мережах? Там зараз буквально живуть люди.

— Користувачі часто не читають правила конфіденційності. А бездумно і безпечно виставляють «пташку», що погоджуються надати доступ до персональної інформації та на її використання.

А паролі які? Дата народження, вказана на сторінці? Або ж qwerty? Однаковий пароль використовується для пошти, соціальної сторінки та інших аккаунтів? Це неправильно. Паролі мусять бути складними та різними. Змінювати їх потрібно як мінімум раз на місяць.

— Вас особисто немає в соцмережах?

— Справді, немає (сміється. - Авт.). Знаю, як вони працюють.

— І камери на моніторах заклеєні. І вдома теж?

— Так. Скрізь. Це про всяк випадок. Є чимало програм, які підкажуть, чи вас хтось слухає або пише.

— Вашим працівникам заборонено бути в соцмережах?

— Ні. Це особисте право кожного. Але в розрізі служби є у наших працівників облікові записи. І не по одному.

— Тобто?

— Для виявлення злочинців. Наприклад, педофілів виявляємо і доводимо справи до судів.

Та знаєте, ми виявляємо навіть батьків, які продають своїх дітей. Нещодавно виявили цілу сім`ю: бабця, мама і діти 12 і 5 років. Дітей примушували перед веб-камерами «розважати іноземних клієнтів». А є матері, які не лише фотографують чи змушують роздягатися перед веб-камерами, а й фізично відводять до педофілів своїх діток.

— Секти теж перебралися в Мережу?

— Так. Соціальні мережі активно використовуються ними для вербування нових членів. А секта, нагадаю, це злочинна організація для видурення коштів з жертв.

Невдоволених осіб також там вишукують і терористи. Для цього злочинцям не потрібно їхати в Україну, як і для того, щоб передати комплектуючі для створення саморобного вибухового пристрою та інструкції для його застосування.

Коли ми отримуємо таку інформацію або ж листи про теракт, що готується, звертаємося до провайдерів. На щастя, більшість допомагає. Та є такі, які відмовляють, вимагають рішення суду, прикриваються ризиком розголошення персональних даних, але насправді бояться, - ми виявляємо, що вони займаються незаконною діяльністю. Зараз також підписуємо меморандуми про співпрацю з провайдерами, щоб в екстрених випадках могли отримувати інформацію про місце знаходження того чи іншого пристрою.

— А з піратством як справи? Не оране поле роботи?

— Оране й переоране. Нам вдалося за 2015 рік вивести Україну зі списку «301». (The Special 301 Report готується щорічно Офісом торгового представника США відповідно до розділу 301 з поправками Закону про торгівлю 1974 року. У звіті йдеться про торгові бар'єри для американських компаній і продуктів у зв'язку з законами про інтелектуальну власність, що стосуються авторського права, патентів і товарних знаків в інших країнах. Авт.)

Ми змогли здійснити цей прорив, хоч він і невидимий. Та цього року ті, хто займався піратством, кажуть, що відтепер вони — представники ІТ-індустрії, якій ми заважаємо розвиватися. Це структури, які використовують ІТ-технології, працюють поза правовим полем, не сплачують податки, просто прикриваються назвою. Справжні, «білі» розробники ІТ-технологій нам претензії не висувають.

Ті, хто займався піратством, кажуть, що відтепер вони — представники ІТ-індустрії, якій ми заважаємо розвиватися

Як результат — у звіті за 2016 рік ми знову стали піратами №1 у списку «301». З метою уникнення такої «слави» ми разом із правовласниками здійснюємо спільну роботу з боротьби з піратством. Упевнений, що найближчим часом ми притягнемо до відповідальності компанії, які негативно впливають на імідж нашої держави, організували та підтримують даний злочинний промисел у мережі Інтернет, з території України.

— Роботи чимало. Вам вистачає сил її виконувати?

— Наша служба на етапі становлення. Поки що маємо лише 170 поліцейських на всю країну. Чисельність буде збільшено до 410, з яких 39 — це спецагенти. За потреби ми ініціюватимемо розширення штату та залучатимемо інші оперативні підрозділи.

— Спецагенти — це хто?

— Це офіцери поліції. «Білі» хакери — узаконені спеціалісти, які вміють і можуть створювати програмне забезпечення для оперативного виявлення  злочинів та злочинців у кіберпросторі.

— Ваші поліцейські — це потужні айтішники. На ринку їхня робота коштує дорого. А у вас зарплати 6-30 тисяч гривень. Проблема?

— Ті, хто йдуть до нас, повинні розуміти: ось це зарплата, поки що вона така, інших доходів не буде.

Ті, хто йдуть до нас, повинні розуміти: ось це зарплата, поки що вона така, інших доходів не буде

Проводили конкурс на спецагентів, замість 39 набрали лише 30. І немає впевненості, що коли прийде час прибути на місце служби, ознайомитися з проблемами, буднями та функціями, всі погодяться далі працювати. Адже у них зараз зарплати близько 2 тисяч доларів. А у нас верхня межа — 30 тис грн. Але, якщо порівнювати плату з тією, яка була раніше в міліції, — вона збільшена серйозно.

Та у нас є плюси. Можна навчитися того, чого не вміють звичайні спеціалісти. Весь час відбуваються курси підвищення кваліфікації за кордоном. До нас приїздять фахівці світового рівня. Проводимо спільні операції з іншими країнами. Обмінюємося оперативними працівниками з Німеччиною та США. Наша сфера діяльності, злочини, які скоюються, не мають меж і кордонів.

— Кіберполіцейські мають володіти іноземними мовами. І не лише російською та англійською, а й китайською. Які успіхи?

— У нас є фахівці, які володіють китайською та іншими мовами. Основною є англійська. А російська в нашій роботі — остання. Адже всі шкідливі програми, інструкції до них, мануали нею — застарілі переклади.

— Є ризик, що підготуєте спеціалістів, а вони перейдуть на «темний» бік?

— Справді, працівники з таких підрозділів дуже цікавлять як бізнес-структури, так і злочинні групи. Це проблема в усьому світі. Від усього не застрахуєшся. Але треба намагатися. Багато що залежить від моральних якостей людей, відібраних до кіберполіції.

— А можливо навпаки? Хакера не садити до в’язниці, а вербувати на державну службу? У США ніби так роблять...

— У США за співпрацю з державою зменшують термін. Наприклад, затриманий хакер українського походження (Максим Ястремський. - Авт.) міг отримати 72 роки. Та погодився на співпрацю, термін зменшили до 12. Також там хакери не утримуються в місцях позбавлення волі як звичайні кримінальні злочинці. Їм надають техніку і можливості працювати на державу. Сподіваюся, в нас теж скоро так буде.

— Правда, що ви існуєте на гроші держдепу США? І зарплати за його рахунок?

— Про нас складають багато міфів та казок. Це неправда. США та європейські країни допомагають обладнанням та спеціальним програмним забезпеченням. Але не утримують.

Україну називають чорним ринком хакерів. Державі треба використовувати цю енергію. Просто закрити їх не вийде. Це кіберпростір. Важливо акумулювати ті сили і знання, спрямувати всіх у законне русло.

Україну називають чорним ринком хакерів. Державі треба використовувати цю енергію

Поки що їм це не вигідно. До нас хакери хіба на «Майбахах» не приїжджали на допит. Це підтягнуті успішні люди. Мають елітні будинки. Відпочивають за кордоном. Ніхто їх не питає про доходи, як чиновників. Ось ще один доказ того, що маємо прийти до оподаткування не лише доходів, а й витрат.

Також потрібно оподаткувати інтернет-рекламу. Адже піратські ресурси заробляють не на конфеті, а на рекламі. На розкрученому піратському сайті за неї правлять 5 тисяч доларів на добу за банер 5х5 см. Навіть за мінімального оподаткування ми б перекрили витрати низки соціальних статей бюджету.

— ...І посилити покарання за кіберзлочини?

— Так. Наразі воно дуже м’яке.

Міжнародні відносини треба врегулювати. Якщо українець скоїв злочин на території іншої держави та затриманий у нас, держава не має права видати його. У нас дуже багато розшукуваних США та Європою наших хакерів. Чимало таких проблемних моментів.

— Кіберполіції потрібно додати важелів і можливостей?

— Законодавство треба відшліфовувати, приводити у відповідність до українських реалій та менталітету. Та надавати безмежний доступ до всієї інформації теж не можна. Тоді матимемо порушення інших законів, наприклад про приватну власність, персональні дані.

Із часом усе врегулюється. А країна зможе стати не Меккою для хакерів, а ІТ-лідером у світі, та перенаправити до державного бюджету ці шалені фінансові потоки.