Експерт із кібербезпеки Книш: Україна – випробувальний полігон кіберзброї. Ми стали гарячою точкою G

25-річний Микита Книш – експерт у сфері інформаційної безпеки та засновник IT-компанії ProtectMaster. У 2014–2015 роках він працював у Службі безпеки України та брав участь у бойових діях на Донбасі, а в серпні 2017 року повідомив, що його призначили позаштатним радником Адміністрації Президента.

Книш також організовує щорічний міжнародний форум із кібербезпеки HackIT. Цього року він відбудеться в Харкові 23 вересня. В межах форуму відбудеться конкурс кібердетективів і марафон HackIT Cup із пошуку вразливостей програм, а також буде представлено українську криптовалюту – гакен, яку компанії зможуть використовувати для оплати послуг у сфері кібербезпеки.

Видання "ГОРДОН" поспілкувалося з Книшем і дізналося, навіщо на державному рівні використовувати Linux замість Windows, чому існує конфлікт між силовими відомствами та чи зможе гакен замінити біткоін.

Саме на нашій території випробовують останні способи атак, включно з кібератаками

– Група хакерів Dragonfly, що нібито пов'язана з Росією, вже кілька років влаштовує кібератаки на енергетичні підприємства в усьому світі – у США, Туреччині, Ірландії, країнах Балтії. У 2015 році було атаковано Україну, відключено електрику на Прикарпатті. Є ризик повторення такої ситуації? І як узагалі відбуваються ці атаки?

– В енергетичних компаніях використовують SCADA-системи, це так звані системи для управління автоматизованими комплексами. У нас вони дублюються "ручками". Тобто якщо якийсь злий хакер зламав і вимкнув світло, електрик Василь завжди може піти на дільницю, вимкнути комп'ютер і включити рубильник. І в цьому плані – слава богу.

Чи може таке повторитися? Так, 100% може, і 100% повториться. Україна є випробувальним полігоном у цій гібридній війні. Не тільки звичайної зброї – автоматів, кулеметів, гранатометів, танків і літаків, – але і кіберзброї. Ми в цьому плані, на жаль, стали гарячою точкою, про що раніше ніколи не могли б подумати. Саме на нашій території випробовують останні способи атак, включно з кібератаками. Ці ситуації будуть повторюватися і, мені здається, можуть посилюватися. Той же Petya.A зібрав дуже багато інформації про діяльність компаній, яку тепер можна використовувати для нових атак. Про це попереджали і Служба безпеки України, і кіберполіція. Тобто держава в курсі, що стався витік.

– А що стосовно Збройних сил України та інших відомств, які проводять антитерористичну операцію? Чи можуть вони стати метою кібератаки, внаслідок якої, приміром,  буде порушено зв'язок між підрозділами або будуть передавати неправдиві дані?

– Можуть, але у них інший рівень. Там використовують військові постановники активних завад, глушилки тощо. Наведу наочний приклад, який суттєво вплинув на проведення АТО. Був артилерійський софт, який теж розробляла приватна компанія (за фактом – групка ентузіастів). Додаток, грубо кажучи, гуглився у відкритому доступі. Росіяни змогли змінити файлик, і артилеристам завантажили інший софт. Відповідно, вони отримали дані про місце розташування всієї української артилерії. Ось приклад конкретної кібератаки, реалізованої на фронті.

– Коли це було?

– Точну дату не скажу, десь 2014 або 2015 рік.

– Найгучніша кібератака в цьому році – вже згаданий Petya.A. Яких сумарних економічних втрат зазнала Україна?

– У нас у цьому плані Антон Геращенко любить відразу виходити та розповідати, хто і як постраждав. Я все ж таки не Антон Геращенко і права говорити від імені держави не маю, на мій погляд, правильна методика розрахунку: зібрати інформацію про кількість постраждалих компаній, порахувати час простою внаслідок вірусу Petya.A, помножити на їхній звичайний заробіток за цей період. Тоді можна говорити про конкретні цифри. Мені здається, це може зробити Deloitte, Ernst & Young або інший великий аудитор. А голослівно говорити, що збитки становили $100–200 тисяч або $1–2 млрд, я не можу. Я можу сказати, що це значно більшою мірою завдало репутаційних збитків, ніж фінансових, але й про фінансові теж можна говорити.

– Чим ця історія завершилася? Вірус поширювався за допомогою програми M.E.Doc, чи відповіла компанія-розробник?

– А за що? Ця компанія – постраждала сторона, її сервери було зламано. Із прикладів: у вас удома зберігається зброя, хтось приходить до вас додому, викрадає зброю і вбиває іншу людину. Ви будете за це відповідати? Я думаю, ні. Компанію зламали і використовували для поширення інформації. Мені здається, що жодної відповідальності вона за це нести не буде. І правоохоронні органи у нас неправильно вчинили, тому що в нашій країні тільки правоохоронці і суд визначають, хто винен або не винен. А голослівні заяви можуть робити тільки політики, і ці заяви значно політичніші, ніж кримінально-процесуальні.

– Зараз компанія захистилася від повторного зламу?

– Компанія, яка розробляє M.E.Doc, – це суб'єкт приватної діяльності. Наведу ще один приклад: ви виробляєте столи і продаєте їх. До вас приходить держава і каже: "Ні, ти неправильно робиш ці столи, роби ось так, тому що їх потрібно захищати". Це абсурдно, згодні? Це суб'єкт приватної господарської діяльності, чи захистилися вони – проблема самої компанії. Стіл має відповідати мінімальним стандартам, як мінімум не бути токсичним, решта – за вибором. Держава може змінити низку документів або нормативних актів, але загалом вона не має права регламентувати діяльність компанії, яка створила M.E.Doc.

Чи захистили ми об'єкти критичної інфраструктури? Там теж усе складно. Наприклад, у нас 70% усіх електростанцій належать приватному суб'єкту. І держава, за великим рахунком, не має права заходити туди і диктувати свої правила. Зараз це намагаються законодавчо хоч якось залагодити, щоб держава могла регламентувати або видавати якісь сертифікати. Знову-таки, усі вже розуміють, що якщо є якісь сертифікати чи дозвільні документи – це хабарі, корупція тощо. Хоч би не вийшло гірше, якщо держава почне втручатися в діяльність приватних компаній. Бізнес завжди сам себе захистить.

– Перед Днем Незалежності правоохоронці попереджали про нову потужну кібератаку...

– Це те, про що я і говорив: на базі Petya.A було зібрано інформацію за кодами ЄДРПОУ (Єдиного держреєстру підприємств. – "ГОРДОН"), і в Petya.A було чітко виявлено модулі, що дають змогу управляти атакою або відключати її залежно від ЄДРПО організації. Про цю атаку і попереджали СБУ та кіберполіція.

– Але сама атака – вона була чи ні?

– Поки що ні.

Суспільство погано сприймає будь-які заборони, але ми країна у стані війни – тут або шашечки, або їхати

– Блокування російських сайтів і соцмереж в Україні позитивно позначається на кібербезпеці?

– Я вважаю, це позитивно позначається не тільки на інформаційній безпеці – це позитивно позначається на рівні інтелекту людей. Я неодноразово наголошував на тому, що вашого права на свободу слова і висловлювання думки ніхто не обмежував: вас тільки обмежили від потоку нісенітниці і деградованої інформації, що ллється в цих соцмережах. Мені здається, у цьому немає нічого поганого. Знову-таки, я вважаю: якщо військові на передовій перестали використовувати "Яндекс.Карти"...

– Справді використовували?

– Були такі випадки, так. Якщо військові перестали використовувати "Яндекс.Карти", щоб доїхати кудись на передову або знайти ворога, тим самим несвідомо передаючи інформацію противнику, – це прекрасно, і поганого нічого немає. Якщо чиновники перестали використовувати поштові сервіси Mail.ru або "Яндексу" для передавання службової інформації – це взагалі чудово. У цьому більше плюсів, ніж мінусів.

Звичайно, суспільство завжди погано сприймало будь-які методи блокувань і заборон, але річ у тім, що ми країна в стані війни – тут або шашечки, або їхати.

– Ви самі досі використовуєте "ВКонтакте"?

– Ні, ми відмовилися від ведення сторінки "ВКонтакте" нашої компанії, я особисто свого профілю там не підтримую і не оновлюю, хоча він досі там є. Ось, до речі, скоро видалю. Я не заходив туди кілька місяців, а якщо і заходив, то винятково тому, що мені хтось написав: "Слухай, я тобі "ВКонтакте" щось скинув". Я кажу: "Я там давно не сиджу", мені відповідають: "Ну подивись там, п'ять секунд", і все.

– Два роки тому було створено кіберполіцію, як ви оцінюєте її діяльність за цей час?

– У коментарях виданню "ГОРДОН" я на цю тему вже висловлювався. Презентувалися вони, до речі, на HackIT, а потім ще атакували сайт нашої компанії – тренувалися, я б сказав...

– Ви про це знали?

– Так, ми написали заяву в поліцію, і вони були змушені занести її до реєстру досудових розслідувань. Хотіли показати їм: "Хлопці, якщо ми не даємо на це добро, то цього робити не варто, це кримінальний злочин". Ми їх так "навчаємо", щоб вони не чіпали приватних компаній без їхнього дозволу. Презентувалися вони на нашому форумі HackIT, і приблизно 40% тренерів, які готували перший набір у кіберполіцію, – це спікери, які виступали на HackIT у 2015 році. Ми їздили в той час у Київ, спілкувалися з ОБСЄ, із координаторами національних проектів, які відповідали за створення кіберполіції в Україні, намагалися запропонувати їм свою допомогу. Це якось напряжно на той момент виходило.

На сьогодні у них налагоджено повну взаємодію з приватним сектором, вони нова структура, не така заангажована, як стара, відкритіша. До них ще є певний кредит довіри особисто у мене. Я сподіваюся, вони його не профукають. Поки я бачу позитивні зміни: ті ж арешти й обшуки в полтавському СІЗО, коли звідти проводили смс-розсилання "Вашу карту "Ощадбанку" заблоковано", "Ваш син у міліції" та інше телефонне шахрайство. Я бачу реальний рух щодо розслідування гучних кібератак, мене ця тенденція тішить. Вийде в них чи ні – час покаже.

Книш: Рівень роботи силовиків загалом незадовільний. Те, що одні знайшли, інші ще мають зловити. Фото з архіву форуму HackIT

– У мене, на жаль, є власний досвід роботи з кіберполіцією: дівчина купила товар в інтернеті, продавець її обдурив і зник. Я встановив його особу (він ховався під фейковою сторінкою), подав заяву в кіберполіцію, вони підтвердили всю інформацію і навіть знайшли запис із камери спостереження в "Укрпошті", де шахрай надсилав посилку. Але потім вони попросили написати заяву в міське управління Нацполіції, і на цьому все закінчилося. Таке відчуття, що кіберполіція свою справу зробила, а от звичайна поліція за неї навіть не взялася.

– Це та проблема, про яку я кажу: відсутність комунікації між правоохоронними органами, усередині правоохоронних органів і навіть між відділами. У нас ті, хто займається інформаційною безпекою, не можуть дружити з тими, хто займається реальними арештами, наприклад. Тому вашого шахрая не знайшли.

На жаль, рівень роботи силовиків загалом незадовільний, на мою думку. Те, що одні знайшли, інші ще мають зловити. Тут і виникає проблема.

– Ви самі пройшли всі стадії відбору в кіберполіцію. Чи можете підтвердити, що в штат дійсно потрапляють тільки найкращі?

– Найнайкращі – ні. Усе залежить від того, як складено тести. Там тести були важкі, але вони більше підходять для системних адміністраторів. У мене під час проходження відбору виникло враження, що вони набирають якийсь гурток сисадмінів, усі вони будуть налаштовувати там сітки і розкладати протоколи, як в університеті.

Таке враження, що їх писав якийсь старенький професор – за всієї поваги до стареньких професорів, – який не дуже стежить за актуальними тенденціями. Деякі з цих завдань були актуальними, але для проектувальників мереж, а деякі були взагалі неактуальними, і мені незрозуміло, навіщо таке питати.

Чи набирають туди найкращих? Туди набирають людей із досить високим рівнем. На мою думку, там далеко не дурні люди. Я кажу тільки про "спецагентів" – їх усього 39 осіб за штатом. Я зараз узагалі не кажу про приблизно 2,5 тисячі оперативних працівників або просто "агентів". Це окремі люди, яких, як правило, переатестовано із системи або взято з вулиці, рівень знання яких обмежується "кнопкою вкл до характерного клацання".

– Ви особисто не приєдналися до кіберполіції тільки через організаційні та фінансові питання? За вашими словами, тим, хто успішно пройшов відбір до кіберполіції, на перші три місяці пропонували щомісячну зарплату в розмірі 2500 грн на місяць, із якої вираховували 2530 грн на їжу та проживання. Чи були ще причини?

– Дуже багато причин. Там проблеми полягають в тому, що я служив в іншому відомстві, у СБУ. Другий момент – не дуже зручно... Там ще дуже багато нюансів. Деяким людям вони взагалі нічого не висилали: ні відмови, ні згоди. Відбір був досить непрозорим, грубо кажучи: "Цей нам не подобається, ми йому не надішлемо запрошення, а ось цей подобається, йому ми надішлемо". На певному етапі вони почали непрозорий відбір. Чим регламентовано рішення брати чи не брати людину, потрібно питати в них.

Я робив це для себе як челенж – зможу чи не зможу. Я пройшов до кінця, склав це все, познайомився з хлопцями, зараз ми з ними спілкуємося і дружимо. Я не переслідував мети працювати там. Після підкилимних ігор, інтриг, скандалів і розслідувань у СБУ мені вистачило державної служби.

– Окрім СБУ і кіберполіції у нас є ще один орган, пов'язаний з кібербезпекою, – Державна служба спецзв'язку та захисту інформації. Що це за служба, чим вона займається і чи потрібна вона в сучасній державі?

– 100% потрібна, але чим вона у нас займається... У нас вона видає дозволи, папірці, сертифікати, ліцензії про те, чи відповідає той чи інший програмний продукт якимось міфічним нормам безпеки. На мою думку, ці сертифікати нічого не дають. Наприклад, систему електронних декларацій НАЗК, якщо не помиляюся, було сертифіковано Держслужбою спецзв'язку. І що це дало? Та практично всі системи, які зараз розламують ураз, сертифіковано цією службою.

З погляду сертифікаційного органу, який видає ліцензії, вони не потрібні. З погляду органу, який здійснює нагляд за безпекою переговорів, захистом інформації у вищих ешелонах влади, забезпеченням технічного захисту інформації, комплексу заходів щодо забезпечення шифрованого держзв'язку, вони потрібні. Тобто частина функцій потрібна і корисна, частина – не потрібна і марна, як у принципі в будь-якій держструктурі. Потрібен рибнагляд? Ну, глобально потрібен. А чим він займається? Нічим.

– Ви два роки пропрацювали у СБУ. Вас туди запросили чи ви самі подавали кандидатуру після Революції гідності?

– Там оформлення дуже довге. Мене запросили ще раніше, я цього ніколи не приховував, але потрапив туди саме в момент Революції гідності. Я пропрацював у центральному апараті два місяці, після чого – коли в моєму рідному регіоні почалися заворушення – вирішив, що тут я більше потрібен, і перевівся до харківського управління СБУ. Займався тим самим, працював за тією самою лінією, але довелося брати участь і в боротьбі проти терористичних актів.

Як відбувається вербування у СБУ – я не можу вам у подробицях розповісти, але вважайте, що запросили. Як правило, вони самі обирають, хто їм потрібен, і якщо це профільний фахівець, то йому наполегливо рекомендують працювати там. Злегка міфічно, але якось так воно і було.

– Чим ви займалися до приходу у СБУ?

– У мене був невеликий бізнес, якщо це можна так назвати. Я створював сайти, займався рекламою, арбітражем, брав участь у різних партнерських програмах – із тематикою навколоінформаційної безпеки. Що стосується самої інформаційної безпеки, як і всім, мені хотілося спробувати зробити щось самому, зламати якийсь домашній Wi-Fi, протестувати "А що буде, якщо...". Коли створював сайти, почав помічати певні специфічні напрями: якщо щось не так написати або щось додати у форму, то можна щось зайве подивитися або отримати. Так усе й пішло.

Я з кінця 10 класу почав працювати системним адміністратором у комп'ютерному клубі, це було популярно в той час. Люди приходили пограти в Counter Strike, Dota тощо. Я працював там сисадміном. А потім пішло-поїхало, як снігова куля.

Книш: Як відбувається вербування у СБУ – я не можу вам у подробицях розповісти, але вважайте, що запросили. Фото з архіву форуму HackIT

– На сайті вашої компанії вказано, що ви учасник бойових дій. Де саме ви служили?

– У СБУ. З того, що мені, напевно, можна говорити: я брав участь у найбільшому обміні військовополоненими, 150 на 222, забирав наших хлопців, відвозив сепаратистів. Також безпосередньо виконував бойові завдання на лінії розмежування. Завдання, які ставила Батьківщина.

Варіантів особливо не було. У СБУ немає такого поняття: "Ти технар, комп'ютерник, займайся тільки комп'ютерами". Ні. Там є оперативний співробітник, він виконує все, що йому скаже начальство. Він має і стріляти, і бігати, і стрибати. Тому скеровували туди неодноразово. Думаю, це вже торкнулося кожного, хто служив у харківському управлінні СБУ: кожен хоча б кілька разів на тиждень туди їздив, мінімум на тиждень. А деякі і місяцями були.

– У 2016 році ви проводили в Харківському авіаційному інституті семінар "Шлях хакера: від нелегала до високооплачуваної кар'єри". На сайті вишу зазначають, що ви – автор програми для зламу сторінок "ВКонтакте". Можете про це розповісти?

– Це давня історія, яку люди розписують в інтернеті... Не створював я як таких програм для зламу "ВКонтакте". Колись написав на Visual Basic скриптик, потім його оформив і скомпілював в .exe... Напевно, це все-таки можна назвати програмою.

Її ідея полягала ось у чому: у кожної людини "ВКонтакте" є певний ID сторінки, який вказано в посиланні на профіль. Свого часу у них була така невразливість, а швидше фіча: якщо ти заходиш у свої особисті фотографії і ставиш ID іншої людини, "ВКонтакте" показував тобі приховані фотографії інших людей. Я автоматизував цей процес, написав програмку, у якій ти підставляєш посилання на сторінку людини, а воно тобі показує її закриті фотографії. Це не написання програм для зламу, це було на початку моєї бурхливої молодості, так би мовити. Потім цю програмку і цей сайт мені запропонували викупити, я його продав, і там почалося вже якесь шахрайство: люди почали щось дописувати, придумувати містичні функції, яких не існує, тощо.

Я написав ось цей скриптик. Дуже схожу історію зробив один американський хакер, коли отримав email від компанії AT&T, перебрав всі ID і зібрав закриту інформацію від цієї компанії. Це не є зламом, що і підтвердив Вищий апеляційний суд США.

– Чи багато взагалі в Україні білих хакерів, ураховуючи, як до них ставляться? Наприклад, показовою є історія про злам "Київстару" у 2016 році, коли хакер виявив у системі критичну вразливість і повідомив про це компанії, а вона запропонувала йому "щедру" винагороду – три місяці безкоштовного інтернету.

– Саме після цієї історії "Київстар" став нашим спонсором. Мій колега з компанії і співорганізатор форуму HackIT дуже детально розписував це на Geektimes, він розписав цю несправедливість, із ним зв'язалися представники "Київстару". Вони сказали: "Хлопці, насправді ми лише знайомимося з цим світом і дбаємо про нашу репутацію та безпеку, тому ми готові з вами співпрацювати, стати партнером". Так вони стали нашим партнером і спонсором, зараз вони намагаються налагодити певний рівень інформаційної безпеки та захисту. Цього року нашим експертним партнером стала Vodafone. Компанії стільникового зв'язку в Україні представлені переважно закордонними брендами, вони дбають про свою репутацію і рівень безпеки.

– Цього року в межах форуму HackIT-2017 ви проводите "конкурс кібердетективів". Що це за конкурс, які завдання ставили перед учасниками?

– Ми намагалися змоделювати найактуальніші ситуації – наприклад, як ви розповідали, шахрайство й обман на OLX. Потрібно було знайти та ідентифікувати людину (що ви і робили), зібрати первинну інформацію і самостійно підготувати все для заяви в поліцію. До цього етапу ми не доходили, але потрібно було розкрити шахрая, розслідувати ситуацію з непостачанням або несплатою товару, з оплатою за повітря тощо. Ми хотіли дати людям можливість спробувати себе як кібердетектива. Хто швидше і краще за всіх справився із завданням, той і перемагав.

– Багато людей впоралося?

– 169 учасників зареєструвалися, упоралося хоча б з одним завданням – 65 осіб.

HackIT проводять у Харкові з 2015 року. Фото з архіву форуму HackIT

– На форумі презентують нову криптовалюту – hacken (гакен). Чим вона відрізняється від інших, наприклад, від біткоіна?

– У проекті Hacken особисто я відповідаю тільки за форум HackIT і комунікацію з білими хакерами. По-перше, біткоін можна майнити, гакен – не можна. По-друге, у нас реалізовано так званий burning model: коли хтось замовляє послугу через платформу, частина комісії спалюється. Тобто у нас йде зворотна емісія: "монет" буде все менше і менше, що забезпечує зростання цієї монети в ціні. На відміну від біткоіна, у нас є proof-of-stake і є так звана оплата за тримання. Грубо кажучи, гакен є валютою, якою можна розраховуватися всередині екосистеми (наприклад, компанії можуть платити хакерам за знайдені вразливості), але також можна просто тримати і отримувати відсоток з обігу решти валюти. Це аналог акцій, у цьому полягає суть усіх ICO-проектів. Це спосіб інвестувати в екосистему, у спільноту, якій ти довіряєш, і допомогти їй розвиватися.

Як і біткоін, ми реалізуємося на базі технології blockchain, це потрібно для об'єктивності та прозорості всієї діяльності компанії. У нас є і таке поняття, як escrow: 80% зібраних коштів буде відкладено тільки на виконання речей, які передбачено і заздалегідь прописано в white paper.

– Ви називали гакен криптовалютою для хакерів. Чому? Та чи можуть у цьому брати участь інші люди, не пов'язані з хакерами?

– Можуть, звісно. IT-шники можуть. Кожну нову криптовалюту створюють під щось – під конкретний вид бізнесу, для розв'язання певних завдань. Чому я сказав "для хакерів"? Тому що вона передусім буде цікавою людям, охочим протестувати свої продукти – тобто компаніям, які хочуть бути впевненими, що їхній софт написано якісно, а дані в безпеці. І хакерам, які надають такі послуги. Отже, ми фактично створюємо свою маленьку закриту систему, у якій є своя валюта, свій рейтинг, своя платформа. Так ми забезпечуємо ліквідність і необхідність криптовалюти.

– Гакен теж буде анонімним, як і біткоін?

– Так.

– Тобто в перспективі його теж зможуть використовувати кіберзлочинці в даркнеті?

– Людина, яка придумала ядерну бомбу, спочатку думала, що вона суттєво допоможе світу. Чи будуть вони використовувати гакен? Можливо, будуть, можливо, ні. Усе залежить від величезної низки чинників, які, на жаль, спрогнозувати неможливо.

У 2015 році на HackIT відбулася презентація кіберполіції України. Фото з архіву форуму HackIT

– Який статус у гакена в Україні? Адже біткоіна Нацбанк не визнає і вважає грошовим сурогатом. А як буде з гакенами?

– Ви пробачте, наша держава не визнає, що Саакашвілі – громадянин України, у нас таких казусів... Якщо ви про юридичну реєстрацію, криптовалюту розробляють в Україні українці, але немає такого поняття, що вона стане юридичною особою або буде в Україні як емітент грошового сурогату. Ми обрали для неї найлояльніші країни, де все це дозволено.

Ви говорите про лист НБУ з роз'ясненнями щодо статусу біткоіна, але лист не є законом, нормативним актом, який регламентує діяльність фінансових установ. І посилатися на нього як на те, що в Україні не визнають біткоіна, – почасти неправильно. В Україні також не визнають Webmoney, "Яндекс.Гроші", але від цього вони не перестають існувати й ходити? Наразі будь-хто може їх увести і вивести. Точно так само з біткоіном.

Умовно кажучи, у мене є склянка, і я вважаю, що вона коштує 10 грн. Ми з вами домовилися, що я вам викопаю траншею, і вартість моєї роботи становить 10 склянок. Ми з вами порушуємо законодавство?

– Ні.

– От уявіть, що біткоін – це такі самі фантики для держави. Вам заплатять 10 фантиків. Проблема виникає тоді, коли людина знаходить покупця, який теж уважає, що склянка коштує 10 грн. І коли ви віддаєте йому склянку, він дає вам гривні. Тут уже виникає інший момент: чи можна вважати біткоін товаром або послугою. Якщо Верховна Рада визнає біткоін товаром, послугою або грошовим сурогатом – тоді інше питання. Наразі його статус украй розмитий.

– Минулого тижня ви стали позаштатним радником Адміністрації Президента. У чому конкретно полягає ваша робота? Ви з певною регулярністю надаєте звіти чи навпаки – АП звертається до вас, коли захоче, і ви даєте відповідь щодо конкретної теми?

– І так, і так. Це обопільне співробітництво. Мені ставлять низку запитань, я даю відповіді на них. Детальніше, про що мене запитують чи що входить в мої обов'язки, я розголошувати не можу. Як правило, це стосується інформації з обмеженим доступом, і говорити про це я не маю права.

– У 2016 році ви написали статтю "Багато передастів, мало адвокатів, або IT-індустрія в Україні", у ній ви озвучили формулу: "Гарним юристом можна назвати того, кому хоча б кілька разів на рік погрожують убивством". А кого можна назвати гарним радником?

– Це гарне запитання. Ви знаєте, я б назвав гарним радником того, хто щось робить, пропонує конкретні дії. Але не просто пропонує: знаєте, у нас черга критикувати в країні величезна, а черга щось робити – завжди порожня. Мені здається, гарний радник – той, який не просто говорить, що нам потрібно робити, а говорить, як нам це робити, подає ці ідеї на обговорення громадськості, погоджує з профільними експертами у своїй галузі і тільки після цього кладе ідеї на стіл на найвищому рівні. Ось це, напевно, гарний радник. Я намагатимусь займатися саме цим, збиратиму максимальну кількість експертних думок, щоб не говорити одноосібно, що нам треба.

У будь-якому разі, завжди будуть незадоволені люди. У нас у країні як? Є, наприклад, інтернет-асоціація України. Вони після оголошення рішення про блокування "ВКонтакте" сказали: "На це державі знадобиться два роки і один мільярд доларів". Як ви пам'ятаєте, на це знадобилося два дні і нуль грошей. Тоді чому вони так сказали? Тому що інтернет-асоціація України – це групка провайдерів, які лобіюють власні інтереси і конкретно зацікавлені в тому, щоб не ставити додаткового обладнання для контролю, необхідного силовикам. Тому що їм це фінансово невигідно.

Точно так само з радниками або будь-якими людьми, які виходять на більш-менш публічну посаду. Завжди виникає якийсь конфлікт інтересів. Я, наприклад, за open-source програмне забезпечення і Linux, я проти платних операційних систем на державному рівні. По-перше, тому що вони себе не дуже добре зарекомендували, по-друге, тому що ставити Linux і якісні open-source продукти дешевше, ніж витрачати гроші незрозуміло на що. І завжди буде група незадоволених людей. Усім не догодиш, головне бути відносно об'єктивним і слухати думку інших.

– Із порадами АП – зрозуміло, а що б ви порадили простим українцям, щоб убезпечити себе від кіберзлочинності?

– Мені дуже подобається реклама Міністерства соцполітики: "Інформація – це продукт, споживай свідомо". Я б радив "споживати свідомо", я б радив думати, чому і як вам доносять ту чи іншу інформацію. Чому сьогодні з блакитних екранів говорять одне, а в холодильнику від цього більше їжі не стає? Навчитися фільтрувати фейки від нефейків, навчитися визначати для себе корисну інформацію, а не тонути в цьому океані брехні та пропаганди. Це, мені здається, найважливіше, а звідти вже прийде і все інше. Я б радив фільтрувати інформацію і робити усвідомлений вибір.