Ганна Мартинюк — виконувачка обов’язків завідувачки кафедри системного аналізу та інформаційних технологій Маріупольського державного університету, а також співзасновниця й координаторка проєктів Women4Cyber Ukraine. Коли вона почала свій шлях в галузі кібербезпеки, цього терміну ще навіть не існувало, а на спеціальності “системи технічного захисту інформації” навчалося всього двоє дівчат. 

Сьогодні своєю діяльністю вона намагається змінити ситуацію, мотивуючи дівчат вірити у власні сили, направляючи та допомагаючи їм на шляху до кар’єри в кібербезпеці та загалом в ІТ галузі. Нещодавно Ганна Мартинюк провела воркшоп у рамках проєкту “Кібербезпека для дівчат: можливості та професія” від STEM is FEM. Це STEM-екосистема, ініційована інвестором та підприємцем Сергієм Токарєвим, яка підтримує молодих українок, що прагнуть розвиватися в галузях науки, технологій, інженерії та математики. 

На воркшопі спеціалістка розповідала про те, як дівчатам та жінкам захистити себе у кіберпросторі. Саме на цю тему “Українки” поспілкувалися з пані Ганною, а також розпитали про досвід боротьби зі стереотипами, кар’єру дівчат в ІТ, особисті бар’єри на цьому шляху та як Women4Cyber Ukraine допомагає їх долати.

ГАННА МАРТИНЮК:
ДІВЧАТА В КІБЕРБЕЗПЕЦІ

Ганна Мартинюк
Ганно, для початку розкажіть, як ви вирішилися зайнятися саме кібербезпекою? Чи це був перший вибір професії?

Чесно кажучи, вибір спеціальності був більше збігом обставин. Тоді я навчалася в херсонській загальноосвітній школі й при виборі майбутньої професії про кібербезпеку навіть не йшлося. В далекому 2006-му всі хотіли бути економістами чи кібернетиками. Я навіть задумувалася про медичну кар’єру, але життя буремне.

Одного дня до мене прийшов директор школи й розповів про можливість вступати в Національний авіаційний університет в Києві, оскільки знав про мої хороші оцінки з англійської, математики та фізики. Це була пропозиція навчання за ваучером на спеціальності “системи технічного захисту інформації”. Я абсолютно не розуміла, що на мене чекає. Однак вирішила спробувати й після цього побачила в галузі перспективу.

Як складалося навчання? Чи багато дівчат було на курсі, адже стереотипно на таких спеціальностях часто більше чоловіків?

Коли я вступила, то серед 60 студентів було тільки дві дівчини включно зі мною. Викладачі казали, що ми правильну спеціальність обрали — вийдете заміж, бо “нащо вам залізяками різними займатися”. Я ж одразу відповідала: “Вибачайте, я прийшла наче вчитися, а не заміж виходити”.

Перші два курси навчання десь у такому форматі й проходили. Проте я на кожній парі показувала, що не гірше, ніж інші. Що інколи знаю навіть більше, ніж викладачі. Тому з третього курсу до мене ставилися вже без жодних гендерних стереотипів.

Як вирішили зайнятися саме викладанням? 

Ще під час навчання я активно займалася наукою — захистила окрему роботу й отримала звання кандидатки наук Національного авіаційного університету. Тоді існувала така форма для студентів, які займалися дослідженнями паралельно з основним навчанням.

Мій науковий керівник був не з кафедри захисту інформації, а з кафедри метрології, тому життя мене змусило попрацювати ще й з інформаційно-вимірювальними системами, метрологією, повикладати дисципліни більш статистичного характеру. Згодом мене знову запросили на кафедру систем технічного захисту інформації в НАУ — вже заступницею завідувача. І тоді я почала впроваджувати елементи кібербезпеки в навчальний процес.

Приблизно з 2020 року почала викладати дисципліни “інформаційні технології” та “основи кібербезпеки” для студентів перших-других курсів. Це був період, коли в Україні почали активно оновлювати освітні програми й приділяти більше уваги саме кібергігієні та основам кібербезпеки — зокрема, і для держслужбовців. Тоді й почалась активна інтеграція цих тем у вищу освіту.

Зараз я працюю в Маріупольському державному університеті, виконую обов’язки завідувачки кафедри системного аналізу та інформаційних технологій. І вже тут продовжую розвивати безпосередньо освітню програму з кібербезпеки.

ГАННА МАРТИНЮК
ПРО STEM is FEM
ТА WOMEN4CYBER UKRAINE

Ганна Мартинюк
Поділіться тим, як з’явилася організація Women4Cyber Ukraine. Які цілі перед собою ставите та якими проєктами й напрямками займаєтеся?

Хоч ми існуємо майже рік, але ідея створення виникла давно. Сьогодні стає все більше громадських організацій з акцентом на жінок. Наша ідея була об’єднати їх навколо кібербезпеки. Спочатку ми співпрацювали в різних проєктах з європейською асоціацією Women4Cyber Foundation. Пізніше отримали дозвіл та відкрили офіційний осередок організації в Україні — Women4Cyber Ukraine. 

Наразі у нас близько сорока учасниць, які представляють різні сфери бізнесу, освіти, а також студентки. Своєю діяльністю намагаємося підвищувати обізнаність про гендерний баланс, розвивати освітні й тренінгові програми, залучати жінок до кіберзмагань і професійних програм.

Якщо казати про освіту і науку, про підтримку жінок в кібербезпеці, то ми шукаємо різні сертифіковані програми, спеціальні навчальні програми, матеріали для кіберполігонів, як-от CyberRange, і надаємо доступ дівчатам до цих платформ.

Щодо приватного сектору, сьогодні ми створюємо різні спільноти підтримки та нетворкінгу для жінок у кібербезпеці. Об’єднуємося з іншими організаціями, фундаціями, аби показувати, що потрібно більше жінок в кібербезпеці. Так само надаємо доступ до різних ресурсів для професійного зростання. Наприклад, програми стажування.

Крім того, часто співпрацюємо безпосередньо зі школами, до яких самі приходимо з пропозиціями. Співпрацюємо з бізнесом, який зараз часто сам звертається з проханням провести курси з кібергігієни. 

Основний план — залучати саме дівчат через популяризацію професії з кібербезпеки серед молоді. Завжди мотивуємо залучати більше дівчат до галузі, адже поки 24% жінок працюють в галузі кібербезпеки, тобто досі галузь більше чоловіча.

Як приєдналися до воркшопу STEM is FEM, як почалася співпраця?

Співпраця сталася, певно, природним чином. Коло активних жінок у технологічній сфері ще досить невелике, тому ми або напряму знайомі між собою, або через кілька контактів. 

Коли саме у STEM is FEM з’явилася ініціатива, пов’язана з кібербезпекою, то було доволі логічно об’єднати зусилля саме з нашою організацією. Ми маємо спільні цінності, ми хочемо бачити більше жінок та дівчат у технологіях, сприяти їхньому розвитку та створювати для них більше можливостей. Саме тому рішення про співпрацю було прийняте дуже швидко.

Які теми кібербезпеки ви порушували під час свого воркшопу?

Безпосередньо я брала участь у воркшопі з акцентом на паролі, фішингові атаки, безпеку мобільних пристроїв та застосунків. Ці теми сьогодні необхідні всім. Здавалося б, що це базові речі, проте багато з інформації сприймалося із захопленням, бо для учасниць вона була новою. Навіть про те, як правильно підбирати паролі. Невелика кількість людей змогла справитися з цим завданням. Тобто, ще є над чим працювати й про такі базові речі треба розказувати постійно.

На воркшопі було багато вчительок, які отримали нову інформацію від нас і далі поділяться нею зі своїми ученицями. Такі теми можна легко подавати через гейміфікацію, аби зацікавити молодь. 

Ми й самі використовуємо цей інструмент незалежно від віку учасниць. Створюємо прості завдання на логіку або тестуємо знання за допомогою вікторин. Людям набагато цікавіше проходити це в інтерактивному форматі, ніж просто слухати лекцію, вони краще це запам’ятовують.

КІБЕРЗАГРОЗА:
РЕАЛЬНІ РИЗИКИ СЬОГОДЕННЯ

Ганна Мартинюк
Як змінилися кіберзагрози порівняно з попередніми роками? 

Кількість кіберзлочинів сьогодні зростає щодня — це чітко видно навіть зі звітів CERT-UA. Причина — надзвичайна доступність знань і інструментів для атак. В інтернеті будь-хто може знайти покрокові інструкції, як зробити фішингову атаку, і просто сісти вдома та спробувати — «а раптом вийде». Це породжує феномен коли людина, яка не має жодного технічного бекграунду, все одно може завдати шкоди.

Ситуацію погіршує те, що рівень обізнаності серед користувачів зростає повільніше, ніж масштаби загроз. Навіть штучний інтелект, як-от ChatGPT, видає докладні відповіді, як реалізувати атаку — нехай і з попередженням «не використовуйте це на людях», але, на жаль, хто дійсно хоче, той зупинятись через попередження не буде. Тому кожен користувач повинен мати бодай базові навички кібергігієни.

Окрема категорія загроз — інсайдери. Дуже часто атаки відбуваються не ззовні, а зсередини, через працівників компанії. Це може бути як недбалість (записати пароль на папірці й покласти під ноутбук), так і навмисні дії — наприклад, підкуплений співробітник зливає бухгалтерську чи службову інформацію.

Ми проводили курси, зокрема для Державної служби якості освіти, де все дуже добре налаштовано: після двох хвилин бездіяльності комп’ютер блокується, паролі не зберігаються у відкритому вигляді, використовуються менеджери паролів. Але навіть це не дає стовідсоткової гарантії, що хтось не напише пароль на папірці. Тобто недостатньо просто сказати «це небезпечно». Потрібно пояснити чому саме це небезпечно, бо без обґрунтування люди не змінюють звичок.

Ці ризики — не лише гіпотетичні. Наприклад, у США вже давно проводять регулярні тестові фішингові атаки на своїх співробітників та партнерів по ланцюгу постачання, щоб перевірити, де слабке місце. Оскільки зламуючи одну людину, можна отримати доступ до всього офісу чи системи. Особливо така практика застосовується до аеропортів, де перевіряють абсолютно всіх залучених, навіть кур’єрів та кейтерингові служби.

В Україні до цього підходу ще не звикли, але це той рівень безпеки, до якого нам варто прагнути, щоб не допустити катастрофічних наслідків. Особливо це важливо в умовах війни та кібервразливості критичної інфраструктури.

Ви розповіли про кіберзагрози з акцентом на компанії. А як щодо тих загроз, які можуть торкнутися кожного й кожної, незалежно від професії чи інших характеристик?

Фішингові атаки бувають різними — від примітивних до високотаргетованих.

Найпростіший тип — це масова атака, коли зловмисники надсилають однакове повідомлення великій кількості людей з розрахунком, що хтось обов’язково “зловиться”. Наприклад, це можуть бути листи про виграш, фейкові компенсації чи акції від банків.

Інший рівень — цільові фішингові атаки. У таких випадках атака готується спеціально під конкретну людину або організацію. Зловмисник збирає попередню інформацію з відкритих джерел, маскує повідомлення під робоче листування чи реальні процеси в компанії. Мета — отримати доступ до системи через одну вразливу точку, наприклад, через працівника, який відкриє файл або введе свої облікові дані.

Окремо виділяють фішинг, побудований на емоційному тиску. Наприклад, посилання на фейкові сайти виплат через повідомлення про нібито грошову допомогу від держави, ЄС чи ООН — користувач переходить за посиланням і залишає свої дані, після чого стає жертвою.

Чи повідомлення з проханням терміново перерахувати гроші від імені близької людини, особливо військовослужбовців чи того, з ким зараз немає зв’язку. Людина не має змоги перевірити, чи це дійсно її друг або родич, і часто просто пересилає кошти, — іноді навіть не усвідомлюючи, що стала жертвою фішингу.

Такі психологічно заряджені атаки особливо небезпечні під час війни — коли люди перебувають у стресі, мають сильну емпатію і не завжди критично мислять у моменті. Тому вони стали значно поширенішими з 2022 року. І найстрашніше — це не просто про гроші. Це про втрату довіри, емоційне виснаження і відчуття вразливості.

ЯК НЕ СТАТИ ЖЕРТВОЮ
КІБЕРЗЛОЧИНУ

Чи є якась гендерна відмінність, особливість? Хто частіше стає жертвами кіберзлочинів?

Це питання з нюансами, бо багато чого залежить від типу злочину. Якщо говорити про кіберпереслідування, харасмент чи шантаж, то тут жінки частіше стають жертвами. Проблема в тому, що вони не завжди про це говорять — часто їм соромно зізнаватися, що стали жертвами саме такого роду атак. Це робить проблему ще менш помітною, але не менш гострою.

Щодо чоловіків, то вони частіше потрапляють у пастки фінансових шахрайств. Так історично склалося. Їх атакують через інші слабкості: довіру до фальшивих інвестицій, легких заробітків чи «вигідних» пропозицій.

Особливу увагу варто приділити дітям, які зараз масово стикаються з кібербулінгом. І, на жаль, дівчата — більш уразлива категорія, вони частіше страждають від цькування в онлайн-середовищі, ніж хлопці. 

Проте ніхто не застрахований. Саме тому про те, як себе убезпечити та як діяти, якщо стали жертвою кіберзлочину — потрібно знати всім, незалежно від статі чи віку. 

Це питання з нюансами, бо багато чого залежить від типу злочину. Якщо говорити про кіберпереслідування, харасмент чи шантаж, то тут жінки частіше стають жертвами. Проблема в тому, що вони не завжди про це говорять — часто їм соромно зізнаватися, що стали жертвами саме такого роду атак. Це робить проблему ще менш помітною, але не менш гострою.

Щодо чоловіків, то вони частіше потрапляють у пастки фінансових шахрайств. Так історично склалося. Їх атакують через інші слабкості: довіру до фальшивих інвестицій, легких заробітків чи «вигідних» пропозицій.

Особливу увагу варто приділити дітям, які зараз масово стикаються з кібербулінгом. І, на жаль, дівчата — більш уразлива категорія, вони частіше страждають від цькування в онлайн-середовищі, ніж хлопці. 

Проте ніхто не застрахований. Саме тому про те, як себе убезпечити та як діяти, якщо стали жертвою кіберзлочину — потрібно знати всім, незалежно від статі чи віку. 

Як діяти, якщо все ж стали жертвами кіберзлочину?

У випадку, якщо все ж стали жертвою фішингу, кібербулінгу чи інщих злочинів такого типу — варто звертатися до кіберполіції. Вони працюють із подібними кейсами. Також можна звертатися до ІТ-відділу на роботі, якщо інцидент стосується робочих ресурсів.

Важливо зберігати всі повідомлення, посилання, скриншоти — це допоможе під час розгляду інциденту.

Які базові речі кожному й кожній потрібно робити, аби не стати жертвами фішингових атак?

Насправді все просто — не переходити за підозрілими посиланнями та не відповідати на сумнівні повідомлення. Усі фішингові атаки розраховані на дію: що хтось щось натисне, перейде за посиланням, введе свої дані або надішле гроші. Якщо ми просто проігноруємо повідомлення або не натиснемо на посилання — ми вже не стали жертвою. А от той, хто перейде — стає наступною ланкою в ланцюгу, від імені якої атака поширюватиметься далі.

У випадку фейкових прохань про термінову фінансову допомогу — наприклад, повідомлення від “знайомого”, який говорить що зараз на фронті або в полоні — єдиний правильний алгоритм дій це спробувати зв’язатися голосом напряму. Якщо це неможливо — тоді зв’язатися з кимось із його родичів або близьких. Не можна діяти лише на емоціях — бо, на жаль, саме на них, на нашій емпатії й грають зловмисники.

Ще один ефективний підхід — перевірка посилань перед переходом. Наприклад, якщо вам просять проголосувати в конкурсі, краще не клікати одразу, а скопіювати посилання й перевірити його на сервісах, які аналізують безпечність URL-адрес. Це займає буквально кілька хвилин, але може зберегти доступ до ваших акаунтів і особистої інформації.

І головне — здоровий скепсис. Якщо повідомлення здається занадто емоційним, терміновим або “занадто добрим, щоб бути правдою” — краще перевірити ще раз, ніж потім мати справу з наслідками. Це та сама професійна кібергігієна, яку потрібно формувати щодня як звичку.

БАЗОВІ ЗНАННЯ
Як ЗАХИСТ ВІД КІБЕРЗАГРОЗ

Ганна Мартинюк
Ви сказали про перевірку посилань перед переходом за ними. Можливо, порадите кілька інструментів, які будуть корисні, аби убезпечити себе від кіберзагроз?

Звичайно. Це ті інструменти, які я рекомендую завжди. 

Якщо вам приходить якесь підозріле посилання — ви можете його просто взяти, скопіювати й перевірити через сервіс VirusTotal. Там одразу буде зрозуміло, є загроза чи ні. Це займе буквально дві хвилини часу, але вбереже від викрадення ваших даних.

Дуже класна штука — сайт Have I Been Pwned. Ви туди вводите свою пошту і бачите, чи були витоки ваших даних. Якщо бачите, що були порушення — варто одразу змінити пароль і подумати, на яких ще онлайн сервісах ви його використовували.

Ще дуже люблю Phishing Quiz від Google. Там прямо показують листи й ви маєте обрати, де фішинг, а де ні. Це дійсно тренує уважність. Люди потім  проходять і кажуть: “Ого, я думала, що все розпізнаю, а виявилось — ні”.

Також базовий інструмент — Zillya! Це український сервіс, який дозволяє перевірити, наскільки ваш пароль надійний. Він одразу показує: слабкий, середній, чи сильний. І це дуже наочно.

А ви особисто колись самі зіштовхувалися з якимись кіберзлочинами, чи вас намагалися обманути або зробити жертвою?

Так, постійно. Наприклад, буквально два місяці тому зламали мого рідного брата — і мені від нього приходить повідомлення: «Привіт, скинь гроші, передзвоню». Пишу йому одразу, що його знову зламали: «Це вже якась трагедія, ну хоч не переходь за всіма посиланнями».

Такого типу повідомлення приходять постійно. Хоча бувають й кумедні випадки. Наприклад, мій друг надіслав повідомлення з проханням: “Проголосуй, будь ласка, за мене в якомусь конкурсі”. Чесно кажучи, такі “проголосуй за мене” або “за мою племінницю” — сьогодні вже типовий фішинговий прийом. Я просто проігнорувала.

Через кілька годин знову пише: “Ти проголосувала?”. Відповідаю, що не поведуся на таке. Він дзвонить мені та каже, що дійсно треба допомога в голосуванні. А в мене вже виробилась професійна недовіра до таких повідомлень, відразу сигнал: тебе зламали, до побачення.

КІБЕРБЕЗПЕКА
ЯК ПРОФЕСІЯ ДЛЯ ЖІНОК

Ганна Мартинюк
З кіберзахисту трошки змістимо акцент на кібербезпеку як професію. Як взагалі дівчині зараз торувати свій шлях в ІТ загалом, і в кібербезпеці зокрема? Чи є ще досі гендерні стереотипи, з якими ви свого часу зіштовхувалися?

На щастя, зараз ситуація справді стала трохи кращою. Думаю, це завдяки тому, що з’явилося багато проривних жінок у кібербезпеці. Вони вже проклали свій шлях, і тепер тим, хто лише починає, легше. За статистикою, з 2021 року кількість жінок в ІТ зросла до 28,4%, а жінки займають 47,8% керівних посад у цій сфері. Це свідчить про те, що жінок починають цінувати й розуміти, що вони теж можуть ефективно працювати в ІТ, у тому числі й у кібербезпеці. Також змінюється уявлення про лідерство, з’являється більше рольових моделей, з якими можна себе ідентифікувати.

Але залишаються й інші бар’єри. Часто вони мають психологічний характер. Наприклад, коли чоловікові пропонують новий проєкт або відповідальну посаду, він частіше погоджується одразу, навіть якщо не повністю розуміє завдання. У нього є внутрішня впевненість — “я розберуся по ходу”. Жінки ж, навіть маючи всі необхідні знання і навички, можуть вагатися, сумніватися у собі й відмовлятися, бо бояться зробити помилку. Це поширена ситуація. Саме тому дуже важливо, щоб у команді була людина, яка може підтримати, сказати: “Спробуй, у тебе все вийде, ми поруч”. Ця підтримка формує впевненість і розкриває потенціал.

Ще один важливий момент — зміна суспільного ставлення. Якщо раніше дівчата, які обирали ІТ, стикалися з упередженим ставленням і могли почути запитання на кшталт: “А чому ти сюди йдеш? Це ж не жіноча справа”, то зараз таких реакцій майже не зустрінеш. Навпаки, роботодавці шукають різноманіття в командах, бо це дає кращі результати. Випадки гендерного булінгу чи харасменту на робочих місцях, на щастя, зараз поодинокі — і якщо вони трапляються, їх більше не замовчують, як раніше.

Найперше — зрозуміти, що ІТ — це не лише про програмування. Це велетенський простір із десятками напрямків. Тут і системне адміністрування, і UX/UI-дизайн, і кібербезпека, і аналітика, і управління проєктами, і продажі, і навіть освітні технології. Наприклад, компанії, що займаються безпековими рішеннями, часто шукають спеціалістів із технічним бекграундом, які можуть продавати продукт і пояснювати його суть. Вони значно ефективніші за “класичних” маркетологів чи сейлзів.

Що робити дівчині, яка ще не визначилася? По-перше, подумати, що саме її приваблює: креатив, аналітика, спілкування, організація, логіка. Вже з цього можна обирати. Наприклад, любиш малювати й працювати з кольором — спробуй себе в графічному дизайні чи UI-дизайні. Є хист до аналізу — спробуй аналітику даних або кібербезпеку. Не страшно, якщо математика не твій сильний бік. У сфері ІТ є багато ролей, де вона не критична.

Не треба боятися того, що ми йдемо в ІТ. Тому що сьогодні всі двері абсолютно відкриті. Головне — зрозуміти, чого ти дійсно хочеш. Є безліч онлайн-ресурсів, які допоможуть розібратися з конкретним напрямком: безкоштовні курси, YouTube-канали, тестування на профорієнтацію, IT-форуми, чати, воркшопи. Можна підписатися на тематичні Telegram-канали для дівчат в ІТ. Також популярні менторські програми, коли досвідчена фахівчиня допомагає початківицям зорієнтуватися. Не бійтеся писати спеціалістам напряму — більшість із них із радістю відгукнеться.

Наприклад, у мене був випадок: хлопець із Харківської області сам написав мені у Viber, попросив підготувати його до участі в конкурсі з інформатики. Я допомогла, і він посів третє місце в Україні. Це яскравий приклад того, що головне — не боятися звернутися й зробити перший крок.

Але тут знову ж таки повертаємося до психологічних бар’єрів дівчат, які можуть сумніватися в собі й не ризикнути написати. Сподіваюся й вірю, що діяльність нашої Women4Cyber Ukraine, ініційованої інвестором та підприємцем Сергієм Токарєвим STEM is FEM, та інших організацій, а також особисті приклади жінок в кібербезпеці та технічних спеціальностях — допоможуть дівчатам додати впевненості й віри у власні сили.