Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

Рада кібербезпеки України

Концепція

Зібрав до купи думки щодо створення такого необхідного країні базового стратегічного консультаційного органу, в якому бізнес, уряд та академія могли б формувати зважений консенсус з питань кібербезпеки. Нічого нового, всі ідеї зтирені, гортайте далі.

Проблематика

В Україні на державному рівні кібербезпека відсутня інституційно. Це означає, що відповідальність за формування компетентних рішень та надання професійної експертизи щодо кібербезпеки покладено на установи та органи, які або не є компетентними в предметній області, або їхні фахові знання морально застаріли в дев’яності роки минулого століття.

Державне регулювання в галузі кібербезпеки здійснюється шляхом затягування галузі в минуле, де все ще діють застарілі методичні вказівки, та через обмеження поля діяльності бізнесу та держустанов ефемерними рамками бюрократичних протоколів.

Формування кібербезпеки як галузі вимагає створення осередку сучасних експертних знань, професійного авторитету, та політичної волі, в рамках якого учасники галузі зможуть ефективно обмінюватись аргументами та проводити консультації та дебати з метою формування консенсусу. Зважені компроміси між учасниками Ради кібербезпеки України зможуть вважатися надійними експертним висновками з стратегічних питань в цій галузі.

Рада кібербезпеки України зможе закласти основу подальшим процесам побудови в державі галузі кібербезпеки та налагодженню співпраці між її суб’єктами. Але навіть на початку роботи, Рада зможе виступати компетентним консультантом всіх учасників галузі з питань кібербезпеки — якого наразі держава не має та на чиєму місці юрбляться десятки некомпетентних шарлатанів.

Джерело натхнення

Основою для запропонованої концепції стала Рада кібербезпеки Королівства Нідерланди. Нідерланди є зразковим прикладом побудови національної системи кібербезпеки, яка є одночасно економічно ефективною, сумісна із відповідними системами союзників, та не потерпає від успадкованих вад бюрократичних апаратів НАТО та ЄС. Автор концепції може надати докладні матеріали щодо доцільності вибору Нідерландської моделі розвитку як найбільш успішної та оптимальної для України, але серед основних аргументів хочеться назвати такі:

  1. Безпрецедентна ефективність Нідерландської моделі кібербезпеки в плані економічної доцільності. Дослідники економіки кібербезпеки наводять приклад голландського Національного ревю кібербезпеки як фреймворку для оцінки стану безпеки, який перевищує найпоширеніші міжнародні та галузеві стандарти, такі як ISO27001 або PCI DSS.
  2. Тісні культурні та професійні зв’язки Нідерландів та України на тлі збройної агресії РФ, які значно прогресують з часів трагічної катастрофи рейсу MH17. Професійні спільноти Нідерландів та України ефективно обмінюються досвідом, а голландські спецслужби відіграють важливу роль в протистоянні російській агресії в кіберпросторі.

Мета

Рада з кібербезпеки України (РКУ) — незалежний дорадчий орган, який формулює стратегічні поради та рекомендації українським державним та комерційним організаціям, самостійно та у відповідь на їхні запити. РКУ бере участь у формуванні стратегії кібербезпеки та здійснює моніторинг її виконання. РКУ складається з представників державних та приватних організацій України.

Основні напрямки діяльності РКУ:

  1. Дорадча: Допомога в прийнятті стратегічних рішень шляхом обміну професійними знаннями та досвідом в галузі кібербезпеки.
  2. Освітня: Підвищення обізнаності з питань кібербезпеки в суспільстві та органах влади. Сприяння створенню та розвитку навчання з кібербезпеки. Симулювання та популяризація досліджень з кібербезпеки.
  3. Економічна: Сприяння розвитку приватного сектору, зокрема, українських стартапів з кібербезпеки.
  4. Дипломатична: Координація міжнародних відносин України в галузі кібербезпеки. Сприяння соціальним процесам, які позитивно відбиваються на рівні кібербезпеки України.
  5. Наглядова: Моніторинг політичних, економічних, наукових та суспільних тенденцій з метою своєчасного виявлення їхнього потенційного впливу на кібербезпеку України. Моніторинг виконання стратегії кібербезпеки України.

Склад

З метою покриття якнайширшого спектру питань з кібербезпеки, склад РКУ складається із представників приватних та державних організацій в таких пропорціях:

  • 6 представників державних установ – органів влади, державних та спеціальних служб, які здійснюють діяльність в галузі кібербезпеки. Державні службовці та функціонери, які дотримуються прогресивних поглядів щодо кібербезпеки та готові аргументовано доводити позицію держави в раді.
  • 6 представників приватних установ — відомих та успішних українських комерційних компаній, які засновані в Україні та мають український капітал; та недержавних некомерційних організацій, які здійснюють діяльність в Україні. Іншими словами, офшори, дочірні іноземні компанії та осередки іноземних NGO в склад ради не допускаються.
  • 3 представники освітніх та наукових закладів — авторитетних та прогресивних академічних установ, які здійснюють навчання спеціалістів в галузі кібербезпеки та проводять відповідні дослідження. Науковці та викладачі, які мають авторитет серед студентства, колег та професійної спільноти.

Перший склад ради формується шляхом проведення відкритого конкурсу. Члени ради визначають заступників, які можуть представляти їх у засіданнях ради. Члени ради та заступники обираються в РКУ щороку на один рік та не можуть засідати в раді довше двох років поспіль. Наступний склад РКУ визначається голосуванням за кандидатів 1/3 складу наприкінці року роботи ради. В перший та другий рік РКУ покидають 1/3 її членів, визначені випадковим жеребкуванням. (Таким чином 1/3 ради першого покоління буде змушена «відбути» три терміни.)

Рівень членства в РКУ — не статусний та не політичний, а професійний та функціональний. Члени ради та заступники повинні бути дійсними (протягом п’яти останніх років) практиками кібербезпеки, і це повинно підтверджуватися досвідом, рекомендаціями визнаних експертів, дослідженнями, виступами, публікаціями, престижними міжнародними сертифікатами тощо.

Секретар ради визначається РКУ щороку голосуванням на першому засіданні за поданням члена ради. Секретар не може суміщати роль члена ради або заступника.

Голова та заступник голови ради визначаються на рік шляхом голосування на першому засіданні ради, на якому головує найстарший за віком член ради. Голова та заступник голови представляють відповідно приватний та державний сектор ради або навпаки.

Порядок роботи

РКУ проводить чергові засідання щомісяця. Участь в засіданнях — персональна або дистанційна за допомогою відео зв’язку із належними засобами захисту. Позачергові засідання ради проводяться за ініціативи не менш ніж трьох дійсних членів. Кворум засідання — 11 членів або заступників. У разі відсутності члена ради, заступники беруть участь та мають право голосу. Заступники також можуть брати участь в присутності відповідного члена ради, але право голосу зберігається за останнім. Рішення РКУ приймаються прямим чи таємним голосуванням простою більшістю.

Порядок денний засідань визначається секретарем та поширюється серед членів РКУ та заступників напередодні засідань. РКУ здійснює обговорення, аргументовані дебати та голосування із метою визначення спільної позиції щодо питань порядку денного. На базі прийнятих рішень, РКУ робить рекомендації та надає поради авторам звернень та надає відповіді адресно або публічно, згідно із бажанням автора та чутливістю звернення.

Секретар ради протоколює засідання зручним способом та забезпечує збереження матеріалів засідань. У разі неможливості розглянути на черговому засіданні усі накопичені питання порядку денного, призначається наступне позачергове засідання.

Автори звернень можуть бути присутні на відповідних засіданнях ради, якщо це не суперечить рівню чутливості інших питань, що розглядаються. Рішення про присутність авторів звернень приймає Голова ради.

Рішення ради

РКУ розглядає звернення українських суб’єктів галузі кібербезпеки, а також може самостійно виносити на розгляд питання на подання членів ради та заступників.

Поради та рекомендації РКУ повинні надаватися членами ради на основі власного професійного досвіду, з використанням сучасних результатів досліджень, методичних посібників та міжнародних стандартів в галузі кібербезпеки. Вони повинні мати системний характер та бути застосовними для класу або типу проблем та задач. Так, рекомендації видані в певному контексті, повинні бути застосовні не лише до спеціального випадку та відповідного звернення, але й до більшості випадків в цьому контексті.

Рішення ради публікуються офіційними та популярними способами із метою забезпечення якнайширшого поширення серед потенційно зацікавлених суб’єктів. Щонайменше, РКУ має представництва в профільних та популярних соціальних мережах та список розсилки електронної пошти, а також активно підтримує робочий простір для спілкування із громадськістю в вигляді онлайн-форумів, груп, чатів тощо.

Рішення ради можуть виноситися на засідання інших державних органів України, таких як РНБОУ, КМУ, ВРУ тощо, із метою формування безпекового та політичного порядку денного української держави.

Інша діяльність

Рада проводить різноманітну діяльність поза засіданнями та прийняттям рішень. Зокрема, члени ради та заступники проводять консультаційні зустрічі із організаціями, виступають з підтримкою на професійних заходах, беруть участь в дослідницьких проектах, представляють Україну на міжнародних професійних подіях, беруть участь у складах комісій з розслідування інцидентів стратегічного значення, виступають із мотиваційними промовами перед студентством, виступають як ментори державних службовців в галузі кібербезпеки тощо.

США здійснюють кібер-атаки на енергосистему РФ

Дуже цікавий стратегічний поворот у діях США в кіберпросторі. Чутки про те, як саме США будуть здійснювати відповідь на інформаційні та кібер-атаки росіян, точаться від перших заяв про можливість здійснення таких відповідей, і ось спливають цікаві подробиці. Згідно із новою військовою доктриною, в американського кібер-командування є мандат на здійснення прихованих кібер-операцій у системах та мережах противника. Яким, як слідує із нещодавніх заяв, військові активно користуються.

Взагалі, то нічого нового, всім давно відомо, що у кожної нації, яка володіє мінімальним наступальним потенціалом в кіберпросторі, є імплантати в мережах як противників, так і союзників. Але заявляти про це відкрито якось не прийнято. Тому ці заяви США можна розцінювати як в тому числі й дипломатичні сигнали: ми знаємо, що ви робили в 2016 році, ми знаємо, що ви спробували повторити це в 2018 році, і ось вам наше останнє китайське попередження. Звісно ж, наявність імплантатів позиціюється американцями як елемент стримування.

Морально-етичний бік такої поведінки дуже цікавий. З одного боку, здійснювати проникнення в цивільну інфраструктуру, навіть якщо вона належить або контролюється урядом, це трохи поза рамками status quo. Але ж РФ вийшла за ці рамки ще під час атаки на Прикарпаттяобленерго. Тому зважаючи на контекст, здається, все в рамках. Хоча, цілком можливо, що я упереджений. Як і більшість читачів цих рядків.

Дезінформація під час травневих виборів в Європарламент

Цього разу йдеться про дезінформацію під час травневих виборів в Європарламент. Основні цілі РФ: вплинути на поведінку виборців та запобігти явці на вибори. Тактика нічим не відрізняється від виборів президента США в 2016 р. та референдуму щодо Бреґзіту.

Російська дезінформація, як і раніше, не робить акцентів на відверто неправдивих фактах. Натомість, використовуються полярні дискусійні теми, такі як суверенність країн-членів ЄС й проблеми міграції, та здійснюється підсилення (поляризація) поглядів окремих типів користувачів соцмереж на ці питання. Наприклад, росіяни використовували відео пожежі в Соборі паризької Богоматері для ілюстрації тез про занепад християнських та західних цінностей в ЄС.

В наслідок операцій з дезінформації нічого радикального не сталося. Хоч анти-європейські та крайні праві політики й набрали рекордну чверть місць в Європарламенті, це значно менше, ніж вони очікували. У відповідь на втручання, ЄС не планує вводити регулювання соцмереж, хоча й підкреслює, що вони роблять недостатньо для модерування вмісту на своїх платформах.

У звіті Оксфордського університету британські вчені™ повідомляють, що найбільший вплив операції РФ завдають в країнах, які (поки що) не мають розвинених незалежних ЗМІ, та уряди яких не ведуть активну боротьбу з дезінформацією. Так вплив на волевиявлення у Польщі та Угорщині був досить помітним, в той час як у Франції та Німеччині ефекту майже не відчувалося.

https://www.washingtonpost.com/technology/2019/06/14/eu-russians-interfered-our-elections-too/

Різниця між корпоративною та продуктовою безпекою

Серед українських організацій чи не найчастіше до нас звертаються ІТ-компанії. Тому хочеться розповісти про певний накопичений досвід. Цілком можливо, він стане в пригоді іншим організаціям в цій вертикалі, а може й організаціям з інших галузей. Тому якщо у вас є знайомий CIO/CTO ІТ-фірми, покажіть йому цей текст. Він писався для нього.

Звернення ІТ-компанії приблизно в одному випадку з десяти відбувається з власної ініціативи. В решті випадків причиною такого звернення є вимога замовника чи потенційного замовника її послуг. На відміну від багатьох моїх колег, я такий підхід вважаю цілком правильним, практичним та економічно виправданим. Ці компанії пишуть код буквально на замовлення. Цей код в більшості випадків приносить вигоду замовникам та робить життя багатьох тисяч людей комфортнішим та зручнішим. Тому вимагати від ІТ-компаній піклуватися про безпеку мають право або їхні замовники, або клієнти замовників. Якийсь віртуальний Вова Стиран може звісно походити поскиглити про гнітючу картину в безпеці ПЗ, але краще б він з однодумцями відкрив локальний чаптер OWASP та зробив знання про безпеку доступними в його регіоні для тих компаній та професіоналів, яким це потрібно. Що він, власне, і робить.

Але, при цьому звернення «по безпеку» від ІТ-компаній відбуваються трохи безсистемно і тут давайте зупинимось докладніше. Причина ховається в дуалізмі поняття про безпеку в будь-якій організації, яка створює інформаційні продукти або сервіси. З одного боку, є організаційна безпека: захист інформаційних систем та мереж, охорона інтелектуальної власності, виконання вимог місцевих та міжнародних регуляторів тощо. Тобто, захист інтересів бізнесу як сутності: щоб він не збанкрутував, а його керівники не сіли у в’язницю. З іншого боку, є безпека інженерна: захист власне продуктів та сервісів від зловживань неавторизованих осіб, захист користувачів та їхніх даних від наслідків таких зловживань, а також захист бізнес-моделі як від третіх осіб, так і від авторизованих користувачів (наприклад, ліцензування ПЗ або DRM). Тобто, захист продукту діяльності бізнесу та можливості його перетворити на прибуток.

Годі й казати, що ці дві “безпеки” є досить різними галузями знань. На жаль, цей факт відомий далеко на всім керівникам. Деколи це призводить до того, що за Application Security в компанії відповідають операційні ІБшники, що стає причиною купи непорозумінь та додаткового “тертя” в стосунках ІТ та бізнесу. Трохи рідше, програмістів з продуктової розробки обтяжують операційними завданнями — оце коли розгорається справжня драма. В казці із щасливим кінцем, в обох випадках всі дійові особи зрештою досягають консенсусу та розподіляють обов’язки більш-менш органічно. В протилежному разі, деколи доходить до робочих конфліктів, і тоді все залежить від дипломатичності та професіоналізму його учасників.

Щоб зробити життя керівників ІТ-фірм та їхніх підлеглих трохи простішим, я сформулюю простий алгоритм прийняття рішення щодо того, яка саме безпека потрібна організації, та як рухатися в напрямку її досягнення.

1. З’ясуйте, що ви захищаєте:
А: фірму, з усіма її активами, персоналом, фінансовими таємницями, від дій кіберзлочинців та наслідків дії законів та галузевих стандартів,
чи
Б: продукт/сервіс, який ця фірма виготовляє, від атак кіберзлочинців та зловмисних дій користувачів.

А.2. У першому випадку довіряйте виконання задачі спеціалістам з безпеки, які займаються технічним захистом інформації та організаційними заходами ІБ. Такі спеціалісти виходять, наприклад, з горнила кадрової кузні банківської системи, або з класичних ІТ-інтеграторів та дистриб’юторів. В минулому вони зазвичай працівники операційних підрозділів ІТ: системні та мережеві адміністратори. Деколи — працівники правоохоронних органів.
Ключові слова: CISSP, CISM, Information Security, Security Administration.

Б.2. У другому випадку довіряйте виконання задачі спеціалістам з безпеки програмного забезпечення. Такі спеціалісти менш поширені на ринку праці та володіють дещо іншими навичками. В минулому вони програмісти, тестувальники або ж розпочали кар’єру одразу ж в Application Security. Скоріш за все, вони беруть участь в програмах Bug Bounty у вільний час.
Ключові слова: OSCP, OSCE, Application Security, Bug Bounty, White-Hat Hackers.

А.3. Методичних рекомендацій та галузевих стандартів (тобто вказівок, як будувати безпеку, коли не знаєш, як це робити) у першому випадку навіть занадто багато. Скоріш за все ви матимете справу з ISO 27001, SOC 2, NIST, CIS або іншим фреймворком. Беріть це до уваги, коли обираєте виконавців та керівників операційної ІБ.

Б.3. Щодо безпеки ПЗ, тут рекомендацій теж вистачає, а ось із стандартами поки що все глухо (і на мою думку це добре). Рекомендації з безпечної розробки можна шукати по ключових словах OWASP, SAMM, SDL, NIST. Керівники функцій безпечної розробки повинні мати не лише образне уявлення про ці процеси, але й вміти їх ефективно впроваджувати та вдосконалювати.

А.4. Залучення зовнішніх консультантів до технічної та організаційної ІБ може відбуватися в багатьох форматах, але зазвичай це або побудова чогось швидше, ніж ви можете це зробити самотужки, або перевірка якості ваших заходів безпеки. Аудит та консалтинг в цій галузі досить прибуткові види діяльності, якщо ви розумієте про що я. Тому тут треба бути дуже уважними на всіх стадіях формулювання та виконання проєктів, адже скоуп розповзається з першого дня, а невраховані очікування можуть виявитися на завершальних стадіях.
Ключові слова: CISA, CISSP, ISO27001LA, ISO27001LI, Penetration Test, Security Audit.

Б.4. Залучення зовнішнього ресурсу до процесів безпечної розробки можливе майже на всіх стадіях побудови ПЗ за виключенням, хіба що, формулювання бізнес-ідеї. Дизайн, архітектура, планування, реалізація, тестування, міграція, підтримка, робота з інцидентами — всі ці та інші фази можуть виконуватися як власними силами, так і виноситися на аутсорс. Але є один момент: на певному етапі розвитку проєкту існування власної внутрішньої функції стане набагато ефективнішим та вигіднішим. Використання послуг незалежної перевірки/тестування безпеки та ad-hoc консалтинг, скоріш за все, доведеться залишити, але в ході розробки, вдосконалення та інтеграції продукту стане актуальним власний спеціаліст з безпеки ПЗ або навіть цілий підрозділ.
Ключові слова: OWASP, OSWE, OTG, ASVS, SAMM, Application Security Assessment, Application Penetration Test.

5. Розміщення підрозділу безпеки в організаційній структурі — окрема складна та драматична тема. Багато прихильників “хороших практик” управління безпекою наполягають, що підпорядкування CISO (Chief Information Security Officer) до CIO — погана ідея, адже таким чином виникає конфлікт інтересів: ІТ-директор наполягає на доступності та продуктивності систем та сервісів, коли керівник ІБ накладає на них купу обмежень. У випадку організаційної безпеки, можливо, це твердження і є доцільним, але коли мова йде про підпорядкування безпеки до CTO в продуктовій організації — конфлікт кудись зникає, адже саме СТО зацікавлений в безпеці сервісів та продуктів, що розробляються.

Сподіваюся, ці нотатки допоможуть вам правильно зорієнтуватися в тематиці та обрати правильну стратегію. Або принаймні зекономлять трохи часу.

Як росіяни маніпулюють демократичними процесами

та як перевірити, чи є ви жертвою таких маніпуляцій

Напередодні виборів хочу нагадати просту схему, яку останні 5 років використовують російські пропагандисти для дестабілізації демократичних країн перед виборами. Ця схема добре зарекомендувала себе в США, Великобританії та Європі, наразі її використовують в Україні. Алгоритм дій дуже простий, я б навіть сказав тупорилий. Але воно працює, тому особливих змін не відбувається й цього разу.

Отже, розпочинається все із створення великої кількості облікових записів в соціальних мережах. Ці акаунти ведуть нормальну активність, постять котиків та репостять новини, які не мають прямого стосунку до політики. Додають одне одного в друзі, а також розсилають запрошення усім навколо себе, адже більшість користувачів все ще приймає інвайти від усіх без розбору.

Далі, ці фейкові акаунти, або, як їх ще називають, боти, створюють спільноти: сторінки та групи. Сторінки починають постити контент певного політичного забарвлення, як то “Х — наш кандидат”, “Ні корупції в Україні”, “За все хороше проти усього поганого” тощо, а ці пости розміщають в групах. Боти масово залучаються до цих груп, а також запрошують в групи та на сторінки “друзів” та користувачів, які лайкнули пости на сторінках. Звісно ж, на цьому етапі відбувається все та ж сама тупенька активність із розміщення досить “рівних” постів та новин, які не викликають обурення та не спонукають до дій. Адже на другому етапі мета ще не в цьому — головне згуртувати та кластеризувати якомога більші популяції користувачів та відокремити ті проекти — сторінки та групи — які виявилися найбільш популярними. В результаті з десятків груп та сторінок “в топчік” вибиваються буквально 2–3, але при цьому сторінки мають шестизначні кількості лайків, а групи — десятки тисяч членів.

Подальша активність “проектів” видозмінюється, але не дуже. Відбувається той самий “рівний” постинг по алгоритму “прокинувся, взяв телефон, подивився першу сторінку Української правди, розмістив на сторінці/в групі посилання на 2–3 тематичні новини”. Але тепер раз на п’ять-десять постів вони розміщують повідомлення, які трохи відрізняються від загального фону. Так починають робитися “ін’єкції” потрібної ворогу інформації. Таким чином вкидаються корисні замовнику фейки та інші меседжі, маніпулюючи якими можливо вплинути на світосприйняття фокусної аудиторії. Такий вплив рідко буває різким: спочатку щось ставиться під сумнів, в наступному пості пропонується альтернатива, в ще наступному — “докази”, а далі вже йде пряме заохочення до певних дій та рішень. Все як книжка пише.

Інтенсивність викидів досить стабільна, адже більшість із нас нині живе в 24-годинних інформаційних циклах і на ранок наступного дня навіть найсенсаційніша сенсація здається вже не такою важливою, адже нам підвезли нового лайна і згодовують його по цих налагоджених каналах збуту. Якщо ви придивитесь до декількох окремих “проектів”, ви побачите, що всі вони здійснюють дії більш-менш синхронно та не паряться щодо власного викриття: переважна більшість користувачів соцмереж досить легко піддаються впливу. А решта, хто все ще зберігає рештки контролю над власним споживанням інформації, все одно не встигне протидіяти: спроби розвінчати фейк безперспективні, адже його актуальність зникне протягом доби, і фокус натовпу перемкнеться на нову тему.

Цей принцип — викид дезінформації в масиви правдивих даних — використовується пацаками вже досить давно і спостерігався в декількох витоках електронних листів. Тоді в легітимному листуванні були “розмішані” компрометуючі документи. В імейлах виявити фейки набагато простіше, якщо мати доступ до їхніх оригіналів. В соціальних мережах виявити фейки набагато складніше, адже робити це доводиться надзвичайно швидко та в дуже стохастичному середовищі, яке кардинально змінюється буквально щодоби.

Як зрозуміти, що ви є об’єктом маніпуляцій за цим сценарієм? Скоріш за все, ви підписані на одну або декілька “неофіційних” сторінок підтримки тих чи інших кандидатів або політичних ідей. Також, ви можете належати до відповідних тематичних груп. Але найгірше, що це навіть не обов’язково. Адже коли жертвами схеми стають ваші друзі, ви автоматично стаєте свідками їхньої активності в таких “проектах” у вашій стрічці.

Як зрозуміти, що ваша свідомість постраждала від такого сценарію? Зверніть увагу на ваше ставлення до актуальних проблем вашого регіону або країни в цілому.

Чи відчуваєте ви негативні емоції до певної категорії співгромадян, або ж до усіх тих, хто не належить з вами до однієї умовної групи?

Чи відчуваєте ви, що протягом останніх місяців ваше ставлення до політичної ситуації в країні суттєво змінилося?

Чи відчуваєте ви, що вашим настроєм на майбутніх виборах керує не логічний розрахунок та планування майбутнього, а відчуття обурення та невдоволення теперішнім та минулим, які ви не відчували ще пів року тому?

Якщо відповідь на одне з цих питань “так”, у мене для вас погані новини. Я не ставлю під сумнів ваш IQ, освіченість та психічну стабільність, тому що ці фактори не впливають на те, як легко люди піддаються соціальній інженерії. Але схоже на те, що ви стали жертвою маніпуляцій.

На жаль, вже запізно щось змінювати — видалятися з маніпулятивних груп, відписуватись від сторінок та занадто вразливих френдів. Все, що я можу порадити вам, це зробіть собі відпустку від соціальних мереж та інтернету загалом. Можливо, вам вдасться стабілізуватися, якщо буде вимкнено постійне джерело подразнення. Сподіваюся, що так.