середа, 5 Серпень, 2020
pluken
Головна / Інтерв’ю / «Охорона від кібератак стратегічних державних об’єктів України все ще на низькому рівні», – експерт із кібербезпеки Олег Дерев’янко
Олег Дерев'янко. Фото: wikipedia.org
Олег Дерев'янко. Фото: wikipedia.org

«Охорона від кібератак стратегічних державних об’єктів України все ще на низькому рівні», – експерт із кібербезпеки Олег Дерев’янко

Share Button

Напередодні президентських виборів у США, 8 листопада, американські військові хакери проникли в енергосистему РФ, її телекомунікаційні мережі і системи управління Кремля, зробивши їх уразливими, щоби в разі потреби здійснити кібератаки. Про це повідомила телекомпанія NBC із посиланням на високого чиновника розвідки США. В Америці не раз казали, що росіяни залишили в системах США віруси, які можуть здійснювати кібератаки, здатні відключити інтернет і електрику у великих містах США, тож Америка зробила те саме щодо росіян. П’ять місяців тому Президент України Петро Порошенко підписав указ про створення при РНБО Національного координаційного центру кібербезпеки. Про Центр, кібербезпеку і кіберзагрози для України й українців polukr.net розпитав експерта з кібербезпеки, голову Ради директорів компанії Information Systems Security Partners, яка спеціалізується на інформаційній та кібербезпеці, Олега Дерев’янка, 41 рік.

– Якими будуть цілі Центру? Наскільки він зможе дієво протистояти кіберзагрозам?

– Центр має координувати роботу державних органів щодо кібербезпеки. Його створили для виконання попереднього рішення РНБО про стратегію кібербезпеки. Стратегія – це правильно, але в усьому світі це радше декларація про наміри: за все хороше, проти всього поганого. У такому документі все гарно написано, проте головне запитання, як на практиці усе втілять, які механізми реалізації, який бюджет, – відкрите.

Центр – не виконавчий орган, а координаційний. Найбільша проблема, що в Україні досі нема єдиного виконавчого органу щодо кіберзахисту. Державна служба зв’язку і захисту інформації впоратися з цим не може, бо не для цього покликана. Вона захищає засоби зв’язку, там немає всіх потрібних фахівців із кібербезпеки.

В указі Президента про Національний координаційний центр кібербезпеки є пункт 10. У ньому йдеться, що рішення Центру є обов’язковими для розгляду органами державної влади, місцевого самоврядування, військовими тощо. Тобто його рішення навіть не є обов’язковими для виконання. Можна говорити, що питання кібербезпеки у нас зрушило з місця, але роботи в цьому напрямку – непочатий край. Маємо стратегію кібербезпеки, координаційний Центр, у першому читанні Рада прийняла закон про кібербезпеку, де теж прописані важливі речі. Але цього замало.

З одного боку, потребуємо кібербезпеки, а з іншого – розвитку цифрової держави. Нам потрібне використання «хмарних» сервісів. У законопроекті, який прийняли в першому читанні, вперше прописана можливість використання «хмарних» сервісів, можливість співпраці в галузі кібербезпеки з приватним сектором. Це важливо, бо в Україні, як і в світі, найкращі ІТ-спеціалісти – в бізнесі. Від співпраці між державою і приватним сектором тут багато що залежить. У держави немає можливостей запросити фахівців високого рівня і платити їм відповідні зарплати, на відміну від приватного сектора. Тому держава має залучати фахівців саме із приватного сектора.

– Тобто зміцнення кібербезпеки України все ще на початковому рівні?

– Так. Фактично, лише створюють законодавчу базу. Кожен державний орган по змозі вирішує питання кіберзахисту своїх систем, але досі це не роблять системно, досі немає усвідомлення стратегічної ваги цього питання. Провідні країни, як-от США, мають чітке розуміння, що кібербезпека і спроможність країни захищатись та проводити кібератаки – це не лише базовий елемент безпеки держави, а й одне з найважливіших стратегічних завдань. Президент США Барак Обама сказав, що «економічне процвітання Америки у XXI cтолітті залежить від того, наскільки вона впорається із завданням кібербезпеки». У світі щодня відбуваються мільйони кібератак. Усе частіше бачимо атаки, які планують і здійснюють потужні гравці державного рівня.

Минулого року в Україні внаслідок кібератаки було вимкнуто електроенергію. 23 грудня 2015 року оператор електромереж Івано-Франківської області «Прикарпаттяобленерго» повідомив про аварію, яка на кілька годин знеструмила майже десять районів області. Ця аварія відбулась внаслідок цілеспрямованої кібератаки. Остання – складова кібервійни, яка ведеться проти України і Польщі. У ній використали вірус-троян Black Energy, який запустив спеціальну програму KillDisk, що не дозволяла завантажуватись комп’ютерам, знищувала дані… Black Energy використали і для масованої атаки на українські ЗМІ під час проведення місцевих виборів 24-25 жовтня 2015 року.

Слід розуміти, що атаку бачать, коли вірус починає діяти і наносить шкоду. Це верхівка айсберга, видима завершальна частина атаки. До цього противник готується, як правило, кілька місяців. Фактичне проникнення у систему відбувається завжди значно раніше, аби все підготувати і запустити атаку в потрібний момент. Середня тривалість наявності в комп’ютерних системах невиявленого проникнення противника – майже 250 днів. Це світова статистика. Вона враховує навіть великі компанії і організації, які витрачають немалі кошти на кіберзахист. Експерти єдиної в Україні лабораторії з розслідування кібератак ISSP LABS детально проаналізували й описали механізм дії Black Energy. Атака була ретельно спланована і віртуозно здійснена. Такі дії під силу фахівцям найвищого класу, потужним підрозділам хакерів, за якими стоять державні ресурси.

– А що, власне, таке кібербезпека та кіберзлочини?

– Кібербезпека – це технології захисту інформаційних систем, комп’ютерних мереж, баз даних, програмного забезпечення, аби вони безперебійно працювали, забезпечувалась цілісність і доступ до того, хто до яких даних має мати доступ. Також це забезпечення конфіденційності та запобігання витокам інформації. Важливою складовою кібербезпеки є моніторинг і виявлення загроз, аналіз інцидентів, відновлення роботи інформаційних систем після атак. Окремий напрямок державного рівня – кіберрозвідка, контркібератаки і використання кіберзасобів для розслідування традиційних злочинів, протидії тероризму та інші поліцейські і військові завдання. Ще один напрямок державного та приватного сектора – захист автоматизованих систем управління промислового типу.

– А кіберзлочини?

– Якщо говорити про кіберзлочини, то існує чотири їх види. Перший – це звичайне хуліганство. Наприклад, зламати сайт, аби довести собі, що ти вправний хакер, потренуватися «на кішках», без конкретної мети чи стратегії. Другий – це кіберзлочини, що спрямовані на отримання матеріальної вигоди, атаки на фінансові установи, підприємства, окремих осіб, викрадення грошей з рахунків чи приватних даних, які потім можна продати. Також до цього виду належать замовні кібератаки для промисловго шпіонажу, викрадання ноу-хау, планів і стратегій конкурентів. Третій – це «політичний хактивізм». Групи людей, які мають хакерські навички, своїми діями заявляють про ту чи іншу громадянську або політичну позицію на міжнародному і локальному рівні, борються за або проти певних ідей. Вони можуть бути пов’язані чи не дуже пов’язані між собою, як, наприклад, “анонімус” (“анонімус” – мережа активістів і хактивістів, окремі вузли якої слабо зв’язані між собою, протягом останнього десятиріччя провели низку акцій у відповідь на цифрові антипіратські кампанії, більшість акцій здійснили невідомі особи. Одні аналітики хвалять їх, як борців за свободу інтернету чи «цифрових Робін Гудів», інші – засуджують, як «анархічних кіберпартизанів» чи «кібертерористів» – polukr.net). Четвертий вид – це кібератаки, які здійснюють кібервійська держав чи хакерські групи, які не належать державі, але діють на її замовлення і завдяки її ресурсам. Цей вид атак є найбільш небезпечним.

Специфіка кібернетичної зброї в тому, що навіть якщо її створювали з етичною метою, то вона згодом потрапляє до рук злочинців. Коли вірус потрапляє до комп’ютерних мереж, то починає розповсюджуватись і рано чи пізно його виявляють, аналізують. І потім «чорні» хакери виставляють такі віруси на продаж. Там вірус у незмінному чи зміненому вигляді може купити будь-хто. Хоча зараз навіть не треба бути хакером, аби здійснювати кібератаки, не треба створювати чи купувати віруси, бо злочинці можуть просто замовити «чорним» хакерам атаки.

Наприклад, вірус Stuxnet («черв’як», що вражає комп’ютери під управлінням операційної системи Windows, розробка, ймовірно, спецслужб Ізраїлю та США, спрямована проти ядерного проекту Ірану, вірус розробили в 2009 році, ним успішно заразили комп’ютерні системи ядерної програми Ірану. «Черв’як» зміг на деякий час зупинити іранську ядерну програму, бо порушив роботу майже тисячі центрифуг для збагачення урану. Його досі використовують для шпигунства і диверсій проти підприємств, електростанцій, аеропортів, його унікальність у тому, що вперше вірус фізично руйнував інфраструктуру – polukr.net). Коли вірус потрапив у мережу, то став доступним для використання будь-ким. Це дало змогу злочинцям замовити кібератаки проти багатьох промислових об’єктів у різних країнах, що ніяк не пов’язано з початковою метою, задля якої вірус створено.

Тут усе відбувається схоже на звичайні біологічні віруси, які поширюються між живими організмами та весь час змінюються, тож проти них потрібно постійно шукати нові ліки, безупинно протидіяти новим загрозам.

– Тобто це виклик для всіх країн, навіть найбільш розвинутих, не те що України…

– На жаль, ситуація у світі така, що від серйозних кібератак, чи як їх ще називають «розвинутих стійких загроз» – ніхто не застрахований. Ці атаки можуть бути складні та продумані. Ще одна специфіка в тому, що це не локальна війна. Хакер може атакувати об’єкти в будь-якій країні. Більше того, кіберзлочинці можуть атакувати певні підприємства в певній країні, використовуючи комп’ютерні ресурси саме цієї країни. Все це дуже ускладнює боротьбу проти кіберзагроз.

– Які найбільші ризики для українців та України в питаннях кібербезпеки?

– Для України загрози ті ж, що для будь-якої іншої країни. Найбільші – для критичної інфраструктури, тобто атаки на об’єкти енергетичних, телекомунікаційних і транспортних підприємств, банківську систему. Ці об’єкти часто є у приватних руках, що посилює потребу співпраці державного та приватного секторів. Зазвичай, про безпеку підприємств критичної інфраструктури дбають приватні компанії. Відповідно, у них має бути висока кваліфікація. У часі війни – критичним є захист органів державної влади, особливо тих, що пов’язані з обороною держави та безпекою громадян. Кібервійська ворожих держав постійно загрожують проникненням у комп’ютерні мережі українських організацій і підприємств, встановленням контролю над ними та кібератаками у потрібний для ворога момент.

– Які ризики Росія може тут нести для нас?

– Ці ризики – величезні. Але не лише держави загрожують. Кіберзлочинність збудована так само, як звичайна. Хтось виробляє зброю, хтось продає, а хтось купує і застосовує чи замовляє кіберзлочин. Іноді це навіть не зброя. Наприклад, підприємство виробляє ножі, щоб різати хліб. А хтось купує ніж, вкладає в руки злочинцеві та замовляє злочин. Так само є ті, хто знаходить слабкі місця у комп’ютерних мережах, програмах, операційних системах. Вони можуть цим займатися, щоб робити ці системи безпечнішими. Але якщо хтось має погані наміри, то може цю вразливість використати в своїх цілях. Тож такий пошук має позитивну мету, але може використовуватися зі злочинними намірами. Наприклад, Stuxnet. Геополітично – це була позитивна мета, але потім ця зброя стала доступною для злочинців.

– Які поради дасте українцям, щоб не потрапити в тенета кіберзлочинців?

– Українцям потрібна хоча б грамотність про це. Часто люди отримують листи із вкладеннями з невідомих адрес чи адрес, ретельно замаскованих під «нормальні». Люди відкривають їх, не переконавшись, що лист є справжнім. Ніколи не відкривайте підозрілих посилань і вкладок! Це елементарне правило, якого обов’язково слід дотримуватись, аби не потрапити в халепу. Саме його постійно порушують!

На жаль, люди мало обізнані в цьому. Потрібна масштабна просвітницька кампанія, починаючи зі школи. Наприклад, у США базові речі щодо кібербезпеки вже викладають у школах. Нині діти починають користуватися планшетами і смартфонами з інтернетом у ранньому віці. Йдеться про те, що вони можуть не лише переглянути чи скачати поганий контент, а й про те, що роблять вразливою родину, бо той самий пристрій може використовувати і дитина, і дорослий. Там можуть бути дані банківських карток, доступ до корпоративної мережі. Отже, зламавши один акаунт, можна дістати доступ до великого об’єму даних. Українцям слід більше цікавитись, шукати можливості освоїти базовий рівень кіберграмотності, доки в нас це не поставлено на належний рівень.

– На якому рівні в Україні охорона державних стратегічних об’єктів? Як ситуація змінилася за два роки війни?

– Це, на жаль, дуже низький рівень. Та ж минулорічна російська кібератака Black Energy показала рівень захисту наших мереж. Потім було масове надсилання вірусних листів по українських організаціях і підприємствах. У цих листах були шкідливі програми, які заражали українські системи. Експерти вважають, що багато підприємств і організацій в Україні можуть бути заражені Black Energy. Адже ворог, коли проник у систему, не дає про себе знати. Він певний час має можливість отримувати від вас інформацію, чекає моменту, щоб нанести точкового чи масованого удару. Тому потрібний постійний моніторинг, технічний аудит на наявність вірусів, тестування систем на проникнення і щоденне відслідковування загроз.

– Чи відбувається співпраця України з партнерами по ЄС і НАТО в цьому питанні?

– Співпраця відбувається, але її масштаби мають бути більшими. Трастові фонди НАТО закуповують і надають українським державним органам певні технології та обладнання. Але далі це слід правильно впроваджувати, навчати місцевий персонал і правильно експлуатувати. Також слід розуміти, що безпека – не результат, а процес. Не можна щось одноразово зробити і сказати: все, тепер ми в безпеці. Її треба постійно підтримувати. Як у звичайному житті, поліцейські їздять вулицями, патрулюють, якщо бачать щось підозріле, то з цим працюють. Так і з кібербезпекою. Мають бути сили і структури, які постійно моніторять ці процеси, вдосконалюють вміння, виявляють ворожі проникнення в системи. Це постійний контроль і виявлення загроз, протидія і відновлення систем після атак. Це безперевний цілодобовий процес.

– Чи вивчали в Україні досвід російських атак на Естонію в 2007 році, під час історії з пам’ятником бронзовому солдату, і на Грузію в 2008 році, під час російсько-грузинської війни?

– Вивчали і в нас, і на Заході. Інша річ, які висновки зроблені, що вдосконалено. Питання, наскільки ми готові до нових атак і загроз, наскільки стали сильнішими, залишається відкритим. Україна має гарні перспективи стати однією з найвпливовіших кібердержав світу. Для ХХІ століття вміння використовувати кіберзасоби для захисту, а якщо треба й для атак, – це стратегічна перевага, не менш важлива, ніж потужна традиційна армія. Але реалізація цього потенціалу залежить від державної політики. Потрібно розвивати власні команди фахівців, які будуть використовувати наявні технології, а також дослідників і розробників, які будуть працювати над створенням нових технологій кібербезпеки. У нас для цього є величезний людський потенціал ІТ-спеціалістів. У нас є потужні можливості створення Центрів із кібербезпеки, які б працювали в інтересах держави. Це має бути партнерство держави і приватного сектора. Зрозуміло, що треба створювати і як, але потрібно лише, щоб держава визнала пріоритетність кібербезпеки і потенціал, який може отримати та реалізувати Україна, якщо стане, наприклад, як Ізраїль, однією з найбільш розвинених країн у цій сфері.

Ігор Тимоць

Share Button

Також перегляньте

Крайній блокпост українського війська в Пісках під Донецьком і волонтери / Фото Ігоря Тимоця.

«У Кремля є три стратегії для Донбасу – конфедерація, федерація і війна різного роду інтенсивності», – експерт Центру Разумкова

Помічник президента РФ Владислав Сурков, який відповідав у Кремлі за політику щодо України, йде у …

Напишіть відгук

Ваша e-mail адреса не оприлюднюватиметься.