«Україна замало робить, щоб протистояти кібератакам», – експерт із кібербезпеки Роман Сологуб

У грудні 2016 року кілька держустанов України зазнали кібератак. 7 грудня було атаковано сайт Пенсійного фонду, Міністерство фінансів і Держказначейство. 13 грудня – сайт Міністерства оборони. 15 грудня – держкомпанія «Укрзалізниця». 16 грудня – сайти Міністерства інфраструктури та підконтрольної йому Державіаслужби. 30 грудня президент Петро Порошенко заявив, що за листопад-грудень 2016 року було близько 6500 кібератак на об’єкти 5 відомств і 31 державний інформаційний ресурс.

Президент додав, що розслідування вказують на безпосередню чи опосередковану причетність до цього спецслужб РФ, які розв’язали проти України кібервійну. Мінфін і Держказначейство через хакерську атаку втратили 3 терабайти інформації. Після кібератаки Міністерство інфраструктури заявило про запровадження особливого режиму контролю та захисту ІТ-систем держпідприємств. 21 грудня Верховна Рада передбачила у державному бюджеті на 2017 рік додатково 150 млн грн на розвиток, модернізацію і функціонування систем кіберзахисту.

Внаслідок кібератаки в ніч на 17 грудня на нетривалий час були відключені від електропостачання кілька районів Києва та області. Підстанція «Північна», що зазнала атаки, належить держпідприємству «Укренерго». Приватна українська компанія ISSP, що є експертом із кібербезпеки, проводить розслідування інциденту. Рік тому схожої атаки зазнало «Прикарпаттяобленерго», внаслідок чого було знеструмлено частину Івано-Франківської області, а 225 тисяч людей залишилися без світла.

– Якщо порівнювати атаки на енергетичні компанії 2015 і 2016 років, то вони схожі, застосовані ті ж інструменти, проте атаки 2016 року стали складнішими, задіяли додаткові техніки, – розповідає PolUkr.net генеральний менеджер ISSP Роман Сологуб. – Цільові кібератаки мають певну описову модель, яку запропонували використовувати спеціалісти компанії Lockheed Martin.

Модель кібертатаки

Ця модель складається з 7 етапів і нагадує модель військової операції. Перший етап – розвідка. На цьому етапі зловмисники збирають інформацію про ціль чи цілі. Дані можуть збирати в інтернеті, соцмережах, багато даних міститься в документах на зразок Microsoft Word, які розміщені на веб-сторінках компаній. Потім – етап озброєння. Наприклад, вибирають спеціальну програму або набір програм-інструментів, які будуть використовуватись під час атаки. На цьому етапі зловмисники використовуюсь дані, які отримали під час розвідки. Наприклад, видають лист із вірусом за лист від юридичного директора компанії. Потім цей лист доставляють адресатові, який його відкриває і заражується. Ці дії стосуються вже наступного етапу – доставки. Зловмисний код стягує з інтернету додаткові інструменти, які були заготовлені на попередньому етапі, і може передавати дані чи поширюватися по внутрішніх мережах. Доставка інструментів зловмисника у внутрішню інфраструктуру жертви може тривати протягом кількох місяців, завантажуючись по кілька десятків кілобайтів за день. Ці об’єкти будуть використовуватись на наступних етапах. Коли зброю завантажено у внутрішню систему, зловмисник уже в об’єкті атаки починає досліджувати інфраструктуру жертви. На цьому етапі він поводиться активно і робить багато «шуму», за яким його можна помітити, якщо встановлені системи кіберзахисту для моніторингу активності. Далі віруси поширюються внутрішньою мережею, заражують інші комп’ютери, намагаються «зламати» паролі користувачів, облікові записи. Цей етап називається «впровадження». Коли зловмисники володіють обліковими записами, то від імені деяких користувачів можуть діяти всередині інфраструктури. Вони копіюють регулярні дії користувачів цієї інфраструктури, працюють у робочий час, заходять на сервери і поводяться так, як це роблять справжні користувачі. І лише на останньому етапі виконується поставлене завдання. Цей етап ми й бачили у випадку енергетичних компаній, коли відключали автоматизацію керування системами. Лише на цьому етапі ІТ-служби і служби безпеки, як правило, розуміють, що відбулася атака. Але до моменту самовиявлення зловмисники діяли вже приблизно півроку чи й більше – від часу отримання листа з вірусом.

Як каже провідний дослідник нашої лабораторії Олексій Ясінський, зловмисники «мімікрують» в інфраструктурі, тому відрізнити їхню поведінку від дій користувачів системи дуже важко.

– Яких збитків завдали атаки кінця 2016 року?

– Виміряти шкоду непросто. Це все були так звані «націлені атаки». Не обов’язково, що їхнім фінальним етапом було щось зруйнувати чи відключити, – радше проникнути в системи і там залишитися. Якщо фінальною ціллю зловмисників було те, що ми бачили, то можемо припускати, що це було лише тренування. Вони випробували свою зброю та вміння, оцінили міцність захисту наших систем. Коли вони вивели з ладу систему автоматизації, то свідомо викрили себе. Тоді вже інфраструктуру почали від них вичищати. Вони це розуміють. Проте, ймовірно, вони й надалі залишилися в інфраструктурі багатьох об’єктів, які заразили.

Можемо припустити, що у зловмисників були ще й інші задачі, крім тих, які ми помітили. Наприклад, викрасти певні документи. А наприкінці вони просто зробили такий «феєрверк» – щось зламали і відключили. Це, радше, було тестування команди зловмисників, які пробували свої сили. Маємо факти, що зловмисники навмисно себе видали, були в системі десь півроку, користувалися звичайними інструментами для такої роботи. До прикладу, це були інструменти для віддаленого виконання команд, деякі програмні модулі, які знищують інформацію так, що потім її неможливо відновити.

– Чи відомо, хто був виконавцем? Порошенко заявив, що Росія. Чи можливо це визначити і наскільки це складно?

– Наша лабораторія не ставила собі за ціль порівняти і визначити, хто замовив або хто виконував ці атаки. Цим займаються відповідні структури – СБУ, кіберполіція, можливо, зовнішня розвідка. Нашу лабораторію ISSP можна порівняти з професійною приватною клінікою. Наприклад, до нас поступив пацієнт із вогнепальним пораненням. Ми визначаємо, що з ним сталося, які у нього ушкодження, які загрози і як лікувати, ретельно проводимо експертизу рани. Але не займаємося оперативно-пошуковою діяльністю. Це прерогатива відповідних структур.

За півроку діяльності зловмисники можуть уже настільки вільно почуватися в чужій інфраструктурі, що їх дуже важко вичистити. Компетентні органи в Україні заявили, що атаки здійснили російські спецслужби або це зробили на їхнє замовлення. Значить, у них для цього є підстави. Можливо, була також певна допомога іноземних партнерів.

На державному рівні Україна співпрацює в цих питаннях із західними партнерами. Навіть наша компанія отримала звернення від певних зарубіжних організацій щодо організації навчань із кібербезпеки.

Я можу також додати, що визначити, звідки була атака – наприклад, ІР-адресу злочинців та інші зовнішні сліди, – технічно досить складна задача. Проте реальна.

– Чи мають хакерські атаки в Америці, в яких звинуватили Росію, якісь спільні риси з нашими?

– Кібермережі державних структур західних країн, мабуть, краще захищені, ніж наші, хоча стверджувати це я не можу. Проте навряд чи можемо проводити серйозні аналогії, бо не маємо повної інформації про атаки. Скажімо, що нам відомо про атаки у США? Ми знаємо лише те, що відомо всім із відкритих джерел.

– Який досвід за час кібервійни здобули українські державні органи і компанії? Чи стали більше залучати до співпраці приватні компанії?

– Без державно-приватного партнерства в Україні наразі неможливе ефективне протистояння кіберзагрозам. Те, що державні компанії залучають нашу лабораторію до розкриття таких інцидентів, свідчить про початок позитивних зрушень у цьому напрямку. Щоб бути у кібербезпеці, слід розвивати та інвестувати у три напрямки: технології, людей і процеси. Технології можна купити і дуже швидко встановити. Дві інші складові більше залежні від часу.

Щодо процесів, то є чимало міжнародних стандартів, зокрема багато галузевих стандартів розроблено у США. Щодо людей, то це велика проблема. Особливо у державних органах. Висококваліфікованих спеціалістів небагато і залучити їх – дорого і складно. Потрібно вирощувати нових фахівців, а для цього потрібен час.

Наша група компаній уже інвестує в цей напрямок. Ми створили Київську Кіберакадемію (Kyiv CyberAcademy), мета якої – навчання професіям майбутнього. У нас вже створена кафедра з кібербезпеки, де студенти можуть здобути професійні прикладні знання та отримати міжнародні сертифікати. Навчання такого рівня якості, яке пропонує Київська Кіберакадемія, раніше в Україні не було. До кінця 2017 року відкриємо філіали академії при ТОП-10 технічних вищих навчальних закладів України.

Щодо загроз, то у нас вже другий рік тривають масштабні атаки на об’єкти критичної інфраструктури. Це сигнал, щоб бити на сполох. Збитки від цих атак не обов’язково мають бути моментальними. Вони можуть бути відтермінованими у часі. Деякі системи ще можна перевести на ручний режим. Будь-яка атака на інфраструктуру виводить її з ладу на певний час або робить деякі процеси повільними.

У країнах і галузях, де серйозніша комп’ютеризація, кібератака може повністю зруйнувати бізнес. У цьому сенсі Україні навіть дещо пощастило, що багато промислових процесів ще можна перемкнути на ручний режим. Але таких процесів буде дедалі менше, бо маємо йти в ногу з часом.

Візьмімо, наприклад, виробництво ліків чи будь-який інший складний технологічний процес, що виконується автоматично. Зміна одного параметра на виробничій лінії може призвести до випуску не того хімічного продукту. Це може спричинити катастрофічні наслідки для організації та людей.

– Які найбільші загрози для України можливі в разі успішної кібератаки?

– Колись, щоб викрасти дані з певних мереж, треба було фізично до них проникнути. Зараз маємо кіберсвіт, де все поєднано. Він – навколо нас, немає кордонів. У цьому світі весь час відбувається взаємодія, це життя мільярдів людей. Що більша автоматизація, то вразливіший світ до кібератак. Атака на «Прикарпаттяобленерго» призвела до короткочасного перебою в енергопостачанні. Якби рівень автоматизації цього підприємства був дуже високим, то не було б можливості вручну відновити енергопостачання. Тоді наслідки були б гіршими.

У США, наприклад, на багатьох підприємствах уже немає ручного режиму. Все автоматизоване. Це дає змогу ефективніше керувати процесами, але несе певні ризики. Коли, наприклад, автомобілі та літаки будуть повністю керуватися онлайн, то можна лише уявити, наскільки серйозними можуть бути наслідки кібератак.

– Наскільки ефективною була протидія кіберзагрозам з боку CERT-UA (спеціалізований підрозділ Державної служби спеціального зв’язку і захисту інформації. – PolUkr.net), СБУ, РНБО у 2016 році? Чи вивчили і врахували вони уроки 2015-го?

– Власне, серйозної ефективності цих структур я не помітив. Можливо, просто чогось не бачив чи не все знаю. Думаю, йдемо в правильному напрямку, створюючи нові ради, координаційні центри, але надто повільно і поки що не дуже ефективно. Наскільки мені відомо, всі рішення Національного координаційного центру кібербезпеки при РНБО є «обов’язковими для розгляду». Не для виконання, а для розгляду. Тож це абсолютно «холості» рішення. На жаль, такого ще багато в нашій державі.

Добре, що залучають приватні компанії, але до певних державних структур важко долучити комерційні послуги. Міністерства чи інші державні структури, які оперують інформацією під грифом «таємно», мають дотримуватись певного режиму, і не так легко іноді долучити приватні експертні організації (такі, як ISSP, наприклад), бо існують формальні перепони, і не до кінця врегульоване питання співробітництва з комерційними структурами. Наші державні стандарти інформаційної безпеки давно не змінювали, багато визначень, сфер застосування і директив застаріли. Тільки подумайте, наскільки змінилася сфера ІТ з моменту розробки наших державних стандартів у галузі захисту інформації. Наприклад, «хмарні» технології (дані зберігаються на віддаленому сервері та коригуються онлайн. – PolUkr.net). Треба ще багато зробити у цій сфері.

– Які маєте рекомендації, щоб запобігти таким атакам на державі інституції та підприємства у майбутньому? Чи можна було б це вирішити системно?

– Системно – можна. По-перше, треба створити попит, аби держава була надійним замовником таких послуг. Автоматично підвищуватиметься запит на таких спеціалістів. У багатьох цивілізованих країнах збільшують витрати на освіту з кібербезпеки. Наприклад, Велика Британія збільшила на 2,5 мільярди євро інвестиції в кібербезпеку до 2020 року. По-друге, ефективне державне і приватне партнерство – від навчань до досліджень, створення центрів з керування безпекою. По-третє, ефективна міжнародна співпраця і переймання досвіду провідних західних партнерів. Там це розуміють уже давно. Наприклад, на сайті Білого дому ви побачите вислів президента Обами, що процвітання економіки Америки залежить від кібербезпеки. Це очевидні речі.

Проте з 2015 року в цьому напрямку зроблено небагато. Тому майже кожна атака 2016-го повторила історію 2015-го. Ми мали більше року на посилення кібербезпеки, але не надто цим скористалися. Україна замало робить, щоб протистояти кібератакам, тому ми й надалі вразливі.

Існує українська стратегія з кібербезпеки, яку ще в березні 2016 року підписав президент. Її впровадження на певному рівні відбувається в різних структурах. Це правильно, бо така стратегія має бути. Справа в тому, як вона втілюється. Одна річ щось прийняти, інша – втілити це в життя. Маємо відповідальних за реалізацію стратегії, треба пришвидшувати роботу в цьому напрямку, щоб ефективніше відповідати на майбутні кібератаки.

Розмовляв Ігор Тимоць