Украина в кибервойне
Кибервойна - не выдумка, и она идет прямо сейчас. В минувшем году Украина на собственном опыте прочувствовала всю серьезность кибероружия.
Пока на востоке страны продолжаются военные действия, государство и бизнес регулярно сражаются с хакерами. Совершаются атаки на информационные ресурсы и даже на объекты критической инфраструктуры государства.
С какими угрозами Украина столкнулась в 2016 году и как их отбивала, выясняло РБК-Украина.
Начало кибервойны
Около года назад Украина впервые столкнулась с массивной хакерской атакой, которая привела к отключению физической инфраструктуры. Так, хакеры вмешались в работу компаний "Прикарпатьеоблэнерго", "Черновцыоблэнерго" и "Киевоблэнерго" и выключили свет сотням тысяч потребителей.
Агентство национальной безопасности США, которое помогало Украине с расследованием, пришло к выводу, что во время атаки использовался вирус BlackEnergy, заранее разосланный сотрудникам облэнерго по почте. Служба безопасности Украины заявила, что это дело рук российских хакеров.
Спустя месяц после инцидента стало известно о еще одной попытке "заразить" несколько облэнерго. В этот раз письма отправлялись с адреса компании "Укрэнерго". Попытку заражения удалось пресечь.
Тогда же, в январе 2016 года, при помощи вируса BlackEnergy хакеры атаковали информационную систему аэропорта "Борисполь". Но эта попытка также провалилась.
Примечательно, что за пару недель до первой атаки на облэнерго произошел взрыв опоры линий электропередач, которые обеспечивали электроэнергией Крым. Активисты на границе с оккупированным полуостровом протестовали против восстановления энергоснабжения. "Я не верю, что эти события не взаимосвязаны, - говорит специалист по кибербезопасности компании Berezha Security Влад Стыран. - То, что мы наблюдаем в последний год, это самая настоящая кибервойна, и у каждой такой атаки есть политическая подоплека".
"Кибератаки сегодня становятся неотъемлемой частью противостояний и конфликтов, а наше государство находится именно в такой ситуации", - добавляет руководитель департамента решений для информационной безопасности компании БАКОТЕК Мирослав Бондарь.
Действительно, атаки на украинские предприятия и ведомства продолжались весь год, и участились незадолго до новогодних праздников. В первую неделю декабря хакеры взломали сайты Государственной казначейской службы и Министерства финансов. При помощи вируса, аналогичного BlackEnergy, хакерам удалось на пару дней парализовать всю финансовую систему страны. Атака пришлась как раз на время, когда принимался бюджет страны на 2017 год.
13 декабря под DDoS-атакой "лег" сайт Министерства обороны Украины, а 15 декабря произошла атака на информационные ресурсы "Укрзализныци", из-за которой часть процессов компании пришлось перевести в "ручной" режим. Например, сотрудникам пришлось временно перейти на бумажный документооборот, а пассажиры на несколько дней лишились возможности покупать билеты на поезда онлайн.
Министр инфраструктуры Владимир Омелян заявил, что атаку совершила группа украинских хакеров по заказу неустановленной личности из Санкт-Петербурга. И что якобы атака на систему грузовых перевозок была прикрытием для настоящей цели - кражи данных о пассажирских перевозках. На следующий день после этого заявления сайт Министерства инфраструктуры также "упал".
Секретарь Совета нацбезопасности и обороны Александр Турчинов заявил, что все атаки были спланированы заранее и скоординированы из единого центра в Российской Федерации. По его мнению, злоумышленники хотели дестабилизировать ситуацию в Украине, вызвать задержки социальных выплат и осложнения в работе ведущих государственных учреждений.
Кибератака на Госфинуслуг стала поводом выделить ведомству 80 млн гривен из резервного фонда на замену IT-инфраструктуры. При этом Турчинов отметил, что денег на защиту от хакеров не хватает многим государственным ресурсам.
Кто нас должен защищать
В предыдущие годы вопросами кибербезопасности в Украине на государственном уровне мало кто занимался. Исторически за безопасность государственных систем связи отвечает Государственная служба специальной связи и защиты информации. На ее базе создан Государственный центр киберзащиты и противодействия киберугрозам. С 2007 года в составе этого центра работает команда реагирования на чрезвычайные компьютерные ситуации - CERT. В обязанности CERT входит предупреждение, мониторинг и выявление киберугроз, анализ, и ликвидация компьютерных инцидентов. В первую очередь, CERT защищает ресурсы, которые подключены к государственной системе киберзащиты. Хотя он также принимал активное участие в предотвращении второй атаки на облэнерго, отражении атак на "Борисполь".
С ростом числа и масштабов угроз чиновники задумались о более комплексном подходе к защите. В начале 2016 года Совет национальной безопасности и обороны разработал, а президент Петр Порошенко подписал, стратегию кибербезопасности Украины.
Согласно этому документу, помимо Госспецсвязи, за кибербезопасность теперь отвечают Министерство обороны, Служба безопасности Украины, Национальная полиция (там создан департамент киберполиции), Национальный банк, разведывательные органы. Ключевым ведомством в этой системе стал Национальный координационный центр кибербезопасности, созданный на базе СНБО.
При этом государству, как и раньше, не хватает квалифицированных кадров в сфере информационной безопасности. Поэтому для расследования киберугроз привлекаются консультанты из частных компаний. Зачастую эксперта зовут на том этапе, когда атака уже состоялась и повлиять на ее ход нельзя. Хотя более эффективный путь - изначально уделять внимание кибербезопасности и оценивать риски. Как говорит Мирослав Бондарь, такой подход позволит идентифицировать попытки кибератак и отреагировать на них еще в самом начале, когда можно свести успешность атаки к минимуму.
Полностью избежать кибератак невозможно. Причина - в постоянно растущем уровне информатизации, отказаться от которой не могут ни предприятия, ни государственные структуры. "А чем больше процессов на предприятии автоматизировано и компьютеризировано, тем больше возможностей влияния можно реализовать через кибератаки. То есть, это взаимосвязанные вещи", - объясняет Бондарь.
В случае с украинскими компаниями некая технологическая "отсталость" спасает их от еще более масштабных атак. Многие процессы по-прежнему делаются вручную и оффлайн, а значит, хакеры до них не добираются. Но тянуться в хвосте технологий - тоже не выход.
Как считает Влад Стыран, первым шагом к противодействию киберугрозам должно стать повышение уровня культуры пользования интернетом в украинских компаниях - частных и государственных. Ведь хакерская атака - это не вопрос одной минуты или одного дня. Атака готовится заранее, когда в систему предварительно закладывается зловредный имплант, который потом используется для удаленного доступа. Проще всего проникнуть в систему через компьютер кого-то из беспечных пользователей, не уделяющих много внимания информационной безопасности. Тот же BlackEnergy попал на комьпьютеры сотрудников облэнерго по банальной причине - один из сотрудников просто открыл электронное письмо, позволив вирусу проникнуть в систему.
В Украине является обычной практикой, когда с рабочего компьютера ведется личная переписка, открываются сомнительные ссылки, скачиваются и устанавливаются программы. "Человеку не надо знать, что такое сальмонелла. Ему достаточно знать, что после туалета надо мыть руки. Так же и с информационной безопасностью. Есть два простых правила: не открывать сторонние ссылки и не покупать сомнительные продукты", - рассказывает Влад Стыран.
По данным опроса, проведенного компанией Cisco, более 50% украинских компаний сталкивались с атаками киберпреступников за последние полтора года. Специалисты по информационной безопасности подшучивают над этими данными. "Остальные опрошенные, скорее всего, сами еще не знают, что их атаковали", - говорит Влад Стыран.
Атаки происходят гораздо чаще, чем кажется. Но никто не хочет "хвастаться" дырами в информационной безопасности. Поэтому в публичную плоскость попадают только те случаи, которые уже никак нельзя скрыть - как отключение электроэнергии или проблемы с доступом к сайту.