Підсумки 2016 року: Україна у кібервійні

Початок кібервійни

Близько року тому Україна вперше зіткнулася з масивною хакерською атакою, яка призвела до відключення фізичної інфраструктури. Так, хакери втрутилися у роботу компаній "Прикарпаттяобленерго", "Чернівціобленерго" і "Київобленерго" і вимкнули світло сотням тисяч споживачів.

Агентство національної безпеки США, яке допомагало Україні з розслідуванням, прийшло до висновку, що під час атаки використовувався вірус BlackEnergy, заздалегідь розісланий співробітникам обленерго поштою. Служба безпеки України заявила, що це справа рук російських хакерів.

Через місяць після інциденту стало відомо про ще одну спробу "заразити" кілька обленерго. Цього разу листи відправлялися з адреси компанії "Укренерго". Спробу зараження вдалося припинити.

Тоді ж, у січні 2016 року, за допомогою вірусу BlackEnergy хакери атакували інформаційну систему аеропорту "Бориспіль". Але ця спроба провалилася.

Примітно, що за декілька тижнів до першої атаки на обленерго стався вибух опори ліній електропередач, які забезпечували електроенергією Крим. Активісти на кордоні з окупованим півостровом протестували проти відновлення енергопостачання. "Я не вірю, що ці події не пов'язані між собою, - говорить фахівець з кібербезпеки компанії Berezha Security Влад Стиран. - Те, що ми спостерігаємо останнім роком, це сама справжня кібервійна, і у кожної такої атаки є політичне підґрунтя".

"Кібератаки сьогодні стають невід'ємною частиною протистоянь і конфліктів, а наша держава знаходиться саме у такій ситуації", - додає керівник департаменту рішень для інформаційної безпеки компанії БАКОТЕК Мирослав Бондар.

Дійсно, атаки на українські підприємства і відомства тривали весь рік, і почастішали незадовго до новорічних свят. У перший тиждень грудня хакери зламали сайти Державної казначейської служби та Міністерства фінансів. За допомогою вірусу, аналогічного BlackEnergy, хакерам вдалося на кілька днів паралізувати всю фінансову систему країни. Атака припала якраз на час, коли приймався бюджет країни на 2017 рік.

13 грудня під DDoS-атакою "ліг" сайт Міністерства оборони України, а 15 грудня відбулася атака на інформаційні ресурси "Укрзалізниці", через що частину процесів компанії довелося перевести у "ручний" режим. Наприклад, співробітникам довелося тимчасово перейти на паперовий документообіг, а пасажири на кілька днів втратили можливість купувати квитки на поїзд онлайн.

Міністр інфраструктури Володимир Омелян заявив, що атаку зробила група українських хакерів за замовленням невстановленої особи із Санкт-Петербурга. І що нібито атака на систему вантажних перевезень була прикриттям для цієї мети - крадіжки даних про пасажирські перевезення. На наступний день після цієї заяви сайт Міністерства інфраструктури також "впав".

Секретар Ради нацбезпеки і оборони Олександр Турчинов заявив, що всі атаки були заздалегідь сплановані і скоординовані з єдиного центру у Російській Федерації. На його думку, зловмисники хотіли дестабілізувати ситуацію в Україні, викликати затримки соціальних виплат та ускладнення в роботі провідних державних установ.

Кібератака на Держфінпослуг стала приводом виділити відомству 80 млн гривень з резервного фонду на заміну IT-інфраструктури. При цьому Турчинов зазначив, що грошей на захист від хакерів не вистачає багатьом державним ресурсам.

Хто нас повинен захищати

У попередні роки питаннями кібербезпеки в Україні на державному рівні мало хто займався. Історично за безпеку державних систем зв'язку відповідає Державна служба спеціального зв'язку та захисту інформації. На її базі створено Державний центр кіберзахисту і протидії кіберзагрозам. З 2007 року у складі цього центру працює команда реагування на надзвичайні комп'ютерні ситуації - CERT. В обов'язки CERT входить попередження, моніторинг та виявлення кіберзагроз, аналіз, і ліквідація комп'ютерних інцидентів. У першу чергу, CERT захищає ресурси, які підключені до державної системи кібернетичного захисту. Хоча він також брав активну участь у запобіганні другої атаки на обленерго, відбитті атак на "Бориспіль".

З ростом числа і масштабів загроз чиновники задумалися про більш комплексний підхід до захисту. На початку 2016 року Рада національної безпеки і оборони розробила, а президент Петро Порошенко підписав, стратегію кібербезпеки України.

Згідно з цим документом, крім Держспецзв'язку, за кібербезпеку тепер відповідають Міністерство оборони, Служба безпеки України, Національна поліція (там створено департамент кіберполіції), Національний банк, розвідувальні органи. Ключовим відомством у цій системі став Національний координаційний центр кібербезпеки, створений на базі РНБО.

При цьому державі, як і раніше, не вистачає кваліфікованих кадрів у сфері інформаційної безпеки. Тому для розслідування кіберзагроз залучаються консультанти з приватних компаній. Найчастіше експерта кличуть на тому етапі, коли атака вже відбулася і вплинути на її хід не можна. Хоча більш ефективний шлях - спочатку приділяти увагу кібербезпеці та оцінювати ризики. Як каже Мирослав Бондар, такий підхід дозволить ідентифікувати спроби кібератак і відреагувати на них ще на самому початку, коли можна звести успішність атаки до мінімуму.

Повністю уникнути кібератак неможливо. Причина - у постійно зростаючому рівні інформатизації, відмовитися від якої не можуть ні підприємства, ні державні структури. "А чим більше процесів на підприємстві автоматизовано та комп'ютеризовано, тим більше можливостей впливу можна реалізувати через кібератаки. Тобто, це взаємопов'язані речі", - пояснює Бондар.

У випадку з українськими компаніями якась технологічна "відсталість" рятує їх від ще більш масштабних атак. Багато процесів, як і раніше робляться вручну і оффлайн, а значить, хакери до них не добираються. Але тягтися у хвості технологій - теж не вихід.

Як вважає Влад Стиран, першим кроком до протидії кіберзагрозам має стати підвищення рівня культури користування інтернетом в українських компаніях - приватних і державних. Адже хакерська атака - це не питання однієї хвилини або одного дня. Атака готується заздалегідь, коли в систему заздалегідь закладається шкідливий імплант, який потім використовується для віддаленого доступу. Найпростіше проникнути в систему через комп'ютер когось з безтурботних користувачів, що не приділяють багато уваги інформаційній безпеці. Той же BlackEnergy потрапив на комп’ютери працівників обленерго з банальної причини - один із співробітників просто відкрив електронний лист, дозволивши вірусу проникнути в систему.

В Україні є звичайною практикою, коли з робочого комп'ютера ведеться особиста переписка, відкриваються сумнівні посилання, завантажуються і встановлюються програми. "Людині не треба знати, що таке сальмонела. Йому достатньо знати, що після туалету треба мити руки. Так само і з інформаційною безпекою. Є два простих правила: не відкривати сторонні посилання і не купувати сумнівні продукти", - розповідає Влад Стиран.

За даними опитування, проведеного компанією Cisco, понад 50% українських компаній стикалися з атаками кіберзлочинців за останні півтора року. Фахівці з інформаційної безпеки жартують над цими даними. "Решта опитаних, швидше за все, самі ще не знають, що їх атакували", - каже Влад Стиран.

Атаки відбуваються набагато частіше, ніж здається. Але ніхто не хоче "хвалитися" дірами в інформаційній безпеці. Тому в публічну площину потрапляють тільки ті випадки, які вже ніяк не можна приховати - як відключення електроенергії або проблеми з доступом до сайту.