Життя після кібератаки, або Як підприємцям не “влетіти” на великі гроші?

Тема кібератаки вірусом “Петя” вже другий тиждень залишається в центрі уваги. Але 6-го липня Держспецзв’язку повідомило про можливе повторення кібернападу. Тим часом, 5 липня відбувся круглий стіл на тему “Чи є життя після кібератаки?” Експерти різних галузей підбили проміжні підсумки кібератаки: оцінили збитки від вірусу “Петя”, обговорили наявні проблеми і запропонували шляхи їх вирішення. Серед експертів були ІТ-спеціалісти, керівники бухгалтерського напрямку, юристи та представники уряду.

Одним із шляхів зараження пристроїв було оновлення програми M.E.Doc, яка використовується для подачі податкової звітності. Програма використовується для комунікації між компаніями і Державною фіскальною службою, у неї є функція прикріплення електронного підпису.  Саме тому вона є дуже популярною. Відтак, у зв’язку з атакою, деякі компанії не змогли своєчасно засвідчити свої податки і тепер їм загрожують штрафи.  Для того, щоб їх уникнути, треба пройти “9 кіл пекла” українських державних органів: Торгово-промислову палату, Державну фіскальну службу, Кіберполіцію і так далі.

Так як кібератака була безпрецедентною, не дивно, що законодавча база не була готова до подібних форс-мажорів. І тому, як наслідок, компанії зіткнулись з проблемами - за прострочення терміну надання звітності їм нараховуватимуться штрафи. Але експерти розказали, як цього уникнути, і як запобігти можливим майбутнім загрозам.

А загалом, розмова вийшла набагато ширшою та цікавішою, ніж анонсувалася. Варто лише подивитися на ці сім пунктів, - найцікавіші напрямки і висновки розмови, які виділив Укрінформ:

1. Кібератака нанесла збитків, що в еквіваленті можуть сягнути 0,5% ВВП. Це неймовірна, шокуюча цифра – яка дає уявлення про втрати. Що їх може принести кібервійна..

2. Вірус заразив понад мільйон комп’ютерів, але активізувався лише на 12,5 тисячах. Що робити з рештою, коли вони «прокинуться» — поки що загадка.

3. Поки Україна не почне виробляти  у достатній кількості власне програмне забезпечення, її економіка та  об’єкти інфраструктури будуть у хакерів “як на долоні”.

4. Не можна нехтувати елементарними правилами кібербезпеки: це означає не лише не відкривати невідомі листи і створювати резервні копії даних. За потреби — треба виокремлювати бухгалтерію в окремі мережі.

5. Сервери — ненадійні. Зараз популярні хмарні технології — компанії надають послугу у зберіганні інформації і несуть за неї відповідальність. Так дійсно безпечніше.

6. Якщо компанія постраждала, є два виходи. Перший — сподіватись на державу і зміну законодавства, що звільнить тебе від сплати штрафу. Другий — самостійно довести, що кібератака спричинила форс-мажор. Експерти радять використати обидва.

7. Не можна економити на програмістах і системних адміністраторах. Це уже більше, ніж просто небезпечно.

А тепер, як кажуть, докладніше.

Про проблеми, спричинені кібератакою

Андрій Дацюк, доцент кафедри національної безпеки Національної академії державного управління при Президентові України: Атака показала, що є багато недоліків.

“Кібератаку відбито, але все не так добре, як може здатись. Зараз яскраво видно проблеми, що є в Україні. По-перше, українські компанії все ще залежні від російських ІТ-продуктів. Поки ситуація не зміниться, ми будемо залишатися вразливими. Змінити ситуацію можна лише розробивши свою програмну продукцію.

По-друге, Україні потрібен закон про основи кібернетичної безпеки. Проект закону вже зареєстрований у Верховній раді, але він не ідеальний. Зокрема, координацію дій в умовах надзвичайного стану по кібернетичній безпеці покладено на Генеральний штаб ЗСУ та Міноборони. Хоча по закону України про умови надзвичайного стану, вищим органом військового командування є СБУ. Тут є певні правові колізії, проте такий закон Україні просто необхідний.

По-третє, наскільки я ознайомлений з роботою в ІТ-сфері, в державних органах є проблеми. Заробітна плата фахівців дуже низька. А рівень співробітників — невисокий. Державні органи повинні проводити необхідні тренінги, підготовку для працівників об’єктів, підприємств, які можуть становити критичну інфраструктуру, по захисту від кібернетичних атак. “

Олександр Кочетков, аналітик, виконавчий секретар Асоціації національних розробників програмного забезпечення: Дії вірусу — катастрофічні, він ще може додати клопоту програмістам

“Кібератака була не лише однією з найпотужніших, а й принципово відрізнялась по характеру від попередніх. Її ціллю були дестабілізація ситуації в країні та спалах соціальної напруги. Адже якщо “лягає” фінансова система, а наразі вже є затримки по виплатах зарплати, це нагнітає стан в країні і може мати бозна-які наслідки.

Також Україну вдалося виставити певним дестабілізуючим фактором для усього світу. Ніби-то вірус, який зайшов через Україну, розповсюдився по всьому світу від США до Японії. Тобто мета ізолювати Україну, виставити її загрозою для всього світу підтверджується.

Є інформація, що вірус “Петя” проник на комп’ютери користувачів не через одне оновлення. Можливо, зараження основного серверу відбулось раніше, від 290 днів до 2-х років тому. І з того моменту, поступово, вірус проникав в комп’ютери користувачів. За цей період він заразив більше мільйона комп’ютерів. Але ж за даними Microsoft його було виявлено лише на 12,5 тисячах пристроїв. Тому можна стверджувати, що він все ще присутній на великій кількості комп’ютерів і кібератака в будь-який момент може відновитись. Питання, наскільки ми готові до цих поновлень — є надзвичайно гострим.

РНБО та СБУ давно напрацювали загальні очевидні дієві рекомендації по захисту та кібербезпеці основних структур. Високий захист вхідної та вихідної інформації, навчання персоналу (“бити по руках”, щоб не відкривали кожен лист від невідомого відправника) — це все вже є. Але, на жаль, керівники відомств, що відповідають за кібербезпеку, нічого з цього не виконують.

Як правило, до спеціалістів ІТ-сфери ставляться як до обслуговуючого персоналу, згадують про них, коли “фейсбучек заглючив”. Тобто для них ІТ-сфера — написати пост у Фейсбук, дати звіт про свою діяльність. А те, що це  одне з ключових питань в умовах війни, на жаль, залишається осторонь.”

Ілля Несходовський, к.е.н., директор Інституту соціально-економічної трансформації, експерт групи "Податкова реформа" Реанімаційному Пакету Реформ: Зараз існує реальна потреба в “комп’ютерній” освіті для співробітників

“Збитки, які нанесла кібератака, важко порахувати. Але по окремим оцінкам це — 0,5% ВВП, - те, що буде витрачено на ліквідацію наслідків кібератаки. Бухгалтери мають пройти відповідне навчання щодо елементарних знань з кібербезпеки. Також його мають пройти і менеджери, адже лист був адресований і їм. Орієнтуватись на те, хто є відправником — також не є безпекою.

Кібератака не була спробою видурити кошти. Реакція влади була неоднозначна: зокрема, Мінфін відреагував дуже оперативно, адже спілкуючись з бухгалтерами розумієш, що наслідки були катастрофічні. Разом з тим, погано, що дуже мало інформації про те, що треба робити. Хоча, як на мене, це була реальна атака, яку можливо порівняти з війною  в кіберпросторі. І про це необхідно було зазначити і сказати.”

Як бачать ситуацію “винуватці” - компанія M.E.Doc?

Алеся Білоусова, CEO компанії Розробника ПО "M.E.Doc": Наразі треба оновити продукт і викорінити рештки вірусу

“Точно можемо казати, що атака проходила через наш сервер і зараз ми намагаємось розібратись, що і як було зроблено. Також ми надали Кіберполіції усю інформацію і сервери, які можуть допомогти зрозуміти, що відбулося. Що робили зловмисники, звісно, не збереглось, адже ті данні просто стерли. Наразі головне — випустити оновлення продукту, яке унеможливить керування вірусом “ззовні”.

Станом на зараз, загроза є кожному комп’ютеру, на якому знаходиться наш продукт. Усі кажуть, що вони “вижили”, але насправді це не так — вірус там вже є і чекає запуску. Яким чином це відбудеться — ми не знаємо.”

Як діяти ІТ-шникам після кібератаки?

Сергій Лук’яненко, ІТ-директор компанії Ліга:закон: Елементарні рекомендації по безпеці необхідно виконувати

“Виконувати загальні рекомендації по безпеці — необхідно, так само як чистити зуби. Постраждали ті, хто цим нехтував. Окрім того, що треба правильно копіювати данні, створювати резервні копії та будувати процеси, треба моніторити ситуацію. Не лише всередині, а і ззовні.

Якщо у вас ж більше 10 комп’ютерів, задумайтесь про те, щоб відокремити як мінімум бухгалтерію від загальної мережі. Це настільки просто з точки зору організації, але вимагає лише одного — спеціаліста. Саме економія на “айтішниках” призводить до таких наслідків.

Дуже дивує те, що постраждали банки, а саме — платіжні термінали. Це означає, що термінал знаходиться в загальній банківській мережі, що є нонсенсом. Виходить, що керівництво взагалі не захищає своїх клієнтів.

Альтернатива локальним мережам та, як наслідок, серверам — хмарні продукти. Хмара — це послуга, тому ви можете розраховувати на захист своєї інформації від виробника. Плюс хмари в тому, що з неї на комп’ютер нічого не встановлюється, просто немає такого каналу розповсюдження.

Чи можуть хмарні сервіси бути атакованими? Потенційно так. Але якщо хмару обслуговує освічений персонал, то вони вчасно “відловлюють” атаки і ліквідують загрози. Ймовірність “злому” хмари близька до нуля. В будь-якому разі, це на порядок безпечніше, аніж тримати продукт в себе на комп’ютері, де ти сам за нього відповідаєш. І в кращому випадку — адміністратор. Повезе, якщо він гарний спеціаліст.

Також, як спеціаліст, я можу стверджувати, що більшість “зламів” систем відбувається зсередини. Наприклад, маленька ображена людина, якому або недоплатили, або ще щось, за гроші може таке зробити. Тому вірогідність що і у випадку з M.E.Doc відбулось саме так — не варто виключати.”

Яким чином врегулювати питання зі штрафами?

Яна Бугрімова, радник Міністра фінансів України: Варіантів уникнути штрафів для платників податків — два. Треба використати обидва.

“Кібератака безпосередньо торкнулась платників податків. Але на той момент, коли комп’ютери “лежали”, не потрібно було подавати основні декларації — ПДВ, прибуток. Це єдиний плюс.

Із мінусів — реєстрація податкових накладних, що є критичним для бізнесу, адже штрафні санкції дуже високі. Основний масив накладних подавався як раз в ті дати, коли відбувалась атака.

На жаль, Міністерство фінансів не може не застосувати штрафи за невчасну подачу навіть у зв’язку з форс-мажором. В цій ситуації єдиний вихід — змінити податковий кодекс, що і було зроблено: вчора Кабмін затвердив законопроект, що ми підготували. Рішення — незастосування штрафів за прострочку декларацій. Також є можливість змінити цей закон безпосередньо у Верховній раді.

Є і інші способи вирішення проблеми. Податкова не може відтермінувати або списати штрафи, адже це не передбачене податковим кодексом. Єдине що вони можуть — списати борг, що виник у зв’язку із форс-мажором. Для цього треба звернутись в Торгово-промислову палату. Тим паче, що публічна позиція ТПП наступна: вони будуть розглядати такі заяви, але перед тим радять звернутись в Кіберполіцію і повідомити орган Державної фіскальної служби.”

Ксенія Проконова, адвокат, співробітник компанії “JUSCUTUM”

“Є два вектори врегулювання ситуації. Перший — доводити ситуацію форс-мажору, тобто ви не несете жодної відповідальності за неподання звітності вчасно. Другий — звернути увагу на збитки і шукати винного. Проте, в другому випадку потрібні експерти, а компанії M.E.Doc треба готуватись до колективних позовів. Але ці два вектори не можуть бути застосовані одночасно.”

Андрій Довбенко, керуючий партнер компанії ND Law

“По-перше, мінфін мав надати узагальнене податкове роз’яснення з цього приводу. Для того, щоб витлумачити законодавство і зазначити, що такі санкції не застосовуються за цих умов.

По-друге, мінфін стоїть на захисті бізнесу, подавши цей законопроект, але на майбутнє хотілось би змінити податковий кодекс з урахуванням цього форс-мажору — продовжити терміни подачі декларацій за певних обставин.”

Микола Романюк, за матеріалами круглого столу