Кібератака по США пробила захист державних мереж. А Україна до нової загрози готова?

Федеральне бюро розслідувань США, Агентство з кібербезпеки і безпеки інфраструктури (CISA) й Управління директора національної розвідки (DNI) зробили спільну заяву щодо масштабної кібератаки на урядові структури. Водночас спецслужби не уточнили, хто за нею стоїть. Для розслідування сформували координаційну групу з кібербезпеки (UCG), а федеральним цивільним агентствам доручили негайно відключитися від програми Orion від SolarWinds.

Кількома днями раніше про те, що саме через цю програму – Orion – хакери отримали доступ до урядових структур, писали американські ЗМІ. І так – атаку пов’язують з діяльністю хакерської групи APT29 або Cozy Bear, яку звинувачують у зв’язках зі службою зовнішньої розвідки РФ.

Отже, напрошується багато запитань відносно того, як на цьому тлі виглядає Україна, зокрема, що змінилося за три роки в стані нашої кібербезпеки після руйнівної атаки вірусу NotPetya у 2017 році? Які висновки зроблено, чи побудована потужна ешелонована кібероборона української енергетики, транспорту, водопостачання, фінансового сектору, телекомунікацій, державних установ?

НИНІШНЄ НП У США ЧАСТКОВО СХОЖА НА АТАКУ ВІРУСА-ШИФРУВАЛЬНИКА 2017 РОКУ НА УКРАЇНУ

Цей вірус три роки тому добряче «трусонув» Україну: блокував доступ до жорстких дисків і повністю зупиняв роботу як окремих комп’ютерів, так і цілих мереж, зокрема українського уряду, «Ощадбанку», «Укртелекому», а також десятка інших державних та приватних установ. Загалом через NotPetya тоді постраждали: 6 енергетичних компаній, 2 аеропорти, 22 українських банка, 6 госпіталів у Києві, банкомати, термінали, понад 300 компаній приватних підприємців.

«Точно так само, як і у випадку з NotPetya, злом розпочався з постачальника програмного забезпечення. Такі атаки називаються supply chain – атака на ланцюг поставок», – розповідає Укрінформу один з співзасновників «Українського Кібер Альянсу» Андрій Баранович (відомий як Шон Таунсенд).

«Хакери застосували такий же вектор атаки, як з NotPetya, ну, це коли ламають не безпосередньо ціль атаки, а постачальника, можливо, не першого рівня, а другого або третього… Коли вони знаходять когось найменш захищеного у ланцюжку, – зламують його і рухаються по ланцюжку все вище і вище», – доповнив колегу експерт з кібербезпеки Костянтин Корсун.

Живо згадавши про переляк і хаос 2017 року, пов’язаний з вірусом NotPetya, питаємо в експертів: чи зробила Україна якісь висновки після трирічної давності масштабної кібератаки, чи навчилася себе захищати?

ЯКЩО НАВІТЬ США НЕ ЗМОГЛИ ВЧАСНО ЗАПОБІГТИ АТАЦІ, ТО УКРАЇНА…

За словами Андрія Барановича, у тому, що в Україні називається «кібербезпекою», нічого практично не змінюється десятиліттями. Так, останнім часом про це стали більше говорити, і навіть виділяються якісь бюджети, але гроші йдуть на незрозумілі з погляду експерта проекти. «Жодна атака, жоден випадок кібершпіонажу чи диверсії до пуття не розслідуваний. Хтось, можливо, зробив висновки, хтось ні, але навіть якщо щось поліпшується, то це відбувається мало не всупереч, а не завдяки державній політиці, – наголошує співзасновник «Кібер Альянсу».

Він каже, що якщо навіть США зі своїми спецслужбами, прекрасно підготовленими фахівцями і багатомільярдними бюджетами не змогли запобігти витоку з державних систем внаслідок атаки, яка почалася ще в березні і тривала дев'ять місяців поспіль, то що вже Україна… «Ми не готові, хоча загроза у нас більша. Бо, на відміну від США, в Україні РФ не соромиться в засобах. Щоб почати вирішувати існуючі проблеми, для початку непогано б визнати факт їхнього існування», – додав Баранович.

«Без образ, – підхоплює Костянтин Корсун, – але в питанні кіберзахисту ми ще ходимо у шкурах, з довжелезними бородами, кудлаті, от тільки вчора багаття навчились розводити, утім, колесо ще не винайшли. Натомість американці вже літають на космічних кораблях».

«Це для загального розуміння, де на цьому тлі знаходиться Україна. Тобто за рівнем кіберграмотності, кіберрозвиненості, співпраці професійної спільноти з владою – немає сенсу не те, що порівнювати, а, взагалі, говорити про це, – стверджує кіберексперт. – У Штатах вже як мінімум років 15-20 цим займаються. Там існують кібервійська, там є кіберкомандування, кібергенерали, продяться відповідні спецоперації. А у нас? Ну, є невелика каста «кібербезпечників» – людей, які проводять конференції, намагаються донести до «бородатих і кудлатих» украй важливі речі, мовляв, існує проблема кіберзахисту, треба щось вирішувати. Але, на жаль, їх або не чують, або просто відмовляються визнавати існування такої проблеми».

Звичайно, якісь приватні компанії, організації, держустанови стали приділяти цьому питанню більше уваги, більше зважати на безпеку. Але про щось конкретніше з цього приводу говорити важко. «На сьогодні можу лише свої інтуїтивні враження висловити, оскільки ані офіційної статистики, ані будь-якої іншої інформації просто немає», – стверджує пан Корсун.

Він згадує, як раніше «Кібер Альянс» боровся за поліпшення ситуації з безпекою в українських державних структурах, виявляв вразливості в їхніх мережах і ставив до відома про це як самі відомства, так і суспільство. Але після того, коли на хакерів завели кримінальну справу, мовляв, нібито вони зламали інформаційну систему аеропорту Одеси восени 2019 року ( Нагадаємо. На табло аеропорту замість інформації про рейси з’явилися зображення екоактівістки Ґрети Тунберґ і непристойний напис англійською мовою, однак учасники «Українського кіберальянсу» відкинули свою причетність, заявивши, що, навпаки, задовго до цієї події попереджали керівництво аеропорту про уразливість у його комп’ютерній системі. – Ред.) – «Кібер Альянс» відмовилися від будь-якого співробітництва з державою. «Після цього вся інформація про фактичний стан захищеності критичної інфраструктури знову пішла в тінь», – переконує Корсун. І додає: «За те, що раптом були зламані системи, реєстри і стався витік інформації ніхто не несе відповідальності. У нас в законі про засади кібербезпеки України прописано, що відповідальність несе керівник організації, але яку саме відповідальність – не сказано».

Ще одна проблема – підвідомчість. У вже згаданому законі прописано, що за кібербезпеку в Україні відповідають аж дев’ять основних суб’єктів, зокрема, це Кабмін, Нацполіція, СБУ, Держспецзв’язок, Міноборони, Нацбанк тощо. Але насправді, каже експерт, – ніхто. «Повноваження усіх органів розпорошені. В результаті – або ніхто не відповідає за певні питання, або, навпаки, органи починають конкурувати між собою», – наголосив Корсун.

Нарешті, продовжив він, у нас досі немає єдиного координаційного центру, який би був рушієм змін і був би зацікавленим у результаті. «У нас немає стратегії кібербезпеки, а прийняти цей документ мали ще минулого року. Нині подейкують, ця стратегія може з’явитися у березні 2021-го. Ну, побачимо», – додає експерт.

Втім, ми розуміємо, що через описаний вище конфлікт між Кіберальянсом і державою, говорити про гарантовану неупередженість в цьому випадку нам не випадає. Тож ідемо далі.

А ХТО ЗА НЕЇ, ЗА КІБЕРБЕЗПЕКУ У НАС ВІДПОВІДАЄ? НІХТО?

Операційний директор 10Guards Віталій Якушев вважає, що кібербезпека – це безперервний процес, зафіксувати його стан на одному рівні неможливо, а тому і сказати однозначно також неможливо. «У державі прийняті деякі закони, що повинні допомагати розвитку кіберзахисту, відновлено роботу державних структур, які мають впроваджувати стандарти кібербезпеки (наприклад, Національний координаційний центр кібербезпеки (НКЦК) при РНБО). Але відсутність відповідальності та високий рівень корупції судової системи призвели до того, що максимум, що роблять у держструктурах – це формальне виконання подекуди застарілих законів та вимог», – переконаний він.

Пан Якушев підтвердив, що є деякі державні структури, як правило ті, що ведуть господарську діяльність, котрі дійсно переймаються проблемою кіберзахисту. Але таких держкомпаній дуже мало. Натомість, якщо говорити про захист об'єктів критичної інфраструктури (енергетика, транспорт, водопостачання, фінансовий сектор, телекомунікації), то, переконує експерт, уже декілька років це питання не закрите, бо на першому місці не захист країни, а переділ зон впливу на крупний бізнес. «Є багато компаній, що підпадають під визначення об'єктів критичної інфраструктури – це великі приватні компанії. Надія на те, що ці компанії, розуміючи важливість кіберзахисту, впроваджують у себе процеси управління кібербезпекою. На державні компанії надії мало, допоки не зміниться відповідальність керівників цих організацій за недбале ставлення до кібербезпеки».

ЗАКОН, ЯКИЙ ЛИШЕ ГОТУЮТЬ, І ДАНІСТЬ, ПРО ЯКУ ДАВНО ВІДОМО

Нещодавно Олександр Федієнко, народний депутат, голова підкомітету цифрової інфраструктури, електронних комунікацій та смарт-інфраструктури оголосив про розробку відповідного законопроекту. І не тільки.

«Комітет з питань цифрової трансформації зараз розробляє новий закон про кібербезпеку і закон про критичну інфраструктуру (Стосовно законодавства про критичну інфраструктуру – раніше Мінекономіки розробило законопроект, довго обговорюваний, і внесений у ВР наприкінці каденції 8 скликання. Але він вважається відхиленим. – Ред.). Я вважаю, що посадові особи, які прийшли працювати на об'єкти критичної інфраструктури, повинні нести відповідальність за витік даних. Ці зміни ми обов'язково внесемо до законодавства», – повідомив Федієнко.

Висновок напрошується і він очевидний. Попри всю секретність зазначеної сфери, те про що у США публічно говорити дозволено, свідчить: в країні діє розгалужена система кіберзахисту, де кожна ланка знає про свою задачу та керується відповідними законами та інструкціями. В Україні подібного і близько не проглядається. У підкомітеті парламенту лише розробляють якийсь закон, який навряд чи здатний перекрити всю масу проблем, які накопичилися в сфері кібербезпеки. Це вже не кажучи про те, що закони у нас розробляють і приймають роками. Між тим є даність, яка не підлягає сумніву: сучасна війна – це війна, передусім, комп’ютерних мереж, а не танкових армій.

Хотілось би почути, що про це думають особи, безпосередньо причетні до цієї сфери.

Мирослав Ліскович. Київ

P.S. ДЕСЯТЬ ПОРАД ЩОДО КІБЕРЗАХИСТУ, АБО «НЕ ТИЦЯЙ КАКУ»

Як відомо, кіберзлочинці атакують не лише великі компанії чи урядові сайти. А тому про кіберзахист не можна забувати і пересічним громадянам. Захист від кіберзагроз тепер стосується кожного. Адже можуть бути викрадені як файли з комп’ютера, якими потім можуть шантажувати, так і паролі та коди банківських карток. Свого часу Костянтин Корсун сформулював золоте правило безпеки: не переходити за сумнівними посиланнями, а за потреби – перевіряти їх антивірусними програмами: «Не тицяй каку. Don’t click shit. Не треба одразу тиснути на посилання, яке вам прийшло, особливо з невідомого джерела. Навіть якщо вам пише знайома особа – її аккаунт можуть зламати і надсилати фішингові повідомлення. Головне правило – бути підозрілим та сумніватися, особливо якщо вам пропонують щось безкоштовно».

Отже, наводимо десять основних порад від експертів для нас, звичайних людей, щодо кіберзахисту:

1. Мати на комп’ютері та смартфоні антивірусне програмне забезпечення, періодично оновлювати його.
2. Для різних ресурсів використовувати різні складні паролі (електронна пошта, соцмережі тощо), періодично змінювати їх. Не користуватися генераторами паролів.
3. По можливості встановити двофакторну автентифікацію в соцмережах та сервісах.
4. Мати резервну копію найважливішої інформації, зберігати її без доступу до інтернету.
5. Не відкривати додатки до листів від незнайомих адресатів, не переходити за посиланнями. А якщо від знайомих, то уважно перевіряти перед відкриттям.
6. Не залишати на ненадійних сайтах свої персональні дані (номер банківської картки та її PIN-код, адресу електронної пошти, номер телефону тощо), не повідомляти ці дані по телефону.
7. Не відповідати на дзвінки з невідомих номерів, особливо зарубіжних. Не телефонувати на номери, вказані в смс-повідомленнях про виграш призів, підозріло великий розпродаж або акцію.
8. Перш ніж відвідати сайт чи перейти за посиланням, упевнитися в надійності цього ресурсу.
9. Не встановлювати програмне забезпечення, у надійності чи походженні якого є сумніви.
10. Здійснювати періодичні платежі (комунальні послуги, покупки в інтернет-магазинах) тільки через надійні сервіси.