За останні сім років Україна пережила одні з найбільш руйнівних кібератак у світі. У 2015-му та 2016-му роках хакерам уперше в історії вдалося відключити електроенергію, знеструмивши на короткий час 230 000 будинків на Прикарпатті та київську підстанцію. У 2017-му NotPetya завдав збитків на $10 млрд місцевим та глобальним компаніям з офісами в Україні. Із загостренням воєнної ситуації наростають і ризики в кіберпросторі. Під прицілом зв'язок, інтернет, електроенергія, фінанси, державні служби та військові. Чи може Україна впоратися із загрозою?
Почуття постійної загрози тримає в тонусі. «Я можу легко сказати, що Україна винесла уроки з досвіду минулих атак», – каже Меттью Олні, директор Talos, підрозділу інформаційної безпеки американської Cisco. Його співробітники брали участь у розслідуванні ключових кібератак на українські підприємства протягом останніх шести років. Олні каже, що бачить покращення в моніторингу та роботі з погрозами українських фахівців. «Досвіду в них безперечно більше ніж у всіх», – додає він.
Навіть у захисників із досвідом виникають серйозні складнощі. Якщо в традиційній війні, щоб взяти укріплений район, атакуючим силам потрібна чисельна перевага в рази, то в кіберпросторі все навпаки. «Щоб зламати систему, потрібно знайти одну вразливість, один ланцюжок атаки. Щоб захиститися, потрібно знайти та виправити їх усі. Це складніше не в три–п'ять, а сотні тисяч разів», – пояснює Влад Стиран, засновник та СЕО української консалтингової компанії у сфері інформаційної безпеки BSG.
Ще одна проблема кіберпротистояння – економічна. З одного боку стоять хакерські угруповання з ресурсами держави. З іншого – мережі та системи окремих організацій, бюджети та кількість фахівців у яких завжди менші.
«Настає момент, коли ця асиметрія настільки реальна, що виникають сумніви, чи можна щось зробити для захисту», – говорить Олні. Але на боці атаки – прості люди. Вони спочатку спробують знайти легкі шляхи проникнути в мережі, перш ніж взятися за складні інструменти. Завдання захисту – постійно робити життя супротивника складнішим. «Потрібно робити так, щоб до нас доходили зловмисники з дуже крутим інструментарієм, а вартість їхньої роботи постійно зростала», – каже Стиран.
Наскільки складно зараз російським хакерам? За останні п'ять років ситуація з українським кіберзахистом постійно покращується. «Тепер нас зламують через довірені контакти постачальників програмного забезпечення. Це вже трохи складніше, ніж з ноги відчинити двері», – каже Стиран.
Реальна загроза
За останній місяць українські держоргани та банки вже пережили дві помітні атаки. У ніч із 13-го на 14 січня хакери зламали понад 70 урядових сайтів. Вебресурси Міноборони, МЗС, ДСНС, «Діі» не працювали кілька годин. Не постраждав ні контент сайтів, ні дані користувачів, повідомили у Держспецзв'язку.
Через місяць, 15 лютого, DDoS-атаки зазнали сайти та додатки банків, сайти Міноборони та інших відомств. На складнощі з доступом до програм кілька годин скаржилися користувачі ПриватБанку, Ощадбанку, monobank, А-Банку та Альфа-Банку. Атака тривала близько доби, її вартість – мільйони доларів, заявив віцепрем’єр – міністр цифрової трансформації Михайло Федоров. «Немає жодного витоку даних, спотворення чи знищення елементів інфраструктури», – цитує «Економічна правда» заступника голови Держспецзв'язку Віктора Жору.
Такі операції використовують, ймовірніше, для розхитування громадської думки, вважає Стиран. І хоча не завдають реальної шкоди, вони викликають реакцію громадськості: «Скільки можна? Знову нас зламали?». Це грає на руку ворогові. Але такий підхід ефективний лише для країни, яка не перебуває в стані тотальної війни. У разі фізичної загрози всьому населенню людей вже не турбуватиме DDoS сайту. «Якщо Росія атакуватиме масштабно, то першими вразить енергетику, логістику, банківську систему», – розповідав в інтерв'ю Forbes голова Держспецзв'язку Юрій Щиголь. Чи є для цього причини?
У традиційної війни зазвичай є чіткий початок і кінець: агресія, перетин військами кордону та підписання мирного договору. Війна віртуальна продовжується постійно, а атака починається задовго до завдання реальної шкоди. «Якщо ви працюєте в організації національної безпеки однієї країни та знаєте, що можливий конфлікт з іншої, ви спробуєте отримати доступ до мереж задовго до атаки. Ви не чекаєте дня, коли він знадобиться», – каже Меттью Олні.
За кілька годин після розмови з Forbes його припущення підтвердило видання Washington Post. З посиланням на нові американські розвіддані журналісти повідомили, що «російські хакери, ймовірно, широко проникли в українські військові, енергетичні та інші критичні комп'ютерні мережі». Мета – збирати розвіддані та потенційно порушити роботу критичних систем, якщо Росія вирішить атакувати. Чи готова українська інфраструктура захиститися?
Інтернет та мобільний зв'язок
Якщо розпочнеться ескалація та введуть військовий стан, контроль над телеком-мережами перейде до Національного центру оперативно-технічного управління мережами телекомунікацій. Його створили саме для таких ситуацій на базі Держспецзв'язку в 2019 році. Процедури взаємодії операторів та держорганів відпрацьовували на спеціальних навчаннях, повідомили у пресслужбі Vodafone.
Усі мобільні оператори мають розподілені мережі. «Гнучка архітектура дає змогу в разі потреби оперативно змінити маршрутизацію трафіку через транзитні вузли в інших містах України», – пояснили у пресслужбі «Київстар». Такий підхід дає можливість зберегти роботу мережі та відновлювати зв'язок, навіть якщо відділення об'єкта пошкодять. «У разі необхідності оператор зможе використовувати резервне обладнання та канали передачі даних», – додають в lifecell.
Чи можливо повністю відрізати Україну від інтернету? «Вкрай малоймовірно», – вважає Олександр Савчук, СЕО Atracom. Його компанія з початку 2000-х проклала понад 20 000 км волоконно-оптичних ліній для телеком-операторів.
«Велика трійка» операторів має підрозділи інформаційної безпеки, які постійно відслідковують загрози, і спеціальні політики. У Vodafone повідомили, що у зв'язку з поточною ситуацією додатково перевіряли мережу на вразливості та ризики, закупили обладнання для кіберзахисту та провели тренінги серед працівників. «Телекоми стабільно показують, що для своїх завдань вони мають необхідні компетенції, контракти та постачальників», – вважає Влад Стиран.
Про готовність запевняють і найбільші інтернет-провайдери. В Укртелекомі працює оперативний штаб для роботи в критичних ситуаціях, а інформаційну безпеку постійно аналізує Security Operations Center, розповідає директор із корпоративних комунікацій Михайло Шуранов.
«У нас є протоколи з фокусом на тому, щоб за найгіршого сценарію розвитку подій максимально забезпечити життєздатність та роботу мережі», – каже Михайло Шелемба, СЕО Datagroup. Він вважає, що ймовірність вторгнення невелика та підвищення активності кібератак у компанії не спостерігали. «При цьому ми не маємо права бути неготовими», – додає Шелемба.
Чи можливо повністю відрізати Україну від інтернету? «Вкрай малоймовірно», – вважає Олександр Савчук, СЕО Atracom. Його компанія з початку 2000-х проклала понад 20 000 км волоконно-оптичних ліній для телеком-операторів. «Переходів, якими Україна поєднана з міжнародним сегментом, дуже багато. І більшість каналів мають резервування: дво-, три-, а іноді й чотириразове. Є й супутникові канали», – пояснює він. Найгірший реальний сценарій – пропускна спроможність мережі впаде і не вдасться дивитися відео онлайн, але месенджери мають залишитися працюючими.
Енергетика
Українська енергосистема вже зазнавала двох унікальних атак. Взимку 2015-го та 2016 року хакерам вдалося вперше в історії відключити електрику. Спочатку без світла на години залишилися 230 000 мешканців Прикарпаття. За рік атака відключила підстанцію неподалік Києва.
Меттью Олні, який брав участь у розслідуванні обох інцидентів, вважає, що з того часу компанії зробили висновки. «За три–чотири поїздки до Києва я розмовляв із різними людьми. Усі вони розуміли масштаб проблеми та відповідальність. Від того, як вони виконують свою роботу, залежать реальні люди», – розповідає директор Cisco Talos.
У Forbes направили запити найбільші енергогенеруючі компанії – НАК «Енергоатом» та ДТЕК. Їхні представники назвали кібербезпеку чутливим питанням та розповідати конкретику відмовилися. Раніше Максим Ткаченко, генеральний директор холдингу ДТЕК, говорив LIGA.net, що компанія «в рази збільшила увагу до питань кібербезпеки». Директор з інформаційних технологій «Енергоатому» Дмитро Вербовський повідомив лише, що в компанії є підрозділ з кібербезпеки, необхідні протоколи та процедури, які повністю справляються з поточним рівнем загрози.
Чи це означає, що в разі ескалації конфлікту зломів вдасться уникнути? «Кібербезпека на об'єктах критичної інфраструктури ніколи і ніде не буде готовою до цільових атак. Якщо поставити це питання у США чи Ізраїлі, відповідь буде такою самою», – каже Влад Стиран. Якщо інциденти відбудуться, звинувачувати жертву в них нема рації, вважає він. Якби жертва була готова трохи краще, атакуючий прийшов би з іншим інструментом.
З технічного погляду захисні механізми, які могли розгорнути на цей момент, розгорнули, вважає Меттью Олні. «Тепер це гра людей», – каже він. Українським фахівцям залишається агресивно прочісувати мережі у пошуках активності супротивника. «Якщо вони фрустровані та не можуть нічого знайти, то треба продовжувати полювати знову і знову. Мережі потрібно зробити дуже недружнім місцем для противника», – каже Олні.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.
