Близько третьої ранку 14 січня голова Держспецзвʼязку Юрій Щиголь за тривогою виїхав в офіс – розслідувати кібератаку на урядові сайти. Його команда відбиває хакерські атаки ледь не щодня – за минулий рік їх було 147, більшість – з Росії. Цього разу масштаби більші: уразили близько 70 урядових сайтів, а на їхніх сторінках залишили послання: «Бійтеся і чекайте гіршого». Більшість сайтів швидко відновили роботу, а доказів про витік даних поки немає, як і результатів розслідування. Чому так складно зʼясувати, як проникли у систему хакери, та чи можна було цього уникнути
Офіс Держспецзвʼязку на вулиці Cоломʼянській у Києві має вигляд типової державної установи – вхід за перепустками, порожні коридори з низками однакових дверей та «совковими» меблями. Усе змінюється, коли потрапляєш на 14 поверх – у кіберцентр UA 30. Він нагадує коворкінг із сучасними компʼютерами, кріслами-мішками та кавовими машинами.
Щиголь, 38, отримав посаду голови Держспецзвʼязку у липні 2020 року. До цього він 10 років служив у СБУ. І в офісі, і за його межами він залишається військовим – підбирає слова обережно, а на смартфоні носить антишпигунську плівку, щоб було важче піддивитись.
Відомство Щиголя виконує 93 функції, від яких залежить інформаційна безпека усієї країни, зокрема відповідає за кіберзахист, регулювання телекомунікацій та електронних послуг. В інтервʼю Forbes Щиголь розповів, як працює Держспецзвʼязку, що служба робила в ніч атаки та які має проблеми. Forbes публікує скорочену та відредаговану для зрозумілості версію інтервʼю.
Як атакували сайти
Розслідування ще триває, але вже відомо, що це була комбінована атака. Вона скаладалася з трьох векторів. Перший – supply chain attack, спроба завдати шкоди, використовуючи вразливі місця компанії-постачальника або компанії, з якою співпрацює атакований орган. Два інших – використання вразливостей систем October CMS і Java Apache Log4j.
Довідка
October – це безкоштовне програмне забезпечення для управління контентом сайту. Log4j – функція, яка використовується для написання програм мовою Java.
Зараз Держспецзвʼязку досліджує програмне забезпечення WhisperGate, складову кібератаки, яку знайшла компанія Microsoft. Повністю підтвердити цю версію не можемо: на деяких сайтах досі тривають DdoS-атаки, що не дозволяють отримати зашифровану інформацію. Наявність цього вірусу зараз перевіряють у кожній системі, адже хакери можуть активувати його в майбутньому.
Усього атака вразила понад 70 сайтів. Точну цифру скажемо після завершення розслідування. Не всі сайти постраждали безпосередньо від атаки – ті, у яких розробником була компанія Kitsoft, відключили за командою Держспецзв’язку або СБУ.
Інформації щодо витоку персональних даних чи пошкодження реєстрів немає. База даних МТСБУ, в якій збергається інформація про «автоцивілку» та поліси «Зелена карта», вийшла з ладу 14 січня, бо була уражена система, яка відображає дані, а сам реєстр не постраждав.
Хто атакував
Поки що маємо певні докази, які вказують на Росію. Щодо причетності білоруського угрупування хакерів прямих підтверджень нема. Одна з версій – атаку організували хакери з різних угрупувань, які скоординувалися між собою.
Bleeding Bear?
Національний координаційний центр кібербезпеки дав атаці кодову назву Bleeding Bear. Часто кіберексперти дають різним типам атак назви тварин, щоб обʼєднати їх за певними характеристиками.
Назву Bear (ведмідь) отримують атаки з Росії, Panda – з Китаю, Crane – з Південної Кореї. Поки що причетність російських хакерів до атаки не довели, але коли це зроблять – вона отримає кодове ім'я Bear, каже Щиголь.
У чому складність розслідування
Для розслідування треба зібрати терабайти інформації та проаналізувати їх руками. Фахівці працюють так: вони аналізують дані кожного файлу і виокремлюють шкідливий код, який дозволить підтвердити висловлені припущення про природу атаки. Ми не можемо робити заяв без підтверджень.
Чому хакерам вдалося використати давно відому вразливість
Це питання до системних адміністраторів і до людей, які так ставляться до своєї роботи. Рекомендації їм надавали СБУ і ми. Але якщо нема відповідальності, отже, можна не робити – така у них логіка.
Так вже побудована система кібербезпеки: атакуюча сторона розвивається набагато швидше, ніж та, яка захищається, бо має більше фінансових можливостей для розвитку, оскільки вкладає отримані від атак кошти в покращення технологій.
Основне про кібератаку на урядові сайти
У ніч з 13 на 14 січня на українські урядові сайти здійснили масштабну хакерську атаку. Вона уразила близько 70 сайтів, зокрема не працювали сайти Міноборони, МЗС, ДСНС, «Дії» та Міносвіти.
На сайті МЗС хакери залишили повідомлення з погрозами українською, російською та польською мовами.
Контент сайтів не постраждав, витоку персональних даних не відбулося. З ладу вийшла лише централізована база даних МТСБУ – обʼєднання страховиків, які продають «автоцивілку» та поліси «Зелена карта». Станом на 20 січня її роботу відновили.
Як відреагували спецслужби
Першим звістку отримала команда реагування на кіберінциденти CERT-UA – вона працює цілодобово. Близько третьої ночі за тривогою військові з шести державних відомств, включно з Держспецзв’язку, СБУ, Кіберполіцією, Мінцифри та РНБО, розʼїхалися по своїх офісах у Києві.
Зранку до них звернулися посольства Великої Британії та США, а також приватні компанії на кшталт Microsoft – усі пропонували свою допомогу. Бізнеси хочуть допомагати на волонтерських засадах, адже коли країна в небезпеці, питання вартості ніхто не ставить. Спершу – треба допомогти захистити країну.
Хоча в Україні багато відомств, які відповідають за інформаційну безпеку, усіх їх координує Національний координаційний центр кібербезпеки при РНБО.
Держспецзв’язку відповідає за захищеність державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури, резервувавння державних реєстрів та інших даних. СБУ відповідає за розслідування та припинення діяльності кібертероризму, захист критичних ресурсів. У сфері відповідальності кіберполіції – кібершахрайство, порушення законів про персональні дані.
Як часто державні комп’ютери перевіряють на вразливість
Аудит – це робота, яку ми виконуємо щодня. Єдине, що ми не можемо зробити, – це баг-баунті. Воно ніяк не врегульоване в Україні. Навпаки, у нас є стаття 361 Кримінального кодексу, яка криміналізує цей процес. Міністерство цифрової трансформації минулого року робило баг-баунті для «Дії», але вони використовували копію додатку, а не ту версію, якою всі користуються.
Одне із наших завдань цього року – змінити закон, який дозволив би проводити постійне національне баг-баунті. За останній тиждень до нас звернулося багато компаній, які готові це робити, але зараз за таку діяльність їх звинувачуватимуть у порушенні закону України.
Що заважає роботі Держспецзвʼязку
Ухвалювати нові нормативно-правові акти заважає бюрократія – вона значно сповільнює процес. А внесення змін до законів – це взагалі дуже складна історія.
Ще одна проблема – нестача фахівців та низька оплата праці. Лейтинант – випускник Інституту спеціального звʼязку та захисту інформації при КПІ отримує у нас близько 17 000 грн, а працівник кіберцентру – близько 20 000 грн.
Приватні компанії одразу пропонують їм $1500–2000. Минулого року у Держспецзвʼязку підняли зарплату на 30% – такого ще за часи її існування не було.
Влаштовуючись на роботу після профільного університету, спеціалісти заключають з Держспецзвʼязку обовʼязковий контракт на пʼять років. Наше завдання – втримати їх, коли цей термін вичерпається, а для цього треба більша зарплата.
Грошей на потреби міністерства також не вистачає. Цього року отримали 32% фінансування від своїх потреб. Зростання є, але не таке, як хотілося б. У нас недофінансовані усі органи, але допомагають донори, які, наприклад, організовують тренінги для спеціалістів.
«Потреба фінансування Держспецзв'язку перевищує 10 млрд грн на рік. Ми отримуємо з бюджету приблизно 4 млрд грн. У 2020 році розвиток було профінансовано на 12%, цього року – на 28%»,
Юрій Щиголь, інтерв'ю Interfax
Нестача фінансування також не дозволяє державним органам займатися власною розробкою – послуги віддають на аутсорс. Державі складно зробити продукт, який конкуруватиме з приватною розробкою. Над цим точно треба працювати. Очевидно, що найкритичніше програмне забезпечення має розробляти держава.
Зараз команда Держспецзв’язку, наприклад, тестує власний месенджер – «Розмова». Його зробили власними силами програмісти з різних регіонів. Спочатку месенджер перевірять на рівень захищеності, а тоді вирішать, чи будуть його пропонувати військовим.
Месенджери для військових
Українським військовим не рекомендують користуватися соціальними мережами на кшталт WhatsApp чи Telegram. Замість них пропонують швейцарський месенджер Threema, який став популярним два-три роки тому.
Поки що це лише рекомендація, адже складно прослідкувати, хто які додатки скачує, а змушувати військових користуватися іноземною програмою, яка несертифікована в Україні, – не можна, каже Щиголь.
Як змінилася Держспецзв’язку за останні два роки
Коли я прийшов на посаду, то 50% ліцензій на програмне забезпечння, яке використовують для дослідження кібератак, втратили чинність – ніхто не поновлював передплату.
Ми відновили ліцензії, створили кіберцентр, перезапустили команду CERT-UA, яка реагує на кіберінциденти, та створили для них комфортні умови – це головне для айтішників. Також ми налагодили ситуацію із закупівлями. До цього кожен купував різне серверне обладнання, і часто воно не працювало між собою.
Ще одне досягнення – будівництво державного мультиплексу, яке розпочали на початку січня. Він покриватиме телевізійним сигналом понад 90% території України. Зараз за телевізійний сигнал відповідає одна приватна компанія-монополіст – «Зеонбуд». Усі телевізійні канали платять за її послуги 1,5–2 млн грн на місяць. Вона покриває близько 70% території України.
Побудова державного мультиплексу – це питання нацбезпеки. Не може приватна компанія керувати телевізійним сигналом, а потім в один момент його вимкнути. Керувати цим повинна держава.
Як Україна готується до кібервійни
Кібервійна вже триває. Наш сусід не спить і мріє, щоб Україна стала складовою «русского мира». Уже зараз понад 90% кібератак ідуть з Росії. Якщо Росія атакуватиме масштабно, то першими уразить енергетику, логістику, банківську систему.
Усім держорганам, які з нами працюють, ми постійно рекомендуємо оновлювати програмне забезпечення, але все, що ми рекомендуємо, переважно не виконується, а покарання у нас за це нема.
Це проблема і нормативного характеру, і фінансового. В інших органах у айтішників зарплата також невисока. Є класні фахівці, які більш патріотично ставляться до роботи, але не всі.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.