Із 2014 року російські хакери постійно атакують Україну, цілячись то у банківську, то у державну, то в енергетичну сфери. Коли у 2017-му українські компанії атакував вірус NotPetya, зупинивши роботу двох десятків банків та частини держорганів, «ми декілька хвилин їхали у темряві, бо не очікували нападу», – розповідає в інтерв’ю Forbes заступник секретаря РНБО Сергій Демедюк. Більше такого не буде, адже Україна, за його словами, вже підготовлена до кібератак. Як?
Amazon інвестує мільярди доларів у ШІ, роботів та машинне навчання. Якими принципами й правилами керується компанія?
Дізнайтеся вже 22 листопада на Forbes Tech 2024. Купуйте квиток за посиланням!
Як кіберзлочинці атакують державні сайти
Під час DDoS-атаки 15 лютого хакери не проникли у державні системи – не викрали дані і не знищили інфраструктуру. Це був класичний напад, мета якого – посіяти паніку серед населення, заблокувавши сайти державних органів і банків.
Для такої атаки хакерам потрібні ботнети – мережі зламаних комп’ютерів чи роутерів. Їх купують або орендують заздалегідь, і зазвичай це дорого коштує.
Є й складніші типи атак, коли хакери проникають у систему. До них зловмисникам треба готуватися більш ретельно: тестувати систему на вразливості, підбирати логіни і паролі до облікових записів адміністраторів чи користувачів.
Щоб отримати логіни і паролі, хакери розсилають фішингові листи та спам зі шкідливим програмним забезпеченням на пошту працівників держорганів, критичної інфраструктури та їхніх родичів.
Перед тим як надіслати фішинговий лист, хакери вивчають жертв – який у них банк, якими послугами користуються найчастіше. Найпоширеніша помилка – це те, що деякі користувачі використовують на роботі й удома однаковий логін і пароль.
Знаючи про це, кіберзлочинець надсилає жертвам підроблені листи, які мають вигляд повідомлень із соціальних мереж чи популярних сайтів. Ці листи містять вірус або посилання на фішинговий сайт.
Розсилка фішингових листів та подальші спроби атаки – процес постійний, але у січні-лютому він зріс приблизно утричі. Серед пріоритетів хакерів – енергетична і фінансова сфери.
Хто атакує та чому
У нас є достатньо доказів, що DDoS на банківську систему України здійснювали хакери, пов’язані зі спецслужбами Російської Федерації.
Росія сказала, що не причетна. Проте вона ніколи не зізнавалася у кіберзлочинах. Навіть коли докази були очевидні.
Саме під дату DDoS, 15 лютого, росіяни створили таку інформаційно-психологічну атмосферу, яка спровокувала паніку у населення. Адже напередодні ЗМІ писали про можливий наступ Росії на Україну 16 лютого.
Хакери скористалися прийомами соціальної інженерії: перед атакою хаотично розіслали смс-повідомлення, що ПриватБанк і Ощадбанк не працюватимуть увечері. Запанікувавши, люди масово почали заходити на сайти банків, посилюючи DDoS.
Чи ефективно реагує держава на кіберзагрози
Часто лунають закиди, що «держава не справляється». Це прикро чути, адже під час останнього нападу держава спрацювала на відмінно, відбивши перші DDoS-атаки потужністю 600–1000 ГБ/c.
Як звинувачення у непрофесіоналізмі чути хлопцям та дівчатам, які цілодобово працюють над виявленням та припиненням атак? Таке ставлення суспільства відлякує спеціалістів від роботи на державу.
Як спрацьовує «червона кнопка» у випадку загрози
Так звана «червона кнопка» спрацювала під час останніх атак – усі сайти державного сектора, зокрема і атаковані, були автоматично від’єднані від мережі.
Такий підхід має й зворотний ефект. Росія вказує на непрацюючі сайти і просуває наратив, що українські державні органи не здатні протистояти атакам.
Відімкнути сайти – це перший і найпростіший етап реагування. Потім викликають фахівців, які усе перевірять і, після усунення ушкоджень чи вразливостей, запустять систему знову.
В Україні у разі бойових дій держава може примусово вимкнути цивільні телекомунікації. У нас є оператори, які у таких випадках перейдуть до роботи у спеціальному режимі і надаватимуть зв’язок військовим і правоохоронцям. Операторів ми назвати не можемо – це закрита інформація.
Правил кібербезпеки дотримуються не всі
У державних органах давно є встановлені правила кібербезпеки. Чому не всі їх дотримуються? Бо у нас немає за це суворої відповідальності.
За всі провали у кібербезпеці відповідає керівник – це неправильно. Керівник може добре організовувати роботу, але не бути фахівцем із кібербезпеки.
Ми хочемо змінити законодавство так, щоб за кібербезпеку відповідала спеціальна фахова особа. Вона буде нести за це відповідальність спільно з керівником, який її найняв.
За порушення правил кібербезпеки може бути адміністративна, дисциплінарна і навіть кримінальна відповідальність.
З іншого боку, кіберзлочинність зростає і завдає великих збитків, водночас відповідальність за хакерські атаки є незначною. До того ж, в Україні відсутня достатня судова практика з притягнення хакерів до відповідальності.
Ми намагаємося через Верховну Раду збільшити відповідальність. Бо цей дисбаланс розв’язує руки злочинцям, адже вони не бояться покарання.
Як можуть атакувати далі
Ми завжди готуємося до найгірших варіантів – до деструктивних атак на енергетичну, фінансову сфери та транспортну інфраструктуру. Люди залежні від цих сфер, тому атаки на них провокують найбільше паніки та саботажу.
Серед характеристик таких атак – ретельна підготовка, викрадення даних та знищення мережевої інфраструктури.
Як ми готуємося до таких атак? Органи, які відповідають за кібербезпеку, працюють цілодобово у Національному координаційному центрі, розташованому у КВЦ «Парковий» у Києві. Вони аналізують кіберінциденти, сканують системи на вразливості та аномальні явища.
Єдине, що ми не можемо гарантувати, – це те, що особи, які мають доступ до цих систем, не вчинять безвідповідальних чи протиправних дій. Спецслужби Російської Федерації постійно намагаються завербувати людей, які можуть відкрити доступ ворогу.
Про ручне управління
Якщо навіть станеться повномасштабна атака на енергетичний сектор, наприклад, – він не перестане працювати. Ми не повністю переходимо у цифру – у нас залишається ручне управління. Це підстраховка для об’єктів критичної інфраструктури.
У 2016 році атаки на електроенергетичні компанії вказали нам на недоліки. Зараз ми намагаємося цього уникнути.
Якими будуть українські кібервійська
Зараз в Україні немає кібервійськ – вони тільки формуються. За кіберзахист у нас відповідає дев’ять органів: СБУ, Держспецзв’язку, Кіберполіція, НБУ, Міністерство цифрової трансформації, Міністерство оборони, Збройні сили та розвідувальні органи.
Кібервійська будуть окремим родом військ. Ми не створюємо нічого нового, ми плануємо зробити перерозподіл уже існуючого складу військ.
Зараз для кібервійськ немає окремого фінансування, підготовки та набору.
Їх важливо мати, адже тоді у спеціаліст, який володіє ІТ-навичками, не піде воювати, копати окопи чи займатися артилерією, а працюватиме за своїм напрямом.
Таким чином відбір проходитиме правильно, а у військових буде належна мотивація.
Маніпуляція викраденими персональними даними
Ми часто чуємо, що після атаки 14 січня у даркнеті почали продавати бази громадян України. Проте під час цієї атаки державний реєстр не постраждав.
Інформацію викрали безпосередньо зі зламаних сайтів. Люди давали цю інформацію добровільно і її було менше, ніж тієї, яку вони публікують про себе у соцмережах чи оформлюючи дисконтну картку в магазинах.
Та інформація, яку нібито продає у мережі користувач FreeCivillian, не є цінністю і загрозою для національної безпеки держави. Це обмежена інформація, яка накопичувалася на сайті за згодою користувачів.
Маніпуляція персональними даними зараз і є способом психологічно-інформаційної атаки на населення.
Власні сервери vs хмарне середовище
Хмарне середовище – це ті ж фізичні сервери, лише за межами країни. Перевага таких серверів у тому, що їх підтримує і захищає спеціалізована компанія. Самостійно підтримувати дорожче і складніше.
Я за те, щоб інформацію зберігати «на хмарах», а краще – на декількох. Головне – навчитися шифрувати ці дані, щоб зберігати їх будь-де.
Це буде в рази дешевше, але до цього треба готувати населення.
Дехто каже: що більш цифровими ми стаємо, то небезпечніше жити. Я вважаю навпаки: цифровізація робить нас більш захищеними і незалежними.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.