Крупнейший украинский оператор «Киевстар» более чем с 24 млн абонентов приходит в себя после масштабной декабрьской кибератаки. Параллельно Служба безопасности Украины (СБУ) проводит расследование, чтобы установить, как хакеры атаковали компанию, и доказать причастность россиян. О подробностях следствия Forbes рассказал руководитель департамента кибербезопасности СБУ Илья Витюк.
Купуйте річну передплату на шість журналів Forbes Ukraine за ціною чотирьох номерів. Якщо ви цінуєте якість, глибину та силу реального досвіду, ця передплата саме для вас.
Кибератака на «Киевстар» в декабре 2023 года, которую называют крупнейшей атакой на телеком-инфтраструктуру в мире, готовилась заранее. Первые попытки проникнуть в систему хакеры предприняли еще в марте 2023-го, говорит Forbes начальник департамента кибербезопасности СБУ Илья Витюк. Более четкие «отпечатки пальцев» злоумышленников датируются маем.
Хакерам удалось враз погрузить в телеком-блэкаут примерно 24 млн абонентов «Киевстара». Не работали все услуги компании. Параллельно с восстановлением СБУ и другие госорганы нарабатывали решение о перераспределении частот «Киевстара» между двумя другими операторами, рассказывает Витюк.
Пессимистического сценария удалось избежать. После восстановления оператор отменил абонплату на месяц, что обошлось ему в 3,6 млрд грн.
При каких условиях частоты «Киевстара» должны были перейти к двум другим операторам, как международные компании помогли восстановить связь и почему был риск, что восстановление будет длиться неделями?
Интервью с Ильей Витюком сокращено и отредактировано для ясности.
Как произошла кибератака на «Киевстар»
В интервью Reuters вы сказали, что хакеры находились в системе «Киевстара» с мая, но компания это отрицала. Как было на самом деле?
«Киевстар» заявил, что не располагает информацией о том, что у хакеров был доступ к персональным данным абонентов с мая. В интервью я сказал, что в целом хакеры имели доступ к системе. Об этом свидетельствует анализ данных SIEM, хранящий логи и технические данные об аномалиях. Первые зафиксированные попытки проникновения в систему датируются мартом. Однако на данном этапе расследования мы не можем сказать на 100%, что попытка проникновения в марте и привела к проникновению в мае.
Я тогда разговаривал с Комаровым (президент «Киевстара» Александр Комаров. – Forbes). Он объяснил, что это было не опровержение, а не совсем удачная формулировка в их пресс-релизе.
Но пребывание с мая не означает, что у хакеров были самые высокие администраторские доступы?
Инфраструктура «Киевстара» состоит более чем из тысячи виртуальных и сотен физических серверов. IT-сеть отвечает за систему кадров, финансы, почту и т.д. А так называемая OT-сеть – за технологические процессы. Это, условно, две разные системы. Чтобы попасть из одной в другую, нужно пройти определенные уровни защиты. Также есть разные права допуска у пользователей: пользователь, админ, рут (суперадмин). В зависимости от этого вы либо можете, либо не можете совершать те или иные действия. В таких огромных системах, как «Киевстар», хакерам могут понадобиться месяцы, чтобы добраться из одной точки в другую.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.
