Утром 12 декабря хакеры атаковали «сердце» крупнейшего в Украине оператора «Киевстар» – ядро сети, отвечающего за обработку трафика между пользователями и сервисами. Чтобы уменьшить масштаб уничтоженных данных, компания физически отключила связь. В блиц-интервью Forbes президент компании Александр Комаров рассказал о деталях хакерской атаки и о том, когда может появиться мобильная связь.
Велика війна пришвидшила вихід жінок на лідерські ролі. Вже 15 травня на форумі «Вільна» Forbes пропонує подивитися на це явище крізь нову, чітку оптику. Спікерки та спікери з Superhumans, Google, ENKO, McDonald’s, G. Bar та інших. Купуйте квитки за посиланням.
Более 12 часов мобильная сеть, сайт и приложение крупнейшего в Украине оператора «Киевстар» не работают из-за хакерской атаки. По состоянию на 20:00 12 декабря «Киевстар» частично возобновил работу услуг фиксированной связи. Окончательно эту работу планируется завершить 13 декабря.
Однако 24 млн абонентов все еще остаются без мобильной связи. «Базовый сценарий, что мы завтра начнем восстанавливать этот сервис», – говорит Forbes президент компании Александр Комаров.
Почему возобновление мобильной связи не произойдет мгновенно, какая кибератака была осуществлена на компанию и как международные компании помогают возобновить работу – в блиц-интервью Александра Комарова.
Можете воспроизвести хронологию этого утра?
В 5:26 началось нетипичное поведение сети. Все наши фокусы были направлены на восстановление сети, начавшей работать с большими перебоями. Все это создало огромное количество аномалий в этих системах. Мы были сфокусированы на этом, потому что нам казалось, что эта проблема была либо на коммутационной системе, либо на транспортной сети.
В 6:30 утра пришло понимание, что это сверхмощная хакерская атака на ядро сети и инфраструктуру. И все эти шаги, которые начались в пять утра, были больше отвлекающими, чем направленными на то, чтобы действительно положить радиосеть компании.
Ядро сети состоит из нескольких элементов: виртуальная сеть, работающая над физической сетью, а также IT-инфраструктура. И началось каскадное падение огромного количества частей данной инфраструктуры.
Хакеры начали шифровать жесткие диски, и поэтому все начало сыпаться?
Нет, это не соответствует действительности.
Какие были аномалии?
Если все упростить, то клиентские базы данных не отвечали на запрос сети о профиле клиента и о его услугах. И услуги стали автоматически отключаться.
Это был вирус?
У нас есть версии, но это предмет расследования правоохранительных органов. Есть базовые версии, которые мы прорабатываем. Они важны, чтобы в процессе восстановления не допустить такого инцидента.
Чтобы столь сильно повредить сеть, безусловно, должны были быть определенные движения внутри сети. Так или иначе, но периметр был нарушен.
Почему вы «выключили все из розетки»?
Решение принималось в реальном времени. Когда вы понимаете, что у вас незакрытый периметр компании и вам нужно его закрыть, потому что каждая минута – это еще больше разрушений. Это было необходимо сделать, чтобы уменьшить влияние, но оно и так было и есть достаточно большим.
Остались ли у хакеров какие-нибудь данные?
У нас нет подтверждений, что какие-либо данные они получили. Мы не видели никакого атипичного поведения трафика. Наша базовая версия, что цель – разрушение инфраструктуры, положить критичную инфраструктуру страны. Возможно, для того, чтобы осквернить визит президента в США, добавить что-то к энергетическим блэкаутам, повлиять на моральный дух украинцев через другие рычаги.
Мы на войне. Я понимаю, что реальный фронт проходит в Запорожской, Донецкой, Харьковской и Херсонской областях. Но так или иначе страна находится в военном положении. Мы под прессингом киберугроз, начиная с 2014 года. Это не первая попытка пробить периметр телеком-оператора страны, но, к сожалению, эта попытка успешна.
Какая уязвимость была?
Я это не стану комментировать. Есть несколько описанных типов уязвимостей. Вы можете не выдержать DDoS атаку, но это была не она. А дальше у вас есть типичные проблемы, которые не уникальны ни для «Киевстара», ни для любой другой компании – это скомпрометированная система, платформа, учетная запись или программное обеспечение. И это самый большой уровень угроз, потому что система многоуровневая. Она учитывает, что работают подрядчики, некоторые отдаленно. Все стандарты защиты выполнялись, но время от времени такие напасти случаются.
Установили ли вы, из какой страны происходила атака?
Мы этого не комментируем.
Getty Images
Какой максимальный срок, когда связь может появиться?
Это самый трудный вопрос сегодня, так как я не хочу этим спекулировать. У нас есть несколько сценариев. Базовый и он оптимистичный, что начнем восстанавливать сервисы клиентов. Мы уже частично восстановили фиксированный интернет для нашей базы Интернета для дома. Шаг за шагом, в ближайшее время возобновим сервисы всей клиентской базы фиксированного интернета.
С мобильными услугами немного тяжелее. Базовый сценарий – я надеюсь, что мы завтра начнем восстанавливать этот сервис. Но есть очень большой уровень неопределенности. Вы восстанавливаете работоспособность какой-то системы, и у вас начинают вылезать новые проблемы. Тогда вам нужно проверить всю эту систему, чтобы в ней не осталось вражеского софта или условных бэкдоров, оставленных этой атакой, после которой есть незащищенный периметр.
Это сложный итерационный процесс. С одной стороны, мы восстанавливаемся, с другой – ограничены ресурсом, потому что любые подключения к сети производят не автоматически, а вручную из-за соответствующей проверки. Потому я очень надеюсь, что завтра мы начнем восстанавливать сервис, но не могу этого гарантировать.
Во сколько компании обойдется восстановление?
Мы не подсчитывали и ничего подсчитывать пока не будем. Команда должна быть сфокусирована на восстановлении. Нам нужно восстановить сервис. Если бы сейчас сказали, что это будет стоить $100 млн, но каким-то образом все это заработает прям за одну минуту, то мы бы на это пошли. Мы предоставляем критичные сервисы для украинцев, потому это другой счет. Он находится в совершенно иной плоскости. Это не о деньгах.
Какова реакция других операторов и вашей материнской компании Veon?
С другими операторами мы не общались. Уведомили наблюдательный совет. И Veon как владелец «Киевстара» и публичная компания сделала соответствующие заявления. Она задекларировала, что «Киевстар» находится под действием масштабной хакерской атаки. На самом деле это самая большая хакерская атака на телеком-инфраструктуру в мире. Удачных атак такого масштаба не было. И, будем откровенны, не так много стран, на которые напала Россия.
Как госорганы помогают вам в восстановлении?
Это работа команды. Есть два направления. Расследование, где они работают со своими процедурами, а также команда СБУ, занимающаяся кибербезопасностью, Госспецсвязи, CERT-UA. У каждого есть экспертиза и наработки в определенном направлении.
Очень много мы сотрудничаем с Microsoft, Cisco, Ericsson. На самом деле, это глобальная команда, которая вовлечена в решение этого кейса.
Как они вам помогают?
У каждого своя компетенция. Ericsson вовлечена в восстановление инфраструктуры. Microsoft является экспертом в расследовании, потому что нам нужно понять первоисточник проблемы. Cisco – это один из наших самых больших поставщиков систем киберзащиты. Чтобы поднять этот периметр и защитить, нам помогает Сisco как наш самый большой провайдер услуг.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.
