За последние семь лет Украина пережила одни из наиболее разрушительных кибератак в мире. В 2015-м и 2016-м годах хакерам впервые в истории удалось отключить электроэнергию, обесточив на короткое время 230 000 домов на Прикарпатье и киевскую подстанцию. В 2017-м NotPetya нанес урон на $10 млрд местным и глобальным компаниям с офисами в Украине. С обострением военной ситуации нарастают и риски в киберпространстве. Под прицелом связь, интернет, электроэнергия, финансы, государственные службы и военные. Может ли Украина справиться с угрозой?
⚡️ Хто, на вашу думку, заслуговує на звання «Підприємець року 2024»? Дізнайтесь більше про кожного з кандидатів та проголосуйте за посиланням. Ваш голос визначить переможця номінації «Вибір аудиторії».
Чувство постоянной угрозы держит в тонусе. «Я могу с легкостью сказать, что Украина вынесла уроки из опыта прошлых атак», – говорит Мэттью Олни, директор Talos, подразделения информационной безопасности американской Cisco. Его сотрудники участвовали в расследовании ключевых кибератак на украинские предприятия за последние шесть лет. Олни говорит, что видит улучшения в мониторинге и работе с угрозами украинских специалистов. «Опыта у них определенно больше, чем у всех», – добавляет он.
Даже у защитников с опытом возникают серьезные сложности. Если в традиционной войне, чтобы взять укрепленный район, атакующим силам нужен численный перевес в разы, то в киберпространстве все наоборот. «Чтобы взломать систему, нужно найти одну уязвимость, одну цепочку атаки. Чтобы защититься, нужно найти и исправить их все. Это сложнее не в три–пять, а сотни тысяч раз», – объясняет Влад Стыран, основатель и СЕО украинской консалтинговой компании в сфере информационной безопасности BSG.
Еще одна проблема киберпротивостояния – экономическая. С одной стороны стоят хакерские группировки с ресурсами государства. С другой – сети и системы отдельных организаций, бюджеты и количество специалистов в которых всегда меньше.
«Наступает момент, когда эта асимметрия настолько реальна, что возникают сомнения, можно ли что-то вообще сделать для защиты», – говорит Олни. Но на стороне атаки – простые люди. Они сперва попробуют найти легкие пути проникнуть в сети, прежде чем взяться за сложные инструменты. Задача защиты – постоянно делать жизнь противника сложнее. «Нужно делать так, чтобы к нам доходили злоумышленники с очень крутым инструментарием, а стоимость их работы постоянно росла», – говорит Стыран.
Насколько сложно российским хакерам сейчас? За последние пять лет ситуация с украинской киберзащитой постоянно улучшается. «Теперь нас взламывают через доверенные контакты поставщиков программного обеспечения. Это уже немного сложнее, чем с ноги открыть двери», – говорит Стыран.
Реальная угроза
За последний месяц украинские госорганы и банки уже пережили две заметные атаки. В ночь с 13-го на 14 января хакеры взломали более 70 правительственных сайтов. Веб-ресурсы Минобороны, МИД, ГСЧС, «Дії» не работали несколько часов. Не пострадал ни контент сайтов, ни данные пользователей, сообщили в Госспецсвязи.
Через месяц, 15 февраля, DDoS-атаке подверглись сайты и приложения банков, сайты Минобороны и других ведомств. На сложности с доступом к приложениям несколько часов жаловались пользователи ПриватБанка, Ощадбанка, monobank, А-Банка и Альфа-Банка. Атака продолжалась около суток, ее стоимость – миллионы долларов, заявил вице-премьер – министр цифровой трансформации Михаил Федоров. «Нет никакой утечки данных, искажения или уничтожения элементов инфраструктуры», – цитирует «Экономическая правда» заместителя главы Госспецсвязи Виктора Жору.
Такие операции используют, скорее, для расшатывания общественного мнения, считает Стыран. Хотя не наносят реального урона, они вызывают реакцию общественности: «Сколько можно? Опять нас взломали?» Это играет на руку врагу. Но такой подход эффективен только для страны, которая не находится в состоянии тотальной войны. При физической угрозе всему населению людей уже не будет тревожить DDoS сайта. «Если Россия будет атаковать масштабно, то первыми поразит энергетику, логистику, банковскую систему», – рассказывал в интервью Forbes глава Госспецсвязи Юрий Щиголь. Есть ли для этого предпосылки?
У традиционной войны обычно есть четкое начало и конец: агрессия, пересечение войсками границы и подписание мирного договора. Война виртуальная продолжается постоянно, а атака начинается задолго до нанесения реального ущерба. «Если вы работаете в организации национальной безопасности одной страны и знаете, что возможен конфликт с другой, вы попытаетесь получить доступ к сетям задолго до атаки. Вы не ждете дня, когда он понадобится», – говорит Мэттью Олни.
Спустя несколько часов после разговора с Forbes его предположение подтвердило издание Washington Post. Со ссылкой на новые американские разведданные журналисты сообщили, что «российские хакеры, вероятно, широко проникли в украинские военные, энергетические и другие критические компьютерные сети». Цель – собирать разведданные и потенциально нарушить работу критических систем, если Россия решит атаковать. Готова ли украинская инфраструктура защититься?
Интернет и мобильная связь
Если начнется эскалация и введут военное положение, контроль над телеком-сетями перейдет к Национальному центру оперативно-технического управления сетями телекоммуникаций. Его создали именно для таких ситуаций на базе Госспецсвязи в 2019 году. Процедуры взаимодействия операторов и госорганов отрабатывали на специальных учениях, сообщили в пресс-службе Vodafone.
Все мобильные операторы имеют распределенные сети. «Гибкая архитектура позволяет в случае необходимости оперативно изменить маршрутизацию трафика через транзитные узлы в других городах Украины», – пояснили в пресс-службе «Киевстар». Такой подход дает возможность сохранить работу сети и возобновлять связь, даже если отделение объекта повредят. «При необходимости оператор сможет использовать резервное оборудование и каналы передачи данных», – добавляют в lifecell.
Возможно ли полностью отрезать Украину от интернета? «Крайне маловероятно», – считает Александр Савчук, СЕО Atracom. Его компания с начала 2000-х проложила более 20 000 км волоконно-оптических линий для телеком-операторов.
У «большой тройки» операторов есть подразделения информационной безопасности, которые постоянно отслеживают угрозы, и специальные политики. В Vodafone сообщили, что в связи с текущей ситуацией дополнительно проверяли сеть на уязвимости и риски, закупили оборудование для киберзащиты и провели тренинги среди сотрудников. «Телекомы стабильно показывают, что для своих задач у них есть необходимые компетенции, контракты и поставщики», – считает Влад Стыран.
О готовности заверяют и крупнейшие интернет-провайдеры. В Укртелекоме работает оперативный штаб для работы в критических ситуациях, а информационную безопасность постоянно анализирует Security Operations Center, рассказывает директор по корпоративным коммуникациям Михаил Шуранов.
«У нас есть протоколы с фокусом на том, чтобы при худшем сценарии развития событий максимально обеспечить жизнеспособность и работу сети», – говорит Михаил Шелемба, СЕО Datagroup. Он считает, что вероятность вторжения небольшая и повышения активности кибератак в компании не наблюдали. «При этом мы не имеем права быть неготовыми», – добавляет Шелемба.
Возможно ли полностью отрезать Украину от интернета? «Крайне маловероятно», – считает Александр Савчук, СЕО Atracom. Его компания с начала 2000-х проложила более 20 000 км волоконно-оптических линий для телеком-операторов. «Переходов, по которым Украина соединена с международным сегментом, очень много. И большинство каналов имеют резервирование: двух-, трех-, а иногда и четырехкратное. Есть и спутниковые каналы», – поясняет он. Худший реальный сценарий – пропускная способность сети упадет и не получится смотреть видео онлайн, но мессенджеры должны остаться рабочими.
Энергетика
Украинская энергосистема уже подвергалась двум уникальным атакам. Зимой 2015-го и 2016 года хакерам удалось впервые в истории отключить электричество. Сперва без света на часы остались 230 000 жителей Прикарпатья. Через год атака отключила подстанцию недалеко от Киева.
Мэттью Олни, который участвовал в расследовании обоих инцидентов, считает, что с тех пор компании сделали выводы. «За три-четыре поездки в Киев я разговаривал с разными людьми. Все они понимали масштаб проблемы и ответственность. От того, как они делают свою работу, зависят реальные люди», – рассказывает директор Cisco Talos.
В Forbes направили запросы крупнейшие энергогенерирующие компании – НАК «Энергоатом» и ДТЭК. Их представители назвали кибербезопасность чувствительным вопросом и рассказывать конкретику отказались. Ранее Максим Ткаченко, генеральный директор холдинга ДТЭК, говорил LIGA.net, что компания «в разы увеличила внимание к вопросам кибербезопасности». Директор по информационным технологиям «Энергоатома» Дмитрий Вербовский сообщил лишь, что в компании есть подразделение по кибербезопасности, необходимые протоколы и процедуры, которые полностью справляются с текущим уровнем угрозы.
Означает ли это, что в случае эскалации конфликта взломов удастся избежать? «Кибербезопасность на объектах критической инфраструктуры никогда и нигде не будет готова к целевым атакам. Если задать этот вопрос в США или Израиле, ответ будет таким же», – говорит Влад Стыран. Если инциденты произойдут, обвинять жертву в них нет смысла, считает он. Если бы жертва была готова немного лучше, атакующий пришел бы с другим инструментарием.
С технической точки зрения защитные механизмы, которые могли развернуть к этому моменту, развернули, считает Мэттью Олни. «Теперь это игра людей», – говорит он. Украинским специалистам остается агрессивно прочесывать сети в поисках активности противника. «Если они фрустрированы и не могут ничего найти, то нужно продолжать охотиться снова и снова. Сети нужно сделать очень недружелюбным местом для противника», – говорит Олни.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.
