Около трех утра 14 января глава Госспецсвязи Юрий Щиголь по тревоге выехал в офис – расследовать кибератаку на правительственные сайты. Его команда отражает хакерские атаки почти каждый день – за прошлый год их было 147, большинство – из России. На этот раз масштабы больше: поразили около 70 правительственных сайтов, а на их страницах оставили послание: «Бойтесь и ждите худшего». Большинство сайтов быстро возобновили работу, а доказательств об утечке данных пока нет, как и результаты расследования. Почему так сложно выяснить, как проникли в систему хакеры, и можно ли было этого избежать
🎬 YouTube-проєкт Forbes Next про майбутніх зірок українського бізнесу. Новий випуск про школу програмування GoIT. Як вона будує мільярдну компанію на світчерах 👉 Дивіться за цим лінком
Офис Госспецсвязи на улице Соломенской в Киеве выглядит как типичное государственное учреждение – вход по пропускам, пустые коридоры с рядами одинаковых дверей и «совковой» мебелью. Все меняется, когда попадаешь на 14-й этаж – в киберцентр UA 30. Он напоминает коворкинг с современными компьютерами, креслами-мешками и кофейными машинами.
Щиголь, 38, получил должность главы Госспецсвязи в июле 2020 года. До этого он 10 лет служил в СБУ. И в офисе, и за его пределами он остается военным – подбирает слова осторожно, а на смартфоне носит антишпионскую пленку, чтобы было труднее подсмотреть.
Ведомство Щиголя выполняет 93 функции, от которых зависит информационная безопасность всей страны, в частности, отвечает за киберзащиту, регулирование телекоммуникаций и электронных услуг. В интервью Forbes Щиголь рассказал, как работает Госспецсвязи, что служба делала в ночь атаки и какие у нее проблемы. Forbes публикует сокращенную и отредактированную для ясности версию интервью.
Как атаковали сайты
Расследование продолжается, но уже известно, что это была комбинированная атака. Она включает три вектора. Первый – supply chain attack, попытка нанести ущерб, используя уязвимые места компании-поставщика или компании, с которой сотрудничает атакуемый орган. Два других – использование уязвимостей систем October CMS и Java Apache Log4j.
Справка
October – это бесплатное программное обеспечение для управления контентом сайта. Log4j – функция, используемая для написания программ на языке Java.
Сейчас Госспецсвязи исследует программное обеспечение WhisperGate, составляющую кибератаки, которую нашла компания Microsoft. Полностью подтвердить эту версию не можем: на некоторых сайтах до сих пор продолжаются DdoS-атаки, не позволяющие получить зашифрованную информацию. Наличие этого вируса сейчас проверяют в каждой системе, потому что хакеры могут активировать его в будущем.
Всего атака поразила более 70 сайтов. Точную цифру скажем по завершении расследования. Не все сайты пострадали непосредственно от атаки – те, у которых разработчиком была компания Kitsoft, отключили по команде Госспецсвязи или СБУ.
Информации об утечке персональных данных или повреждении реестров нет. База данных МТСБУ, в которой хранится информация об «автогражданке» и полисах «Зеленая карта», вышла из строя 14 января, поскольку была поражена система, отображающая данные, а сам реестр не пострадал.
Кто атаковал
Пока что имеем определенные доказательства, указывающие на Россию. Относительно причастности белорусской группировки хакеров прямых подтверждений нет. Одна из версий – атаку организовали хакеры из разных группировок, скоординировавшихся между собой.
Bleeding Bear?
Национальный координационный центр кибербезопасности дал атаке кодовое название Bleeding Bear. Часто киберэксперты дают разным типам атак названия животных, чтобы объединить их по определенным характеристикам.
Название Bear (медведь) получают атаки из России, Panda – из Китая, Crane – из Южной Кореи. Пока причастность российских хакеров к атаке не доказали, но когда это сделают – она получит кодовое имя Bear, говорит Щиголь.
В чем сложность расследования
Для расследования следует собрать терабайты информации и проанализировать их руками. Специалисты работают так: они анализируют каждый файл и выделяют вредоносный код, который позволит подтвердить высказанные предположения о природе атаки. Мы не можем делать заявления без подтверждений.
Почему хакерам удалось использовать давно известную уязвимость
Это вопрос к системным администраторам и людям, которые так относятся к своей работе. Рекомендации им давали СБУ и мы. Но если нет ответственности, значит, можно не делать – такова у них логика.
Так уж устроена система кибербезопасности: атакующая сторона развивается гораздо быстрее, чем та, которая защищается, потому что имеет больше финансовых возможностей для развития, поскольку вкладывает полученные от атак средства в улучшение технологий.
Основное о кибератаке на правительственные сайты
В ночь с 13 на 14 января на украинские правительственные сайты совершили масштабную хакерскую атаку. Она поразила около 70 сайтов, в том числе не работали сайты Минобороны, МИД, ГСЧС, «Дии» и Минобразования.
На сайте МИДа хакеры оставили сообщения с угрозами на украинском, русском и польском языках.
Контент сайтов не пострадал, утечки персональных данных не произошло. Из строя вышла только централизованная база данных МТСБУ – объединения страховщиков, продающих «автогражданку» и полисы «Зеленая карта». На 20 января ее работу возобновили.
Как отреагировали спецслужбы
Первое известие получила команда реагирования на киберинциденты CERT-UA – она работает круглосуточно. Около трех ночи по тревоге военные из шести государственных ведомств, включая Госспецсвязь, СБУ, Киберполицию, Минцифры и СНБО, разъехались по своим офисам в Киеве.
Утром к ним обратились посольства Великобритании и США, а также частные компании типа Microsoft – все предлагали свою помощь. Бизнесы хотят помогать на волонтерской основе, ведь когда страна в опасности, вопрос стоимости никто не ставит. Сначала – нужно помочь защитить страну.
Хотя в Украине много ведомств, отвечающих за информационную безопасность, их все координирует Национальный координационный центр кибербезопасности при СНБО.
Госспецсвязи отвечает за защищенность государственных информационных ресурсов, инфраструктуру, создание резервов государственных реестров. СБУ отвечает за расследование и прекращение деятельности кибертерроризма, защиту критических ресурсов. В сфере ответственности киберполиции – кибермошенничество, нарушение законов о персональных данных.
Как часто государственные компьютеры проверяют на уязвимость
Аудит – это работа, которую мы выполняем каждый день. Единственное, что мы не можем сделать – это баг-баунти. Оно никак не урегулировано в Украине. Напротив, у нас есть статья 361 Уголовного кодекса, криминализирующая этот процесс. Министерство цифровой трансформации в прошлом году делало баг-баунти для «Дии», но они использовали копию приложения, а не ту версию, которой все пользуются.
Одна из наших задач в этом году – изменить закон, позволяющий проводить постоянное национальное баг-баунти. За последнюю неделю к нам обратились многие компании, которые готовы это делать, но сейчас за такую деятельность их будут обвинять в нарушении закона Украины.
Что мешает работе Госспецсвязи
Принимать новые нормативно-правовые акты мешает бюрократия – она значительно замедляет процесс. А внесение изменений в законы – это вообще очень сложная история.
Еще одна проблема – нехватка специалистов и низкая оплата труда. Лейтинант – выпускник Института специальной связи и защиты информации при КПИ получает у нас около 17 000 грн, а сотрудник киберцентра – около 20 000 грн.
Частные компании сразу же предлагают им $1500–2000. В прошлом году в Госспецсвязи подняли зарплату на 30% – такого еще за время ее существования не было.
Устраиваясь на работу, специалисты заключают с Госспецсвязи обязательный контракт на пять лет. Наша задача – удержать их, когда этот срок истечет, а для этого нужна большая зарплата.
Денег на нужды министерства тоже не хватает. В текущем году получили 32% финансирования от своих нужд. Рост есть, но не такой, как хотелось бы. У нас недофинансированы все органы, но помогают доноры, например, организующие тренинги для специалистов.
«Потребность в финансировании Госспецсвязи превышает 10 млрд грн в год. Мы получаем из бюджета около 4 млрд грн. В 2020 году развитие было профинансировано на 12%, в этом – на 28%»,
Юрий Щиголь, интервью Interfax
Нехватка финансирования также не позволяет государственным органам заниматься собственной разработкой – услуги отдают на аутсорс. Государству сложно сделать продукт, конкурирующий с частной разработкой. Над этим точно нужно работать. Очевидно, что критическое программное обеспечение должно разрабатываться государством.
Сейчас команда Госспецсвязи, например, тестирует собственный мессенджер – «Разговор». Его сделали своими силами программисты из разных регионов. Сначала мессенджер проверят на уровень защищенности, потом решат, будут ли его предлагать военным.
Мессенджеры для военных
Украинским военным не рекомендуют пользоваться социальными сетями вроде WhatsApp или Telegram. Вместо них предлагают швейцарский мессенджер Threema, ставший популярным два-три года назад.
Пока это только рекомендация, ведь сложно проследить, кто какие приложения скачивает, а заставлять военных пользоваться несертифицированной в Украине иностранной программой – нельзя, говорит Щиголь.
Как изменилась Госспецсвязи за последние два года
Когда я пришел на должность, то 50% лицензий на программное обеспечение, которое используют для исследования кибератак, утратили силу – никто не возобновлял подписку.
Мы восстановили лицензии, создали киберцентр, перезапустили команду CERT-UA, реагирующую на киберинциденты, и создали для них комфортные условия – это главное для айтишников. Также мы наладили ситуацию с закупками. До этого каждый покупал разное серверное оборудование, и часто оно не работало между собой.
Еще одно достижение – строительство государственного мультиплекса, которое было начато в начале января. Он будет покрывать телевизионным сигналом более 90% территории Украины. Сейчас за телевизионный сигнал отвечает одна частная компания-монополист – «Зеонбуд». Все телевизионные каналы платят за услуги 1,5–2 млн грн в месяц. Она покрывает около 70% территории Украины.
Построение государственного мультиплекса – это вопрос безопасности. Не может частная компания управлять телевизионным сигналом, а потом в один момент его выключить. Управлять этим должно государство.
Как Украина готовится к кибервойне
Кибервойна уже идет. Наш сосед не дремлет и мечтает, чтобы Украина стала составляющей «русского мира». Уже сейчас более 90% кибератак идут из России. Если Россия будет атаковать масштабно, то первыми поразит энергетику, логистику, банковскую систему.
Всем госорганам, которые с нами работают, мы постоянно рекомендуем обновлять программное обеспечение, но все, что рекомендуем, по большей части не выполняется, а наказания у нас за это нет.
Это проблема и нормативного, и финансового характера. В других органах у айтишников зарплата также невысока. Есть классные специалисты, которые патриотично относятся к работе, но не все.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.