Спецпроект
Полигон Украина:
Цифровая война на пороге
Теперь любые выборы в любой стране мира могут стать мишенью для кибератак. А в следующем декабре хакеры снова отключат свет в одном из регионов Украины
После того как Офис директора национальной разведки США рассекретил доклад «Об оценке активности России и ее намерениях вовремя недавних американских выборов» и раскрыл весь масштаб хакерской угрозы, мировое сообщество явно занервничало. Ведь на исход предвыборных кампаний кандидатов в президенты сверхдержавы (а значит и любой другой страны) теперь могут влиять не только теледебаты и грамотная агитация, но и что-то новое, темное и не изученное. Непредсказуемая цифровая сила, которой, как оказалось, можно легко управлять из-за океана.
Мировая политика 2.0
Как говорится в докладе, российские спецслужбы во время президентских выборов 2016 года проводили операции по кибершпионажу за двумя политическими партиями –республиканцами и демократами. «Мы оцениваем, что российские спецслужбы собирали данные о первичных кампаниях в США, мозговых центрах и лоббистских группах, которые, по их мнению, скорее всего, сформируют будущую политику США. В июле 2015 года разведка России получила доступ к сетям Национального комитета Демократической партии и сохраняла его, по крайней мере, до июня 2016 года», - говорится в отчете.
Российские хакеры целый год «сидели» в сетях демократов! Новоиспеченный президент США республиканец Дональд Трамп сначала написал у себя в Twitter, что Нацкомитет демократов дескать пострадал из-за собственной «грубой небрежности». Но чуть позже ему ничего не оставалось, как только признать общую угрозу. "Относительно хакерских атак, я думаю, это была Россия», - сказал он нехотя во время январской пресс-конференции в Нью-Йорке. Но тут же добавил, что атаки совершают не только россияне. «Но еще мне кажется, что мы были взломаны другими государствами, другими людьми… Вероятно, это был Китай», - подчеркнул он.
Ситуация со взломами и вмешательство хакеров в президентскую кампанию наиболее влиятельной в мире державы озадачила государства поменьше. «Мы думаем, что Москва будет применять уроки, извлеченные из заказанной Путиным кампании, направленной на президентские выборы США, в будущих попытках по установлению влияния по всему миру, в том числе против американских союзников и их избирательных процессов», - говорится в отчете американских разведчиков.

В Германии осенью 2017 года назначены выборы в Бундестаг. И руководство страны начинает усиленно готовиться к киберугрозам, начиная от кражи данных и вплоть до возможного саботажа государственных институтов и электростанций. Бундесвер собирается к середине года усилить кибероборону, будет укомплектовано отдельное подразделение общей численностью 13 500 человек. И опасаться немцам есть чего. Ведь в 2015 году Бундестаг уже терял большое количество данных в ходе атаки хакерской группы APT 28. Немецкая разведка подозревает Россию в управлении этой группой.

Великобритания тоже насторожилась. Ее парламент в ноябре одобрил пятилетнюю стратегию кибербезопасности с бюджетом более $2,3 млрд. В США выделяют на защиту государства от хакеров больше всего ресурсов. В частности из федерального бюджета 2017 года предполагается потратить $19 млрд на эти нужды. Коммерческие американские компании тратят на информбезопасность еще больше. Только затраты в банковской и финансовой сферах на протяжении 2016-2020 гг составят $68 млрд.

А у нас пока тишина
На фоне глобальной мировой обеспокоенности поведение Украины по отношению к киберугрозам выглядит беспечно. В стране пока не сформирована четкая организационная структура госорганов по отражению хакерских ударов. Есть только утвержденная президентом Петром Порошенко весной 2016 года киберстратегия. Большинство ее пунктов пока находятся только на бумаге или носят декларативный характер. Но это совсем не говорит о том, что нам ничего не угрожает и можно особо не торопиться с принятием предупреждающих мер. Хакерам уже удалось атаковать в Украине десятки объектов критической инфраструктуры.

Все началось с того, что в мае 2014 года они чуть было не сорвали процесс подведения итогов президентских выборов. Ночью были атакованы сервера ЦИК с целью удаления данных о ходе избирательного процесса. Чудом потери данных удалось избежать. Этот эпизод не стал для Украины поучительным уроком. В конце 2015 и 2016 годов злоумышленники провели несколько декабрьских операций, в ходе которых в некоторых регионах страны отключалось электричество у тысяч потребителей, выходили из строя электронные системы Укрзализныци, на грани уничтожения оказывались данные Госказначейства непосредственно перед планированием соцвыплат и пенсий.
ИТ-эксперты признают, что кибератаки на Украину уже стали частью гибридной войны.
В Украине они уже перешли в разряд Cyber Warfare - систематических военных действий. И это очень мощное оружие, - ИТ-бизнесмен и акционер телеком-компании Датагруп Александр Кардаков
Часть отраслей являются ИТ-зависимыми. То есть они не могут работать без информационных систем. «Разрушение ИТ-системы сродни сбрасыванию нейтронной бомбы, которая уничтожает все живое. Инфраструктура вроде бы цела, а пользоваться ей невозможно», - подчеркивает Александр Кардаков.

Украина – большой полигон для кибервойны. «Страна используется международными хакерскими группировками для тестирования и отладки новых средств, которые потом будут использованы против западных компаний и иностранных государств», - подчеркивает президент киевского отделения международной организации по информбезопасности ISACA Алексей Янковский. Основной угрозой для Украины являются российские группировки.
Насколько мне известно, последние атаки не привели к хищениям средств. Таким образом, их целью был саботаж, дискредитация госорганов, демонстрация силы. То есть вполне логично предположить, что за ними стоит Россия, - один из экспертов на рынке ИТ-безопасности
Госспецсвязи не на связи
Кто отвечает за безопасность информационных систем государства? Одним из основных органов в этой сфере можно назвать Госслужбу специальной связи и защиты информации (Госспецсвязи). Но она вряд ли может претендовать на функцию центрального органа. По одной простой причине – полномочий по информбезопасности у нее крайне мало. «Госспецсвязи в нашей стране выполняет только контролирующую роль. Этот орган исторически отвечает за создание нормативной базы по технической защите информации и за контроль выполнения этих нормативов», - говорит R&D директор компании ИТ-Интегратор Владимир Кург.
Несмотря на то, что в соответствии с новой Военной доктриной Украины, принятой в конце 2015 года, Госспецссвязи должна обеспечивать киберзащиту объектов критической инфраструктуры страны, мне неизвестны какие-либо ее действия в этой сфере, - R&D директор компании ИТ-Интегратор Владимир Кург
«Этот орган формально не занимается непосредственно защитой вычислительных систем государственных структур», - соглашается техдиректор Zillya! Антивирус Олег Сыч. Субъективное мнение Курга: в настоящее время Госспецсвязи способна только что-то потребовать от владельцев информационных систем (создание и аттестацию КСЗИ, например). Но предложить ей нечего. При этом орган не способен как в США, например, предложить типовые системы защиты и отражения кибератак, предоставить компенсацию части затрат на защиту.

В структуру Госспецсвязи входит созданный в 2007 году специальный центр реагирования на компьютерные инциденты CERT-UA, где работает около десяти офицеров. Его первоочередная задача – мониторинг и своевременное информирование госструктур об атаках. Подобные органы реагирования есть в каждой стране. Например, CERT.pl в Польше.

Особенностью нашего центра последних лет является «скрытность». О деятельности органа практически ничего не было слышно за последние полтора года. «Наш «тихий CERT» - это полное противоречие выполнению его прямых обязанностей по распространению информации об угрозах, инцидентах и методах их ликвидации. Не бывает в мире таких CERT», - подчеркивает Кург.

CERT-UA и Госспецсвязи запрос liga.net проигнорировали.
Кто еще на страже
1
Помимо Госспецсвязи, вопросами государственной кибербезопасности занимается также и СБУ. В частности, эксперты службы занимаются «разбором полетов» после проведения кибератак на объекты критической инфраструктуры. Как рассказал недавно в интервью Liga.net начальник профильного направления СБУ, отдельная команда, которая занимается непосредственно кибербезопасностью, создана в ведомстве совсем недавно – лишь весной прошлого года. Личный состав этого подразделения тоже скромный. «Если говорить о примерно похожих странах (Турция, Франция), в них в разы больше сотрудников», - подчеркивает собеседник. Как говорит Александр Кардаков, пока роль СБУ при анализе кибератак схожа с работой патологоанатома – нужно установить причину смерти. «Но не предотвратить смерть, выписав заранее лекарства», - подчеркивает он.
2
В украинских Вооруженных силах официальных киберподразделений нет. Некоторые из их функций так или иначе выполняют войска РЭБ и Главное управление разведки. «В текущей версии Военной доктрины Украины в формально мирное время какие-либо действия в киберпространстве за пределами нашей территории (допустим, ответные действия на кибератакаки) не легализованы», - добавляет Владимир Кург. То есть, если бы даже военные хотели нанести ответный киберудар, то по закону они не имеют права этого делать.
3
В Украине есть еще специальная Киберполиция (при Нацполиции), в которой даже существует порядка сорока хорошо обученных спецагентов (которых глава этого департамента Сергей Демедюк называет «белыми хакерами»). Но этот орган занимается расследованием криминальных преступлений в компьютерной сфере. Например, борется с интернет-пиратами, такими как файлообменники EX.ua. И имеет мало отношения к противостоянию хакерским ударам.
Шаг первый. И сразу споткнулись
Согласно киберстратегии президента, в прошлом году наконец-то должен был появиться орган при СНБО, который сможет координировать киберзащиту. «Структура де-юре создана, но де-факто только вырисовывается», - говорит представитель СБУ. Специалист признает, что работа координационного центра слишком уж долго налаживается. Отчасти причину объясняет экс-глава Госспецсвязи Владимир Зверев:
У секретаря Совбеза (Александра Турчинова) есть тысяча дел, которые не позволяют решать текущие проблемы киберберзопасности. Чисто физически. Без обид, - экс-руководитель Госспецсвязи Владимир Зверев
Владимир Кург как будто продолжает мысль Зверева: «Возможно, есть смысл создания в Украине отдельного бюро по кибербезопасности. В Эстонии аналогичный орган работает при Минэкономики. А не при президенте или СНБО, заметьте. Почему? Очень четкая мотивация: так как речь идет о защите гражданской инфраструктуры – основы экономики». И правда. Ведь сейчас атакуются в основном предприятия, играющие важную роль в экономике страны – облэнерго, финсистемы, транспорт.

Также по мнению Курга, В Украине должно появиться несколько центров кибербезопасности (минимум два – в секторе обороны и в гражданском секторе), которые занимаются анализом, методологией защиты, аудитом атак, информированием и отражением кибератак. "Они должны не только требовать от объектов критической инфраструктуры выполнения норм безопасности, но и помогать ее выстраивать", - добавляет эксперт.

Украинский киберщит остается неэффективным, главным образом еще и потому, что госведомства не могут конкурировать с частными структурами за ценных специалистов в сфере информационной безопасности.
У нас все субъекты обеспечения кибербезопасности брошены на произвол судьбы. Как вы думаете, если в СБУ, Госспецсвязи «киберзащитнику» платят 100-300 долларов, то кто не справляется со своими задачами? - СЕО частного центра реагирования на киберугрозы CyS Centrum Николай Коваль. (В свое время он ушел из CERT-UA Госспецсвязи, так как, видимо, не видел для себя продолжения карьеры в этом органе).
Спасение утопающих
Пока государство никак не может мобилизовать усилия, чтобы всерьез заняться кибербезопасностью, частные структуры тушат пожар "по знакомству". "В большинстве случаев после атак на ИТ-системы наши организации и предприятия, чтобы восстановить работоспособность, «выезжали на частных связях и личных договоренностях», - рассказывает Александр Кардаков.

Часто на волонтерских условиях они помогают восстанавливать критически важные для государства данные. «В ряде организаций, например, мы восстанавливали данные. Как мы обнаружили, хранение резервных копий критической информации в наших госорганах и объектах инфраструктуры часто организовано на одних и тех же площадках. То есть мишенью атаки сейчас часто являются не только основные массивы данных, но и сразу резервные. Или используется резервное хранение в облаке, подключенному онлайн к основным серверам», - рассказывает Владимир Кург из ИТ-Интегратора.

Как добавляет Алексей Янковский, сейчас крайне важно проведение детального аудита ключевых ИТ-систем государства. Насколько ему известно, сети многих госорганов, которые были атакованы, так и не были вычищены от внедренного извне кода. И хакеры все еще присутствуют в них. Ждут своего часа.

Хакеры: черные и белые
Сдвинулись с мертвой точки
Но есть и первые проблески света в украинской системе кибербезопасности. Пожалуй, самая главная хорошая новость, это появление первых отраслевых CERT. "Экосистема CERT –очень важна. Ведь угрозы и риски зачастую специфические в каждой сфере и отрасли, будь то военные риски, экономические или финансовые, будь то системы транспорта, телекоммуникаций или энергетики. Поэтому международная практика предполагает наличие в стране нескольких отраслевых CERT", - подчеркивает Владимир Кург.

Согласно стратегии кибербезопасности президента, отдельный центр реагирования на киберугрозы должен появиться в Нацбанке. Как сообщили в пресс-службе финансового регулятора, в 2017 году по созданию собственного Центра реагирования на инциденты кибербезопасности запланирован ряд мероприятий.

Что-то похожее на CERT будут создавать и в Укрзализныце. "Среди запланированных мероприятий - создание централизованной системы антивирусной защиты, внедрение зонтичной системы мониторинга, внедрение дополнительных средств защиты информсистем по международным стандартам", - уточнили в пресс-службе предприятия. Очевидно, продолжат появляться и частные центры реагирования на киберугрозы.
Я могу сказать, что в рамках моей стратегии есть участие в создании частного CERT. Он появится, но, разумеется, не за один день. Отдельные элементы и экспертиза уже есть в разных компаниях, где я являюсь специалистом и акционером. Осталось только собрать все воедино, - Александр Кардаков
Самое важное, по его мнению, чтобы сейчас у общества создалось понимание: за безопасность надо платить. "Ты же не нанимаешь пожарного в день и час пожара. Правильная пожарная служба должна рекомендовать тебе как владельцу снизить риски возгорания", - подчеркивает он.

Стоит также отметить, что практически все опрошенные редакцией госведомства (Укрпошта, Укрзализныця, НБУ, телевизионный концерн) стараются по мере возможности выполнять хотя бы те нынешние рекомендации CERT-UA, которые изредка, но все таки появляются на страничке Госспецсвязи. В начале января ведомство посоветовало госструктурам запретить для своих сотрудников использовать частную электронную почту в рабочих целях, организовать VPN для всех рабочих контактов вне предприятия, а также запретить сотрудникам открывать подозрительные письма.
Появились первые "копейки"
Еще одна позитивная тенденция: на обновления ПО и железа, на консалтинговые услуги по киберзащите государство наконец-то начало выделять хоть какие-то средства. Разумеется, это не миллиарды долларов, как в США и Великобритании.

В декабре, как известно, рекордные 80 млн грн на обновления после сильных кибератак получили Минфин и Госказначейство (правда, как утверждают осведомленные источники редакции, один из этих органов в очередной раз потратил средства на банальную закупку железа. Как сообщил первый заместитель Концерна РРТ Александр Богданов, на улучшение системы кибербезопасности предприятия в 2017 году запланировано около 400 000 грн. В Укрзализныце тоже сообщили, что сейчас занимаются перепланированием бюджета, чтобы получить максимальную отдачу в 2017 году от финансирования кибербезопасности.

Владимир Кург считает, что защита ИТ-систем госстектора должна осуществляться также и в рамках бюджетных программ.
В Германии система финансирования кибербезопасности работает через специальный трастовый фонд. Затраты на обеспечение кибербезопасности разделяются между государством и частными объектами критической инфраструктуры. Но объект получает деньги лишь в том случае, если после аудита окажется, что он уделяет достаточно внимания кибербезопасности и способен эффективно использовать госсредства, - Владимир Кург, ИТ-Интегратор
Деньги на новое железо и ПО начинают появляться и у ведомств, ответственных за кибербезопасность в государстве. По словам представителя СБУ Максима Максимова, его ведомство получает финансирование в размере примерно 1 млн евро от трастового фонда Украина - НАТО по вопросам кибербезопасности.
Это долгосрочный проект, который мы планируем развивать совместно с Госспецсвязи. Но на первом этапе он предполагает разворачивание только двух ситуационных центров, работающих в тандеме. В дальнейшем будут финансироваться и подключаться аналогичные центры Национальной полиции и Минобороны, - Максим Максимов, СБУ
Нужен ли нам свой Microsoft
Еще один немаловажный вопрос, о котором уже давно никто не вспоминал в публичной плоскости: нужно ли Украине разрабатывать свой софт для государства: операционную систему, антивирус, электронную почту? Ведь от большого количество российского софта: антивирусов Касперского и Dr. Web, почты Mail.ru стране пришлось отказаться в целях безопасности.

Александр Кардаков считает, что создание собственной государственной ОС и email-сервиса - это, как показывает мировой опыт, идея хорошая и правильная. "Главное, не перестараться и снова не распилить деньги", - добавляет представитель компании-разработчика ПО, пожелавший остаться не названным. Нужен более системный подход. Например, в США Агентство Национальной Безопасности взяло за основу дистрибутив Linux, проверило исходный код, добавило многоуровневые средства защиты под названием Security-enhanced Linux (SELinux) и теперь бесплатно раздает эту ОС госорганам, военным и частному сектору. Это не разработка с нуля, а доработка ОС и контроль ее систем безопасности.

"В Украине тоже можно, я думаю, за основу взять SELinux. Но оценить при этом допустимый размер рисков информбезопасности (встроенные бэкдоры со стороны США). Что серьезнее: потеря данных Госказначейства за месяц, или то, что в АНБ вдруг кто-то сможет увидеть эти платежи?", - подчеркивает он.

Вопрос с обновлением ПО стоит в стране действительно остро. По информации Кардакова, в государстве до сих пор существует парк в тысячи компьютеров, работающих на нелегальном Windows XP, обновления по безопасности для которой уже давно не выходили. "Для хакеров и вредоносного кода это идеальная среда. И мы – идеальная мишень", - говорит эксперт.

Чего ждать в 2017-ом
Для того чтобы подготовиться к следующей серии кибератак, у Украины осталось не так то и много времени - около 10-ти месяцев. Большинство опрошенных редакцией собеседников сходятся во мнении: следующий декабрь будет еще жарче предыдущего. Хакеры при планировании атак также учитывают периоды максимальной нагрузки на инфраструктуру: пики транспортных перевозок, энергопортебления. Идеальное время для атаки: несколько недель перед зимними праздниками.
Скорее всего украинские государственные органы и инфраструктурные объекты в 2017 году ждет не одна и не десять кибератак, а значительно больше, - техдиректор Zillya! Олег Сыч
Первое проникновение в систему происходит летом, когда все в отпусках. А потом к Новому году хакеры готовятся, чтобы что-то разрушить. Тем более, что все важные бюджетные и финансовые процессы в Госказначействе и Минфине обычно проходят в конце года. "Тактика такая же, как и у террористов. Они совершают теракты в зоне максимального скопления людей", - резюмирует Кардаков.
ПАРТНЕР ПРОЕКТА
Текст: Стас Юрасов Графика: Юрий Давыдов
© 2017 Все права защищены. Информационное агентство ЛІГАБізнесІнформ
Made on
Tilda