Кибербезопасность Украины – системного понимания угрозы всё ещё нет

В современной войне необязательно запускать ракеты, чтобы парализовать работу всего государства. Мир переживает расцвет киберпреступности, где хакерами выступают сами государства. В Украине системного понимания этой угрозы всё ещё нет. Но это длится ровно до того момента, пока не происходит катастрофа. В лучшем случае банальная компьютерная безграмотность оборачивается потерей нескольких сот гривен с банковской карточки, в худшем — расплачиваться придётся человеческими жизнями.

 Угроза-невидимка

В ночь с 17 на 18 декабря прошлого года Святошин, Оболонь, Виноградарь и ещё несколько районов столицы на час провалились в кромешную тьму. По старинке киевляне тотчас принялись ругать ленивых чиновников и ветхую инфраструктуру, но оказалось, что причина аварии —  хакерская атака. Дело в том, что электрическую подстанцию "Северная", на которой произошёл сбой, несколько лет назад реконструировали, установив новую автоматизированную систему управления, и теперь она уязвима для кибератак.

Серьёзного ущерба из-за проделок злоумышленников город не понёс — система наравне с автоматикой всё ещё имеет ручной режим управления. Так что свет включили с помощью ручных рубильников. Да и хакерская атака, согласно выводам специалистов, носила скорее демонстративный характер, больше напоминая тестирование кибероружия. В полную мощность его не использовали.

Это был не первый случай, когда украинская энергосистема подвергалась координированным компьютерным атакам. За год до этого хакеры удалённо захватили управление несколькими подстанциями в Ивано-Франковской области. Тогда без света остались более 200 тыс. человек. Специалисты, изучавшие оба происшествия, заявляют, что всему виной вредоносная программа Black Energy, рассылка которой началась ещё в мае 2014 года. Гарантий, что подобное не повторится, никто не даёт: ни государство, ни компании, управляющие стратегическими объектами, вкладывать деньги в защиту от хакеров не спешат.

Взорвать чайник

Инфраструктура — не единственная жертва киберпреступников. Всё чаще профессиональные хакеры, работающие под началом спецслужб, вмешиваются в политическую жизнь. Чего стоит последняя президентская избирательная кампания в США. Взломы почтовых ящиков кандидата в президенты Хиллари Клинтон сопровождались атаками на серверы Национального комитета Демократической партии США. Американские спецслужбы обвинили в этом группировки российских хакеров, работающих на ФСБ.

Последние президентские выборы в Украине также не обошлись без киберскандала. В день голосования на сайт Центральной избирательной комиссии обрушилась мощнейшая Ddos-атака. Сайт выстоял чудом. Не в последнюю очередь благодаря тому, что его копии загодя разместили на других серверах. В профессиональном компьютерном сообществе их называют "зеркалами". Напоследок хакеры пытались перенаправить электронные протоколы нескольких избиркомов на другие электронные адреса, из-за чего документы могли затеряться. Специалисты Госспецсвязи, ЦИК и "Укртелекома" решили и эту проблему.

В отличие от госструктур, обычным гражданам отбиться от кибератак намного сложнее, ведь хакерские ловушки подстерегают их повсеместно. Это и всевозможные компьютерные вирусы, зашифровывающие личные файлы пользователей, и мошенники-кардеры, ворующие данные платёжных карт и выводящие деньги со счетов. Более того, с распространением системы "умный дом", где большинство бытовых приборов управляется через интернет, количество угроз растёт в геометрической прогрессии.

"Раньше был чайник, который нагревал воду, но вдруг он стал smart — им можно управлять со смартфона. Что, если его кто-то атакует, чтобы вода выкипела и произошёл пожар? — говорит Роман Сологуб, директор компании ISSP. — Это уже угрозы в совершенно новой среде. Киберпространство — не замкнутая сеть. Люди в нём живут, соответственно, оно обладает теми же рисками, что и обычное пространство".

Поиск ответственных

Защитой в сфере IT в Украине занимаются несколько служб — Госспецсвязь, СБУ, Киберполиция и Министерство обороны. Единого органа пока нет. При СНБО действует Координационный совет по кибербезопасности, но его предложения носят исключительно рекомендательный характер. В развитых странах, где вопрос цифровой защиты включён в список государственных приоритетов, одним из ключевых элементов системы безопасности являются CERTы. В переводе с английского — компьютерная группа реагирования на чрезвычайные ситуации. Это свое­образные "пожарные команды" в IT, специалисты которых оперативно реагируют на поступающие угрозы и собирают информацию о них. CERT появился в 1988 году в ответ на атаку первого компьютерного вируса — червя Морриса.

Сейчас в мире существует 369 таких команд. Между собой они обмениваются информацией о последних угрозах и методах их устранения. Аккредитацией цертов занимается Форум групп реагирования на инциденты и обеспечения безопасности, который проверяет, готова ли команда работать по международным стандартам. На территории Украины действуют всего две аккредитованные команды — CERT-UA при Госспецсвязи и частный CERT-CYS. Существует CERT и в Министерстве обороны, но пока он не аккредитован, так что обмениваться информацией с другими CERT по всему миру не может. По словам специалистов по кибербезопастности, всего один государственный аккредитованный центр IT-защиты в Украине — непростительно мало.

За помощью к частным компаниям государственные структуры стараются не обращаться. Возможно, именно поэтому тот же Укроборонпром решил создать собственную "пожарную команду" айтишников. О начале работ по созданию своего CERT госконцерн заявил в начале апреля. Проект развивается при поддержке киевской команды белых хакеров dcua и турецкой компании Havelsan.

Необходимость такого отраслевого центра очевидна. Укроборонпром — крупнейшее оборонное предприятие страны и центр разработки новых вооружений. Именно оно является приоритетной мишенью для кибершпионов. А в условиях необъявленной войны с Россией, которая давно и успешно применяет кибероружие по всему миру, украинская оборонка просто обязана быть защищённой от вторжения извне. "Планируем создать структуру, которая обеспечит защиту их внутренних ресурсов, производственных мощностей, дочерних предприятий", — рассказывает Николай Ильин, лидер dcua.

В этом проекте украинские специалисты выступят как технические консультанты: помогут наладить процессы защиты Укроборонпрома и собрать команду специалистов. Турецкий же киберцентр Havelsan, в котором работает около 200 человек, защищающих от кибератак как частные, так и государственные предприятия Турции, выступит образцом, по "лекалам" которого создадут наш CERT.

"Если у вас есть программное обеспечение, аппаратное, но нет практического опыта, то это ничего не даёт, — объясняет Фокусу Мазар Кани Хачипасонлу, вице-президент Havelsan. — Перед открытием центра в Турции мы перенимали опыт у одной из крупнейших компаний в США. Теперь уже нашим опытом мы можем поделиться с Украиной. Рассказать, как выбрать программное обеспечение и аппаратную часть, какую выстроить инфраструктуру. Но так как кибербезопасность — это вопрос национального уровня, всё остальное вы должны будете сделать сами".

Впрочем, создатели CERT при Укроборонпроме ограничиваться сбором одной "пожарной" IT-команды не собираются. В планах — разворачивание крупного киберцентра, поставляющего услуги другим госкорпорациям. Более того, на предоставлении информации об угрозах можно зарабатывать. "Мы хотим доказать, что есть смысл вкладывать деньги в кибербезопасность, а потом на этом зарабатывать", — объясняет Фокусу Егор Аушев, руководитель проекта. Его инициативу поддерживает Николай Ильин из dcua: "Сперва CERT будет поставлять услуги другим госкорпорациям, а потом, возможно, станет предоставлять их и частным компаниям на коммерческой основе".

Ошибки в защите

Примером успешной борьбы с киберпреступностью стала Эстония. В 2007 году после переноса монумента "Бронзовый солдат" эта маленькая балтийская страна столкнулась с серьёзными кибератаками. Тогда впервые в мире возникла ситуация, когда органы власти, банки, медиа, предприятия всей страны были парализованы несколько дней. Именно в тот момент Эстония в полной мере осознала необходимость защиты своего киберпространства. В 2011-м здесь создали киберполигон, который теперь передан в управление НАТО. На нём специалисты Альянса, признавшего киберпространство оперативным полем ведения боевых действий, моделируют кибератаки и отражают их.

Украинские специалисты в сфере IT-безопасности о подобного рода площадках могут только мечтать. Виртуальное пространство, в отличие от бэтээра, невозможно пощупать, потому и кибербезопасность большинством воспринимается как нечто эфемерное. Именно поэтому отрасль недофинансируется. "Мало кто вообще понимает, зачем это надо, — рассказывает Алексей Мисник, технический специалист dcua, о своём опыте работы в государственном CERT-UA. — Мы пытались высылать технические опросники по предприятиям: что у них происходит, как устроена их система безопасности и с чем они сталкивались. Но когда приезжали и спрашивали, где ответы, нам говорили: "Мы половину просто не поняли".

Желание сэкономить подталкивает руководителей государственных и частных компаний к одной из ключевых ошибок в организации виртуальной безопасности — её поручают системному администратору. Но его задачи, по словам IT-специалистов, совершенно противоположные тем, которые должен выполнять специалист по киберзащите. Администратор занимается работоспособностью системы, а для служб безопасности система максимально защищена, когда она выключена.

Интересно и то, что в погоне за новым дорогостоящим оборудованием обеспечение его надёжной системой безопасности подчас уходит на второй план. После того как в 2016 году базы данных Госказначейства, Министерства финансов и Пенсионного фонда подверглись мощным кибератакам, Кабмин выделил 80 млн  грн на закупку оборудования, которое начало создавать резервные копии данных. При этом уровень защиты от хакеров, по словам специалистов, не изменился.

"Целостной защиты, которая может эффективно противостоять кибератакам, нет. Это основная проблема, — убеждён Николай Ильин. — Отдельно спецслужбы хороши, но атаковать будут наименее защищённую часть инфраструктуры. Россия в полную силу ещё не атаковала. Настоящие проблемы впереди".

Защита от хакеров, по его словам, должна выстраиваться равномерно на всех уровнях: начиная с общих для рядовых пользователей тренингов по предотвращению атак для выманивания логина и пароля, заканчивая созданием органов реагирования типа CERT на государственном уровне. В противном случае у нас так и останутся секретари, всё ещё продолжающие открывать файлы, замаскированные хакерами под рабочие документы, или переходить по подозрительным ссылкам.

Такие люди — самое уязвимое звено всей системы безопасности. И никакая, даже самая совершенная техническая защита здесь не поможет. Такое же отношение было к радиации до катастрофы на ЧАЭС — её не видишь, не чувствуешь, не понимаешь, чем она опасна. Но это длится ровно до того момента, пока не происходит катастрофа. В лучшем случае банальная компьютерная безграмотность оборачивается потерей нескольких сот гривен с банковской карточки, в худшем — расплачиваться придётся человеческими жизнями.

Автор: Ян Авсеюшкин, ФОКУС