Последствие кибератаки на правительственные сайты: власть говорит что причин для паники нет, эксперты менее оптимистичны

В ночь на 14 января произошла глобальная хакерская атака на более чем 70 веб-ресурсов центральных органов исполнительной власти Украины. Не вдаваясь лишний раз в детали, о которых уже тысячи раз было сказано, обратим внимание на то, что помимо всего прочего пострадал не только портал «Дія», но и одноименное мобильное приложение. В сети, в частности, пишут: «То, что приложение открывается, еще ни о чем не говорит – речь идет о том, что его архитектура и безопасность сломаны».

Кроме того, якобы серьезно пострадали и базы данных многих реестров (часть из них вообще могла быть уничтожена), как, например, автогражданка. В агентстве УКРИНФОРМ пробовали выяснить, так ли это?

ОФИЦИАЛЬНЫЕ ИСТОЧНИКИ: ПРИЛОЖЕНИЕ РАБОТАЕТ В ШТАТНОМ РЕЖИМЕ, РЕГИСТР АВТОВЛАДЕЛЬЦЕВ НЕ ПОСТРАДАЛ

Реестр, содержащий персональные данные миллионов украинских автовладельцев, не был поврежден во время кибератак на государственные украинские ресурсы в ночь на 14 января, сообщает пресс-служба Государственной службы спецсвязи.

«Удалось установить, что в результате кибератаки потерян ряд внешних информационных ресурсов Моторного транспортного страхового бюро (МТСБУ). Но реестр, содержащий персональные данные миллионов украинских автовладельцев, не поврежден. Уже в ближайшее время ему предстоит возобновить свою работу, для чего специалисты МТСБУ разворачивают новую «чистую» информационную инфраструктуру», – говорится на сайте госслужбы.

В Госспецсвязи также отметили, что по состоянию на 17 января возобновили работу 95% пострадавших от кибератаки сайтов: «Работа над восстановлением остальных ресурсов продолжается. Наши специалисты вместе с коллегами из других органов (СБУ и Киберполиции. – Ред.) продолжают расследовать инцидент».

Что касается приложения «Дія», то оно работает в штатном режиме.

«Последняя кибератака – одно из проявлений гибридной войны России против Украины, продолжающейся с 2014 года. Ее цель – не только запугать общество, но и дестабилизировать ситуацию в Украине, остановив работу государственного сектора и подорвав доверие к власти со стороны украинцев. Этого они могут достичь, вбросив в инфопространство фейки об уязвимости критической информационной инфраструктуры и о «сливе» персональных данных украинцев. Отметим, что «Дія» не хранит персональные данные украинцев. Все они размещены в соответствующих реестрах, которые надежно защищены», – утверждают в пресс-службе Министерства цифровой трансформации Украины.

В ведомстве также сообщили, что приложение служит только «мостом» между информацией из госреестров и пользователем.

«Дія» – безопасный продукт, не хранящий персональные данные, а только отражающий их из реестров. К примеру, вся медицинская информация, в частности данные для генерирования СOVID-сертификатов, размещена в Электронной системе здравоохранения. Соответствующие данные хранятся в реестре Государственной налоговой службы. А демографические данные – в Едином государственном демографическом реестре. И так далее, – утверждают в Минцифре. – Поэтому призываем украинцев не поддаваться панике. Все персональные данные находятся под надежной защитой в госреестрах. А объявления о возможности купить персональные данные – это афера: мошенники продают старые данные, скомплектованные из многих источников, которые были слиты до 2019 года».

ЭКСПЕРТЫ ПО КИБЕРБЕЗОПАСНОСТИ: ОТ НЕКОТОРОГО НЕДОВЕРИЯ – ДО «С БАЗАМИ ДАННЫХ ВСЕ В ПОРЯДКЕ»

«Госучреждения не любят отчитываться о своих неудачах, но не нужно быть специалистом, чтобы заметить дефейсы (когда главную страницу подменяют другой, или каким-либо сообщением. – Ред.), и обратить внимание на то, что база автострахования и портал «Дія», на третьи сутки по-прежнему не работают», – говорит один из основателей «Украинского киберальянса» (известный в сети как Шон Таунсенд) Андрей Баранович.

«Сейчас неизвестно, что именно с приложением «Дія». Официальные источники «золотого треугольника» – СБУ, ГСТСЗИ, Минцифры – говорят, что оно работает в шатном режиме. Других данных пока нет», – комментирует глава «Украинского киберальянса» Артем Карпинский.

Впрочем, уверяет он, с уверенностью можно утверждать, что функциональность инфраструктуры приложения была нарушена: «Главный портал отключен, есть многочисленные жалобы пользователей на отсутствие своих данных в приложении. Даже сейчас, при переходе по ссылке my.diia.gov.ua, то есть формк логина пользователя, вы будете перенаправлены на главный сайт, где функция аутентификации пользователя отключена».

Фото: Натальи Чиж

Кроме того, добавляет Карпинский, вероятно, что уничтожен оперативный реестр МТСБУ.

«Также есть обоснованные предположения, что он был похищен перед уничтожением. Что касается утверждений соответствующих органов, что реестр в ближайшее время возобновит работу – уверен, что так и будет. У них должны быть резервные копии», – подчеркнул киберэксперт.

«К сожалению, текущие заявления не позволяют сделать непротиворечивое заключение о том, насколько серьезно пострадали базы данных. Наше законодательство, в отличие от европейского, не обязывает владельцев баз с персональными данными сообщать исчерпывающую информацию о результатах и ​​последствиях таких взломов. Поэтому они обычно отписываются общими заявлениями «все хорошо, ничего не пострадало», – утверждает руководитель ОО «Электронная демократия» Владимир Фленц.

Есть портал «Дія», а есть одноименное мобильное приложение «Дія», которые, безусловно, синхронизируются, пересекаются и обмениваются информацией. Но это две отдельные сущности. Приложение и портал… Каждый работает на собственной инфраструктуре, в базы данных они «приходят» разными путями. Что касается портала, то его, как сообщают в Минцифре, отключили специально для локализации проблемы и предотвращения распространения атаки на другие ресурсы. Что касается приложения… Последние несколько дней оно действительно работало не совсем корректно: документы отображало, но не могло  их валидировать. Наверное, были проблемы с базами данных или с доступом к ним», – рассказывает специалист по информационной безопасности, соучредитель компании «Бережа Секьюрити» Константин Корсун.

Почему “наверное”? Как и предыдущие спикеры господин Корсун отметил, что наши киберчиновники не очень рады делиться любой информацией: «А особенно той, которая как-то им может повредить. Поэтому мне неизвестно. Что касается баз данных, ну когда кто-то говорит, что все у нас надежно защищено – это смешно. Сам глава Минцифры Федоров регулярно заявляет, что с государственными базами данных есть большие проблемы. И это так. И этим проблемам по 20-30 лет. Базы данных в каждом отдельном министерстве строились собственными силами, где-то использовались бесплатные программные продукты… Если говорить с точки зрения кибербезопасности – там ужас, что творится».

Кроме того, есть проблема коррупции.

«Они никого не хотят пускать в базы, потому что там целая коррупционная экосистема выстроилась: реестры продают, пробивают по базам за деньги, не исключены и другие злоупотребления модификацией информации. Короче говоря, темный лес, и там страшно», – говорит Константин Корсун.

«Вот что можно действительно утверждать – базы данных не повреждены. Повреждено только ПО, которое эти базы обслуживало. Также пока нет признаков утечки конфиденциальных данных. Но тут труднее утверждать – ведь отсутствие признаков может свидетельствовать не об отсутствии утечки, а об удачной маскировке действий хакеров. Поэтому ни один профессионал не будет утверждать, что утечки точно не было. Но сегодня можем говорить – она крайне маловероятна», – отметил специалист по кибербезопасности, старший консультант компании Armorum Solutions (технологический стартап, который производит средства радиоразведки, станки под пулеметы, занимается модернизацией стрелкового оружия, созданный участниками боев на Востоке Украины. – Ред.) Кир Важницкий.

«Хакеры смогли изменить основные страницы сайтов и не смогли проникнуть дальше. Ведется работа по локализации последствий. Государственные службы сработали довольно оперативно, и большинство сайтов отключили для локализации проблемы. Регистры и базы данных в безопасности. То есть утечки персональных данных не произошло. На сайтах никакой информации, кроме новостей, не хранится», – подчеркнул депутат от фракции «Слуга народа», заместитель председателя Комитета ВР по вопросам цифровой трансформации Александр Федиенко.

(То что “утечки персональных данных не произошло” вызывает большие сомнения. В СНБО заявили, что был использован шифровальщик на некоторых серверах, а это значит, что злоумышленники смогли получить полный  доступ к файловой системе, а значит и к файлам баз данных, если были уничтожены таким образом некоторые сервера. Об этом свидетельствует и публикация команды расследования кибринцидентов от компании Майкрософт и длительная задержка с восстановлением базы МТСБУ. – прим. УК)

КТО МОЖЕТ СТОЯТЬ ЗА МАСШТАБНОЙ КИБЕРАТАКОЙ

СБУ вместе с Госспецсвязью и Киберполицией подозревает во взломе правительственных сайтов хакерские группы, связанные со спецслужбами РФ. В СНБО же другие подозреваемые: «Предварительно мы считаем, что к этой атаке может быть причастна UNC1151 – кибершпионская группа, связанная со спецслужбами Беларуси».

«Если судить по сообщению, размещенному взломщиками, это была попытка поссорить Польшу и Украину. Кому это может быть выгодно? Ответ очевиден – РФ или Белоруссии», – говорит Андрей Баранович.

«Атака на госучреждения, не имеющая коммерческой цели… Кому еще, кроме РФ, это выгодно? Даже если атака (или ее часть) выполнена руками белорусов, связанных с их спецслужбами», – утверждает Кир Важницкий

«И СНБО, и Минцифры, и СБУ правы. Анализируя тактики, техники и процедуры операции, мы можем высказать мнение, что координация и поставка кибероружия (вредоносного кода) происходили с участием РФ. Реализация же могла состояться с территории Беларуси», – соглашается с коллегами Артем Карпинский.

Кибератаку уже осудили в ЕС и США. Последние, устами советника Байдена по нацбезопасности Джейка Салливана, обещают адекватный ответ, если подтвердится причастность Москвы.

Между тем, интересуемся у экспертов, что подразумевается под фразой: «Украина имеет дело с очень серьезной атакой, последствия которой еще не понятны до конца».

Артем Карпинский: «Здесь следует принимать во внимание два фактора: 1) объем – количество атакованных ресурсов – после NotPetya 2017 года, эта атака на втором месте. 2) потери – impact – даже не имея полной картины операции, #attack13, как ее назвали киберспециалисты, не столь же масштабна, как в 2017 году. Если не принимать во внимание возможную утечку персональных данных».

Андрей Баранович: «Вариантов много. Но настораживает именно легкость, с которой взломщики положили половину публичных ресурсов правительства. Это означает, что с так называемой “критической инфраструктурой” или внутренними системами может произойти что-то подобное в любой момент».

СО ВРЕМЕНИ ВИРУСА NOTPETYA: КАК ИЗМЕНИЛАСЬ КИБЕРБЕЗОПАСНОСТЬ УКРАИНЫ?

Самые серьезные последствия для Украины имел уже упомянутый экспертами вирус NotPetya, который летом 2017 года нанес ущерб почти на два миллиарда гривень. Тогда NotPetya, в частности, парализовал работу международного аэропорта “Борисполь”, “Ощадбанка”, нарушил движение поездов Киевского метрополитена, “положил” сайт Нацполиции, а также уничтожил информацию на сотнях тысяч персональных и корпоративных компьютеров. Насколько улучшилась кибербезопасность Украины почти за 4,5 года? Исходя из последнего инцидента – не очень…

«Несмотря на то, что разговоры о реформировании подходов к кибербезопасности в Украине идут шестой год, мало что изменилось. «Субъекты кибербезопасности» витают в облаках, а заниматься элементарной работой – обновлять софт, реагировать на инциденты и рассказывать публике, что именно произошло – по-прежнему некому», – говорит Андрей Баранович.

Если есть компьютерная система, то должен быть администратор, отвечающий за ее работоспособность.

«Пока все происходит с точностью до наоборот, и государство пытается размазать ответственность как можно более тонким слоем», – говорит эксперт.

«После того, как происходит инцидент – все бурно имитируют деятельность, пишут внутренние приказы про «немедленно усилить» и так далее. На практике мало что меняется», – говорит Кир Важницкий.

Эксперт упомянул об инициативе «Украинского киберальянса» #FRD (#FuckResponsibleDisclosure), когда кибер-волонтеры находили дыры в системах безопасности объектов критической инфраструктуры и сообщали о них публично, причем в таком формате, чтобы не навредить.

«После активной фазы российско-украинской кибервойны 2014-2018 годов вообще не сделаны надлежащие выводы. Мы уязвимы перед российскими кибератаками, как и семь лет назад», – убеждает Константин Корсун.

По его словам, нет специалистов, бюджетов, желания что-то улучшать…

«Далеко не все считают, что это достаточная причина для того, чтобы тратить деньги на кибербезопасность. Очень тяжело госсектору привлечь специалистов на те зарплаты и условия», – говорит Корсун.

В западных странах эти вопросы решаются достаточно эффективно путем государственно-частного партнерства.

«Частный сектор помогает частично за деньги, и за идею строить совместные оборонные меры для своей страны. Это равноправные отношения, а наше государство этого не признает. Я советую правительству изменить парадигму и мышление. Кибербезопасность – это высокопрофессиональная технологическая отрасль. Здесь нужны профессионалы с большим опытом. Особенно если речь идет о таких сверхкритических системах, как национальная кибербезопасность», – подчеркнул Константин Корсун.

Подобным образом выразился Артем Карпинский: «Единственный путь усиления защиты Украины – безусловная коммуникация и сотрудничество государства и частного сектора. Не с приближенными компаниями, с которыми удобно работать, а именно с экспертной средой, имеющей компетенцию и опыт. Несмотря на персоналии и неприятную критику со стороны этих экспертов».

Впрочем, есть другие мнения на этот счет. Александр Федиенко говорит, что в киберпространстве любой страны атаки происходят постоянно. Мы также постоянно находимся в поле зрения агрессоров. Впрочем, ситуация кардинально изменилась, вопросу киберзащиты уделяется много внимания.

«Киберзащита – это не какая-то работа сегодня, а труд 24/7 специалистов, направленный на постоянный анализ цифровых систем и источники атаки, формирование механизмов защиты. Защита имеет как техническую составляющую, так и человеческий фактор. Кадры вообще решают все. К примеру, атакующие могут либо найти техническую уязвимость в системе, либо купить человека, обслуживающего систему, и получить доступ к информационному ресурсу. Я хочу напомнить, что законодательство по этому вопросу мы вообще только начали формировать. Все предыдущие годы наша страна очень мало уделяла этому внимания. Недавно был принят закон о критической инфраструктуре. Также завершается работа над законом о кибербезопасности», – говорит Федиенко. И добавляет: «Нужно положить начало культуре безопасности багбаунти (англ. Bug Bounty – это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности для тестирования своего программного обеспечения. За каждую найденную уязвимость (баг) люди получают вознаграждение (баунти). – Ред.), потому что сейчас, если специалист находит уязвимость в государственном сегменте, он лучше промолчит, иначе на него там всех собак потом спустят и будут обвинять по УПК».

На вопрос, как может усилиться наше государство, эксперт ответил: «Нужно, чтобы была реальная действующая ответственность за неисполнение закона, нормативно-правовых актов. К сожалению, реальной ответственности нет. Если теряется какой-то информационный ресурс или происходит утечка из реестров… К сожалению, не могу назвать хотя бы одного человека, которого привлекли, желательно к уголовной ответственности, и дали реальный срок».

Второе, на что он обратил внимание, – это рыночная заработная плата.

«Непосредственно людям занимающимся обслуживанием и защитой цифровых систем/сетей. Таких людей нужно ласкать и оберегать», – подчеркнул Александр Федиенко.

Ну, и третье – это единственная координация госорганов: «А то сейчас я вижу из публичных месседжей, из того же Фейсбука, как каждый государственный орган пытается заработать звездочку, наперегонки рапортуя о достижениях. Иногда даже не имея на это полномочий.

«Что изменилось со времен NotPetya? На мой взгляд, мы понемногу растем. Вопросом кибербезопасности в Украине сейчас занимаются многие международные фонды и организации. И ОБСЕ, и посвященный безопасным избирательным системам фонд IFES, USAID и фонд CRDF Global (Международная некоммерческая организация, работающая с проблемами стабильности и защищенности информационных систем. – Ред.)», – перечисляет кандидат технических наук, доцент кафедры информационной безопасности ФТИ НТУУ “Киевский политехнический институт имени Игоря Сикорского” Алексей Барановский.

Они помогают и организационно, и финансово, закупая оборудование и программное обеспечение. Сотрудничают с ГСЗИ ― Госслужбой защиты информации, с СБУ, Киберполицией.

«Долгое время в Украине была проблема обмена информацией о кибербезопасности между разными ведомствами. На сегодня при СНБО создан Национальный координационный центр по кибербезопасности. В его задачи входит, в частности, взаимосвязь и совместные действия различных госструктур и объектов, которые попадают в перечень объектов критической инфраструктуры», – говорит специалист по кибербезопасности.

Отдельно стоит банковская система.

«Нацбанк еще с конца 1990-х координирует цифровую сохранность банков, сейчас при нем действует CSIRT – Команда реагирования на киберугрозы. Нацбанк во многом задает тон в сфере кибербезопасности, он давно вынужден быть эффективным, ведь речь идет о наиболее привлекательном для хакеров ресурсе – деньгах. Плюс у банков еще множество международных стандартов, которым они должны соответствовать», – отмечает он.

Наконец, говорит Барановский, судя по тем многочисленным тренингам и курсам, на которых он успел побывать в последние годы, уровень украинских специалистов и организаций действительно растет.

«Есть и положительные изменения в законодательстве. В прошлом году наконец-то приняли Национальную стратегию кибербезопасности. В ней признается, что одним из главных источников опасности в киберсфере Украины является Российская федерация и поддерживаемые ею хакерские группы. В процессе создания в Украине также кибервойска – в том же 2017 году эта деятельность вообще законом не разрешалась», – подытожил Алексей Барановский.

Автор: Мирослав Лискович, Киев;  Укринформ