Держзв’язок, СБУ і Мінцифри переконують, що причин для паніки немає. Експерти оцінюють наслідки та потенційні загрози по-різному
У ніч проти 14 січня відбулася глобальна хакерська атака на понад 70 веб-ресурсів центральних органів виконавчої влади України. Не вдаючись зайвий раз у деталі, про які вже тисячі разів було сказано, звернімо увагу на те, що, крім усього іншого, постраждав не лише портал «Дія», а й, нібито, однойменний мобільний застосунок. У мережі, зокрема, пишуть: «Те, що додаток відкривається, ще ні про що не свідчить – йдеться про те, що його архітектуру і безпеку зламано».
Крім того, серйозно постраждали й нібито бази даних багатьох реєстрів (частина з них узагалі могла бути знищена), як от, приміром, автоцивілка.
Спробуємо з’ясувати, чи насправді це так?
ОФІЦІЙНІ ДЖЕРЕЛА: ДОДАТОК ПРАЦЮЄ В ШТАТНОМУ РЕЖИМІ, РЕЄСТР АВТОВЛАСНИКІВ НЕ ПОСТРАЖДАВ
Реєстр, який містить персональні дані мільйонів українських автовласників, не був ушкоджений під час кібератак на державні українські ресурси в ніч на 14 січня, повідомляє пресслужба Державної служби спецзв’язку.
«Вдалося встановити, що внаслідок кібератаки втрачена низка зовнішніх інформаційних ресурсів Моторного транспортного страхового бюро (МТСБУ). Але реєстр, який містить персональні дані мільйонів українських автовласників, не ушкоджений. Уже найближчим часом він має відновити свою роботу, для чого фахівці МТСБУ розгортають нову «чисту» інформаційну інфраструктуру», – йдеться на сайті держслужби.
У Держспецзв’язку також наголосили, що станом на 17 січня відновили роботу 95% сайтів, що постраждали від кібератаки: «Робота над відновленням решти ресурсів триває. Наші фахівці разом із колегами з інших органів (СБУ та Кіберполіції. – Ред.) продовжують розслідувати інцидент».
Що стосується додатку «Дія», то він працює в штатному режимі.
«Остання кібератака – один із проявів гібридної війни Росії проти України, яка триває з 2014 року. Її ціль – не тільки залякати суспільство, а дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору та підірвавши довіру до влади з боку українців. Цього вони можуть досягти, вкинувши в інфопростір фейки про вразливість критичної інформаційної інфраструктури та про «злив» персональних даних українців. Зазначимо, що Дія не зберігає персональні дані українців. Усі вони розміщені у відповідних реєстрах, які надійно захищені», – переконують у пресслужбі Міністерства цифрової трансформації України.
У відомстві також повідомили, що застосунок є тільки «мостом» між інформацією з держреєстрів та користувачем.
«Дія – безпечний продукт, що не зберігає персональні дані, а лише відображає їх із реєстрів. Наприклад, уся медична інформація, зокрема дані для генерування СOVID-сертифікатів, розміщена в Електронній системі охорони здоров’я. Відповідні дані зберігаються в реєстрі Державної податкової служби. А демографічні дані – у Єдиному державному демографічному реєстрі. І так далі, – стверджують у Мінцифри. – Тому закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити нібито персональні дані є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року».
ЕКСПЕРТИ З КІБЕРБЕЗПЕКИ: ВІД ПЕВНОЇ НЕДОВІРИ – ДО «З БАЗАМИ ДАНИХ УСЕ В ПОРЯДКУ»
«Державні установи не люблять звітувати про свої невдачі, але не потрібно бути фахівцем, щоб помітити дефейси (коли головну сторінку підміняють іншою, або якимсь повідомленням. – Ред.), і звернути увагу на те, що база автострахування та портал «Дія», на третю добу, як і раніше, не працюють», – каже один із засновників «Українського кіберальянсу» (відомий у мережі як Шон Таунсенд) Андрій Баранович.
«Наразі достеменно невідомо, що саме з додатком «Дія». Офіційні джерела «золотого трикутнику» – СБУ, ДСТСЗІ, Мінцифри – кажуть, що він працює в штатному режимі. Інших даних наразі немає», – коментує голова «Українського кіберальянсу» Артем Карпінський.
Втім, запевняє він, із впевненістю можна стверджувати, що функціональність інфраструктури застосунку була порушена: «Головний портал було вимкнено, є численні скарги користувачів на відсутність своїх даних у додатку. Навіть зараз, переходячи за посиланням my.diia.gov.ua, тобто форму логіну користувача, вас буде перенаправлено на головний сайт, де функція аутентифікації користувача вимкнена».
Крім того, додає пан Карпінський, вірогідно, що знищено оперативний реєстр МТСБУ.
«Також є обґрунтовані припущення, що його було викрадено перед знищенням. Щодо тверджень відповідних органів, що реєстр найближчим часом відновить свою роботу – певен, що так і буде. У них же мають бути резервні копії», – підкреслив кіберексперт.
«На жаль, поточні заяви не дозволяють зробити несуперечливий висновок про те, наскільки серйозно постраждали бази даних. Наше законодавство, на відміну від європейського, не зобов’язує володільців баз з персональними даними повідомляти вичерпну інформацію про результати та наслідки таких зламів. Тому вони, зазвичай, відписуються загальними заявами «все добре, нічого не постраждало», – стверджує керівник ГО «Електронна демократія» Володимир Фльонц.
«Є портал «Дія», а є однойменний мобільний застосунок «Дія», які, безумовно, синхронізуються, перетинаються та обмінюються інформацією. Але загалом – це, по суті, дві окремі сутності. Додаток і портал… Кожен працює на власній інфраструктурі, до баз даних вони «приходять» різними шляхами. Щодо порталу, то його, як повідомляють у Мінцифри, відключили свідомо для локалізації проблеми та запобігання поширення атаки на інші ресурси. Щодо застосунку… Останні кілька днів він справді працював не зовсім коректно: документи відображав, але не міг їх валідувати. Мабуть, були проблеми з базами даних або з доступом до них», – розповідає фахівець з інформаційної безпеки, співзасновник компанії «Бережа Сек’юріті» Костянтин Корсун.
Чому мабуть? Як і попередні спікери пан Корсун наголосив на тому, що наші кібер-чиновники не дуже радо діляться будь-якою інформацією: «А особливо тією, яка якимось чином їм може зашкодити. Тому достеменно мені невідомо. Стосовно баз даних, ну, коли хтось каже, що все у нас надійно захищено – це смішно. Сам глава Мінцифри Федоров регулярно заявляє, що з державними базами даних є великі проблеми. І це правда. І цим проблемам по 20-30 років. Бази даних в кожному окремому міністерстві будувалися власними силами, десь використовувалися безкоштовні програмні продукти… Якщо говорити з погляду кібербезпеки – там страшне, що коїться».
Крім того, є проблема корупції.
«Вони нікого не хочуть пускати до баз, тому що там ціла корупційна екосистема збудувалася: реєстри продають, пробивають по базах за гроші, не виключені й інші зловживання модифікацією інформації. Коротше кажучи, темний ліс, і там страшно», – каже Костянтин Корсун.
«От що можна дійсно стверджувати – бази даних не пошкоджено. Пошкоджено лише ПЗ, яке ці бази обслуговувало. Також поки немає ознак витоку конфіденційних даних. Але з цим важче стверджувати – адже відсутність ознак може свідчити не про відсутність витоку, а про вдале маскування дій хакерів. Тому жодний професіонал не буде стверджувати, що витоку точно не було. Але на сьогодні можемо казати – він вкрай малоймовірний», – зауважив фахівець з кібербезпеки, старший консультант компанії Armorum Solutions (технологічний стартап, який виготовляє засоби радіорозвідки, станки під кулемети, займається модернізацією стрілецької зброї, створений учасниками боїв на Сході України. – Ред.) Кір Важницький.
«Хакери змогли лише змінити основні сторінки сайтів і не змогли проникнути далі. Ведеться робота з локалізації наслідків. Державні служби спрацювали досить оперативно та більшість сайтів відключили для локалізації проблеми. Реєстри та бази даних у безпеці. Тобто витоку персональних даних не відбулось. На сайтах жодної інформації, крім новин, не зберігається», – підкреслив депутат від фракції «Слуга народу», заступник голови Комітету ВР з питань цифрової трансформації Олександр Федієнко.
ХТО МОЖЕ СТОЯТИ ЗА МАСШТАБНОЮ КІБЕРАТАКОЮ
СБУ разом зі Держспецзвʼязку та Кіберполіцією підозрює у зламі урядових сайтів хакерські групи, пов’язані зі спецслужбами РФ. У РНБО же інші підозрювані: «Попередньо ми вважаємо, що до цієї атаки може бути причетна UNC1151 – кібершпигунська група пов’язана зі спецслужбами Білорусі».
«Якщо судити за повідомленням, розміщеним зломщиками, це була спроба посварити Польщу та Україну. Кому може бути це вигідно? Відповідь очевидна – РФ або Білорусії», – каже Андрій Баранович.
«Атака на держустанови, яка не має комерційної мети… Кому ще, крім РФ це вигідно? Навіть, якщо атака (або її частина) виконана руками білорусів, пов’язаних з їх спецслужбами», – стверджує Кір Важницький
«І РНБО, і Мінцифри, і СБУ мають рацію. Аналізуючи тактики, техніки та процедури операції, можемо висловити думку, що координування та постачання кіберзброї (шкідливого коду) відбувалося за участі РФ. Реалізація ж могла відбутися з території Білорусі», – погоджується з колегами Артем Карпінський.
Кібератаку вже засудили в ЄС та США. Останні, устами радника Байдена з нацбезпеки Джейка Саллівана, обіцяють адекватну відповідь, якщо підтвердиться причетність Москви.
Між тим, цікавимось в експертів, що мається на увазі під фразою: «Україна має справу з дуже серйозною атакою, наслідки якої ще не зрозумілі до кінця».
Артем Карпінський: «Тут слід брати до уваги два фактори: 1) обсяг – кількість ресурсів, що було атаковано – після notpetya 2017 року, ця атака на другому місці. 2) втрати – impact – навіть не маючи повної картини операції, #attack13, як її назвали кіберфахівці, не є такою ж масштабною, як 2017 року. Якщо не брати до уваги можливий витік персональних даних».
Андрій Баранович: «Варіантів багато. Але насторожує саме та легкість, із якою зломщики поклали половину публічних ресурсів уряду. Це означає, що з так званою “критичною інфраструктурою” або внутрішніми системами може статися щось подібне будь-якої миті».
З ЧАСІВ ВІРУСУ NOTPETYA: ЯК ЗМІНИЛАСЯ КІБЕРБЕЗПЕКА УКРАЇНИ?
Найсерйозніші наслідки для України мав уже згаданий експертами вірус NotPetya, який влітку 2017 року завдав збитків майже на два мільярди гривень. Тоді NotPetya, зокрема, паралізував роботу міжнародного аеропорту «Бориспіль», «Ощадбанку», порушив рух поїздів Київського метрополітену, «поклав» сайт Нацполіції, а також знищив інформацію на сотнях тисяч персональних і корпоративних комп’ютерів. Наскільки покращилася кібербезпека України за майже 4,5 роки? Виходячи з останнього інциденту – не дуже…
«Незважаючи на те, що розмови про реформування підходів до кібербезпеки в Україні йдуть шостий рік, мало що змінилося. «Суб’єкти кібербезпеки» витають у хмарах, а займатися елементарною роботою – оновлювати софт, реагувати на інциденти та розповідати публіці що саме сталося – як і раніше, нема кому», – каже Андрій Баранович.
Якщо є комп’ютерна система, то має бути адміністратор, який несе відповідальність за її працездатність.
«Поки що все відбувається з точністю до навпаки і держава намагається розмазати відповідальність якомога тоншим шаром», – каже експерт.
«Після того, як трапляється інцидент – усі бурхливо імітують діяльність, пишуть внутрішні накази про «негайно посилити» й таке інше. На практиці мало що змінюється», – переконує Кір Важницький.
Експерт згадав про ініціативу Українського кіберальянсу #FRD (#FuckResponsibleDisclosure), коли кібер-волонтери знаходили дірки у системах безпеки об’єктів критичної інфраструктури та повідомляли про них публічно, причому у такому форматі, щоб не зашкодити.
«Після активної фази російсько-української кібервійни 2014–2018 років взагалі не зроблено належних висновків. Ми вразливі до російських кібератак, як і сім років тому», – переконує Костянтин Корсун.
За його словами, немає фахівців, бюджетів, бажання щось покращувати…
«Далеко не всі вважають, що це достатня причина для того, щоб витрачати гроші на кібербезпеку. Дуже тяжко державному сектору залучити фахівців на ті зарплати і ті умови», – каже пан Корсун.
У західних країнах ці питання вирішуються доволі ефективно шляхом державно-приватного партнерства.
«Приватний сектор допомагає частково за гроші, і за ідею будувати разом спільні оборонні заходи для своєї країни. Це рівноправні відносини, а наша держава такого не визнає. Я раджу уряду змінити парадигму та мислення. Кібербезпека – це високопрофесійна технологічна галузь. Тут потрібні професіонали з великим досвідом. Особливо, якщо йдеться про такі надкритичні системи, як національна кібербезпека», – підкреслив Костянтин Корсун.
Подібним чином висловився Артем Карпінський: «Єдиним шляхом посилення захисту України є безумовна комунікація та співпраця держави та приватного сектору. Не з наближеними компаніями, з якими зручно працювати, а саме з експертним середовищем, що має компетенцію та досвід. Незважаючи на персоналії та неприємну критику з боку цих експертів».
Втім, є інші думки з цього приводу. Олександр Федієнко каже, що у кібер-просторі будь-якої країни атаки відбуваються постійно. Ми також постійно знаходимось у полі зору агресорів. Втім, ситуація кардинально змінилась, питанню кіберзахисту приділяється досить багато уваги.
«Кіберзахист – це не якась робота сьогодні, а праця 24/7 фахівців, спрямована на постійний аналіз цифрових систем та джерела атаки, формування механізмів захисту. Захист має як технічну складову, так і людський фактор. Кадри взагалі вирішують все. Приміром, нападники можуть або знайти технічну вразливість у системі, або купити людину, яка обслуговує систему, та отримати доступ до інформаційного ресурсу. Я хочу нагадати, що законодавство з цього питання ми взагалі почали тільки формувати. Всі попередні роки наша країна вкрай мало приділяла цьому уваги. Нещодавно був прийнятий закон про критичну інфраструктуру. Також завершується робота над законом про кібербезпеку», – каже пан Федієнко. І додає: «Потрібно започаткувати культуру безпекового багбаунті (англ. Bug Bounty – це процес, в якому компанія залучає сторонніх фахівців з кібербезпеки для тестування свого програмного забезпечення. За кожну знайдену вразливість (баг) люди отримують винагороду (баунті). – Ред.), бо зараз якщо фахівець знаходить вразливість у державному сегменті, він краще промовчить, бо інакше на нього там всіх собак потім спустять і будуть звинувачувати по КПК».
Відповідаючи на питання, як може посилитися наша держава, експерт відповів: «Потрібно щоб була реальна діюча відповідальність за невиконання закону, нормативно-правових актів. На жаль, реальної відповідальності немає. Якщо втрачається якийсь інформаційний ресурс або стається виток з реєстрів… На жаль, не можу назвати хоча б одну людину, яку б притягнули, бажано до кримінальної відповідальності, та дали реальний термін».
Друге, на що він звернув увагу, – це ринкова заробітна платня.
«Безпосередньо людям, які займаються обслуговуванням та захистом цифрових систем/мереж. Таких людей треба пестити і оберігати», – наголосив Олександр Федієнко.
Ну, і третє – це єдина координація державних органів: «Бо зараз я бачу з публічних меседжів, з того ж Фейсбуку, як кожен державний орган намагається собі заробити зірочку, навипередки рапортуючи про досягнення. Інколи навіть не маючи на це повноважень».
«Що змінилося з часів notPetya? На мій погляд, ми потроху ростемо. Питанням кібербезпеки в Україні зараз займаються багато міжнародних фондів та організацій. І ОБСЄ, і присвячений безпечним виборчим системам фонд IFES, USAID, і фонд CRDF Global (Міжнародна некомерційна організація, що працює з проблемами стабільності та захищеності інформаційних систем. – Ред.)», – перелічує кандидат технічних наук, доцент кафедри інформаційної безпеки ФТІ НТУУ «Київський політехнічний інститут імені Ігоря Сікорського» Олексій Барановський.
Вони допомагають і організаційно, і фінансово, закуповуючи обладнання та програмне забезпечення. Співпрацюють із ДСЗІ ― Держслужбою захисту інформації, із СБУ, Кіберполіцією.
«Тривалий час в Україні була проблема обміну інформацією щодо кібербезпеки між різними відомствами. Наразі при РНБО створено Національний координаційний центр з кібербезпеки. До його завдань входить, зокрема, взаємозвʼязок та спільні дії різних держструктур та обʼєктів, які потрапляють до переліку обʼєктів критичної інфраструктури», – каже фахівець з кібербезпеки.
Окремо стоїть банківська система.
«Нацбанк ще з кінця 1990-х координує цифрову безпеку банків, нині при ньому діє CSIRT – Команда реагування на кіберзагрози. Нацбанк багато в чому задає тон у сфері кібербезпеки, він давно змушений бути ефективним, адже мова про найпривабливіший для хакерів ресурс – гроші. Плюс у банків ще безліч міжнародних стандартів, яким вони мають відповідати», – зауважує він.
Нарешті, каже пан Барановський, судячи з тих численних тренінгів та курсів, на яких він устиг побувати протягом останніх років, рівень українських фахівців та організацій справді зростає.
«Є й позитивні зміни у законодавстві. Минулого року нарешті ухвалили Національну стратегію кібербезпеки. У ньому визнається, що одним із головних джерел небезпеки в кіберсфері для України є Російська федерація та підтримувані нею хакерські групи. У процесі створення в Україні також кібервійська – у тому ж 2017-му ця діяльність взагалі законом не дозволялася», – підсумував Олексій Барановський.
