Кібервійна проти України. Перші жертви і висновки
Як українська влада відреагувала на кібератаки, здійснені на енергосистему в грудні минулого року
Українські спецслужби розслідують кібератаки, які обрушились на нашу країну в кінці минулого року. Напади стались відразу на чотири обленерго. Результат приголомшливий - були знеструмлені помешкання сотень тисяч українців. Хакери й далі продовжують цілитися в стратегічно важливі об’єкти, тому влада запевняє, що посилює боротьбу з ними – у березні президент Порошенко затвердив Стратегію кібербезпеки України.
То була перша - і поки що остання - атака з такими негативними наслідками: кібертерористи одночасно вимкнули кілька десятків високовольтних вимикачів на підстанціях чотирьох обленерго. Ця аварія - попереджувальний постріл. Подальший розвиток подій залежав від адекватності сприйняття рівня загрози всіх без виключення керівників стратегічних підприємств і держави.
Зазвичай хакерські атаки компаній та державних установ націлені на оволодіння доступом до комерційної інформації з метою нанесення прямих збитків конкурентам, або для отримання матеріальної здобичі шляхом пограбування через мережі. Але найбільшу загрозу, а відтак, і стурбованість людей, несуть заплановані терористичні акти в аеропортах, на атомних електростанціях, залізничних вокзалах та інших стратегічних об’єктах.
Хакери перебирають на себе управління інформаційними системами чи технологічними процесами підприємств, а виявити інстальовані комп’ютерні віруси не завжди вдається з допомогою існуючих засобів захисту. Наслідки можуть бути катастрофічними не лише для бізнесу, але й для життя багатьох людей.
Важко навіть уявити, чим би закінчилися кібератаки на аеропорт «Бориспіль», якби в їхніх мережах вчасно не виявили вірусне програмне забезпечення, здатне управляти літаками – недавно атакована комп’ютерна мережа відповідала саме за управління повітряним рухом аеропорту. Завдання спецслужб - з’ясувати, звідки був запущений вірус і хто здійснював кібератаку? Але головне, як попередити наслідки кібератак.
«В ході перевірки комп’ютерної мережі аеропорту на наявність шкідливого програмного забезпечення, виявлено факт підключення одного з ПЕОМ (персональний комп’ютер – «Главком») мережі до командних серверів, що використовувалися для проведення наприкінці 2015 року кібератак на вітчизняні обленерго (кіберзагроза BlackEnergy)», - повідомили «Главкому» в Службі безпеки.
За даними СБУ, «після виявлення кіберзагрози інфікований компюте відключено від мережі, по факту кіберінциденту поінформовано команду швидкого реагування на комп’ютерні надзвичайні події Держспецзв'язку. Вжито відповідних заходів реагування щодо локалізації негативних наслідків вказаних кіберінцидентів», - запевнили в СБУ, і додали, що служба «здійснює контррозвідувальні та оперативно-розшукові заходи, протидіє кіберзлочинності».
Спецслужби не розголошують більш детальну інформацію. Тому всі сподівання на високий рівень українських програмістів, яких цінують і активно використовують в роботі всесвітньовідомі компанії.
-- В «Укренерго» все спокійно?
Негативних наслідків від хакерських атак можна уникнути, якщо Інтернет-мережу загального користування не зв’язувати з програмним забезпеченням, що управляє технологічними процесами виробництва, - повідомив «Главкому» керівник НЕК «Укренерго» Всеволод Ковальчук.
За його даними, саме так побудована інформаційна система НЕК «Укренерго», з центрального диспетчерського центру якої управляють роботою всієї енергосистеми України. До складу компанії входять головні енергетичні артерії країни – це високовольтні магістралі, тому в разі успішної кібератаки наслідки могли б стати справжньою катастрофою для всієї України.
Тобто, в «Укренерго» ситуація кардинально відрізняється від обленерго. «Наші технологічні мережі фізично не зв’язані з мережами загального користування. Але якщо співробітник компанії, який користується електронною поштою і одночасно має доступ до технологічного програмного забезпечення, користується однією флешкою, тоді можна занести вірус. Але загалом зовнішня атака в наших мережах - неможлива», - запевняє Ковальчук.
В атакованих обленерго експлуатується єдина інформаційна система, тобто, діє одне й те ж саме програмне забезпечення і для загального користування, і для управління технологічними процесами. На думку Всеволода Ковальчука, «найкращий спосіб нашкодити компанії – це підкупити системного адміністратора. Думаю, причину кібератак потрібно шукати в цьому напрямку».
Людський фактор залишається найбільшою загрозою для програмного забезпечення якої-завгодно компанії. Це особливо актуально на тлі воєнної агресії з боку північного сусіда, звідки, на думку експертів, прийшов вбивчий вірус в українські компанії.
-- Російський слід
Після розслідування кібератак на «Прикарпаттяобленерго», «Київобленерго», «Чернівціобленерго» та «Хмельницькобленерго» з залученням міжнародних експертів з кібербезпеки було виявлено шкідливе програмне забезпечення типу BlackEnergy в мережах цих компаній, - повідомляють в СБУ.
«У всіх вказаних випадках встановлено віддалений несанкціонований доступ з території РФ, із застосуванням BlackEnergy до систем телеметрії та телефонного зв’язку вищезгаданих підприємств», - кажуть в СБУ.
В режимі реального часу хакери отримали доступ до управління телекомунікаційними мережами для організації техногенних катастроф на об’єктах критичної інфраструктури. Водночас після спільного масштабного розслідування, представники ФБР, Держдепартаменту міністерства внутрішньої безпеки і енергетики США також підтвердили, що кібератаку на українські обленерго здійснювали добре підготовлені хакери з Росії. В результаті без електрики залишилося більше сотні населених пунктів.
Експерти з кібербезпеки назвали минулорічний інцидент першою успішною атакою на енергорозподільчі мережі, наслідки якої могли б бути значно гіршими, якби хакери встигли відключити світло на значно більшій території. Але цього не вдалося зробити завдяки оперативній реакції енергетиків. Проте всі усвідомили: за попереджувальним пострілом може статися вибух.
Події в Україні зумовили резонанс і за її межами: про небезпеку подібних кібератак заявили США, Велика Британія, Норвегія, Німеччина та інші країни. Там розуміють, що в Україні пролунав постріл з прицілом на Захід, де в який-завгодно момент можуть повторитися подібні кібератаки, адже схеми українських мереж та тип обладнання характерні для багатьох країн, - вважають іноземні фахівці. Протистояти потенційній загрозі британський уряд закликав шляхом об’єднання зусиль різних країн.
Внаслідок довготривалих кібератак комп’ютерних мереж «Прикарпаттяобленерго», ввечері 23 грудня 2015 року хакери отримали доступ до систем контролю та управління об’єктів електромереж. Робота компанії була повністю паралізована шкідливим програмним кодом, були виведені з ладу сервери та персональні комп’ютери, що засвідчило недосконалість систем інформаційної безпеки обленерго.
«В результаті хакери відключили від мережі 27 підстанцій 35-110 кВ, тому без електропостачання залишились 103 населених пункти повністю і 186 – частково. Для недопущення повторних відключень, довелося вивести з роботи системи дистанційного управління. Енергопостачання відновили у короткий термін», - повідомляє сайт ПАТ «Прикарпаттяобленерго».
Втручання сторонніх осіб в роботу телемеханіки «Прикарпаттяобленерго» почалося о 16 годині 23 грудня, що спричинило знеструмлення центральної частина Івано-Франківська, а також без світла залишилися Городенківський, Калуський, Долинський, Косівський, Тисменицький, Надвірнянський райони та Яремчанська зона.
Менш ніж за 2 години електропостачання було відновлено завдяки тому, що енергетики терміново відключили телемеханіку і бригади терміново виїхали на вимкнені автоматикою підстанції, щоб підключити їх «вручну».
-- «Прикарпаттяобленерго»: слідами терористів
В ході розслідувань встановлено, що задовго до кібератаки хакери почали розсилати до українських обленерго листи, в яких були документи Microsoft Word. Коли їх відкривали, на комп’ютер одержувача інсталювалися шкідливі програми, що дозволило зібрати логіни та паролі, за допомогою яких комп’ютерні терористи отримали можливість здійснити атаку.
За більш детальною інформацією «Главком» звернувся до керівництва «Прикарпаттяобленерго» з проханням пояснити, чому компанія не змогла вчасно відбити кібератаку та що потрібно зробити для попередження подібних аварій в майбутньому?
«Після детального аналізу виявилося, що системи управління нашої компанії були уражені шкідливою програмою, яка потрапила до нас через цілеспрямовану e-mail-розсилку на поштові адреси нашої компанії. Це були звичайні електронні листи, які надійшли з електронної адреси info@rada.gov.ua. В темі листів було вказано «Указ Президента України №15/2015 «Про часткову мобілізацію від 14.01.15 року» . Листи не викликали жодної підозри», - повідомили в компанії.
«Розсилка пройшла ще 24 березня 2015 року, а активація шкідливих програм відбулася під час хакерської атаки 23 грудня 2015 року. Загалом повідомлення було розіслано на 22 адреси. Радимо нашим колегам-енергетикам серйозно сприймати можливість кібератак на енергокомпанії у майбутньому і працювати над кіберзахистом, залучати кваліфікованих консультантів».
Раніше в «Прикарпаттяобленерго» ні з чим подібним не зіштовхувалися, але там не виключають, що кібератаки можуть знову повторитися. Після здійсненого нападу в компанії виявили недосконалість існуючих систем інформаційної безпеки, тому постало питання технічного переоснащення інформаційних систем обленерго – щоб можна було вчасно розпізнати та попередити атаку хакерів.
«Ми вжили ряд заходів для підвищення рівня інформаційної безпеки, налаштовуємо фаєрволи (фільтр, який пропускає потрібну інформацію і блокує ту, яка може представляти загрозу комп’ютеру - Главком), встановили корпоративне антивірусне програмне забезпечення. Про деталі не повідомляємо, оскільки ця інформація конфіденційна і може бути використана зловмисниками…».
За висновками робочої комісії, причин успішного (для хакерів) завершення кібератаки було декілька. По-перше, в Україні немає загальних обов’язкових вимог до енергетичних компаній щодо забезпечення ІТ- безпеки систем автоматизації виробництва. «Така тема ніколи навіть не піднімалася», - кажуть в обленерго.
По-друге, технічний персонал недостатньо поінформований про можливість таких атак. «Відстає рівень технічного забезпечення обленерго сучасними ІТ-засобами та системами, в тому числі системами ІТ-безпеки. Окрім того, ІТ-інфраструктура енергокомпаній будувалася з використанням обладнання та програмного забезпечення виробників другого ешелону. Також в обленерго відсутні внутрішні організаційні структури контролю з кібербезпеки, незалежні від системних адміністраторів», - наголошують в «Прикарпаттяобленерго».
Цілком логічно постає питання, чи закладені в інвестиційній програмі кошти на посилення програмного забезпечення, щоб в майбутньому попередити подібне? Ні, коштів на кібербезпеку не передбачено, адже на час хакерської атаки Інвестиційна програма на 2016 рік уже була затверджена. Але з огляду на важливість проблеми, державний Регулятор (НКРЕКП) мав би прийняти неординарне рішення для подолання вищеперерахованих недоліків.
Дивує й те, що обленерго не отримало ніякої допомоги в подоланні наслідків цієї проблеми від державних структур, зокрема, й від урядового Держспецзв'язку. «Жодної ефективної допомоги від державних структур ми не отримали, з усіма наслідками хакерської атаки ми справлялися самостійно, залучаючи кваліфікованих консультантів», - відповіли в «Прикарпаттяобленерго». «Главком» також не отримав відповіді на запитання до Держспецзв'язку, хоча це суперечить Закону про доступ до публічної інформації.
-- «Київобленерго» продовжує розслідування
Одночасно з атаками на західноукраїнські обленерго, хакери завдали потужного удару по комп’ютерним мережам «Київобленерго». «Там створено робочу комісію, яка встановлює причини збоїв в роботі телемеханіки, - повідомили «Главкому» в компанії, але до закінчення роботи комісії там відмовились відповідати на поставлені запитання. Обмежилися лише такою інформацією:
«23 грудня 2015 року сторонніми особами було здійснено несанкціоноване втручання в інформаційно-технологічну систему віддаленого доступу до телеуправління обладнанням підстанцій 35-110 кВ ПАТ «Київобленерго».
В результаті втручання виникли збої в роботі телемеханіки та було відключено 30 вузлових підстанцій (7 – ПС-110 кВ та 23 – ПС-35 кВ) від яких живиться низка стратегічних об’єктів області: підприємства, державні установи, заклади та населення. З 15:31 хв. до 16:30 хв. було повністю або частково відключено близько п’ятдесяти населених пунктів у Білоцерківському, Кагарлицькому, Миронівському, Фастівському, Сквирському, Макарівському, Рокитнянському, Іванківському та Яготинському адміністративних районах, без електричної енергії були понад 80 378 споживачів. Електропостачання було відновлено всім споживачам о 18:56 того ж дня».
-- Що робить влада?
З огляду на те, що кібератаки значно почастішали, українська влада вирішила посилити механізми захисту державних комп’ютерних систем. 16 березня президент видав Указ про введення в дію рішення Ради національної безпеки та оборони України від 27 січня «Про Стратегію кібербезпеки України» .
Фактично в Україні стартував етап практичного втілення на державному рівні технологій кібербезпеки. Президент зобов’язав Кабінет міністрів спільно з СБУ, Службою зовнішньої розвідки за участі Інституту стратегічних досліджень затвердити протягом 2-х місяців план заходів на 2016 рік щодо реалізації цієї Стратегії (потім такі плани повинні розроблятися щороку).
В складі Ради національної безпеки буде створено робочий орган - Національний координаційний центр кібербезпеки. Поява цього органу цілком обґрунтована, адже поруч з перевагами інформаційних технологій, їх активно використовують для «здійснення терористичних актів, в тому числі шляхом порушення штатних режимів автоматизованих систем управління технологічним процесами на об’єктах інфраструктури», - сказано в президентському Указі.
В концептуальному документі визначено ворожу сторону, яка веде розвідувально-підривну діяльність в кіберпросторі. «Цьому сприяє широка, інколи домінуюча, присутність в інформаційній інфраструктурі України організацій, груп, осіб, прямо чи опосередковано пов’язаних з Російською Федерацією».
До речі, атаковані обленерго також належить російським акціонерам, проте експерти з кібербезпеки не робили жодних заяв про їх можливу співпрацю з хакерами.
Країни-жертви хакерів
Компанія Verizon щорічно проводить дослідження, використовуючи дані міжнародних партнерів в сфері комунікацій, а також, дані секретної служби США і департаменту національної безпеки США.
За даними американської компанії, минулого року список жертв шпигунських кібератак, очолили Україна і США. За їхніми розрахунками, в публічному секторі в 2014 році було здійснено 120 атак, в 40% випадків їх жертвами стали Україна та США.