Найбільша кібератака на Україну: де було слабке місце? Інтерв’ю із заступником голови Держспецзв’язку

У січні Україну накрили дві хвилі кібератак. У ніч на 14 січня від дій хакерів постраждали понад 20 сайтів держустанов. Цю атаку експерти Держспецзв’язку назвали найбільшою за весь час спостережень в Україні. Як з’ясувалося пізніше, напад був здійснений із території Росії. А вже за кілька днів хакери влаштували нову атаку через масову розсилку вірусу з поштових скриньок українських судів.

3 лютого ЗМІ повідомили про масову хакерську атаку на термінали великих нафтових компаній по всьому світу. Ще раніше польські медіа інформували про великий витік даних про матеріально-технічне забезпечення армії Польщі.

І поки західна преса приділяє велику увагу ймовірному наступу Росії, війна з кіберзлочинцями у самому розпалі. Шкоду від дій мережевих злочинців важко передбачити і виміряти. Але вже точно зрозуміло: від кібербезпеки ключових об’єктів інфраструктури залежить життя країни та громадян.

Одразу після атаки 14 січня глава дипломатії ЄС Жозеп Боррель запропонував допомогу Україні. Готовність допомогти виказали зокрема США і Австралія.

Ложкою дьогтю в цій історії стала позиція Угорщини, яка заблокувала приєднання України до Об'єднаного центру з кібероборони НАТО (КіберНАТО)

Про уроки найбільшої кібератаки на українські державні установи в інтерв’ю «Главкому» розповів заступник голови Державної служби спеціального зв'язку та захисту інформації України Олександр Потій. Фахівець також анонсував зміни, які чекають на державний сектор кібербезпеки.

Пане Олександре, чому не вдалося запобігти нинішній кібератаці, зважаючи на те, що Україна вже має чималий досвід боротьби з хакерами у попередні роки? Хто конкретно не допрацював?

Я б не ставив так питання. Причиною кібератак у всьому світі є наявність у злочинців мотивації – економічної чи політичної.

Україна – не єдина країна, де стаються подібні кібератаки. Кіберзагрози, особливо щодо критичної інфраструктури, – це глобальна проблема. І вона наростає. Можемо згадати інцидент з Colonial Pipeline (у травні 2021 р. у США сталася кібератака групи хакерів DarkSide на оператора найбільшої мережі трубопроводів країни Colonial Pipeline, що призвела до зупинки його роботи). Хто там не допрацював?

Кількість кібератак та їх потужність зростатимуть доти, доки зловмисники будуть впевнені, що вони отримають від атаки більше, ніж витратять на неї.

Наразі робота з протистояння кіберзагрозам ведеться на різних рівнях. На глобальному – країни об'єднуються в обміні досвідом, підходах, проводять спільні кібернавчання тощо. ООН працює над правилами поведінки в кіберпросторі, над тим, щоб заборонити використовувати інформаційно-комунікаційні технології в злочинних цілях. Україна, до речі, також бере участь у цій роботі.

На локальному рівні має вестись робота з мінімізації можливостей для кібератак. Це і законодавство, і технологічна інфраструктура, і обізнане суспільство, і досвідчені фахівці із кіберзахисту. Україна веде роботу в усіх цих напрямках. Якщо порівняти кіберзахист у країні в 2014 році, коли проти нас розпочалася гібридна агресія, і зараз, то ви побачите дуже істотні зміни. Але зловмисники завжди шукають слабкі місця, і в кіберзахисті нашої країні вони є.

У цьому випадку об'єктом кібератаки були державні органи, а атака здійснювалась через використання вразливості в ланцюжку поставок – приватної компанії, яка розробляла послуги для держави. Це новий підхід, який використали зловмисники. Раніше подібних успішних атак не було.

Найближчим часом будуть відповідні законодавчі зміни, які дозволять державним органам вимагати від підрядників дотримання вимог у сфері кіберзахисту, а також усунення наявних у них вразливостей та надання підтвердження. Такий же підхід реалізований у США – країні, яка є однією з найрозвиненіших у питаннях кіберзахисту. Це лише одна із змін, яку планується.

«Потрібно долати корупцію у сфері захисту інформації»

Компанія KitSoft – чи не єдиний розробник сайтів для багатьох держустанов, сторінки яких постраждали? Держспецзв’язку долучена до аудиту цієї компанії?

Насамперед, важливо зазначити, що в Україні процес побудови інформаційної безпеки дуже демократичний. Організації можуть обирати один із підходів – або за допомогою комплексної системи захисту інформації (КСЗІ), або за міжнародним стандартом ISO 27000 (якщо мова не йде про інформаційні системи, які, за законом, мають бути захищені винятково за допомогою КСЗІ). Ми також працюємо над впровадженням нового, більш сучасного і досконалого підходу до захисту, розроблений Національним інститутом стандартів і технологій США (NIST).

Але, звичайно, є низка моментів, які потребують змін, в першу чергу для безпеки країни та кожного громадянина та захисту його персональних даних в тому числі.

По-перше, торік Держспецзв’язку розробив і впровадив новий підхід до кіберзахисту на об'єктах критичної інформаційної інфраструктури. Цей документ базується на найкращому у світі гайдлайні (правил користування) із кіберзахисту, що розробив NIST. Він запроваджує ризик-орієнтований підхід до побудови кіберзахисту, який вимагає від компаній постійної роботи з оцінки загроз і вдосконалення. Сподіваюсь, документ стане обов'язковим для об'єктів критичної інформаційної інфраструктури найвищого рівня. Ми, як країна, маємо назавжди забути про підхід, коли компанія отримує папірець про побудовану комплексну систему захисту інформації і далі нічого не робить для вдосконалення захисту. А іноді взагалі будує захист на папері.

По-друге, це можливість позбавляти ліцензій недобросовісних ліцензіатів, які видають експертні висновки щодо систем захисту інформації. Сьогодні експертизи проводять спеціалізовані компанії, які отримали відповідні ліцензії. Проте наша Служба в процесі видачі ліцензій задіяна формально – ми можемо лише підтвердити її видачу. Навіть якщо ми розуміємо, що компанія немає ресурсу для якісного проведення оцінки, ми не маємо механізму відмовити. Та сама ситуація з відкликанням ліцензій. Скільки б претензій до якості роботи ліцензіатів у нас не було, відкликати чи анулювати ліцензію ми не можемо.

Цю ситуацію потрібно змінювати, потрібно долати корупцію у сфері захисту інформації і вимагати від будь-яких організації будувати реальний захист.

По-третє, наші фахівці мають бути залучені до процесу підготовки експертних висновків. Бо нині не ми проводимо експертизи, нас знайомлять лише з висновками уже проведених досліджень. Ми розуміємо, що є незалежність ринку, якої слід дотримуватися і це добре. Проте ми маємо мати інструменти впливу на тих, хто ставиться до кіберзахисту безвідповідально.

І ми знову повертаємося до питання, чому сталася атака? Тому що в органах державної влади, чиї інформаційні системи були уражені під час кібератаки, не проводилася систематична робота захисту інформації. З різних причин: не вистачає грошей, компетентності. Зараз з'являються дедалі більше фактів, які це підтверджують.

Як я казав вище, один з векторів атак – використання вразливості у програмному забезпеченні від постачальника. Про ці вразливості було відомо публічно. Держспецзв’язку регулярно нагадує про необхідність оновлювати програмне забезпечення, оскільки оновлення виправляють вразливості. Адміністратори систем, які працюють із сайтами, мають на нашу інформацію реагувати, виправляти вразливості шляхом оновлення програмного забезпечення.

Чому до вас не дослухалися?

У нас така ментальність: «може, пронесе і все буде добре». Примусити їх це робити ми не маємо повноважень.

Тоді де гарантія, що ситуація після атаки зміниться і система стане більш захищеною?

Гарантій таких ніхто не дасть. Але це не означає, що ми на досвіді цієї атаки не вказуватимемо власникам інформаційних ресурсів, тобто держустановам, що саме вони відповідальні за безпеку. Результат, який ми з вами побачили, став наслідком відсутності систематичної роботи із захисту з боку держустанов, сайти яких були уражені. Щоб зменшити ризики повторення таких атак, ми прагнемо змінити законодавство, підвищити відповідальність конкретних осіб, які не виконують вимоги щодо кіберзахисту і не реагують на інформацію про загрози. Хочемо, аби державні інформаційні системи обслуговували фахівці штатних служб захисту інформації.

«Атака 14 січня продемонструвала всім цінність наявності резервних копій, так званих backup’ів» (фото: nta.ua)

«На шести сайтах частину даних дійсно не вдалося відновити»

Голова Держспецзв’язку Юрій Щиголь повідомив, що усього постраждали 22 сайти, шістьом з них нанесено суттєвої шкоди. Про яку саме «суттєву шкоду» ідеться: стався витік даних?

Більша чи менша шкода вимірюється швидкістю відновлення даних на веб-ресурсах і ступенем відновлення. Наприклад, було 100 Гб, а відновили 98-99 Гб, то втрати становили 1-2%, і їх можна назвати незначними. Якщо не відновлено 10-20%, то такому ресурсу завдано суттєвої шкоди. Тобто говорити «дані знищено» слід тільки тоді, коли їх неможливо відновити. Дані були видалені, а потім відновлені. На шести сайтах частину даних дійсно не вдалося відновити.

Про які саме сайти мова?

Поки не завершене розслідування ми б хотіли утриматися від розголошення цієї інформації.

Cистема управління вмістом усіх сайтів, які постраждали, побудована на October (CMS), тобто на системі з відкритим вихідним кодом. October вважається прогресивною системою управління. Чи є проблема у самій цій системі?

Атака на ланцюг постачання – не є унікальною. У світі були вже подібні. Система з відкритим кодом, яку ви згадали, не є поганою, тому навіщо її змінювати? Треба просто врахувати, яким чином зловмисники на неї вплинули. Наразі фахівці продовжують проводити глибокий аналіз, який дасть нам відповідь на це питання. Попередньо можу сказати, що розробник програмного забезпечення мав відповідні канали віддаленого доступу до своїх розробок. Може це і не було заборонено відповідно до тих умов, які виставлялися перед компанією. Вияснити це – завдання органів, які займаються розслідуванням справи. Але якщо так, то на своїх майданчиках він мав би розгорнути систему захисту інформації, щоб ці канали не були використані.

В Україні діє Національний центр резервування даних на випадок, якщо трапиться їх втрата. Яка саме інформація там зберігається, наскільки вона захищена, хто відповідає за її збереження?

Атака 14 січня продемонструвала всім цінність наявності резервних копій, так званих backup’ів. У сайтів, які найбільше постраждали або не було свіжих backup’ів, або вони були пошкоджені. У Центрі, про який ми з вами зараз говоримо, проводиться резервування найбільш гарячих backup’ів, критично важливих для запуску системи. У Національному центрі зберігаються лише копії цих важливих файлів. Фізично сервери центру і сервери сайтів та інших ресурсів держорганів розміщені у різних місцях.

За побудову комплексної системи захисту інформації у Національному центрі резервування даних відповідає Держспецзв’язку і відповідний підрядник – державне підприємство «Українські спеціальні системи». Держпідприємство займається розбудовою цієї системи, а у подальшому опікуватиметься наповненням цього резерву копіями реєстрів, файлів тощо.

Наразі ми проходимо численні бюрократичні процедури, Потрібно ще підписати угоди з власниками реєстрів. Це займе певний час. Думаю, за пів року ми завершимо всю паперову тяганину. А щоб не гаяти часу – фахівці Центру відпрацьовуватимуть у тренувальному режимі оперативне відновлення даних.

Глава дипломатії ЄС Жозеп Боррель засудив кібератаки проти сайтів українських держорганів і заявив про готовність ЄС допомогти Україні. Окрім заяв Європа вже якось допомогла? Якої саме підтримки потребує Україна від ЄС?

Відгукнулися швидко і представники ЄС, і Великої Британії, і США. Для прикладу, американські партнери через CISA (Агентство кібербезпеки і безпеки інфраструктури), через FBI (Федеральне бюро розслідувань) вийшли на контакт та надавали експертну підтримку. Також фахівці приїжджали до нас допомагати у розслідуванні. Наша урядова команда реагування на комп’ютерні надзвичайні події активно працює з нашими групами реагування CERT і CSIRT з різних країн, з якими у нас встановлені робочі взаємини.

Також я зустрічався з представниками Департаменту кіберзахисту при Єврокомісії. Вони оцінювали, як Україна відреагувала на ситуацію. Далі ми обговорювали, як вони можуть надати консультаційну або матеріально-технічну допомогу.

То все ж, окрім консультацій, що нам потрібно у матеріально-технічному плані?

Насамперед, це допомога у закупівлі програмних і апаратних платформ. Зокрема, сенсорів, спеціалізованого програмного забезпечення, ліцензійної підтримки тощо. Є два шляхи допомоги:

• фінансування для купівлі програм і пролонгації ліцензій за рахунок державного бюджету, а також за рахунок матеріально-технічної допомоги від наших партнерів;
• надання Україні доступу до відповідних технологій. Наприклад, кіберполігонів, розгорнутих в інших країнах, щоби наші фахівці проходили тренування на них.

До деяких полігонів нам доступ уже надали. Наприклад, у квітні 2022 року відбудуться багатонаціональні навчання НАТО з питань кібербезпеки Locked Shields 2022. Ці навчання проводяться щорічно на базі Об’єднаного центру передових технологій з кібероборони НАТО, у Талліні (CCDCOE). Над залученням до інших полігонів продовжуємо працювати. Ми пояснюємо колегам, що ми надійні партнери. Як приклад позитивної співпраці – запрошення наших фахівців на кібернавчання у Європі й Африці від американських колег, аби наші взяли участь у навчанні в складі єдиної команди з американцями. Представники Збройних сил України звернулися до Держспецзв’язку з пропозицією також долучитися до цих навчань.

Однією з потреб ви назвали оновлення програмного забезпечення. Яка ціна питання?

Держспецзв’язку вже розгорнули відповідні платформи для здійснення кіберреагування на ось такі атаки, яка нещодавно сталася. Ми потребуємо ліцензійної підтримки цих платформ. Тобто щоб нам ефективно реагувати, нам потрібне сучасне ліцензійне програмне забезпечення з усіма необхідними оновленнями. Це – сотні мільйонів гривень, які потрібно виділити з бюджету.

«Дія»: «Теоретично витік даних можливий. Але вірогідність дуже мала»

Днями ЗМІ писали про те, що на роботі «Дії» остання кібератака також позначилася, нібито усю базу даних «злили» в інтернет, на чорному ринку її можна купити за тисячі доларів. Це правда?

Ця інформація постійно з’являється в інтернеті. Безпосередньо в «Дії» не зберігаються персональні дані. Дані, які ви бачите у «Дії», можна отримати з реєстрів, які мають свою систему захисту. Окрім цього, за результатами вивчення цієї кібератаки ми не отримали доказів, що був витік персональних даних через «Дію».

Яка вірогідність, що такий витік може статися?

Теоретично він можливий. Справжній фахівець ніколи не скаже, що цього не може статися і все на 100% захищено. Але вірогідність дуже мала. Ризики оцінюються не у відсотках, а за якісною шкалою: дуже низький, низький, середній або високий. Ймовірність витоку персональних даних з державного реєстру є дуже низькою.

Щоби якісно протистояти атакам, на державу повинні працювати якісні IT-спеціалісти. Але вони коштують дорого. Якою є зарплата ваших фахівців і «яким пряником» утримуєте людей?

Проблема рівня заробітків у державному секторі не нова, вона всюди є і не тільки в Україні, а й у США. Це також складова ризику і вірогідності атак, оскільки немотивований працівник збільшує ризики. Зараз зарплати в CERT-UA (команді реагування на комп'ютерні надзвичайні події України), для прикладу, становлять 20–22 тис. грн. Стільки зі старту отримує вчорашній студент. У приватному секторі ставки для «джуніорів», тобто початківців також невисокі. Від $3 тис. до $5 тис. заробляють просунуті фахівці. З іншого боку, у нас є й інші мотивації для співробітників – унікальність інформації, з якою вони працюють і якої вони не побачать у жодній IT-компанії. Наші фахівці працюють у Security Operations Center (Оперативний центр безпеки). Це аналітики і спеціалісти дуже вузького профілю. В іншому місці наші фахівці подібний досвід не здобудуть. Хіба що ще в НБУ є команда реагування, подібна до нашої.

Також наші фахівці працюють з програмним забезпеченням, якого ніде більше немає в Україні. Цей наш біль, бо ми фахівця вчимо, але він потім іде від нас зі своїми знаннями.

Яка плинність кадрів? Який відсоток фахівців йде від вас після перших п’яти років роботи?

За останні два роки у нас плин кадрів знизився за рахунок, перш за все, підвищення зарплати і зміни ставлення керівництва до цієї роботи. У нас гарні побутові умови, зручні робочі місця. На жаль, у нас в країні не всі підрозділи можуть працювати в таких гарних умовах, як у нас. Перші контракти наші фахівці підписують не менш як на п’ять років. Дуже рідко буває, коли достроково відбувається розрив договору. За п’ять років людина від старшого лейтенанта підвищується у званні до капітана.

Замість тих людей, які від нас ідуть, приходять нові. У складі Держспецзв’язку є відповідний навчальний заклад, де є кафедра кібербезпеки. Вона готує нам фахівців і вони після випуску прибувають сюди на службу. Окрім того, ми самі виходимо на ринок і шукаємо на ньому фахівців. Буває і таке, що вдається загітувати людей, яких більше цікавить не рівень зарплати, а наш унікальні досвід.

Якщо ж говорити про статистику, то після першого контракту роботу змінюють близько 10%. Однак, тут більша проблема не в кількості, а в якості людей, які покидають службу. Приватні компанії переманюють вищими зарплатами найкращих фахівців. Тому наше завдання – залишити ці 10% в Держспецзв’язку. Це дасть можливість мультиплікувати їхній досвід на решту спеціалістів, які підтягуватимуть свій рівень до кращих.

Олександр Потій: Кількість кібератак та їх потужність зростатимуть доти, доки зловмисники будуть впевнені, що вони отримають від атаки більше, ніж витратять на неї (фото: cip.gov.ua)

«Електронне голосування – перспективна технологія»

Останнім часом в Україні багато говорять про можливість введення електронного голосування. Чи долучена до реалізації цієї ідеї Держспецзв'язку?

Держспецзв'язку долучена до цих питань в рамках проведення відповідних науково-дослідних робіт. Ми вивчали рівень безпеки, захищеності моделей і систем електронного голосування та надавали свої рекомендації. Але це поки теоретична робота. Практично можна буде оцінювати рівень захисту тільки після того як за розробку системи візьметься виконавець робіт. Він повинен буде дослухатися до наших висновків. Загалом така система голосування може існувати. Ми маємо приклад Верховної Ради де зараз працює система електронного голосування. Чому б не бути системі для всеукраїнського голосування? Це – перспективна технологія.

Але хіба можна порівнювати ці системи, адже голосування на виборах – таємне?

Треба просто враховувати вимоги безпеки. Коли вона буде безпечною, коли, найголовніше, до такої системи буде довіра, тоді не буде проблем.

Окрім кібератак серед актуальних тем – будівництво державного мультиплексу, яке розпочалося на початку січня. Мета – покрити телесигналом понад 90% території України. Але сьогодні в Україні працює «Зеонбуд», який навряд чи може бути в захваті від конкуренції. Вони вам палиці в колеса встромляють?

Рішення щодо побудови цього мультиплексу ґрунтувалися на тому, що досить велика кількість прикордонних до Білорусі і Росії районів, регіонів поруч з окупованими територіями, не покриті сигналом. Агресор дуже велику увагу приділяє прикордонним районам. Наші громадяни безальтернативно змушені дивитися канали ворога, які накачані пропагандою – зараз вибору у них немає.

Тобто держава хоче розбити монополію приватної компанії на телевізійний простір?

Ціль держави – забезпечити громадян доступом до національного телебачення. При цьому створення мультиплексу відбувається не за державні кошти. Це кредит, який Концерн радіомовлення, радіозв'язку та телебачення, який входить в сферу управління Держспецзв’язку, повертатиме позичальнику.

Коли саме планується завершення будівництва мультиплексу?

Маємо запустити державний мультиплекс за шість місяців з моменту отримання коштів. Підготовчі роботи були проведені заздалегідь, тому стартували ми доволі оперативно. На київській вежі вже встановлено перший ретранслятор майбутнього мультиплексу. Паралельно тривають закупівлі обладнання. Поки що йдемо за планом й сподіваємося, що постачальники також не підведуть, адже світ все ще страждає від дефіциту комплектуючих.

Є ще питання про розробку для військових, месенджера «Розмова». На якому етапі його впровадження відбувається?

Цю програмку розробили за власною ініціативою фахівці Держспецзв'язку, вона активно тестується. Спеціальна робоча група у себе на смартфонах встановила необхідний додаток, вивчають його. Цього року можемо запустити. Потрібно буде ще розгорнути серверну платформу. Унікальність програми в тому, що усі її технологічні компоненти перебувають під контролем Держспецзв'язку. Тобто інформація не гуляє по інших серверах у світі. Це буде корпоративний месенджер, в якому основний приціл зроблено на надійність.

В ООН, у Єврокомісії використовують Signal, безплатну систему, якій довіряють провідні країни. Для чого було вигадувати український месенджер, коли подібний уже є? Чому йому не довіряєте?

Тут питання довіри. Я можу використовувати і Signal, і Telegram. Але чому до Telegram часто питання виникають у користувачів? Тому що люди знають, що сервери того, чи іншого месенджера розташовані за кордоном Чому створили? Бо є необхідність корпоративного спілкування. Наприклад, в середині Держспецзв'язку це буде корпоративний месенджер.

Хто ще використовуватиме «Розмову»?

Ми готові будемо запропонувати месенджер для використання особовим складом органів сектору безпеки та оборони та використання у службових цілях органами законодавчої та виконавчої гілок влади.

А звідки у вас переконання, що до української розробки буде більше довіри, ніж до програм для комунікації, які вже існують?

У Швейцарії військовослужбовцям заборонили використовувати WhatsApp, Telegram, Facebook. Вони використовують програму Threema. «Розмова» така ж зручна як і інші месенджери. Може, якихось нюансів немає, але це питання подальшого доопрацювання.

Дозвольте наостанок запитання про нашу енергетичну безпеку. Нині можлива ескалація конфлікту з Росією. Днями в Казахстані, Узбекистані, Киргизстані сталося масштабне відключення електроенергії. На тлі нещодавньої кібератаки і згадуючи досвід атак на нашу енергосистему кілька років тому, наскільки ймовірним є новий напад на наш енергосектор? Чи були нині якісь спроб і яким чином ми готові захищатися?

Так, у 2015 році у нас був сумний досвід з вірусом BlackEnergy. Наш енергетичний сектор зробив відповідні висновки відтоді. З усіх секторів саме енергетичний сектор, після фінансового, є технологічно і кадрово найбільше готовий до кібератак. За останні роки у них створено власний центр кібербезпеки. Я вважаю, що в цьому плані Україна готова до викликів, до кібератак. Але сподіваюся, що вони не повторяться.

Михайло Глуховський, «Главком»