На самом деле в Украине это никогда не прекращалось. Российско-украинская кибервойна, если вести отсчет с 2014 года, может иметь свою периодизацию, свои горячие фазы, особенности (нападения россиян часто происходили на какие-то государственные праздники), паузы. И, к слову, видимые последствия атак у нас всегда ликвидируют в течение двух-трех дней.

Кибератака, которая состоялась с 13 на 14 января, особенна тем, что это – первая столь масштабная операция уже во времена новой власти. В конце концов, это был хоть и дорогой, но оптимальный способ напомнить топ-чиновникам то, что уже десять лет закреплено в документах НАТО: киберпространство – новое пространство боевых действий. Последняя атака – словно пробный камень наших возможностей на фоне разговоров о вероятном наступлении Кремля. Неофициально, в соцсетях, дискуссиях, ютуб-каналах у профессионального сообщества не возникает сомнений в «российском» происхождении атаки.

Сегодня, когда работа веб-ресурсов возобновлена, мы обсуждаем событие с заместителем председателя Государственной службы специальной связи и защиты информации Украины по вопросам цифровой трансформации и цифровизации Виктором Жорой.

КИБЕРАТАКИ – ЧАСТЬ БОЛЬШОЙ ИНФОРМАЦИОННО-ПСИХОЛОГИЧЕСКОЙ СПЕЦОПЕРАЦИИ ПРОТИВ УКРАИНЫ 

– События, которые произошли с 13-го на 14-е, – это разморозка кибервойны, ведь почти два года не было масштабных инцидентов?

– Это продолжение киберагрессии, которую мы наблюдаем на протяжении последних восьми лет, и опыт этих лет позволяет нам говорить, что эта кибератака может быть только первой фазой. Подобные инциденты – это больше, чем просто кибератаки. Это – часть большой информационно-психологической спецоперации против Украины.

– Что известно об атаке? Как она происходила? Кажется невозможным, что все началось 13 января – и сразу упало 70 сайтов. Наверняка ведь «малварь» или ее какой-то «имплант» сидели в государственных системах раньше, и на 13-е их только запустили?

– У нас достаточно подтверждений, что доступ к инфраструктуре компании, которая предоставляла услуги по администрированию сайтов, был получен раньше, а злоумышленниками была подготовлена дальнейшая операция, дальнейшие действия. Мы продолжаем изучение логфайлов и данных, которые мы собрали из инфраструктуры этой компании, для того, чтобы определить точную дату.

Мы имеем подтверждение, что работала не одна группа хакеров, каждая из которых занималась «своим» веб-сайтом, «своим» ведомством.

Проще говоря, заранее была протоптана тропа, которой затем, в ночь с 13 на 14 января, воспользовался хакерский отряд. В то же время мы понимаем, что большая часть деструктивных действий относительно нашей инфраструктуры была осуществлена в течение короткого периода, собственно – за несколько ночных часов 14-го января.

– Во время расследования прозвучали разные версии: что атака была осуществлена через разработчика многих хакнутых сайтов Кitsoft, через плаформу October CMS. Майкрософт пишет о вирусе-вымогателе… Что о нем уже известно? На какие атаки, уже пережитые Украиной, это было похоже?

— Как уже заметили многие аналитики, во многом эта атака похожа на атаку NotPetya, которая состоялась 27 июня 2017 года (тогда, по разным оценкам, ущерб достигал более 400 млн долл, а в результате атаки было выведено из строя более двух тысяч компьютеров. — ред.). Об этом свидетельствует и схема реализации атаки, а именно – атака на цепочку поставок (supply chain) и использование программного обеспечения, которое маскируется под шифровальщик-вымогатель, но на самом деле является вайпером, то есть программой, которая уничтожает данные на пораженных рабочих станциях и серверах.

Действия, которые мы наблюдали во время атаки, дают нам все основания утверждать, что они были частью одной комплексной атаки, в рамках которой использовались и дефейс сайтов, и уничтожение данных с помощью специальной программы-вайпера, и ручное уничтожение внешней инфраструктуры ряда министерств и ведомств.

РАССЛЕДОВАНИЕ АТРИБУЦИИ И ОКОНЧАТЕЛЬНОЕ ВЫЯСНЕНИЕ, КТО ИМЕННО И КАКИМ ОБРАЗОМ ОСУЩЕСТВИЛ ЭТУ АТАКУ, ЕЩЕ ПРОДОЛЖАЕТСЯ

– В отчете Microsoft говорится: «Мы не знаем, на каком этапе операционного цикла этот вирус сейчас находится, а также сколько других организаций в Украине или других регионах могли быть поражены вследствие его действия». То есть, по факту мы не знаем глубины проникновения и объемов поражения? А если так, то сможем ли мы предупредить вероятные опасности?

– Майкрософт действительно изложил лишь ту часть технического анализа, которая была доступна на 16 января. Позже подробное расследование было опубликовано Cisco Talos в своем блоге. Мы, имея образцы этого вредоносного программного обеспечения, со своей стороны тоже провели основательное расследование относительно использования этого вредоносного ПО в рамках атаки. Его результаты обнародованы на сайте правительственной команды реагирования на чрезвычайные компьютерные события CERT-UA. Однако расследование и окончательное выяснение, кто именно и каким образом осуществил эту атаку и несет ответственность за ее организацию, еще продолжается.

То есть, несмотря на безусловно имеющиеся факты относительно происхождения этой атаки, мы продолжаем собирать неопровержимые доказательства причастности страны-агрессора к атаке.

– Понятна ли конечная цель нападающих? Какие у вас версии?

– Мы рассматриваем эту атаку как часть большой информационно-психологической спецоперации, которая имеет несколько целей. Первая — дезинформация, попытки поссорить нас с нашими стратегическими партнерами – с Республикой Польша – путем размещения на веб-сайтах провокационных материалов и через поставленный в координатах картинки т.н. false flag, то есть ложный флаг, который якобы должен был бы указывать на то, что эту картинку подготовили в Варшаве. Это сразу отслеживается, и такие попытки фактически шиты белыми нитками. Мне кажется, что эта часть операции была неуспешной. 

Вторая – это демонстрация силы, демонстрация того, что кибероперации могут быть использованы в Украине в значительно большем масштабе и способны сопровождать потенциальную военную агрессию. Атака также имела целью нанесение как можно большего ущерба инфраструктуре. В противном случае нападавшие ограничились бы дефейсом сайтов, однако они пошли дальше и попытались уничтожить данные и ІТ-инфраструктуру.

И третья цель – дестабилизация ситуации в стране, сеяние хаоса, раздора и неуверенности общества в способности власти защитить государственные информационные ресурсы. Собственно, с этим я связываю все инсинуации относительно возможной утечки данных, искажения данных в реестрах, относительно масштаба последствий кибератаки и т.д. Сейчас мы продолжаем наблюдать уже непосредственно информационную часть этой операции. 

— А не может быть такого, что они тестировали наши сайты, чтобы потом хакнуть SCADA-системы объектов критической инфраструктуры?

— Мы уделяем вопросу защиты критической инфраструктуры и, в частности, в сфере энергетики очень большое внимание. Несколько лет назад у Украины уже был печальный опыт атак на энергетическую инфраструктуру. И мы понимаем, что в случае полномасштабной агрессии их могут сопровождать кибератаки на такие объекты. Я не хотел бы нагнетать ситуацию, которая и без того достаточно сложная. Но, конечно, мы ожидаем дальнейших шагов. Впрочем, я все же хотел бы надеяться, что атака будет одиночной, за ней не последуют более существенные.

На данный момент органы власти вместе с субъектами национальной системы кибербезопасности восстанавливают веб-сайты и IТ-инфраструктуру многих ведомств. Восстановлен доступ к реестрам, которые не работали определенный период времени. То есть, фактически, можно сказать, что фаза обновления нами уже отработана. Сейчас на полном ходу идет фаза расследования, очень важная ввиду необходимости проведения атрибуции, то есть определения тех, кто непосредственно ответственен за организацию и проведение этой кибератаки.

КАЖДЫЙ ГРАЖДАНИН, ГОССЛУЖАЩИЙ, ОФИСНЫЙ РАБОТНИК ДОЛЖЕН ПОНИМАТЬ, ЧТО ОН ЯВЛЯЕТСЯ ПОСЛЕДНИМ ЗВЕНОМ КИБЕРБЕЗОПАСНОСТИ

— Давайте вспомним все то, что происходило следующие три дня после атаки. В пятницу целью были сайты министерств, в субботу – КВЦ «Парковый», весь центр Киева час-два был без интернета…

— Мы действительно фиксировали ряд текущих атак, происходивших в течение следующих трех дней после кибератаки 14 января на ведомства, которые пострадали в результате ночной кибератаки. С одной стороны, это дает нам основания утверждать о продолжении атаки. А с другой, мы не можем исключать, что это может быть совпадением.

— Я помню, что после атаки NotPetya (тоже довольно разрушительной) представители фирмы Медок ходили по всем конференциям по безопасности, извинялись, объясняли. Кто-то будет извиняться после этой атаки?

– Расследование, которое проводят правоохранительные органы, установит всех ответственных. Я искренне надеюсь, что оно даст ответы на вопрос, каким образом злоумышленники смогли проникнуть в инфраструктуры министерств и ведомств Украины, чтобы нанести ущерб государственным информационным ресурсам. Но на самом деле последняя атака должна быть звоночком для каждого человека.

Государство должно обеспечить финансирование и организацию киберзащиты государственных информационных систем и объектов критической информационной инфраструктуры. Однако каждый гражданин, госслужащий, офисный работник должен понимать, что он является последним звеном в вопросах кибербезопасности. Насколько сложный пароль использует, открывает ли вложение от незнакомых людей, как часто меняет пароль, делает ли резервные копии, использует ли лицензионное ПО, использует ли менеджер паролей, двухфакторную идентификацию, выполняет ли базовые правила кибергигиены. Когда понимание собственной ответственности будет у каждого гражданина, нам будет значительно легче осуществлять киберзащиту, а гражданину — контролировать защиту органов государственной власти.

— Ну, да. Но людей сначала надо научить.

– Безусловно. У Министерства цифровой трансформации много просветительских инициатив в области кибергигиены. Минцифры готово запустить функцию єЗахист, которая содержит рекомендации для каждого гражданина в сфере кибербезопасности. Есть много онлайн-курсов, видео, которые помогают повысить грамотность. Безусловно, такая подготовка должна осуществляться, начиная с детского сада.

— Кто помогал в ликвидации последствий? Обычно ночью с нами работали партнеры со своими «тайными чемоданчиками». Кто был на этот раз? Были ли у нас партнеры?

– Обновлением подавляющего большинства инфраструктур и обслуживанием сайтов занимались специалисты министерств и органов исполнительной власти и государственных учреждений. Максимальная помощь им была оказана со стороны Госспецсвязи, Службы безопасности Украины, киберполиции, разработчика веб-сайтов, Министерства цифровой информации. Это была слаженная работа основных субъектов национальной системы кибербезопасности вместе с ответственными лицами министерств и ведомств. 

Госспецсвязи предложили действительно широкую помощь: и наши иностранные партнеры, и коммерческие структуры, специализирующиеся на кибербезопасности. Мы очень благодарны и ценим эти предложения помощи. Ряд компаний, с которыми у нас заключены меморандумы о сотрудничестве, были привлечены для получения дополнительной информации о киберинциденте. Так же мы ведем коммуникацию с международными партнерами. Надеюсь, что это сотрудничество, во-первых, позволит нам собрать как можно больше цифровых доказательств, провести как можно более тщательное расследование этой кибератаки. Во-вторых, позволит нам сделать качественную атрибуцию и выйти с официальными заявлениями относительно установления «спонсоров» кибератаки. Гражданам Украины важно понимать риски и последствия, к которым могут приводить кибератаки, видеть способность и возможность государства противостоять таким вызовам.

И важно это не только для нас, но и для международного сообщества, поскольку кибербезопасность – это глобальный вопрос, вопрос международного сотрудничества. И мы прекрасно понимаем, что Украина – не единственное государство в мире, против которого осуществляются атаки такого уровня и интенсивности. В то же время мы хотим, чтобы наши партнеры также были в безопасности и были проинформированы о методах, которыми могут быть атакованы инфраструктуры этих стран.

НАД БЕЗОПАСНОСТЬЮ «ДІЇ» РАБОТАЕТ КВАЛИФИЦИРОВАННАЯ КОМАНДА СПЕЦИАЛИСТОВ ПО КИБЕРЗАЩИТЕ

— Вопрос о портале и мобильном приложении «Дія».

Ряд СМИ сообщил, что в результате атаки «Дія» была тоже взломана, а часть персональных данных украдена. Киберполиция это отрицает. Между тем в даркнете предлагают за десятки тысяч долларов архив украденных данных, часть из которых якобы из «Дії».

«Дія» все-таки стала частью нашей жизни. Но не являются ли заявления о ее безопасности несколько преувеличенными? Ваши коллеги, в чем-то критики, делают аналитику, где приводят уязвимости «Дії», и эти выводы будут обнародованы.

– Мы должны понимать, что безупречного программного обеспечения не существует. Но вопрос в том, сколько внимания мы готовы уделять построению тех или иных инфраструктур, насколько безопасной является разработка.

На данный момент того, что вы назвали аналитикой относительно уязвимости, нет. Но если будет, то с интересом посмотрю на нее. Над безопасностью «Дії» работает квалифицированная команда специалистов по кибербезопасности. Кроме того, объявлен открытый поиск уязвимостей, в котором могут принять участие специалисты, и мы будем готовы обсуждать и при необходимости учитывать результаты их работы. Что касается архива, который продается, то, по моему убеждению, продается так называемая «склейка». То есть когда старые данные (данные старых утечек) скомпилированы с новыми, происхождение которых еще надо установить. И я был бы очень осторожен в утверждении, что эти данные происходят из той или иной системы.

Но важно другое. Публикация этих дампов (баз) на форумах с целью продажи свидетельствует о том, что настоящие организаторы атаки хотят подать ее как коммерческую историю. Якобы эти данные украли с целью продажи, и конкретное государство, которое, скорее всего, таким образом продолжает свою агрессию, здесь ни при чем.

— Я недавно слушала подкаст, в котором специалисты анализируют атаку и вероятность поражения «Дії». Это был не политический, а больше технический разговор. Они не предполагали, что на «Дію», которая является, по сути, «тоннелем» от реестра к вашему смартфону, поставили вредоносное ПО и воровали персональные данные. Хотя теоретически такое возможно. Они предполагают, что «Дія» хранит некие кэшированные фрагменты запрошенных данных, которые можно украсть. Может, лучше сделать коллаборацию и без раздражений и взаимной борьбы вместе всем обществом ее как-то «фиксить»? Есть у вас рефлексии, план на улучшение?

– Мы приглашаем к сотрудничеству всех специалистов в сфере кибербезопасности, которым это интересно, и для которых это важно. И они откликаются. Они не очень известны публичной общественности, не афишируют своего сотрудничества, но в наших кругах их хорошо знают.

Все системы, которые пострадали в результате атаки, были переведены на новую более совершенную инфраструктуру, и они будут соответствующим образом защищены. Также мы понимаем, что это не только вопрос того или иного приложения или веб-сайта. Это целый комплекс проблем на пересечении кибербезопасности, вопросов кадрового обеспечения, финансирования проектов по кибербезопасности, кибергигиены. Поэтому мы оперативно наработали пакет мер и вынесли его на рассмотрение СНБО. Параллельно мы работаем над законодательными изменениями, чтобы в дальнейшем исключить атаки или минимизировать последствия.

Лана Самохвалова, Киев