Хакерська атака на найбільшого в Україні мобільного оператора «Київстар» 12 грудня залишила 24 мільйони абонентів без зв’язку. Хоча спочатку збій обіцяли виправити за лічені години, врешті-решт на відновлення роботи «Київстару» знадобився тиждень, а наслідки та перебіг цієї атаки досі до кінця не зрозумілі.
Ексзаступник голови Держспецзвʼязку Віктор Жора розповів ProIT подробиці про хакерську атаку на «Київстар» і про те, як відбувалася робота з усунення її наслідків. А також про стан української кібербезпеки загалом і виклики, які стоять перед операторами інформаційної інфраструктури в умовах кібервійни.
– Розкажіть про технічну сторону атаки на «Київстар». Як відбувалася робота з відновлення та хто стоїть за зламом?
– Всі інсайди є у команд реагування, які допомагали «Київстару» розслідувати цей інцидент і відновитися. Це команда CERT-UA, Департамент кібербезпеки СБУ і, звісно, внутрішня команда кібербезпеки самого «Київстару».
У процесі реагування на інцидент зібрані всі важливі цифрові докази, щоб з’ясувати обставини атаки, яким чином було здійснене проникнення у середовище мережі, як далі відбувалося руйнування сервісів та інфраструктури. Ці команди і мають остаточно підтвердити, хто за цим стоїть, тобто завершити фінальну атрибуцію. Попередня атрибуція, яка була оприлюдена в телеграм-каналі «Солнцепек», із дуже високою ймовірністю вказує на угруповання Sandworm, що асоціюється із гру рф.
Я думаю, що врешті ми отримаємо фінальний звіт і дізнаємося реальні причини та деталі цього інциденту. Тобто отримаємо підтвердження тих версій, які були вже озвучені.
– А коли має бути оприлюднений цей звіт?
– Зазвичай дедлайни не встановлюються. Це копітка робота дослідників, яка не є регламентованою. Але з урахуванням критичності та масштабу цього інциденту і того факту, що він фактично вплинув на можливість спілкуватися для величезної кількості людей і був дуже публічним, я думаю, що цей звіт з’явиться якнайшвидше. Як тільки будуть отримані перші висновки, скоріш за все, вони будуть оприлюднені або самим «Київстаром», або уповноваженими державними органами. Тож ми всі очікуємо на докладний звіт щодо цього інциденту.
– Яким, на вашу думку, був алгоритм зламу і як довго треба було готуватися до такої масштабної атаки?
– Стосовно алгоритму зламу, то не хотів би спекулювати на цьому, не розуміючи усіх технічних деталей розслідування, але вважаю, що версія стосовно використання скомпрометованого облікового запису, озвучена керівництвом компанії, може мати місце.
Тривалість підготовки до такої атаки залежить від «якості» початкового доступу. Якщо він є сталим і високорівневим, то далі значення мають масштаб і скритність просування всередині мережі. У такому випадку підготовка до операції може тривати тижнями. Якщо початковий доступ треба здобувати «з нуля», то закріплення, планування і подальша реалізація атаки можуть займати і місяці.
– Чи призвела ця атака до витоку даних, крадіжки особистої інформації клієнтів «Київстару»?
– Мені про це нічого не відомо, і в будь-якому разі підтвердити факт витоку може тільки власник або розпорядник інформації. Тобто якщо десь з’являється повідомлення про витік і якийсь масив даних, власник може пересвідчитися в їх автентичності й публічно про це заявити. Це єдиний можливий сигнал на підтвердження того, що такий витік стався. Поки що такої достовірної інформації я не зустрічав, окрім якихось незрозумілих скриншотів у телеграм-каналах.
Ми неодноразово стикалися з тим, що навіть дані, які викладені у даркнеті або на якихось форумах, носили характер компіляції з якихось старих виборок для того, щоб здійснювати таким чином певний інформаційний вплив. Тобто у нас не тільки кібервійна, а ще й інформаційна війна.
– І психологічна.
– Саме так. І використання кіберскладової є дуже активним саме в інформаційно-психологічних операціях ворога.
– Чому СБУ відкрило кримінальні провадження за фактом атаки на «Київстар» за статтями, які стосуються більше шпіонажу та диверсії, аніж кібератаки? Чи означає це, що зловмисникам допомагав хтось ізсередини?
– Правоохоронні органи мають практику відкриття проваджень за кількома статтями, щоб мати змогу провести перевірки усіх версій. Врешті залишаються найбільш вірогідні. Версія стосовно можливого інсайдера, яка обговорювалась у спільноті, повинна пройти ретельну перевірку.
– У «Київстарі» оцінили збитки від хакерської атаки у мільярд гривень. Наскільки ця сума може відповідати дійсності?
– Тільки сама жертва може оцінити обсяг втрат, яких зазнав бізнес. Але якщо порахувати складові, з яких формується цифра збитків, то це, по-перше, неотриманий прибуток від надання послуг, це компенсації клієнтам, які не отримали послуги, а також видатки на розслідування і відновлення інфраструктури.
Ми розуміємо, що там можуть бути задіяні сторонні компанії. Послуги цих сторонніх компаній теж не є безкоштовними в якихось випадках. Ну і, звісно, репутаційні втрати, які компанії зазвичай несуть у таких випадках. Тож мені здається, що озвучена цифра може бути дуже близькою до істини.
– Як ви оцінюєте роботу команди фахівців, яка працювала над відновленням зв’язку після атаки? Весь процес тривав тиждень, хоча спочатку заявлялося, що «Київстар» «оживе» вже за кілька годин.
– Відновлення роботи дуже сильно залежить від масштабу руйнувань та впливу на інформаційні системи. Відновлення всієї інфраструктури передбачає наявність резервних копій, які дають змогу відновити сервіси й дані, інфраструктуру. Там, де вони є, це відбувається швидше. Там, де їх немає або доступ до них ускладнений, це впливає на швидкість відновлення. Проте за моєю оцінкою, робота команд реагування є неймовірною, бо перші базові голосові сервіси були відновлені вже до кінця того ж дня, коли сталася атака.
Враховуючи складність інформаційних систем найбільшого оператора мобільного зв’язку України, мені здається, що це дуже швидко. Я особисто впродовж своєї більш ніж 20-річної кар’єри стикався з кількома кейсами відновлення інфраструктури після подібних інцидентів. Можу засвідчити неймовірний пресинг на команду, яка займається цією задачею, з боку клієнтів, які безумовно очікували та вимагали якнайшвидшого відновлення. З іншого боку, перед тим, як займатися відновленням, потрібно переконатися в тому, що ворога немає всередині мережі.
– Щоб цей інцидент не повторився через ті самі доступи, які отримав атакувальник перед реалізацією свого задуму?
– Так, а також команди реагування мали ще зібрати цифрові докази, лог-файли, проаналізувати всі дані, які можуть свідчити про ті чи інші технічні деталі цього інциденту. Тож команди займалися паралельно вирішенням трьох задач: збір даних для розслідування, ізоляція мережі, вичищення від імплантів хакерів і відновлення сервісів. З урахуванням такої комплексної роботи, яку проводила ця збірна команда, я вважаю, що вони впоралися на відмінно.
– Чи загрожує повторення хакерської атаки «Київстару» або іншим мобільним операторам?
– На жаль, ми не можемо цього повністю виключати. Однак сподіваюся, що, по-перше, і сам «Київстар» засвоїв усі уроки від цього інциденту й перелаштував свою багатоешелоновану систему безпеки та процеси, пов’язані з функціонуванням цієї системи, таким чином, щоб унеможливити подібні ситуації в майбутньому. І я сподіваюся, що інші великі оператори теж через цю атаку покращили свої процедури безпеки, а також розробили якісь додаткові плани гарантування зв’язку у випадках подібних інцидентів на майбутнє.
– Наскільки взагалі українські оператори захищені від хакерських атак?
– Телекомунікаційний сектор завжди був одним із найзахищеніших через критичність тих сервісів, які надають оператори зв’язку. Якщо брати сектори економіки, то телекоми поруч із банківською системою з 90-х років ретельну увагу приділяли питанням захисту інформації, кіберзахисту тощо. Але зрозуміло, що ті організації, які можуть бути віднесені до об’єктів критичної інформаційної інфраструктури, ті, які надають базові сервіси (так звані essential services) є найбільш ласою мішенню для хакерів, для ворога, тому вони перебувають у зоні найбільшого ризику.
Через це компаніям, які належать до критичної інформаційної інфраструктури, слід приділяти якомога більшу увагу питанням кіберзахисту. І держава в цьому повинна відігравати суттєву роль, пропонуючи, з одного боку, нормативні механізми цього захисту, а з іншого боку, стимулюючи інвестиції для операторів на відповідну інфраструктуру та кіберзахист. Водночас держава повинна мати надійні інструменти контролю за впровадженням тих чи інших механізмів захисту у таких організаціях.
– Які саме механізми варто впроваджувати українським операторам у кіберзахисті?
– Тут можу звернутися до досвіду, який у нас вже був, і згадати атаку на сайти органів державної влади 13-14 січня 2022 року. Тоді було зібрано засідання Ради національної безпеки і оборони, запропоновані швидкі рішення щодо покращення стану кіберзахисту. Однак більша частина з них не імплементовані, оскільки знайшли своє відображення у законопроєкті № 8077, який покликаний покращити стан наявної нормативно-правової бази.
Хочу нагадати, що ми досі в кібербезпеці працюємо у межах і на підставі Закону про основні засади забезпечення кібербезпеки від 2017 року. Тобто навіть ті рішення, які були запропоновані до початку повномасштабного вторгнення, не є вичерпними. Потрібно адаптуватися до сьогоднішніх реалій, а реалії зараз такі, що ми фактично перебуваємо всередині першої світової кібервійни. Рівень тих викликів, з якими зараз стикається Україна, є просто безпрецедентним. І рівень захисту від них має бути відповідним.
– А як ви оцінюєте поточний рівень захисту від кіберзагроз?
– Уже понад рік Держспецзв’язку як уповноважений орган влади займається в тому числі питанням кіберзахисту критичної інфраструктури. Тож питання загального кіберзахисту зрушило з місця. Раніше держава більше уваги приділяла захисту державних інформаційних ресурсів, а зараз вона розширюється в тому числі на приватних операторів критичної інфраструктури та критичної інформаційної інфраструктури.
– Можете назвати рекомендації з кібербезпеки, які варто вже зараз впроваджувати мобільним операторам?
– Стосовно того, що можна запропонувати, то це вимоги та рекомендації, як правильно захищатися, які процеси потрібно запровадити, які рішення потрібно впровадити в інфраструктурах, які фахівці мають бути, якими навичками вони мають володіти. І це все перегукується з рівнем розуміння важливості кібербезпеки з боку керівництва і рівнем інвестицій, які вони готові виділяти на це.
Ще у 2021 році був запропонований як рекомендації стандарт NIST Cyber Security Framework (CSF, рамковий стандарт Національного інституту стандартизації США). Зокрема, у згаданому законопроєкті пропонується зробити його обов’язковим для виконання певними категоріями операторів критичної інфраструктури. І так само пропонується надати право державі перевіряти дотримання цих вимог. Поки що це ніяк не унормовано, але принаймні такі пропозиції є.
– Бізнес часто нарікає на те, що держава не те що не допомагає із кіберзахистом, а скоріше навпаки заважає. Чи не наштовхнеться така законодавча ініціатива на опір з боку підприємців?
– Усі розуміють ризики, але у бізнесу немає під рукою гайдлайна, тобто конкретної методики, як будувати свою систему захисту, як захищатися. Тому, по-перше, суб’єкти національної системи кібербезпеки, Держспецв’язку, СБУ й інші колеги, які відповідальні за ці питання у фінансовій сфері, ведуть роз’яснювальну роботу.
По-друге, діє система раннього інформування про кіберінциденти та кіберзагрози MISP – до неї можна підключитися й отримувати в оперативному режимі дані щодо тих чи інших загроз або інцидентів. Таких систем існує щонайменше чотири, їх підтримує CERT-UA, ДКІБ СБУ, НКЦК, Національний банк. Також побудована система так званих security operation центрів, які теж обмінюються між собою інформацією.
У цілому ще до початку повномасштабного вторгнення в Україну в тому числі за рахунок залучення міжнародної технічної допомоги вдалося і підготувати фахівців, і побудувати базові потужності з кібербезпеки, і вдосконалити питання взаємодії. А вже під час повномасштабного вторгнення кіберстійкість є результатом спільних зусиль основних суб’єктів національної системи кібербезпеки, державних організацій і приватного бізнесу, який забезпечує власний захист, а також наших міжнародних партнерів і волонтерів, які надають всіляку допомогу у сфері кібербезпеки органам державної влади.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
