Що сталося з «Київстаром» та чи варто очікувати атак на інших операторів?
2 хв.

Що сталося з «Київстаром» та чи варто очікувати атак на інших операторів?

author avatar Костянтин Корсун
Засновник | CERT-UA. Експерт з кібербезпеки, у 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ.

Спокійно, громадяни, давайте розберемося, що ж сталося з «Київстаром» і чого чекати в подальшому, а також ще із кількома неочевидними висновками.

По-перше, як вже багато хто зазначив, роль кібербезпеки не слід применшувати. А то кібербезпека применшить тебе. Або когось іще.

По-друге, хакнути можуть кого завгодно – питання лише у кількості ресурсів, грошей, фахівців та часу атакувальника. Кіберкоманда «Київстару» є однією з найпотужніших в Україні, але навіть їх змогли серйозно просадити. А ти досі користуєшся рашистським Телеграмом, поставив примітивний однаковий пароль на всі акаунти й мультифактор не включив.

По-третє, подібні кібероперації готуються місяцями (інколи – роками) й охоплюють соцінженерію, ботнети, дорогезних вузькоспеціалізованих фахівців, ще більш коштовні експлоїти, а бюджети подібного класу операцій можуть обліковуватися у мільйонах доларів.

Тому подібні атаки – це дорогий штучний товар, він апріорі не може бути масовим. Особисто я не чекаю аналогічних сценаріїв в інших українських операторів. Їх атакують сотні разів на день 24/7, просто це геть не публічна інформація. Іншу критичну інфраструктуру неодмінно будуть атакувати, питання лише «коли» і «які будуть наслідки».

У сучасному світі не можна сподіватися, що тебе не хакнуть. Хакнуть обов’язково, якщо сильно захочуть. Головне – готуватися до наслідків, точніше до їх мінімізації. Мати підготовлений план В, план С і план D. Disaster&Recovery Plan. Ось у чому полягає сучасний професійний підхід.

Наскільки все це було застосовано компанією «Київстар» – побачимо по швидкості відновлення. Думаю, «голос» відновлять відносно швидко, передачу даних – пізніше, все інше – потім. Відновити можна практично всю інфраструктуру, навіть якщо ракета прилетіла в дата-центр, аби люди не постраждали.

До речі, ЙР дуже сильно намагалася «покласти» всіх українських операторів та провайдерів у лютому-березні 2022 року, але не змогла. І тому, що до атак готувалися, і тому, що ЙР «пропиляла» усі гроші, сподіваючись на «Київ за три дні».

І ще тому, до речі, що українська індустрія доступу до Інтернету майже повністю приватна і досі ніяк не регулюється державою, завдяки чому зберігає дивовижну відновлювальноздатність (resilience). І так, «націоналізація «Київстару» – погана ідея.

А керівникам та CISO великих компаній я б порадив прямо зараз змінити паролі доступу до контроллера доменів, до корпоративного VPN, пропатчити усе, що патчиться, а потім замовити аудит безпеки інфраструктури. Це першочергово.

А потім провести тренінги з персоналом та окремо спеціалізований тренінг із кібербезу – для ІТ-фахівців. Тому що – о диво! – досить часто ІТ-фахівець ніц не шарить у кібербезпеці.

І трохи позитиву наостанок.

Рік тому ми усі взагалі сиділи не тільки без будь-яких мобільних операторів, а взагалі у темряві – від кількох годин до кількох діб. Я книжки читав, наприклад.

І нічо, вижили якось.

Головне, щоб ЗСУ продовжували свою тяжку героїчну роботу.

Все інше – менш важливо.

«І це також пройде».

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.