Несколько недель назад вирус Petya.A парализовал работу десятков крупнейших украинских компаний и банков. Специалисты по кибербезопасности называют атаку крупнейшей за всю историю независимости Украины. После этого СНБО выделил 250 млн грн на усиление Госслужбы специальной связи и защиты информации, отвечающей за безопасность органов власти и государственных критических объектов инфраструктуры. Там уверяют, что структуры, подключенные к их системе защищённого доступа к интернету, от вируса Petya.A не пострадали.
Зона без ответственности
Кто в Украине отвечает за кибербезопасность?
Сергей Прокопец, советник главы Госспецсвязи
— По законодательству каждое министерство, ведомство, предприятие само принимает решение, кого и как привлекать к киберзащите. Наше ведомство лишь помогает, даёт рекомендации, может подключить к нашей системе защищённого интернет-доступа, но только при условии, что тот или иной орган обратится к нам с инициативой.
То есть защита от киберугроз в Украине сугубо добровольная?
Прокопец: — Именно. А штраф за несоблюдение правил кибербезопасности в районе 500 грн, что можно сравнить со штрафом за переход улицы в неправильном месте. Очень часто к нашим рекомендациям не прислушиваются. В Украине даже нет закона о кибербезопасности, который бы дал ответы на вопросы о том, кто и за что отвечает в этой сфере. В принципе, есть движение по созданию единого Центра киберзащиты. Это наши люди, техника, которые будут координировать всех: и госорганы, и частные структуры.
Как вы считаете, кто защищён лучше — частный бизнес или государство?
Прокопец: — Сравнивать должны не мы. Мы готовы предоставлять самые современные средства защиты. Вообще, мы за то, чтобы бизнес активно участвовал в этом, мы сотрудничаем с компаниями в области антивирусной защиты.
Николай Худынцев, замруководителя Госцентра киберзащиты и противодействия киберугрозам
— Если есть необходимость корректировки вопросов кибербезопасности в масштабах страны, то существует механизм участия общественных организаций в разработке планов защиты, в том числе при общественном совете Госспецсвязи. А так у нас есть частные компании, которые активно участвуют в процессе киберзащиты и здорово помогают.
Защитная сетка
Если происходит связанное с кибератакой ЧП, то каков ваш алгоритм действий?
Худынцев: — У нас есть протоколы взаимодействия, которые включаются в момент киберинцидента. Как правило, сообщение от пострадавшего попадает в СБУ. Те обращаются к нам, в Центр киберзащиты. Мы подключаемся на уровне технических вопросов, выдачи рекомендаций по ликвидации последствий. Если в ходе расследования выявляется уголовное преступление, то дело открывает либо сама СБУ, либо полиция.
Прокопец: — Наша задача состоит в том, чтобы предупредить тех, кто в нашей зоне ответственности, найти способ борьбы с атакой, дать рекомендацию, как ликвидировать последствия.
Часто ли объекты атаки не сообщают вам о ЧП, стараясь его замять?
Прокопец: — Если это государственное ведомство, то оно обязано сообщить нам и в СБУ. К сожалению, часто об этом либо не сообщают, либо до последнего умалчивают, а когда сообщают, то помогать фактически нечем. И это огромная проблема. К тому же о кибератаках не обязаны сообщать те предприятия критической инфраструктуры, которые находятся в частных руках. Они молчат, а последствия ощущает вся страна.
Худынцев: — Но ситуация меняется. Уровень затрат собственников этих систем на возобновление их работы настолько высок, что они начинают понимать: быстрое информирование — это важный момент для устранения последствий.
То есть системы мониторинга за такими объектами в режиме реального времени нет?
Худынцев: — Реализована Система защищённого доступа к сети интернет (СЗДИ) для госорганов и госпредприятий. К ней подключены порядка 150 органов власти — СБУ, НАБУ, МИД, АП, центральные и региональные органы на уровне обладминистраций и некоторые стратегические воинские части.
Это локальные сети, которые имеют свои точки выхода в интернет?
Худынцев: — Да. При этом трафик проходит проверку на вредоносные коды, есть защита от Ddos-атак, функция защиты сервисов электронной почты. Для таких систем риски заражения вирусом на порядок ниже.
Прокопец: — Это было продемонстрировано во время последней атаки: ни одно из предприятий, которое находится в этом периметре, не пострадало. Это уже результат. В прошлом году при поддержке руководства страны мы провели модернизацию существующей системы до самого современного уровня. Таких систем в мире считаные единицы, они находятся в распоряжении наиболее развитых стран мира.
Но как же объекты критической инфраструктуры вроде электростанций?
Прокопец: — Большая часть таких объектов находится в частных руках, например, облэнерго. Так что это вопрос их доброй воли и инициативы. Конечно, мы не настаиваем, чтобы подключались только к нам, есть ещё коммерческие провайдеры, которые осуществляют эту деятельность. Но нельзя же в условиях войны жить по понятиям мирного времени. Вот скажите, является ли устаревшим требование мыть руки перед едой? Так и с кибербезопасностью: есть вещи, которые универсальны и обязательны.
Какие инструменты защиты от киберугроз вы планируете внедрить?
Худынцев: — Например, систему автоматического действия, когда осуществляется не только защита доступа к системам, но и защита её внутренних ресурсов. Это позволяет проводить мониторинг, собирать телеметрические данные, реагировать в полуавтоматическом или автоматическом режиме даже не на внедрение вирусов в систему, а уже на этапе нетипичного поведения оборудования. Это даёт понимание того, пытается ли кто-то выудить из вашей системы ключевую информацию — логины, пароли и так далее, или же это просто неправильно настроены почтовые серверы, которые позволяют обмениваться информацией, содержащей угрозы для дальнейшего внедрения вирусов.
Прокопец: — Кроме прочего, у нас есть система экстренного оповещения о киберугрозах. Это закрытая информация, и раньше она распространялась только на центральные государственные органы. Мы приняли решение расширить её на весь госсектор и предприятия критической инфраструктуры вне зависимости от формы собственности. Система будет оповещать на электронную почту, в мессенджеры в случае возникновения первых признаков угроз.
Какие источники угрозы создают больше всего проблем — случайные хакеры, аполитичный криминал, целенаправленные атаки государства-агрессора?
Прокопец: — Это не компетенция Госспецсвязи определять, кто является заказчиком и исполнителем кибератак. В тех атаках, которые чаще всего происходят, киберпреступники используют весь арсенал, находящийся в их распоряжении. Нельзя выделить что-то конкретное.
Как вы оцениваете эффективность реакции на недавнюю кибератаку с вирусом Petya.A?
Прокопец: — Мы не можем повесить себе медаль, но нам удалось локализовать события. Есть ряд серьёзных вещей, которые оставим пока за скобками.
Человеческий фактор
Очень часто в госучреждениях на получении почты сидят секретари, которые открывают сотни писем, не разбираясь в вопросах безопасности. Что делать с ними?
Прокопец: — Мы постоянно предоставляем рекомендации на наших ресурсах о мерах профилактики, как избежать заражения. Госспецсвязь не может дойти до всех и каждого.
Худынцев: — Более того, любая хакерская атака начинается с внедрения и изучения поведения пользователей в интернете: куда ходят, на что нажимают, как получают и открывают письма. Всё начинается с того, что человек получил от знакомого или незнакомого человека ссылку, посмотрел что-то на непонятном сайте, что-то случайно нажал. Дальше происходит внедрение в систему. Компьютеры этих пользователей могут быть использованы для Ddos-атаки, и их владельцы даже знать об этом не будут. Для пользователя в госучреждении такое поведение является критически опасным.
Вы наверняка знаете, что даже системные администраторы на предприятиях не блещут высоким уровнем грамотности в сфере кибербезопасности. Почему?
Прокопец: — Да, в целом уровень элементарной цифровой грамотности невысок. Потому что до начала боевых действий это не являлось вопросом №1. Проблемы, конечно, были, но они не касались массы людей. Теперь это зона развития, которую мы должны пройти быстро. Украина находится в состоянии перманентной киберугрозы, в эпицентре гибридной войны. Человечество вошло в цифровую эру, нам нужно учиться жить в реалиях, которые предусматривают элементарные правила цифровой гигиены. Потому что человеческий фактор всегда может сыграть злую шутку даже с самыми совершенными системами защиты.
Худынцев: — Сравните с Эстонией, когда практически все информационные системы страны легли после определённых политических событий (в 2007 году, после переноса монумента «Бронзовый солдат», в результате кибератаки органы власти, банки, медиа, предприятия всей Эстонии были парализованы в течение нескольких дней. — Фокус). Там государство сделало технические выводы, направив усилия на создание систем защиты от подобных угроз. Сейчас Эстония одна из лидеров в сфере кибербезопасности.