Есть те, кого "взломали", и те, кто об этом еще не знает - эксперт по кибербезопасности

communications infrastructure Копірайт зображення Getty Images
Image caption Если в 1917-м Ленин советовал "ценой каких угодно потерь удержать телефон, телеграф, железнодорожные станции и мосты", то сейчас достаточно "сломать" сайт госучреждения

Мир наблюдает за развитием "хакер-гейта" в США, спецслужбы которых обнародовали доклад о возможном влиянии Кремля на президентские выборы. Между тем в Украине пытаются разобраться с хакерскими нападениями на государственные и инфраструктурные объекты.

Год назад несколько украинских областных энергораспределительных компаний стали жертвами кибератаки. В результате 80 тыс. потребителей остались без электроэнергии.

Наиболее масштабным по результатам оказалось нападение на "Прикарпатьеоблэнерго". Тогда в течение нескольких часов были обесточены десять районов Ивано-Франковской области.

В январе прошлого года Государственная служба спецсвязи и защиты информации сообщила о попытке "инфицировать" компьютеры международного аэропорта "Борисполь" вирусом, который использовался при нападениях на энергокомпании.

В декабре 2016 года кибернападениям подверглись Государственное казначейство, Министерство финансов и Пенсионный фонд. В результате на несколько дней были заблокированы бюджетные платежи в сотни миллионов гривен, а сайты Минфина и казначейства не работали.

Копірайт зображення MINFIN.GOV.UA
Image caption Так выглядела страница Министерства финансов во время хакерской атаки в начале декабря 2016 года

6 декабря Минфин, пользуясь общим правительственным порталом, сообщил, что это была "профессиональная хакерская атака" и "проводится оперативное восстановление систем, чтобы избежать возможных задержек с платежами".

На следующий день правительство выделило Минфину и Казначейству по 40 млн грн. на каждое ведомство на усиление IT-системы. Речь шла о закупке системы защиты сетевого оборудования и защиты хранения данных.

О том, есть ли связь между этими нападениями, насколько они опасны, и как от них защититься, ВВС Украина обсудила с Егором Аушевым - основателем и руководителем Information Security Group, а также советником руководства Государственной фирмы "Укринмаш".

Копірайт зображення Yegor Aushev

ВВС Украина:Год назад хакеры атаковали украинские энергетические компании, месяц назад - главных распорядителей бюджетных средств. Можно ли говорить о некоем поиске "слабых мест" в жизненной инфраструктуре, от деятельности которой зависят сотни тысяч украинцев? Есть ли у этих нападений закономерность? Или это случайные нападения?

Егор Аушев: Кибернападения на жизненно важные для Украины объекты инфраструктуры продолжаются уже по меньшей мере третий год.

Нападения на украинские энергетические компании в конце 2015 - начале 2016 года, на Министерство финансов, Государственное казначейство и Пенсионный фонд 6-го декабря 2016 года ни в коем случае нельзя рассматривать как случайные.

Идет целенаправленное использование усовершенствованных хакерских технологий, которыми владеет Россия, которые представляют серьёзную угрозу для интересов нашей страны.

В этих конкретных случаях речь идет даже не просто о шпионаже или хакерском криминалитете с целью незаконной наживы. Это настоящие акции диверсии и саботажа на критически важных составляющих инфраструктуры.

О неслучайности этих акций свидетельствует тот факт, что несмотря на временную разницу между этими нападениями, они имеют много схожего в использовании хакерского инструментария и последовательности действий.

Это означает, что атаки осуществляет одна и та же хакерская группа, которая имеет политический заказ. На самом деле спектр агрессивных действий этой группы гораздо шире, чем упомянутые выше две серии нападений. И нет гарантий, что подобные нападения не повторятся.

ВВС Украина: Для чего осуществляются эти нападения?

Егор Аушев: В наше время, когда появляется все больше онлайн реестров и услуг, цель этих нападений очевидна: нанести максимальный экономический ущерб функционированию жизненно важных органов, создать перебои в работе, которые могут вызвать массовое недовольство людей и их недоверие к способности органов власти обеспечить безопасность информационного пространства и вообще безопасность людей в момент, когда это будет иметь наиболее болезненные последствия.

Скажем, нападение на Минфин осуществили, когда бюджетирование было в самом разгаре, и в этом ведомстве приступили к реализации антикоррупционных реформ.

ВВС Украина: Вы упомянули о России. Однако можно ли точно установить, кто совершает нападения?

Егор Аушев: Для проведения этих кибератак был проделан огромный объем работы, который не под силу бессистемным саботажникам.

Кроме того, есть информация, что среди атакуемых целей могли быть представители Всемирного банка и Еврокомиссии, которые поддерживают Украину в процессе реформ.

Если посмотреть на картину кибератак в Украине в целом, учитывая при этом другие инциденты, относящиеся к категории саботажных, то за этими нападениями вырисовывается единственный заказчик, который обладает мощным современным потенциалом, очень умело подбирает момент для нанесения ударов и руководствуется масштабным мышлением в отношении инициирования различных процессов в нашей стране.

Несколько дней назад спецслужбы Германии установили, что кибератака, осуществленная на компьютеры ОБСЕ в ноябре минувшего года, могла быть реализована из России.

По словам руководителя этого федерального ведомства, для проведения атак была использована та же структура, что и в серии других кибератак, включая Бундестаг. Это очень напоминает нашу ситуацию.

Характерно, что в серии кибератак, о которых мы говорим, никто не взял на себя ответственность за их осуществление. Группа хакеров-злоумышленников сделала все, чтобы максимально замаскировать свои действия. Но, конечно, невозможно реализовать такую масштабную атаку, совсем не оставив следов.

Что касается наших случаев, можно с уверенностью сказать, что нападавшие тщательно заранее готовились.

Первая рассылка вредоносных файлов для нападения на минфин 6-го декабря была осуществлена еще в марте, а задетектированы они были только спустя 4 месяца, в июле.

Все это время никто не догадывался о проникновении и инфицировании. Были обнаружены хакерские программы для перехвата паролей и манипуляции финансовыми системами.

Это файлы, которые можно активировать на выполнение дистанционно.

Похожие по стилю написания и языку программирования файлы использовались при нападении на энергетические объекты Украины в январе 2016 года.

Активируют подобные файлы через электронную почту, мессенджеры для обмена текстовыми или мультимедийными сообщениями.

Были также обнаружены датируемые ноябрем поражённые файлы с таблицами Microsoft Excel. После открытия такого документа и выполнения определенного действия, загружались вредоносные программы, подобные тем, которые фигурировали в июле.

Кроме того, были найдены похожие файлы, датированные октябрем, которые рассылались в различные организации.

Непосредственно перед нападением 6-го декабря активно рассылались хакерские программы, направленные на затирание информации, уничтожение важных участков носителей информации, в том числе резервных копий (так называемых "бекаппов") важной информации.

ВВС Украина: Как защититься от подобных атак?

Егор Аушев: У многих из нас сейчас есть ноутбук, планшет, телефон, в которых содержится важная частная информация. Однако мало кто задумывается о том, насколько она защищена.

Сейчас распространена практика публикации в социальных сетях в открытом доступе частной информации, например, что человек сейчас находится в определенном ресторане, на отдыхе, демонстрирует фото всех своих детей с информацией, кто в какую школу ходит, и тому подобное.

Этой информацией часто пользуются мошенники, и именно с этого начинается элементарная безопасность, которая может привести к негативным последствиям, например похищению паролей и пин-кодов.

Копірайт зображення Getty Images
Image caption Чем более "оцифрованным" становится мир, тем более он уязвим к кибератакам

Мы должны обучать пользователей интернета азам кибербезопасности.

Более 90% хакерских атак начинаются с так называемого "email-фишинга". Это - вид мошенничества, основанный на доверчивости интернет-пользователей, которые просто открывают инфицированные электронные письма и их приложения, зачастую инициируя таким образом создание в своих компьютерах вредоносных и опасных программ.

Если же говорить о глобальной кибербезопасности фирм и учреждений, то чтобы минимизировать риски обязательно необходимо использовать самые современные технологии, программное обеспечение.

Например, хакерские атаки в декабре 2016-го были успешными не в последнюю очередь из-за использования этими госучреждениями устаревшего оборудования и программного обеспечения.

Однако борьба с хакерами не ограничивается закупкой нового оборудования.

Если не начать немедленно заниматься именно киберзащитой, охватив весь спектр угроз, и не делать это с проведением независимой экспертизы с привлечением частных экспертов, то велика вероятность того, что после закупки нового дорогостоящего "железа" и программ утечки данных продолжаться.

ВВС Украина: Сможет лиУкраина при имеющихся ресурсахзащитить хотя бы объекты инфраструктуры - энергетику, водоснабжение, связь, а также государственные органы?

Егор Аушев: У меня есть большие сомнения, что при сохранении нынешнего положения вещей и отношения к кибербезопасности мы способны себя самостоятельно надежно защитить. У нас до сих пор больше на словах или на бумаге говорится о борьбе с киберугрозами.

На сегодняшний день большая часть крупных компаний были подвергнуты кибернападениям.

Ранее эксперты говорили, что все компании делятся на тех, кого "уже взломали" и тех, кого еще "взломают", сейчас ситуация изменилась и компании условно можно разделить на тех, кого уже "взломали", и тех, кого "взломали", но они об этом еще не знают.

Я боюсь, что в Украине есть большое количество компаний и госучреждений, которые даже не догадываются о проникновении хакеров.

Эксперты подсчитали, что современные профессиональные атаки остаются незамеченными в инфраструктуре компании в среднем на протяжении 8 месяцев, а если не уделять этому внимания, то и дольше.

Не исключено, что в компьютерных сетях некоторых государственных ведомств и предприятий уже сегодня живет хакерский вирус, который просто еще не дал о себе знать, однако собирает нужную ему информацию и ждет дальнейших инструкций своего заказчика.

Хотелось бы подчеркнуть важность создания систем мониторинга и анализа реализованных хакерских атак. В Украине существует всего несколько команд реагирования на компьютерные чрезвычайные происшествия, а должно быть намного больше.

К сожалению, за помощью специалистов по кибербезопасности часто обращаются уже после того, как что-то случилось, илиже и вовсе замалчивают проблему. На Западе менталитет несколько другой, там существуют стандарты, необходимость соответствовать нормативным требованиям в области информационной безопасности, и бизнес их придерживается. У нас все по-другому, поэтому об "утечке" никто часто просто не знает, что затрудняет для специалистов разработку контрмер и распознавание масштабных угроз.

ВВС Украина: Можно ли представить себе более мощное кибернападение, последствия которого для системы жизнеобеспечения будут таковыми, что, собственно, отпадает необходимость вести обычную войну?

Егор Аушев: Мир и бизнес становятся все более "оцифрованными" и вовлеченными в интернет.

По оценкам специалистов, в течение 5 лет приблизительно около 70% бизнеса станет цифровым и будет функционировать в онлайн-формате. Нам также не избежать этой тенденции. Хотя, конечно, на сегодняшний день эта цифра для Украины гораздо ниже.

К счастью, пока инициированные извне диверсии и саботаж не принесли ожидаемого эффекта.

Пораженные участки инфраструктуры относительно быстро восстановили свое функционирование. Однако становится все более очевидно, что средства для ведения хакерских атак совершенствуются и осуществляются они высококвалифицированными специалистами.

Копірайт зображення Getty Images
Image caption Можно поразить стратегически важную инфрастурктуру с помощью снаряда, а можно - дистанционно, через компьютерную сеть

Можно теоретически представить ситуацию, когда в условиях отсутствия противодействия угрозам кибербезопасности и игнорирования основных международных правил кибербезопасности, может произойти масштабное кибернападение, можно это даже назвать кибервойной, которая внесет хаос в жизнедеятельность государства, его учреждений и объектов экономики. Это в сочетании с другими пропагандистскими, дезиинформационными и силовыми ("гибридными") средствами противостояния приведет к непоправимым последствиям.

Несмотря на то, что подобный сценарий возможен, мне кажется, происходит постепенное осознание угроз в киберпространстве, а также необходимости быстрого и адекватного реагирования на них.

Новости по теме