Редакция ITC.ua поговорила с Александром Кардаковым, основателем оператора услуг по киберзащите Octava Defence, о хакерских атаках на «Дію» и госсайты, возможных утечках данных украинцев и о том, что нужно украинским хакерам, чтобы устраивать россиянам ответные неприятности.
Содержание
От атак 15 февраля всерьез пострадали только госкомпании – почему так произошло
Услуги в сфере защиты IT-инфраструктуры – это, образно говоря, вишенка на большом торте. Для того чтобы это все заработало, у клиента должны быть налаженные инфраструктура, процессы и система. И чтобы эта «вишенка» работала, должно быть правильное основание.
Мы работаем только с частными компаниями, но постоянно консультируем госструктуры и можем сравнить оба сегмента. Поделюсь наблюдениями.
Как правило, уровень кибербезопасности у частных компаний на порядок выше, чем у государственных. В первую очередь потому что в частном бизнесе есть акционеры, которые заинтересованы в его безопасности и устойчивости. У государства же слишком сложные процессы, и я могу назвать не более пяти хорошо защищенных госструктур.
Проблема госкомпаний в том, что у них не настроены процессы, которые работают вне зависимости от руководства. И как только приходит новый руководитель министерства или ведомства, все стартует с нуля. Пока первый год они разбираются в «вопросе», система стоит на месте и ждет очередной атаки.
Посмотрите на «пострадавших» от DDoS-атаки 15 февраля.
- Первая категория – телеком-провайдеры, включая Hostmaster. Они всего лишь заметили аномалии, которые не повлияли на их работу.
- Вторая категория – банки, для которых DDoS-атаки – часть ежедневной рутины. Несмотря на сбои, они быстро вернулись к нормальной работе.
- Третья категория – госструктуры, которые впервые столкнулись с проблемой. Они были в состоянии, недалеком от панического, никто не знал, что делать, и разбирались с происходящим уже по ходу атаки.
Что лишний раз подтверждает, что техники и людей хватило, а методологии и процессов – нет.
Была ли утечка данных из «Дії» в январе
Тут же можно вспомнить и январские атаки на «Дію». Это была подготовленная атака. Несколько групп пользователей имели пароли доступа к ряду систем. Не буду утверждать, как именно они получили доступ – пускай с этим разбираются следственные органы. Одно можно сказать точно: в нескольких информационных системах хакеры «порезвились» по полной программе. И вот это как раз можно было предотвратить.
Была ли утечка данных? По сути, в «Дії» данные не хранятся. Но там есть шлюз, благодаря которому можно получить доступ к другим ресурсам. Я не уверен, что через этот шлюз нельзя скачивать большие объемы информации. Непосредственно в «Дії» – нет. Выложенные после атаки большие массивы информации не являются сколько-нибудь систематизированными. Это в основном какие-то кусочки, некий «коктейль».
Я не могу сейчас утверждать ни того, ни другого со стопроцентной уверенностью, как, впрочем, не может утверждать этого никакой другой специалист. То, что часть информации сейчас есть в открытом доступе – это факт.
Чтобы предотвратить такие случаи в будущем, я считаю, нужно составить реестр компаний, которые обслуживают объекты критической инфраструктуры, и отнести их к тем же объектам критической инфраструктуры.
Собственник такой компании должен понимать, кто его обслуживает, какой доступ они имеют к его информационной системе, и требовать у подрядчиков защиты своих данных. Ведь именно через софтовиков неоднократно совершались массированные атаки – посредством апдейта софта или через пароли, полученные от софтверных продуктов. Это отдельная угроза, которую надо четко вычленять и противостоять ей.
Раньше чиновникам помогали украинские хакеры: они находили и демонстрировали уязвимости в защите госпредприятий. Вместо благодарности их за это начали преследовать. Я считаю, что зря – люди делали важную работу, а сейчас делать ее не хотят.
Как усилить киберзащиту в госкомпаниях
Но не все так плохо. Я в целом позитивно смотрю на решение СНБО о Плане реализации Стратегии кибербезопасности Украины. Есть надежда, что это первый шаг к системному развитию нацсистемы кибербезопасности.
В ее основе лежат три составляющие: технологии, процессы, люди. Если с технологиями и людьми все более-менее понятно: найм – это задача руководителей компаний, контроль технологий – ответственность Госспецсвязи, то кто должен заниматься процессами?
На мой взгляд, лучшим решением было бы отдать координацию процессов третьему, независимому игроку, который не имеет отношения к государству. Это может быть условное «Агентство кибербезопасности». Такого рода структура могла бы помочь государству в выстраивании и поддержании процессов, которые работали бы вне зависимости от смены руководства и персонала той же Госспецсвязи или компаний критической инфраструктуры.
В Octava Defence при построении системы кибербезопасности мы в числе прочих стандартов опираемся на модель NIST. В ее основе лежат пять функций:
- Идентификация. Понимаем и оцениваем риски. Знаем, что именно нужно защищать.
- Защита. Обеспечиваем базовую защиту и закладываем основу для мониторинга инфраструктуры.
- Мониторинг. Наблюдаем за инфраструктурой 24/7, собираем логи. Умеем реагировать на угрозы в режиме реального времени.
- Реагирование. Умеем предупредить кибератаку.
- Восстановление. Знаем, как восстановиться в случае сложных кибератак.
Если говорить об атаках, то чаще всего хакеры не придумывают ничего нового. Можно провести аналогию с яичницей. Яйца жарят уже тысячи лет, и, несмотря на множество рецептов, суть процесса остается неизменной. В кибербезопасности тот же принцип: суть процесса не меняется – просто совершенствуются инструменты. К примеру, используется искусственный интеллект или улучшается сканер. Но все это эволюционные, а не революционные улучшения.
Также мы считаем, что угроза внутренняя намного серьезнее, чем угроза внешняя. Поэтому для нас и наших клиентов контроль аномального поведения пользователей – это основа всей работы. Мы контролируем все, вплоть до скачивания аномально больших объемов информации, дублирования информации на gmail или зараженного компьютера, который тут же начинает сканировать сети.
И, конечно же, в компании обязательно должно быть понимание важности кибербезопасности. Это не единожды достигнутый результат, а постоянный процесс, на который надо тратить усилия и деньги.
Могут ли украинские хакеры атаковать российские структуры
Есть патриотически настроенные хакерские группы, которые этим успешно занимались раньше. Но для того, чтобы они могли это делать легально сейчас, необходимо соответствующее, пусть даже скрытое, законодательное поле.
Как только хакеров перестанут преследовать за помощь государству, множество хакерских групп с удовольствием подключатся к атакам на российские объекты. Это, кстати, давно работает во всем мире – когда патриотически настроенные специалисты сотрудничают с государством. У нас сегодня такого нет.
Важно решить сейчас этот вопрос организационно и позволить патриотично настроенным специалистам во время Ч воздействовать на инфраструктуру врага. Ведь уровень технической защиты российских госорганов, может, чуть-чуть лучше, чем у нас. Однако, несмотря на наличие техники и средств, у них царит такая же безалаберность.