Наталія Клаунінг, директор із комунікацій Інституту Горшеніна: Доброго дня, шановні панове. Ми сьогодні будемо говорити про те, як убезпечити український кіберпростір. Експертами нашого круглого столу є В'ячеслав Марцинкевич, старший інспектор з особливих доручень департаменту кіберполіції Національної поліції України; Надія Литвинчук, державний експерт Служби з питань інформаційної безпеки апарату РНБО України; Олександр Кардаков, IT-бізнесмен, голова наглядової ради компанії «Октава Капітал»; Андрій Пастушенко, засновник RMRF Technology, компанії-розробника засобів кіберзахисту; Володимир Кург, R&D-директор компанії «ІТ-Інтегратор».
Пане Марцинкевич, розкажіть, будь ласка, про наслідки масового ураження комп’ютерних мереж вірусом Petya. Я знаю, що навіть зараз ще не всі компанії оговталися від атаки. Чи можемо ми отриманий досвід використати у майбутньому?
Вячеслав Марцинкевич, старший инспектор по особым поручениям департамента киберполиции Национальной полиции Украины: Последствия, по моему мнению, колоссальные. В очень многих государственных и частных компаниях вышли из строя и обычные компьютеры, рабочие станции, и серверы, которые находились под управлением Windows. Была парализована работа многих предприятий.
Наталія Клаунінг: Чи є наслідки, які досі не подолані?
Вячеслав Марцинкевич: Думаю, что есть предприятия, которые до сих пор восстанавливаются. Если были повреждены бэкапы, которые хранились, опять же, на Windows-серверах, то специалистам компаний нужно заново, с нуля, переустанавливать всю инфраструктуру, все программы, которые используются предприятиями, их настраивать, пытаться восстанавливать документы, то, что было наработано за многие годы.
Наталія Клаунінг: Я сьогодні зранку почула новину, що Нацполіція закупила нове обладнання для більш ефективного захисту. Це було зроблено через атаку?
Вячеслав Марцинкевич: Мы не закупали оборудование, его нам ОБСЕ подарило. Оборудование было заказано для внутренней инфраструктуры Департамента киберполиции. Оно включает несколько свитчей 10-гигабитных, несколько сетевых плат и маршрутизаторов. Это совпало с недавней вирусной атакой и очень нам пригодится, потому что после атаки у нас накопилось очень много информации, очень много образов дисков – тех, которые приносили, или тех, которые после обысков у нас оказались. У нас больше 60 терабайт данных, которые нужно быстро перебрасывать с систем хранения данных на компьютеры и проводить анализ. Поэтому очень кстати приехало оборудование, в ближайшие дни мы будем заниматься его установкой.
Наталія Клаунінг: Чидостатньо у вас кваліфікованих спеціалістів?
Вячеслав Марцинкевич: В нашем отделении - так называемые спецагенты, нас набрали около двух лет назад. Около года мы уже в строю. В отделении 25 человек, которые имеют более чем достаточный опыт и для анализа, и для проведения экспертиз и компьютерных расследований. То есть люди есть, но их мало, именно специалистов в данной сфере очень мало.
После посещения многих конференций и круглых столов, а также собственно предприятий, пострадавших от атаки, я могу утверждать, что у нас очень мало грамотных людей в сфере сетевой безопасности. Вот и ответ на ваш вопрос.
Наталія Клаунінг: Це взагалі досить молода сфера.
Вячеслав Марцинкевич: В принципе, да, согласен.
Наталія Клаунінг: ПаніЛитвинчук, може, ви розкажете, чи взагалі існує в Україні система кібербезпеки? З яких компонентів вона складається?
Надія Литвинчук, державний експерт Служби з питань інформаційної безпеки апарату РНБО України: Це досить фундаментальне питання, яке є базовим для вирішення завдань кібербезпеки в державі загалом. До цього, здавалось би, такого для нас критично важливого питання не було системного підходу за всі роки незалежності. Так, була нормативна база, створювалась система захисту, але не було ключових, фундаментальних документів, на основі яких можна було б вибудовувати систему кібербезпеки. Навіть в законі про основи національної безпеки лише були окреслені загрози в інформаційній сфері. На цьому фундаментальні основи закінчуються. Лише останнім часом, після відомих подій, відбулася низка засідань РНБО, на яких розглядалися питання, пов’язані із інформаційною та кібербезпекою. Нарешті була прийнята стратегія кібербезпеки України, яку своїм указом затвердив президент України. Це дало поштовх для вирішення низки завдань, тому що сама стратегія визначила напрямки, якими треба рухатися на шляху до побудови національної системи.
Що таке національна система кібербезпеки? Найперше – це суб’єкти, які входять до цієї системи. Це, як визначено стратегією кібербезпеки, Міністерство оборони, Державна служба спеціального зв’язку, Служба безпеки України, розвідувальні органи нашої держави, Національна поліція. Тобто це ті органи, які відносяться до сектору безпеки і оборони і які забезпечуватимуть кібербезпеку в державі. Координатором у цій всій системі виступає, відповідно до стратегії, Рада національної безпеки та оборони. Але ми знаємо, що РНБО – це колегіальний орган, а для того, щоб діяти в щоденному режимі і оперативно реагувати, був створений Національний координаційний центр кібербезпеки. Очолює цей центр секретар Ради національної безпеки та оборони. Центр постійно проводить засідання, приймаються рішення, які стають основою для рішень РНБО і для координації діяльності всіх органів державної влади у цьому сегменті.
Що було зроблено останнім часом? Для прикладу, найперше завдання, до вирішення якого приступив кіберцентр, - це формування законодавчої бази. Що мається на увазі? У нас є державні інформаційні ресурси, критична інфраструктура, які треба захистити від атак. Але якщо щодо державних інформаційних ресурсів легше вибудовувати систему на основі чинної законодавчої бази, то щодо критичної інфраструктури ситуація інша. Приватними є електростанції, інші об’єкти, що входять в систему життєзабезпечення. Захистити телекомунікаційні системи таких об’єктів є дуже великою проблемою. Більше того, є такі об’єкти, які мають замкнуту телекомунікаційну систему, що не виходить в мережу Інтернет, але теж може бути уражена. Це теж велика проблема. Тому наразі за ініціативи кіберцентру створюється перелік таких систем, випрацьовуються законодавчі пропозиції щодо переліку об’єктів критичної інфраструктури, щоб у нас було чітко з’ясовано, які об’єкти належать до об’єктів критичної інфраструктури, щоб був чіткий перелік телекомунікаційних систем таких об’єктів і щоб державна система контролю – а це передусім Державна служба спеціального захисту і зв’язку України – могла вирішувати завдання щодо безпеки цих телекомунікаційних систем. А ми вже пересвідчилися, що ураження таких систем паралізує цілі сегменти економіки та систем життєдіяльності.
Наталія Клаунінг: Чи є кінцеві терміни створення такого переліку? Я думала, що перелік вже створений, чесно кажучи.
Надія Литвинчук: Так, його ще нема. Є тільки постанова Кабінету Міністрів, яка ставить завдання перед державними органами виконавчої влади надати інформацію про такі системи. Станом на сьогодні таку інформацію надав 21 орган державної влади. Однак цей перелік ще не повний. Зокрема, у нас була така проблема, що Міненерго надавало інформацію тільки про свої системи, але не надавало інформацію про телекомунікаційні системи галузі. А нам же важливо мати перелік систем, які є критично важливими для життєзабезпечення, - мова йде про обленерго, електростанції, АЕС, газопроводи, нафтопроводи тощо. Це все сьогодні управляється через засоби телекомунікаційних систем. Тож найближчим часом такий перелік буде сформований, тоді можна буде контролювати цю ситуацію.
Сказати, що сама система державних ресурсів не формувалася чи була в застої, не можна. У нас є достатній потенціал, впродовж всього періоду незалежності функціонували лише у межах Національної академії наук 16 наукових установ, які займалися інформаційними технологіями, там працювало близько 2000 людей. Ми також знаємо, що наші фахівці на міжнародних змаганнях займають одні з перших місць. Потенціал у нас є. В Україні сформувалися і бази даних, і інформаційні ресурси, але проблема була в тому, що фактично кожен орган створював ці бази даних під різні технологічні рішення, і тому ми сьогодні маємо велику проблему в тому, щоб звести до єдиного знаменника ці всі бази даних і реєстри.
Одне з останніх рішень РНБО передбачає створення єдиного дата-центру для обробки даних державних інформаційних ресурсів, а також створення резервного дата-центру. Тому що без резервного дата-центру буде суттєвий ризик втратити інформацію, яка належить державі. Не допустити цього – критично важливо на сьогодні.
У минулому році на Варшавському саміті НАТО кіберпростір було визнано п’ятим театром воєнних дій. Ми маємо бути готовими до цих викликів і сформувати систему кібероборони. Це дуже важливий аспект, ми маємо протистояння, і нам треба бути в цьому плані убезпеченими. Саме тому у нас формується потужна система кібероборони.
Наталія Клаунінг: Пане Кардаков, як держава, можливо, разом із приватними компаніями, може убезпечити український кіберпростір? Можливо, потрібна підтримка на законодавчому рівні?
Александр Кардаков, IT-бизнесмен, председатель наблюдательного совета компании «Октава Капитал»: Я хотел бы всю глобальную задачу киберзащиты разделить на несколько частей, ведь чтобы съесть слона, нужно поделить его на куски. Есть государственные информационные ресурсы, которыми занимаются отдельные специальные организации. На противоположном полюсе – частные системы. Естественно, с использованием государственных ресурсов целенаправленно атакуют ресурсы другого государства. Данные частных пользователей являются объектом атаки частных мошенников, поэтому там вопрос безопасности описан, это вопрос защиты личных данных пользователей. Целенаправленных атак на них никто не будет вести, кроме, пожалуй, каких-то вирусов через почту. Но посредине остался большой пласт предприятий и организаций разной формы собственности, государственной, частной, с иностранным капиталом.
Очень приятно, что СНБО серьезно уже подошел к формированию перечня предприятий критической инфраструктуры. Это реакция на атаки на объекты критической инфраструктуры в 2015 году, в конце 2016 года. Уже создаются или есть идеи создания отраслевых центров, плюс этим занимается СНБО. Это очень важная часть проблемы, которую уже начали решать.
Но осталась прослойка коммерческих предприятий, а ведь они составляют основу экономики Украины. Вот сейчас была атака именно на экономический потенциал Украины – на коммерческие предприятия, защитой которых никто специально в государстве не занимался. То есть спасение утопающих – дело рук самих утопающих.
Мы долго обсуждали, как защититься, ведь кибербезопасностью коммерческих предприятий тоже должен кто-то заниматься. Но это не должно быть государство – у него есть чем заниматься и без этого. Поэтому должно быть некое сообщество, которое я бы назвал «гражданская кибероборона». Необходимо создание гражданской киберобороны, как в свое время во всех странах, не только в Советском Союзе, существовала гражданская оборона на случай атаки оружием массового поражения, наводнений. Что она в себя включала? Выявление угроз, подготовка, формирование неких штабов, структур, инструктажи и так далее. Я начинал работать при Советском Союзе, и у меня была первая и единственная работа в государственной организации, потом я уже занялся частным бизнесом. Меня тогда подвели к щиту «Работа расчета при пожаре», и сказали: «Ты будешь раскручивать шланг». То есть это тоже элемент гражданской обороны. Так же должно быть и сейчас. В Украине по инициативе бизнеса должны быть созданы несколько коммерческих CERT-ов - точек обмена информацией, которые будут сотрудничать друг с другом и со всеми государственными органами для того, чтобы выработать методологии и метрики угроз, а также что и как делать в случае атаки.
Большая была проблема найти ИТ-специалистов, которые бы за деньги в больших организациях просто восстанавливали обычные компьютеры. Такие люди зарабатывали 1000-5000 гривен в день, занимаясь просто восстановлением рабочих станций.
У меня есть такая идея, которую хотелось бы обсуждать и искать сторонников для ее реализации, - создание фактически гражданской киберобороны в стране. Потому что если мы сами себе не поможем, никто нам не поможет. А поддержка государства в лице СНБО сейчас уже явно есть.
Надія Литвинчук: Держава повинна створити необхідні умови для реалізації вашої ініціативи. Це дуже цікава пропозиція.
Я також хочу сказати, що зовсім недавно, 10 липня, відбулося засідання РНБО, на якому було прийнято рішення, і воно зараз готується до введення в дію, яке стосується державного та приватного партнерства в цій сфері. Сьогодні існує проблема, що фахівці, які забезпечують захист і обслуговування інформаційних ресурсів держави, отримують мізерні зарплати порівняно із приватним сектором. Особливо ті, хто кіберзахист забезпечують. Залучення на умовах аутсорсингових угод приватних структур, фізичних і юридичних осіб, до забезпечення кібербезпеки – це один із напрямків, у якому будуть рухатися вже найближчим часом.
Александр Кардаков: Достаточно профессионально работающее уже сегодня подразделение киберзащиты буде иметь союзников.
Надія Литвинчук: Передбачено і розроблення механізмів для стимулювання фахівців.
Вячеслав Марцинкевич: Несколько слов скажу насчет опыта, который мы приобрели в результате последней атаки. По моему мнению, никакие собрания, указы, гражданская кибероборона особо не дадут должного эффекта по предотвращению следующей подобной атаки. Потому как, я повторю свою любимою фразу, самое слабое место в вашей сети – это ваши системные администраторы. Пока они не приведут сеть в должное состояние, пока они не установят правильную защиту и не настроят ее корректную работу, никакие CERT-ы и закупка дорого оборудования не помогут. Потому что есть два вида атак: атака извне, которая происходит как DDoS, и атака изнутри. У нас была атака изнутри, вирус распространялся изнутри по всей сети предприятий. Соответственно, на предприятиях, где была правильно построена сеть - с изоляцией всех, применением файервола, с применением политик доступа, - ничего не произошло. Произошло, например, заражение нескольких компьютеров бухгалтерии, которые администраторы просто отключили, заново все переустановили, без обновлений, без ничего, и продолжали работать.
Должна быть, как уже было сказано, должная оплата технических специалистов как в госструктурах, так и в частных структурах. Также эти специалисты должны получить опыт, побывать на курсах, и самое главное, понимать, что может произойти с их сетью, если вдруг появится такой же или модифицированный вирус, и что нужно сделать, чтобы эта зараза не распространялась дальше.
Наталья Клаунинг: Хочу передать слово Андрею Пастушенко, это как раз основатель компании-разработчика средств киберзащиты. Первый вице-президент Института Горшенина недавно принимал участие в форуме по киберзащите в Пекине, где озвучил вывод о том, что стремительное развитие технологий привело к тому, что даже ядерная угроза может быть вторичной по сравнению с угрозой современного кибероружия. Так вот: расскажите о современном кибероружии и как государству и бизнесу ему противостоять.
Андрій Пастушенко, засновник RMRF Technology, компанії-розробника засобів кіберзахисту: Питання абсолютно слушне. Кібератаки - це сучасна зброя, це зброя масового ураження, ми бачили це, власне, в масштабах країни. Це зброя, яка дозволяє одномоментно виводити з ладу безліч критичних, системно утворюючих інфраструктур на рівні держави і навіть об’єднань держав. Правильно говорила пані Надія про те, що новим театром військових дій є кіберпростір. Кіберпростір - середовище взаємодії різноманітних інформаційних систем, не стандартизованих, вразливих, в яких використовуються надзвичайно чутливі дані і комунікаційні можливості. Саме з цього і варто виходити. Ця зброя націлюється як на окремі компанії, окремих громадян, так і на цілі сегменти економіки.
Якщо атаки масові, вони дуже добре готуються. В 2011 році дослідники кіберзагроз, які вийшли з військових спецслужб США, заснували так звану методологію kill chain. Вони провели паралелі між кібератаками, кіберзагрозами і сучасними військовими діями і відкрили для себе дуже багато схожого. Вони розділили ці атаки, так само як ведення військових дій, на певні фази. Є сім основних фаз. У більшості кібератак ці фази наявні. Відповідно до інфраструктури, до цілей, які ставить сторона, що атакує, вони досягаються на тому чи іншому рівні. Сучасні атаки готуються таким чином, щоб вони не були відстежені та ідентифіковані, а їх вплив був максимально довгий.
Те, що ми побачили місяць тому, - не є унікальним, треба визнати. Подібна атака, якщо брати вектор і поставлені цілі, була здійснена на великі компанії США в кінці жовтня минулого року. Тоді за короткий період часу за допомогою DDoS була виведена з ладу інфраструктура таких компаній, як Facebook, GitHub, Pinterest, а це серйозні ІТ-гіганти США. Атаки на Україну і на ці компанії співставні за масштабами.
Варто сказати, що будь-які організаційні дії, які приймаються як реакція, відразу стають застарілими. Це сучасна проблема кіберзахисту. Щойно ми формуємо той чи інший стандарт, метод контролю, він стає мішенню. Це абсолютно чітко треба розуміти на всіх рівнях суспільства, на всіх рівнях держави. Правильно говорять, що має бути увага держави до критичної інфраструктури. Правильна ініціатива – утворити громадські організації, які будуть відслідковувати певний вплив. Мають бути центри, які досліджуватимуть подібні загрози, які надходять, можливо, не з України. Такі центри мають оцінювати, який може бути вплив на наші об’єкти господарювання, компанії тощо. Тобто має бути всебічний розгляд. Якщо брати до уваги окремі компанії, сам бізнес має визначати кібербезпеку одним з основних напрямків діяльності. Це такий же напрямок, як ІТ. Абсолютно підпорядковувати кібербезпеку ІТ – помилково, про це свідчить досвід дуже багатьох організацій, які займаються і дослідженнями, і протистоянням кіберзагрозам. Підпорядковувати кібербезпеку в рамках компанії службі безпеки також неправильно. Кібербезпека має підпорядковуватися безпосередньо керівникам компаній, оскільки це є театр дій, це є нова зброя, це є прямі збитки бізнесу. Це сучасна позиція. Безліч компаній-виробників засобів кіберзахисту зараз дійшли до такого висновку і надають такі рекомендації.
У масштабах країни, звісно, потрібно підвищувати рівень освіченості громадян. Громадяни мають розуміти, що вони публікують свої персональні дані в незахищених мережах, в незахищених інфраструктурах. Якщо вони використовують платіжні системи, вводять дані банківських карток, вони мають пересвідчуватися, що є достатні механізми шифрування, мають знати, де в браузері це перевірити. Якщо мова йде про бухгалтера в компанії, він має бути впевнений, що є бекап даних, з якими він працює. Це базові поняття кібербезпеки. Слід підвищувати рівень освіченості, загальний рівень знань з кібербезпеки.
Наталія Клаунінг: Може і в школі це варто викладати?
Андрій Пастушенко: Варто. Здається, в Англії прийняли такі закони, там є в початкових класах предмет «інформаційна грамотність».
Наталія Клаунінг: Пане Володимире, вам слово. Розкажіть про світовий досвід, який може бути корисним для нас.
Владимир Кург, R&D-директор компании «ІТ-Интегратор»: Начну с маленького исторического экскурса. Андрей говорил, что атаки постоянно меняются, соответственно, единого рецепта нет. Это так и не так. Если взять вирус Petya, то сразу вспоминается кибератака на саудовскую государственную нефтяную компанию Saudi Aramcо в августе 2012 года. Как и у нас, она стартовала перед выходными, в случае с саудами перед Рамаданом. И у них, и у нас эпидемия распространялась моментально, и последствия и мишени были примерно те же – персональные компьютеры, серверы под Windows. В конечном итоге буквально за сутки были уничтожены данные и разрушены системы на 30-35 тысячах компьютеров и серверов как в Саудовской Аравии, так и в филиалах компании по всему Ближнему Востоку. Эта атака детально описана, детально описаны процедуры, как ее предотвращать и как ликвидировать последствия. Эти рекомендации были опубликованы CERT-ами. Что такое CERT? Это Computer Emergency Response Team, организации, которые занимаются оперативным реагированием и информированием, расследованием, раздачей рецептов, как избежать атаки. Рекомендации были опубликованы в том же 2012 году.
В чем проблема Украины? Я буду говорить как бы изнутри, мы принимали участие в ликвидации последствий атак декабря 2016 года и последней атаки во многих организациях. Проблема в том, что в наших компаниях не отстроены процессы по обеспечению кибербезопаности. Наши компании, да пожалуй и государственные органы, не задумывались о действиях в такой кризисной ситуации, как кибератака. Если говорить о мировых практиках, рекомендуют, в частности в США, включать команду по кибербезопасности в общую команду кризисного реагирования предприятия. А минимизация последствий кибератаки, минимизация потерь – это зачастую вопрос выживания бизнеса.
Что мы наблюдали сейчас? Нет отдельных департаментов кибербезопаности, этим занимаются ИТ-департаменты. У ИТ-департаментов нет кризисных регламентов, они не знают, как действовать. Они разбираются, что происходит, теряют время, пытаются что-то делать, но не всегда у них получается. Там, где есть навыки быстрого реагирования, зачастую нет полномочий. В качестве примера можно навести большое инфраструктурно значимое госпредприятие, распределенное по всей Украине. Его региональное ИТ-подразделение увидело атаку, но у него было полномочий, чтобы блокировать работу критических систем. А надо было принимать быстрые решения, отключать пораженный сегмент или нет. В региональном подразделении админы промедлили, не отключили, и часть систем были уничтожены.
То есть что требуется? Требуются не только законы. Я инженер, я не законодатель. Я могу рассказать о практике. На Западе и в Европе есть система CERT-ов, причем специализированных. В США есть общий CERT, который занимается общей кибербезопасностью, есть ICS-CERT (Industrial Control Systems), который занимается объектами критической инфраструктуры, и есть, наконец, NERC, North American Electric Reliability Corporation, который занимается в том числе кибербезопасностью именно в электроэнергетике. В случае США это система из 18 CERT-ов. Такое же надо делать и у нас. Почему? Потому что системы завязаны на отраслевую специфику.
Следующее: обмен информацией. На самом деле, мы до сих пор зациклены на отражении атак, на ликвидации их последствий. На Западе и в Европе есть организации, которые выпускают документы по предотвращению. В США это NIST, National Institute of Standards and Technology, в котором действует группа по кибербезопасноти. Она выпускает и поддерживает пакет специальных публикаций по кибербезопасноти, которые содержат готовые рецепты, начиная от общей security framework (где расписаны не только средства безопасности, но и организация кибербезопасноти, это не набор продуктов, это процесс) и заканчивая специальными публикациями по защите критической инфраструктуры. Такое надо делать и в Ураине.
Наталья Клаунинг: Эти CERT-ы кто должен создавать?
Надежда Литвинчук: Это ко мне вопрос.
Владимир Кург: Сначала я отвечу. Должна быть система и государственных, и негосударственных центров. В США NERC – негосударственная организация, это отдельная корпорация, фактически частно-государственное партнерство, неприбыльная организация. ICS-CERT – государственный. Есть рекомендации ENISA, European Union Agency for Network and Information Security, по организации таких CERT-ов, там описываются варианты организации и государственных, и абсолютно частных, работающих на коммерческой основе CERT-ов, и гибридное партнерство.
Что мы можем здесь сделать и, наверное, уже делаем? Мы, работая с нашими заказчиками, сделали выборку из наиболее актуальных специальных публикаций NIST, часть из них совместно с партнерами, Cisco, перевели на украинский язык. Мы распространяем их по своим каналам, но если обеспечить какой-то централизованный канал информирования и распространения, пусть даже в рамках украинского CERT-а, это было бы замечательно.
Надія Литвинчук: Відомо, що в світі функціонує десь 300 таких команд – CERT-ів. Наша команда, CERT-UA, «Команда швидкого реагування», функціонує під егідою Державної служби спеціального зв’язку та захисту інформації.
Скажу кілька слів на тему спільних дій держави та приватних компаній і реагування на атаки. У грудні минулого року відбулася атака на наш фінансовий сектор. Її вдалося локалізувати та зупинити в результаті спільних дій СБУ, Держслужби спеціального зв’язку та захисту інформації і Держказначейства. Але після цього було поставлене завдання сформувати і затвердити протокол спільних дій. Що таке протокол спільних дій під час кіберінциденту або кібератаки? Мається на увазі нормативна база, надання повноважень суб’єктам забезпечення кібербезпеки, тобто державним органам, швидко реагувати і взаємодіяти для протидії таким атакам. Такий протокол фактично сформований, він зараз готується до затвердження урядом. Він напрацьований координаційним центром кібербезпеки, який діє при РНБО. Фактично уже держоргани знають про цей протокол, вони відпрацьовували його. Можливо, щось до кінця ще не відпрацьовано і не всі повноваження врегульовані, але завдяки тому, що такий протокол вже фактично сформований, вдалося останню атаку мінімізувати.
Ми знаємо, що на транспорт була атака. Вірус WannaCry, що має 400 різновидів, вразив і фінансовий сектор, і державне управління, і транспортні системи, навіть торгівельні мережі тощо. Але завдяки тому, що в державі уже сформований протокол взаємодії, вдалося зупинити цю атаку з найменшими наслідками для державного сегменту. Тобто це дуже важливо, як і формування цілої мережі швидких команд реагування.
Наталія Клаунінг: А у нас одна така команда?
Надія Литвинчук: Ні, я думаю, що вони формуються і на рівні бізнесу теж.
Владимир Кург: На самом деле, одна из задач – это ситуационная осведомленность. Уровень угрозы меняется. Если вспомнить атаки конца 2015 года на энергетику, конца 2016 года на транспорт и финансовую систему, то можно сказать, что кибероружие – это высокоточное оружие, и время для его применения выбирается, когда есть окно максимальной уязвимости. Конец года – это пик финансовых проводок, это пик транспортных перевозок. Кибератаки – это специализированное оружие, и от инфильтрации (когда оно внедрено в систему и начинает разведку) до приведения в действие проходит определенный период. Инфильтрация в ходе атак 2016 года, по нашим сведениям, была проведена в июле в период отпусков.
Поэтому если на государственном уровне будет какое-то подразделение киберразведки, грубо говоря, которое будет уведомлять об угрозах и выставлять их уровень для субъектов рынка, для департаментов кибербезопасности и частных, и государственных организаций, это будет правильно и это необходимо.
Надежда Литвинчук: В значительной степени эту функцию выполняет ситуационный центр, который работает под эгидой СНБО.
Владимир Кург: Но его информация до частных компаний не доходит.
Надежда Литвинчук: Он требует модернизации и развития.
Журналист: У меня вопрос к Надежде Литвинчук и Вячеславу Марцинкевичу. Существуетли оценка финансового ущерба, нанесенного стране этой атакой? Установлены ли исполнители, организаторы и заказчики атаки? Существует ли доказательная база причастности российских спецслужб к атаке, о чем заявлял Турчинов? Разрабатывает ли СНБО концепцию некой киберармии, например, в структуре Министерства обороны, которая будет контратаковать в ответ на действия страны-агрессора?
Надежда Литвинчук: Размер финансового ущерба, наверное, должна Нацполиция назвать. Атака всемирного масштаба в мае, когда было поражено 300 тысяч компьютеров, нанесла ущерб в миллиард долларов, а злоумышленники получили всего лишь 116 тысяч долларов. Злоумышленники в результате последней атаки получили 10 тысяч долларов от своих жертв. Однако выбор для времени атаки – перед днем Конституции – свидетельствует о том, что целью было не получить деньги. Основная цель, очевидно, прослеживается в том, чтобы посеять панику, дестабилизировать ситуацию.
Что касается противодействия и формирования средств киберобороны, то на сегодня Министерством обороны разрабатывается концепция киберобороны Украины. Они готовят фундаментальный документ, который предполагает соответствующие меры.
Вячеслав Марцинкевич: Что касается оценки ущерба, то, к сожалению, Нацполиция не подсчитывает его. Единственное, что могу сказать: на одном из круглых столов на прошлой неделе звучала цифра около 150 тысяч компьютеров. Я просто вам рассказываю то, что слышал на этом круглом столе, я не знаю, так ли это. Оценкой ущерба, наверное, Минэкономразвития занимается. Никаких четких цифр я назвать не могу.
Надія Литвинчук: За перші три дні кібератакибуло порушено 63 кримінальних провадження щодо втручання в комп’ютерні системи, а щодо 150 фактів вирішувалося питання щодо відкриття проваджень. На сьогодні відслідковуються ці факти і проводиться аналіз, ця атака розслідується. Цим займається Національна поліція України, зокрема Департамент кіберполіції, який функціонує в рамках Національної поліції України. Але ця робота ще не завершена. Відслідкувати весь ланцюжок дій дуже не просто.
Разом з тим, відслідковуючи характер попередніх атак, починаючи від BlackEnergy, і ідентичність нинішнього вірусу, можна сказати, і так стверджують правоохоронні органи, що простежуються російський слід. Також існують різні думки про хакерське угрупування «Кіберхаліфат» - нібито ІДІЛ, але може й хакерське угрупування, пов’язане із РФ.
Вячеслав Марцинкевич: К нам прилетели специалисты ESET и Talos Cisco, мы уже несколько дней с ними проводим анализ данных, пытаемся понять, как проходило распространение, кто участвовал в этом, какие адреса были задействованы. На данный момент, действительно, все еще продолжается анализ данных. У нас более 62 терабайт данных, которые нужно проанализировать, консолидировать и сделать какой-то вывод.
Надія Литвинчук: Але є дані, що вказують на російський слід.
Вячеслав Марцинкевич: Да.
Владимир Кург: Одна из главных проблем нанесения ответного киберудара – это определение государственной и организационной принадлежности источника. Эта проблема до сих пор не решена. В НАТО по этому поводу ведутся дискуссии, и здесь единственный пока что метод выявления источника - это классическая разведка. Не киберразведка, а классическая разведка.
Мы тоже работаем по этому инциденту вместе Talos Cisco. Могу сказать, что адреса, серверы, на которых была размещена загрузка боевой части последнего вируса, находятся на хостинге во Франции. И что? Мы не можем определить фактически не то что государственную, а организационную принадлежность, которая даст достаточные официальные юридически значимые свидетельства о том, что это сделала не то что Россия, а вот такая вот хакерская группировка.
Площадки для атаки доступны по всему миру. Незадолго до недавней атаки я наблюдал попытки взлома нашего клиента с компании, зарегистрированной на Мальдивах, но с юридическим адресом, вернее, с контактной почтой в Петербурге. Аналогичные, с тем же паттерном, атаки шли и с американского хостинга (компания-владелец была зарегистрирована в Сан-Диего), и с хостингов с германской с французской регистрацией. Атакующий сейчас находится в преимущественном положении.
Журналист: Я правильно понимаю, что есть абсолютная безнаказанность по этой атаке? Украина, СБУ например, может совершенно безнаказанно атаковать инфраструктуру страны-агрессора?
Вячеслав Марцинкевич: Я вам маленький пример приведу. Вы можете выйти на улицу в любом городе в Украине, России, США, Европе, и при наличии определенных средств и знаний вы можете взломать любую из точек Wi-Fi-доступа, сделать свои грязные дела оттуда, используя IP-адрес этой точки доступа, и все. Вы через 10-30 минут уходите, и никакого следа не остается.
Александр Кардаков: Единственное, что как раз отчет Talos Cisco показал, что стопроцентно объектом был бизнес в Украине. Это четко прописано. Бизнес в Украине как украинских, так и международных компаний. Это четко, стопроцентно доказано.
Андрій Пастушенко: Наша команда досліджувала цей вірус з перших годин. В перші години ми виробили, як потім показала практика інших вендорів, правильні методи відновлення. Нами встановлені основні вектори розповсюдження цієї атаки. Було дві групи векторів. Зовнішній вектор – це не тільки M.E.Doc, це доставка електронною поштою і загрузка з серверів, які хостилися у Франції. Векторів доставки і розповсюдження всередині кожної організації було близько п’яти.
Використовувалися основні вразливості Windows, відомі ще з кінця минулого року. Характер використання цих вразливостей, характер розповсюдження, а також вплив на кожну систему, коли використовувалося шифрування в залежності від отриманих адміністративних прав в кожній локальній системі, говорить про те, що атака готувалася дуже довго. Процес підготовки тривав мінімум місяці. Вразливості, які були використані для розповсюдження всередині компаній, говорять про те, що як мінімум з березня готувалися ці дії, оскільки використані вразливості були опубліковані ще в березні на порталах в США. Ці вразливості потім використовувалися для масштабної атаки WannaCry. Мова йде про вразливість EternalBlue, а також про вразливість системи Windows, яка дає можливість зчитувати адміністративні права. В сукупності ми отримуємо мікс, який за 15 хвилин практично вразив всі діючі активні бізнес-компанії в Україні.
Така атака мала мати тривалий період дослідження, період розвідки, кропітка робота була проведена. Таким чином, щоб скомпонувати і розвідку, і власне атаку, були потрібні дуже значні ресурси. Щоб це якісно розслідувати, потрібно дуже багато інформації проаналізувати. Ймовірно, не скоро будуть результати.
Журналіст: Говорячи про розвідку, ви маєте на увазі лише інформаційну розвідку, чи агентурну теж?
Андрій Пастушенко: Я маю на увазі зрілість кожної компанії. Тобто для того, щоб провести подібне розслідування, мають бути системи, які збирають дані з функціонуючих ІТ-систем: це журнали логів, це журнали дій і контролів, це антивіруси, фаєрволи. Це великі масиви даних, для обробки яких потрібен ще й інструмент, який мало хто має в Україні.
Владимир Кург: Вы спрашивали, о каком роде разведки идет речь. Это то, что называется OSINT, Open source intelligence, разведка из открытых источников, в том числе интерактивная, когда забрасывают пробное письмо и получают ответ.
К чему ранее готовились? Фактически и в Украине, и в мире после 1990-х годов готовились к прямым кибератакам, когда последовательно проламывают эшелоны сетевой защиты, периметр, внутреннюю сеть, серверы, то есть к весьма трудоемким атакам. Но оказалось, что гораздо эффективнее проникновение по легальным каналам. Электронная почта – это легальный канал. В декабре 2016 года было электронное письмо, которое имитирует легального отправителя и где и текст, и адреса, и сам файл имитируют служебную переписку, но с закладкой-дроппером, который внедряется в систему. WEB-доступ – тоже легальный канал работы пользователей. Но когда в том же письме приходит скрытая ссылка на загрузку либо разведывательной части, либо боевой части, это уже не вирусы, а кибероружие. Это тоже проникновение по легальным каналам. При атаке вируса Petya был задействован еще один легальный канал – распространение программного обеспечения.
То есть все это готовилось достаточно тщательно, в каждом случае успешных атак была серьезная маскировка, были достаточно большие сроки на сбор информации, на инфильтрацию, на сбор информации из внутренней сети, и все это очень тщательно скрывалось.
Технически атаковать в ответ можно. Можно организовать временную анонимную площадку и провести атаку, предварительно проведя разведку. Но здесь я процитирую американское руководство по психологическим операциям – «Мы не лжем и не используем грязные игры». Это официальная позиция, насколько мне известно, не только Украины, но и НАТО, США, Запада.
Журналіст: На минулому тижні Торгово-промислова палата, її експерти вийшли до преси з такою заявою: у майбутні кілька тижнів можливе повторення недавньої кібератаки. Чи бачите ви передумови, аби прогнозувати такі кібератаки найближчим часом? Адже хакери навряд чи будуть чекати, поки ми створимо систему, поки ми знайдемо класних айтішників, поки ми дамо їм достойні зарплати і навчимо кожну компанію, як захищатись. Чи є якісь хоча б початкові, елементарні методи достойно відбити атаку і не втратити терабайти важливих документів, вже не говорячи про те, щоб попередити її?
Владимир Кург: Каждая организация должна смотреть на свое окно уязвимости – когда она наиболее уязвима, когда от атаки будет максимальный ущерб, и в этих окнах поднимать, скажем так, боеготовность своей зашиты. Документация американского NIST содержит фундаментальный принцип киберзащиты: рассчитывайте свою защиту, исходя из того, что вас рано или поздно взломают; поэтому в первую очередь готовьте процедуры сохранения данных и быстрого восстановления.
Александр Кардаков: В отчетахTalos Cisco и ESET есть интересные маленькие постфактумы. В результате этой атаки атакующие «спалили» свой канал, фактически открыли оперативный канал воздействия, который работал длительное время, минимум три месяца. То есть раскрыли все схемы ради этой атаки. Такое делается, только если у атакующих уже есть следующий вариант. Они уже предвидели, что от такого вида атак начнут защищаться, конкретно от M.E.Doc, например. Значит, есть что-то в заготовках на будущее.
Наталья Клаунинг: Есть представление о том, какие могут быть следующие кибератаки?
Александр Кардаков: Чем был опасен сегодняшний вирус? Он просто скомбинировал две разных функции. Когда свыше 10 лет назад был создан IPhone, в нем ничего нового не было, просто гениально все скомбинировали. Так же и этот вирус – скомбинированы были все известные уязвимости, был использован ранее известный канал распространения через обновление программного обеспечения. Уникальным было сочетание этих двух компонентов. Поэтому надо перебирать все виды уязвимостей и изучать их возможные сочетания. Что-то принципиально новое тяжело придумать, а вот новое сочетание вполне можно.
Вячеслав Марцинкевич: Всего этого в большинстве случаев можно было избежать без больших затрат, просто правильно выстроив защиту и наладив внутреннюю сеть. Почему произошло такое массовое распространение? Потому что, действительно, использовалось как канал распространения обновление программного обеспечения, которое имело доступ, грубо говоря, ко всему компьютеру. То есть программа имела административный доступ, а также в большинстве случаев программа была внесена в исключения для антивирусов. Поэтому вредоносный код без труда попал на компьютеры и распространился. Соответственно, если бы этого можно было избежать, если бы разработчики программного обеспечения это исключили, то, я думаю, 100%, что такого масштабного заражения не произошло бы.
На данный момент у сектора бизнеса, как гос-, так и частного, есть еще несколько программ, которые также разработаны украинскими компаниями. Исходя из моего опыта, приобретенного при общении с техническими специалистами разных компаний, могу сказать: они подтверждают, что то же самое происходит и с этими программами. То есть они рекомендуют добавлять эти программы в исключения, поскольку в обновлениях иногда приходят трояны, которые обнаруживаются при проверках на разных антивирусах. Соответственно, не исключено абсолютно, что атака может повториться. А точных дат никто не может сказать.
После недавней атаки, наверное, 10% компаний привели свои компьютеры, свою сеть в надлежащее состояние. Все остальные думают, мол, прошло, все работает, сейчас все нормально, ничего делать не надо.
Наталья Клаунинг: То есть если атака повторится, будет то же самое?
Вячеслав Марцинкевич: Естественно. Если какой-то вирус снова попадет на компьютеры, то среда заражения останется та же, она не обезврежена, не изолирована.
Журналист: У меня вопрос к господину Марцинкевичу. С учетом того, что был поражен украинский бизнес, не рассматривается ли версия, что за этим стоят украинские хакеры?
Вячеслав Марцинкевич: Версий очень много, но подтвердить какую-то из них пока не можем.
Журналист: Я не говорю о подтверждении версии, а о ее рассмотрении.
Вячеслав Марцинкевич: Естественно, такая версия рассматривается.
Надія Литвинчук: Щодо контролю ситуації та прогнозів. В системі СБУ існує такий напрямок роботи, як контррозвідувальний захист інформації. Існує така практика, що СБУ в окремих випадках визначає загрози і навіть попереджає про поведінку певних шкідливих програм і окремих вірусів, які можуть уразити ті чи інші системи. Практика така існує, робота така ведеться, але ми розуміємо, що і обладнання, і система роботи потребують модернізації для більшої ефективності. Тому що, реально вам кажу, лише останнім часом почала вибудовуватися система національної кібербезпеки.
Андрій Пастушенко: Якщо відслідковувати публікації в ЗМІ, то можна нарахувати хвиль п’ять після першої атаки вірусу Petya. Про що це говорить? Про те, що поки що суспільство не має чіткої поінформованості, що робити, вже після першої атаки, першої хвилі. Простий приклад: якщо взяти заражений комп’ютер, але який вчасно був виключений в момент дії вірусу, і його помістити в незахищене середовище, без проведених заходів по ізоляції цього інциденту, відбудеться те саме. Ви включаєте цей комп’ютер, і вірус масово розповсюджується, заражає, шифрує комп’ютери, які разом з ним в одній мережі.
Чи будуть повторюватися такі атаки? Будуть. Ми побачили, що наші системи вразливі, ми побачили недостатній рівень реагування, недостатній рівень оповіщення про такі загрози. Бо вже в перші години розповсюдження в кількох авторитетних середовищах були висвітлені вектори дії цього вірусу, а зараження продовжувалося, наскільки мені відомо, ще й на наступному тижні, тому що компанії не знали, як правильно відновлюватись. Приймалися абсолютно неправильні рішення: форматувалися диски, встановлювалася та сама версія операційної системи без необхідних патчів, комп’ютер включали в ту ж мережу, і починалася ще одна хвиля.
Якщо говорити про те, що може бути далі, то серед фахівців є припущення, що, можливо, це була не основна ціль цієї атаки, можливо, основна ціль була отримати дані, наприклад, закриті ключі шифрування. Зараз говорять багато про те, що під час підготовки і самої атаки атакуюча сторона отримала доступ до величезного об’єму приватної інформації українських компаній. Ці дані могли бути скопійовані, і можливо, вже реалізується сценарій з їх використанням. Наприклад, у переддень Дня незалежності, 23 серпня буде подана скомпрометована фінансова звітність, оскільки ключі шифрування є. Одномоментно фінансова система буде виведена таким чином з ладу, оскільки запуститься процес перевірок тощо, процес реагування на фейкову звітність. Чи можливо таке? Можливо. Імовірність? Невисока. В принципі, компанії почали змінювати ключі шифрування, робити бекапи. Але імовірність залишається. А ми, фахівці в сфері кібербезпеки, працюємо з ймовірностями.
Нічого нового та фантастичного не вигадали, ті закони, які були сформульовані 15-20 років тому, все ще діють, доводиться доводити їх як до бізнесу, так і до людей, які приймають рішення, і навіть до звичайних користувачів.
Наталія Клаунінг: З кимось із державного апарату ви співпрацюєте щодо передбачення майбутніх кібератак? Є діалог?
Андрій Пастушенко: Так. Є наше тестоверішення, яке дозволяє якраз такі-от загрози ідентифікувати. Воно зараз успішно пройшло тестування Національній поліції. Більше того, ми зробили висновки за кілька тижнів до дії власне вірусу, в яких були описані основні можливі вектори розповсюдження подібної загрози.
Журналист: Господин Пастушенко, вы говорите, что призводите защитные средства. Можете детальнее рассказать об этом?
Андрій Пастушенко: Це рішення, які дозволяють приманювати загрозу, а потім контролювати. Зараз є дуже багато засобів контролю. Ви можете контролювати потік інформації у будь-якій компанії, контролювати мережеві потоки. Ми відкриваємо вразливості. Якщо з’являється загроза, вона працює на нас, а не на функціонуючі системи, які є зараз в компаніях.
Александр Кардаков: Я хочу задать вопрос господину Марцинкевичу. Он неоднократно говорил, что если бы все было правильно настроено и сконфигурировано, то атака бы не имела таких последствий. С вашей точки зрения, кто в стране должен был рассказать, как это должно было быть?
Вячеслав Марцинкевич: Возможно, хотя бы в госсекторе нужно сделать какой-то центр лицензирования, проверки, что-то в этом роде, работники которого могут ездить по госпредприятиям, проводить анализ установленного программного обеспечения и издавать какие-то приказы им, проводить аудит, чтобы через установленный срок все это было приведено в норму. А если нет, то штрафовать. Потому как на данный момент в госсекторе очень плачевная ситуация. А если будет лишь бумага с рекомендациями, то администраторы и работники их выполнять не будут.
Надія Литвинчук: Хочу заспокоїти аудиторію: нічого не потрібно винаходити, ніякий інший орган створювати. Він уже давно створений, це Держслужба спеціального зв'язку та захисту інформації. На неї покладені обов’язки державного контролю за захистом інформації в державних органах влади. Оскільки в системі цієї служби є проблеми щодо повноважень, в рамках РНБО вивчається питання вдосконалення цієї системи, щоб було більше повноважень і більше відповідальності власників інформаційних систем. Тому що у нас на сьогодні немає відповідальності. Якщо говорити про Кримінальний кодекс, то там передбачені дуже невеликі штрафні санкції і дуже незначна відповідальність власників. А наслідки самі бачите які – колосальні. Повноважень на сьогодні недостатньо. Тому це питання вирішується. Але згадані функції повністю покладені на Державну службу спеціального зв’язку та захисту інформації.
Александр Кардаков: Я специально задал этот вопрос. В коммерческом секторе «спасение утопающих – дело рук самих утопающих». И это возвращает нас к идее гражданской киберобороны.
Надія Литвинчук: Приватним секторомдержава має намір опікуватися, лише коли йдеться про критичну інфраструктуру, відверто вам кажу. Критична інфраструктура – та, від якої залежить система життєзабезпечення громадян.
Александр Кардаков: Видите, как я продвигаю свою идею? Без гражданской киберсамообороны ничего не сделаешь.
Владимир Кург: Я бы хотел обратить внимание на ответ господина Марцинкевича. Это очень правильно – проводить аудиты и предоставлять рекомендации. Тем не менее, он не ответил, по каким критериям эти рекомендации выписывать. Мы, когда работаем над обеспечением безопасности, смотрим целевое состояние, описываем дыры, говорим конечное состояние. При этом мы ориентируемся на документы NIST. Правильно ли так делать в случае государственного аудита, мы не знаем.
Надія Литвинчук: В Держспецзв’язку існує порядок оцінки стану захисту інформаційних та інформаціно-телекомунікаційних систем. Відповідно до цього порядку вони працюють.
Наталія Клаунінг: Всім дякую за змістовну дискусію.