«Дыры» в киберзащите Украины

794

Секретарь Совета национальной безопасности и обороны Украины Александр Турчинов, выступая на ІХ экспортном форуме 7 июня в Киеве, заявил, что отечественная киберзащита достигла уровня западных стран. «По оценкам экспертов, мы вышли на уровень кибербезопасности, что соответствует таковому во многих странах Европейского союза, за крайне короткий срок», — сказал Александр Турчинов. В тоже время он обратил внимание на нарастающую информационную агрессию России против Украины.

На самом деле, господин Турчинов выдает желаемое за действительное. Год назад наша страна пережила самую масштабную хакерскую атаку за все годы независимости. Началась она еще в апреле 2017 года, но завершающий этап с использованием вируса Petya-NotPetya произошел 27 июня. В результате атаки пострадали государственные органы, различные предприятия, финансовые и торговые учреждения, а также СМИ. Деятельность многих важных предприятий — аэропорт «Борисполь», Чернобыльская АЭС, «Укрпошта», «Укртелеком», «Укрзалізниця», Ощадбанк — была заблокирована.

Вирус атаковал информационные системы Кабинета Министров, Министерства инфраструктуры, а также сайты Киевской городской администрации, городского совета Львова, департамента киберполиции и Службы спецсвязи Украины.

Как потом выяснилось, атака стала возможной благодаря заражению вирусом Petya-NotPetya пакета обновления программы M.E.Doc. Злоумышленники получили доступ к файлам программы и установили скрытый бэкдор. В итоге жертвам было предложено обновить программу M.E.Doc, что они и сделали. Вирус попал в компьютеры и зашифровал все файлы, а хакеры предлагали пользователю заплатить выкуп в криптовалюте Bitcoin в эквиваленте $ 300. Несколько стран, включая Украину, Великобританию, США, Новую Зеландию, Канаду и Данию, возложили ответственность за атаку на Россию.

Украинские чиновники, сотрудники силовых органов и эксперты неоднократно указывали, что хакеры, направляемые Кремлем, угрожают национальной информационной безопасности. Российские кибервойска постоянно проводят операции против Украины. В качестве примера можно привести атаку на «Прикарпаттяобленерго» в декабре 2015 года, когда большая часть региона осталась без электричества. С другой стороны, проблемой является некомпетентность украинских чиновников и игнорирование основ сетевой безопасности. Украинские киберволонтеры, стремясь обратить внимание на чиновничье ротозейство, организовали в Facebook флешмоб #FuckResponsibleDisclosure, в рамках которого собирали факты халатного отношения чиновников к этой проблеме. Доходило до абсурда, когда работники областных администраций выставляли в общий доступ диски со служебными документами, а сетевой диск Киевской полиции вообще оказался в открытом доступе.

В марте «прославился» ПАО «Завод «Маяк», входящий в государственный концерн «Укроборонпром». Сотрудники предприятия по недосмотру «вывалили» в сеть чертежи новых разработок, заказы и соглашения на поставку комплектующих.

Из последних эпизодов внешнего кибервмешательства стоит отметить атаки на сайты Министерства энергетики и угольной промышленности, Государственной пограничной службы и Министерства культуры. Пресс-секретарь Украинского киберальянса, скрывающийся в Facebook под псевдонимом Sean Brian Townsend, заявил, что он и его коллеги неоднократно призывали чиновников уделить внимание киберзащите. «И не говорите, что вас не предупреждали. В ходе #FuckResponsibleDisclosure мы язык стерли, доказывая, что любой сообразительный школьник развалит ваш скворечник (имеется в виду информационная система. — R0) в одно касание. Не поверили? Ну, ой», — пристыдил волонтер чиновников.

Врочем, были немногочисленные случаи, когда удавалось эффективно отбить кибератаку. Как пример можно привести инцидент в ходе президентских выборов 2014 года, когда злоумышленники пытались изменить информацию на веб-серверах Центральной избирательной комиссии. Хакеры хотели, чтобы на серверах «светилась» победа другого кандидата.

«Выводов не сделали»

Отечественные специалисты по сетевой безопасности в комментариях Realist’у сошлись во мнении, что основными источниками киберугроз для Украины является российская агрессия, а также внутренние слабости. К последним относятся монополизация рынка программного обеспечения, отсутствие государственного заказа на создание отечественного софта, техническая неграмотность рядовых пользователей ПК и интернета.

Руководитель компании NetAssist Максим Тульев полагает, что угроза атак, подобных вирусу Petya, сохраняется. «На мой взгляд, выводов после истории с этим вирусом не сделали. Основная причина, почему атака удалась – это монополизация рынка налогового документооборота, использование только программного обеспечения M.E.Doc. Если эту монополизацию устранить и разрешить использовать другой софт, то угроза будет размыта. Но этого пока не произошло», – отметил Максим Тульев. Отечественные IT-компании могут разработать качественную альтернативу любому программному продукту, отметил эксперт. Проблема заключается в организационных барьерах и отсутствии государственного заказа. «Когда началась эта история с Petya, я захотел сделать свой интерфейс взаимодействия с налоговой администрацией без использования M.E.Doc. Оказалось, что налоговая не принимает отчеты, подготовленные в любой другой программе, без объяснения причин», – сообщил глава NetAssist.

Аналогичная ситуация сложилась с созданием отечественного аналога российской бухгалтерской программы 1C. Формально она находится под санкциями, клиенты не могут закупать соответствующее ПО у компаний, занесенных в «черный список». Фактически 1C используется едва ли не в каждом магазине. Максим Тульев отметил, что отечественные программисты могут разработать качественную замену, но пока нет уверенности, что расходы окупятся. «На разработку альтернативного ПО необходимо не более $ 100 тыс. Срок исполнения: от полугода до года. Нужен государственный заказчик, который оплатит разработку, а потом выставит готовый софт в открытый доступ. Пусть бизнес скачивает и пользуется», — предложил эксперт. В таком случае, полагает Максим Тульев, у отечественного бизнеса будет сразу два повода перейти на новый продукт. Первый — отказ от российского программного обеспечения. Второй — наличие бесплатной альтернативы с открытым исходным кодом. В этом случае программисты и предприниматели смогут убедиться, что софт не содержит шпионских «закладок». В случае необходимости такое ПО можно переписать под нужды конкретной фирмы.

Формально 1C находится под санкциями. Фактически 1C используется едва ли не в каждом магазине.

«Ситуация плачевная»

Даже после атаки вируса Petya-NotPetya чиновники и сотрудники государственных учреждений в целом прохладно отнеслись к киберугрозам. «В целом ситуация достаточно плачевная с отдельными небольшими улучшениями. Отличной демонстрацией тут является акция #FuckResponsibleDisclousure в Facebook, когда активисты, не прибегая ко взлому, в открытом доступе находили гигабайты служебной информации различных частных и государственных организаций, министерств и ведомств. Включая внутреннюю информацию организаций, которых можно отнести к критической инфраструктуре», — говорит Сергей Смитиенко, технический директор предприятия «Ноксервис», эксперт в сфере кибербезопасности

Из позитивных сдвигов он назвал создание и начало работы Ситуационного центра обеспечения кибербезопасности СБУ. По словам Сергея Смитиенко, сотрудники спецслужбы профессионально сработали во время готовившейся кибератаки с использованием вируса VPNFilter и вовремя предоставили необходимую информацию. Также эксперт упомянул Международный конгресс по киберзащите Украины, состоявшийся в мае в Киеве. «В рамках конгресса организовали дискуссию представителей власти, бизнеса, международных структур. Уже хорошо, что эти люди начали между собой разговаривать и пытаться найти выход из сложившейся ситуации», — отметил Сергей Смитиенко.

В тоже время он предупредил, что защита от кибератак не исчерпывается покупкой нового фаервола, антивируса или отказом от российского программного обеспечения. «Сначала нужно определить, что именно нуждается в защите, потому что прикрыть абсолютно все не получится. Далее идет бесконечный процесс обучения персонала компаний, учреждений и ведомств на случай выявления инцидента, тренинги по имплементации решений, тестирование на проникновение и многое другое», — говорит Сергей Смитиенко. Он также отметил, что наличие отечественных аналогов российского ПО не дает гарантий защиты, так как вирус notPetya заразил компьютеры через софт украинского разработчика.

Рынок киберзащиты вырос

Директор по операциям компании Berezha Security Владимир Стиран полагает, что часть украинского бизнеса относится к киберугрозам как стихийному бедствию, которое невозможно предотвратить. Как правило, речь идет о небольших или средних предприятиях. В то же время, по словам эксперта, вопросами сетевой защиты озаботились прежде всего фирмы, существенно пострадавшие от вируса Petya-NotPetya. «Это заметно, так как увеличился спрос на услуги компаний, которые занимаются вопросами кибербезопасности. Сейчас на украинском рынке действует примерно десяток относительно крупных предприятий, которые предлагают варианты защиты от атак. Как правило, предлагаются два типа услуг. Первый — внедрение систем защиты от сетевых атак, установка антивирусов, фаервол и др. Это приблизительно 80% услуг. Второй — проведение тестов на вмешательство, поиск слабых мест в работе сайта, программного обеспечения и т. п.», — сообщил Владимир Стиран.

Вместе с тем он уточнил, что заражение компьютеров вирусом Petya — лишь одна из разновидностей сетевых вторжений. «Речь идет о вмешательстве в цепь поставок. В прошлый раз использовали систему обновления программы M.E.Doc. Одну атаку пережили, но таких цепей в стране очень много», — предупредил эксперт.

Из опрошенных нами специалистов наиболее оптимистично был настроен Андрей Логинов — технический директор компании Smart Net, занимающейся разработкой и внедрением систем безопасности. По его мнению, в вопросах киберзащиты в Украине наблюдается существенный прогресс. «По моим наблюдениям, в Администрации президента, СБУ и парламенте таким угрозам уделяют внимание. Вместе с тем остаются проблемы, которые не связаны напрямую с техническими сложностями: бюрократия, нехватка специалистов или финансирования», — отметил Андрей Логинов.

Частный сектор также обратил внимание на проблему. По словам техдиректора Smart Net, около половины предприятий, с которыми они работали, осознали, что на киберзащите экономить не стоит.