Как происходит кибератака и можно ли от нее защититься?

Гость эфира — президент киевского отделения общественной организации ISACA Алексей Янковский.

Анастасия Багалика: По вашим оценкам, Украина — это защищенное государство?

Алексей Янковский: Скорее нет, чем да. Я считаю, что у нас в стране не проводится системная работа по внедрению кибербезопасности. Те мероприятия, которые имеют место, напоминают тушение пожара и носят точечный характер. В Украине госорганы не делаю то, что делают госорганы в развитых странах, например в США.

Если взять последние кибератаки на США, то Министерство внутренней безопасности вместе с ФБР проанализировало эти атаки и выпустило отчет, который позволяет другим госорганам и частному бизнесу на основании этого отчета индикаторов атак проанализировать свои системы, понять атакованы ли они, внедрились ли уже в эти системы злоумышленники. Они проанализировали образцы преступного кода с прошлых атак на госорганы и дали рекомендации, как другим госорганам и частным компаниям проверить, были ли атакованы их системы, дали рекомендации, как эти системы вычистить, как противостоять этим атакам.

К сожалению, сейчас у нас в стране такая работа не ведется. Не распространяются индикаторы атак, не даются конкретные практичные рекомендации, как противостоять, как готовится, как вычищать свои системы после злоумышленников.

Волонтеры из общественной организации «ISACA — Киев» разработали тренинг на несколько часов. Он охватывает вопросы организационной и технической подготовки к атаке, организации реагирования, сдерживания атаки (если какую-то систему атаковали, как сделать так, чтобы атака не распространилась на другие системы и снизить негативные последствия), вычисления злоумышленников, искоренения их из IT-системы организации, что технически очень сложно.

Если злоумышленники проникли внутрь системы, их очень сложно оттуда вычистить. Это может занять месяцы. Нужна специальная методология, знания и навыки, как это делать. К сожалению, многие госорганы, которые были атакованы, в которых мы провели такие тренинги, остались без поддержки. В их сетях по-прежнему сидят злоумышленники, есть признаки того, что они по-прежнему контролирую часть сети. Как вычищать сети, представители госорганов не знают.

В стране нужно организовать серию тренингов для всех объектов критической инфраструктуры, для всех госорганов, обучить их правильно реагировать и очищать свои системы. Мы предлагаем госорганам, госспецсвязи, киберполиции сделать программу train the trainer, то есть натренировать ответственных сотрудников госорганов. Они будут дальше ездить по стране и тренировать другие госорганы, объекты инфраструктуры. Это было бы выходом из критической ситуации, но это только один элемент.

У нас в стране есть фундаментальная проблема с точки зрения кибербезопасности: у нас не применяются мировые стандарты по кибербезопасности, у нас безопасность строится на основе комплексной системы защиты информации, которая направлена на защиту информации в конкретно взятой информационной системе. Она не охватывает организационный аспект, она статичная.

Госорганы, которые должны ее внедрить, обязаны пригласить специального лицензиата, который напишет массу документации, другой лицензиат приедет и проведет аудит, подтвердит. Потом никакие изменения вносить в систему нельзя. Люди, которые будут вносить изменения, потом должны за это нести ответственность.

Кибербезопасность так не работает. Когда организация подвергается атаке, нужно вносить изменения, нужно на лету менять архитектуру сетей, ставить дополнительные средства защиты. Очень часто нет времени даже на всеобъемлющее тестирование.

Анастасия Багалика: Как кибератака может навредить госорганам?

Алексей Янковский: Есть разные способы кибератак. О наиболее частом для нынешнего времени способе я расскажу детальнее.

Сотруднику присылается письмо, которое выглядит совершенно нормально. Оно адресовано на имя, фамилию сотрудника, начинается со слова «уважаемый». Оно выглядит так, как письмо легитимной организации, например другого госоргана. Сотрудник не может его не открыть, потому что оно касается его работы.

Я говорю не только о госорганах, а о любой организации.

Письмо побуждает человека открыть приложение. Это может быть документ в формате Word, PDF или Excel. Человек открывает его, после чего у него на компьютере выполняется преступный код. Происходит соединение этого компьютера с «контрольным центром», где сидят хакеры.

Это работает, потому что средства защиты настроены на то, чтобы блокировать трафик извне. Обычно организации не блокируют трафик с компьютеров сотрудников в интернет.

Дальше на компьютер загружается масса дополнительных инструментов. Человек, который открыл письмо, ничего не видит. Дальше злоумышленники распространяются по сети этой организации, захватывают пароль администратора домена.

Хакеры изучают систему, оценивают, какие наиболее ценные информационные активы, рабочие места, системы есть у организации, на них ставят шпионское программное обеспечение, которое каждые несколько секунд передает копии экрана, то, что человек набирает.

Изучение может длиться месяцами. Команда злоумышленников может ждать удобного время для атаки или появления средств у компании. Атаку проводят молниеносно, после нее зачищают следы.

Проблема в том, что современные средства защиты малоэффективны. Атаки эволюционируют настолько быстро, что современные средства защиты уже не эффективны.

Каждая организация должна понять, что ее рано или поздно взломают. Возможно, ее уже взломали.

Я слышал, что были DDoS-атаки на Мионобороны. Но временное блокирование сайта — это не так критично, как проникновение злоумышленников в систему. С DDoS-атаками научились достаточно эффективно работать. Есть сервис CloudFlare, который создает в «облаке» зеркало сайта. Если основной сайт DDoSят, то автоматически весь трафик переключается на зеркало.

Были случаи, когда хакеры взламывали системы управления производственными процессами на заводах. Это было в США. Завод начал производить бракованные вещи. Оказалось, что хакеры другого государства специально взломали систему, чтобы заказы пошли на завод, который был расположен в том государстве.

Ирина Сампан: В статье на «Украинской правде» вы написали, что Украина используется международными хакерскими группировками для тестирования и отладки новых средств.

Алексей Янковский: Это не мое личное мнение. Это общепринятое мнение сообщества по кибербезопасности. У нас очень слабое законодательство. У нас тяжело привлечь человека, посадить за киберпреступления. Украина используется как playground. Очень важно наладить обмен информацией об атаках. Для западных государств важно помогать нам в этом вопросе.

У нас до сих пор нет нормального закона о кибербезопасности.

Мы считаем, что нужна комплексная трансформационная программа по кибербезопасности, которая должна охватывать не только силовые структуры, но и систему образования, обычных людей, коммерческие организации, объекты критической инфраструктуры. Эта программа должна отслеживаться и контролироваться централизовано. Желательно, чтобы центральный штаб управлялся иностранными консультантами, которые не были бы заинтересованы в закупке программного обеспечения определенной компании.

Анастасия Багалика: Сейчас много инициатив касаются того, чтобы большую часть жизнедеятельности государственной машины перевести в онлайн-сервисы. Насколько это опасно?

Алексей Янковский: Конечно, это опасно. Но до этого еще далеко. Сейчас Украина «выезжает» на том, что процессы можно перевести на ручной контроль на многих объектах критической инфраструктуры. До полной автоматизации еще далеко. Я надеюсь, что тогда будет подведена база для построения эффективной системы кибербезопасности.

Я считаю, что нам нужно идти по модели саморегуляции, когда есть отраслевые стандарты, отраслевые регуляторы. Не должны приходить государственные аудиторы, проверять и накладывать штрафы. Необходимо полагаться на институт международного аудита.