Кибервойна: как Украине выстроить защиту против российских хакеров

Война с Россией идет не только на Донбассе. Настоящие сражения не утихают и в виртуальном пространстве. Если раньше российские спецслужбы атаковали в основном информационные и госсайты, то теперь они нацелились на жизненно важные объекты энергетики и инфраструктуры.

«Киберпространство сейчас превратилось в еще одно поле противостояния и борьбы за независимость государства. Различные попытки нарушения штатного режима функционирования национальных ресурсов, использование киберпространства для шпионажа, несанкционированного доступа к информации, попытки использовать кибератаки для достижения политических целей - это лишь одна небольшая часть того, с чем уже столкнулась Украина с самого начала российской агрессии».  Так оценил угрозу со стороны российских хакеров президент Петр Порошенко, выступая не так давно на заседании Совета национальной безопасности и обороны.

Обеспокоенность первых лиц государства вполне объяснима. Ведь только в 2014 году команда реагирования на компьютерные чрезвычайные ситуации CERT-UA при Госспецсвязи зафиксировала 216 кибератак, более половины из которых приходилось именно на государственные учреждения. В 2015 году атак было почти в полтора раза больше.

Одной из самых резонансных кибератак за два года стало несанкционированное вмешательство в работу локальной компьютерной сети украинского Центризбиркома в мае 2014 года. За пару дней до выборов злоумышленникам удалось временно заблокировать сайт ЦИК и вывести из строя Единую информационно-аналитическую систему «Выборы», вследствие чего процесс избрания президента Украины был на грани срыва. Угрозу ликвидировали, но, как говорят очевидцы, сделать это было непросто.

Кроме того, в течение 2014-2015 годов массированным атакам со стороны пророссийски настроенных хакеров подвергались правительственные порталы и интернет-ресурсы госорганов. В частности, больше всего «страдали» официальные сайты Администрации президента, Кабмина и Госспецсвязи. Также хакеры нередко атаковали порталы областных администраций, размещая на них антиукраинский контент и пропагандируя советскую символику. Подобного рода нападениям подвергались порталы Тернопольской, Львовской, Ивано-Франковской, Запорожской и ряда других областей. Более того, хакеры могли несколько раз подряд атаковать один и тот же сайт, что свидетельствует лишь о не эффективных действиях госорганов по предотвращению возможных атак.

«Они убрали надписи с сайта, но не исправили «дырки». Или исправили одну, а все остальные остались. Не делали даже соответствующих выводов, чтобы исправить все эти недостатки», - прокомментировали взломы сайтов правительственных структур украинские IT-волонтеры.

К концу 2015 года атаки российских спецслужб становились все более изощренными и опасными. Нападению уже подвергались объекты инфраструктуры и энергетики. В частности, удар бы нанесен по важнейшему стратегическому объекту - диспетчеру Объединенной энергетической системы компании «Укрэнерго».

Продуманная серия атак

Первое сообщение о проблемах с функционированием компьютерных систем поступило от предприятия «Прикарпатьеоблэнерго» 23 декабря, однако изначально компания не спешила связывать сбой с кибернападением. Руководство приняло решение отключить системы и перезапустить их вручную, вследствие чего 700 тысяч жителей Ивано-Франковской области на пару часов остались без света. Позже антивирусная лаборатория Eset, обслуживающая данное предприятие, заявила, что сбои произошли в связи с вирусной атакой, в ходе которой злоумышленники заразили компьютерные системы трояном BlackEnergy.

По словам известного украинского специалиста по веб-безопасности и учредителя волонтерской организации «Украинские кибервойска» Евгения Докукина, вирус BlackEnergy известен в широких кругах с 2007 года. Эту же технологию и тот же набор инструментов по удалению файлов злоумышленники использовали и во время нападений на украинские СМИ в ноябре при проведении выборов в местные органы исполнительной власти. В то время значительные потери понесли интернет-ресурсы медиа-группы StarLightMedia, лишившись большого количества документов и видеоматериалов.

Операция по захвату контроля над компьютерными системами облэнерго по своей сути являлась сложной, многошаговой атакой, которая совершалась профессионалами на протяжении не одного дня. По мнению Докукина, одной из причин заражения могли послужить устаревшие антивирусные базы, что свидетельствует о низком уровне квалификации работников предприятия. «Там каждый должен быть уволен, кто причастен к этому. Вы слышали хоть об одном увольнении? А ведь уже больше месяца прошло», - сказал он.

Согласно данным CERT-UA, от вируса BlackEnergy пострадали также энергетические предприятия и жители Киевской, Черновицкой, Хмельницкой и Харьковской областей.

Пока ответственные за кибербезопасность чиновники думали о том, как и что расследовать, российские хакеры подвергли мощным атакам еще ряд стратегических объектов Украины.

В частности, 16 января текущего года о проникновении в свои компьютерные системы заявили специалисты аэропорта «Борисполь», а спустя еще 4 дня тревогу забила госкомпания «Укрэнерго», сообщив, что злоумышленники от ее имени рассылают на электронные адреса предприятий электроэнергетики инфицированные письма.

Спустя несколько дней после первых атак на украинские облэнерго СБУ заявила, что попытку поражения компьютерной сети объектов энергетического комплекса предприняли российские спецслужбы. Вслед за этим крупные международные IT-компании - Trend Micro, iSight Partners и другие - после детального ознакомления с подробностями кибератак на Украину даже вычислили российскую группу хакеров. Это -  Sandworm. Ранее эта группировка уже использовала функционал BlackEnergy при совершении атак не только на украинские, но и европейские системы.

Атаки были настолько опасными, что пройти мимо их не смогли американские спецслужбы. Их представители не так давно посетили Украину, чтобы на месте выработать рекомендации по повышению безопасности компьютерных систем и защите от повторных хакерских нападений.

Стоит отметить, что хакерские атаки на промышленные объекты в условиях стремительного развития информационных технологий являются довольно распространенным явлением во всем мире.

Докукин сравнил нападение на украинские облэнерго с атаками пятилетней давности на две энергокомпании в ОАЭ, которые специализируются на добыче нефти и газа. Тогда хакеры использовали вирус с аналогичным функционалом, основной целью которого было нанесение максимального ущерба компьютерным системам предприятий. Вследствие заражения компьютер удалял некоторые системные файлы, после чего система перезагружалась и не могла больше запуститься.

«Простой длился неделями. И это были серьезные убытки - миллионные убытки», - сказал организатор «Украинских кибервойск».

Сравнительно с последствиями нападений на эмиратские энергокомпании, украинские предприятия отделались лишь легким испугом. Однако тот факт, что без особых усилий российская хакерская группировка сумела взломать систему, должен послужить для украинских властей предупредительным сигналом. Ведь если они не станут предпринимать реально действующие меры по киберзащите, в следующий раз последствия нападений могут иметь куда более серьезный характер. В нынешних реалиях власть реагирует на угрозы постфактум - когда проблема уже возникла.

«А вот не допускать проблему, принимать какие-то предварительные меры – власть этим не занимается», - с сожалением констатировал Докукин.

Перетягивание каната

Эксперты: Власть не готова эффективно защищать киберпространство Украины / snob.ru

Украинские волонтеры, представители бизнеса и общественных организаций в беседе с корреспондентом УНИАН неоднократно подчеркивали, что власть не готова эффективно защищать свое киберпространство, и, судя по всему, потеряли всякую надежду на то, что данная ситуация в ближайшее время разрешится.

С момента нападений на «Прикарпатьеоблэнерго» прошло полтора месяца, а реальных результатов расследования до сих пор нет. Отсутствие четкого разделения полномочий между спецслужбами, ответственными за кибербезопасность государства, их слабое техническое обеспечение и недостаточный интерес властей к вопросам информационной защиты Украины по-прежнему оставляют нас на несколько шагов позади противника.

В структуре украинских правоохранительных органов уже долгие годы существуют подразделения, основной задачей которых является противодействие кибератакам, но последние события лишний раз указывают на необходимость их капитального реформирования.

С самого момента обретения Украиной независимости при Министерстве обороны была создана специализированная структура, отвечающая за кибербезопасность государства. Но за все 25 лет существования суверенной державы ее структура ни разу не была пересмотрена и модернизирована, что в условиях стремительного развития информационных систем свидетельствует о неэффективности работы данного ведомства.

Кроме того, при МВД действует специальный отдел по борьбе с киберпреступностью, а при СБУ - департамент контрразведывательной защиты интересов государства в сфере информационной безопасности, отвечающий за сохранность государственных информационных систем. Однако и эти органы не могут похвастаться высокой результативностью в силу слабого технического обеспечения.

Тем не менее, в отличие от Минобороны, МВД делает первые, хоть и неуверенные шаги в реформировании данной сферы. 10 октября 2015 года министр внутренних дел Арсен Аваков объявил о создании киберполиции - нового подразделения с громогласным названием, которое при самых оптимистических прогнозах начнет свою деятельность с июня текущего года. При этом до сих пор трудно сказать, какие конкретные задачи министерство ставит перед новым ведомством.

Другим органом, призванным защищать интересы государства и его населения в борьбе с хакерскими нападениями, является Госспецсвязи, в структуре которой можно выделить два профильных подразделения. Первое – Центр антивирусной защиты информатизации (ЦАЗИ), отвечает за проверку обновлений баз основных антивирусных лабораторий (Avast, Eset, Zillya!, McAffee) и последующую их публикацию на своем сайте. Вторая структура - CERT-UA (Computer Emergency Response Team of Ukraine) – специализируется на отслеживании и анализе кибератак на информационные ресурсы украинских госучреждений. Данная команда функционирует на общественных началах уже порядка 9 лет, однако официальный статус получила лишь в мае 2014 года. Подразделение жалуется на недостаточное финансирование со стороны государства, что, в свою очередь, соответствующим образом отражается на оперативности и качестве работы.

Широкая структура ведомств, призванных обеспечить киберзащиту государства на всех уровнях, в силу отсутствия законодательного регулирования и слаженности в работе представляет собой сложный бюрократический аппарат – медлительный и нерезультативный.

Лучшая защита - нападение

Очевидно, что на данный момент Украина проигрывает в кибервойне своему восточному соседу. Мы не готовы держать оборону как организационно, так и технически, а противник силен. Но в нашей стране живет множество талантливых, активно настроенных патриотов, готовых на волонтерских началах делать все от себя зависящее для того, чтоб хоть на шаг приблизить Украину к долгожданной победе. С этой целью многие из них вступили в «Украинские кибервойска» - организацию, созданную Докукиным в июне 2014 года для противодействия информационной войне и проведения оборонных и наступательных операций в Интернете.

Что удивительно, волонтеры продемонстрировали куда большие успехи в расследовании и по предупреждению кибернападений, нежели власть.

Согласно данным it-волонтера Докукина, всего с 2001 по 2014 год оккупанты атаковали 673 украинских сайта. «Я веду статистику по инфицированию, в том числе и государственных сайтов. Вы думаете, кто-нибудь обратил внимание на то, что были вирусы на государственных сайтах?», - сетовал он.

В то же время, украинские кибердобровольцы с начала основания и по декабрь 2015 года захватили порядка 300 ГБ данных с различных ресурсов России, в том числе и государственных, закрыли 107 и заблокировали 139 российских сайтов, а также заморозили 10 млн долл. на 315 счетах террористов. Однако власти ни разу даже не высказали им официальной благодарности за проделанную работу. «Создается впечатление, словно это никому не нужно», - подчеркнул Докукин.

По его словам, все данные о проделанной работе он регулярно направляет в СБУ, но силовики крайне редко предпринимают какие-либо действия для их анализа и дальнейшего использования. Служба безопасности задержала слишком мало террористов и сепаратистов по наводке хакера, практически не использовала данные его аудио-, видео-, фото- и георазведки, не возвращала государству средства с заблокированных волонтерами счетов. Также украинские госструктуры отказываются возвращать контроль над государственными сайтами на Донбассе и в оккупированном Крыму. «Тысячи gov.ua сайтов захватила Россия вместе с Крымом еще в марте 2014 года, но до сих пор украинская власть и СБУ ничего не сделали для их возврата (после июля 2014 года, когда по моему настоянию СБУ заблокировала 5 gov.ua сайтов в Крыму)», - написал Докукин на своей страничке в Facebook.

Когда государство станет прислушиваться к мнению волонтерских организаций и ведущих украинских IT-компаний, начнет предпринимать реальные действия по защите отечественного киберпространства от возможных угроз, а затем перейдет из оборонительной позиции в наступательную, Украина станет значительно сильнее. На сегодняшний же день правительство предпочитает лишь говорить о важности решения вышеназванных проблем, не переходя к решительным действиям.

Надежду дает лишь то, что впервые за 25 лет существования независимой державы власть всерьез заговорила о важности киберзащиты на государственном уровне. Если государство продолжит уделять достаточное внимание вопросам безопасности страны в виртуальном пространстве, то в недалеком будущем Украина сможет держать киберудар и станет не по зубам российским хакерам, которые слишком долгие годы ощущали свое преимущество.

А хакеры, совершающие преступления, должны знать, что период безнаказанности когда-то может закончиться. Нарушившим законы не одной страны людям стоит опасаться при любой поездке за границу. Да и нахождение за железным занавесом России может не сильно помочь, так как все в нашем мире меняется. И кажущаяся сегодня смешной перспектива наказания за нанесенный ущерб может неожиданно стать реальностью.

Надежда Бурбела (УНИАН)

УНИАН в Google News