Демонстрация силы. Олег Деревянко о ключевых целях последней кибератаки на Украину

 »   » 
  • Опубликованно
  • Демонстрация силы. Олег Деревянко о ключевых целях последней кибератаки на Украину

Речь в ней идёт о предыдущих атаках российских хакеров на Украину (в частности, на её энергетические компании), осуществлённых в конце 2015-го и 2016 года (в самой Украине СМИ на них особого внимания не обратили).

Одним из главных героев статьи стал украинский эксперт по кибербезопасности Алексей Ясинский, занимающийся борьбой с хакерской группировкой Sandworm, которую связывают с Кремлём. «Ясинский считает: то, с чем Украина столкнулась в течение последних трёх лет, возможно, было всего лишь серией тестов», — пишет Wired.

Сейчас Ясинский работает в Information System Security Partners (ISSP), международной компании с главным офисом в Киеве, которая занимается кибербезопасностью. Фокус поговорил с главой совета директоров ISSP Олегом Деревянко о том, какие цели ставили перед собой хакеры во время последней атаки и как противодействовать будущим угрозам.

Недавняя атака — это действительно часть гибридной агрессии против Украины?

— Мы занимаемся техническим анализом атак и внедрением технологий и процессов кибербезопасности. Это функция соответствующих госструктур — заниматься атрибуцией атак. Когда происходит хакерское вмешательство, то в логах нигде не написано «Россия», «Корея» или «преступная группировка Х», если они хотят получить материальную выгоду.

Если же атака имеет все признаки state actor (участия государства. — Фокус), то первый вопрос, который должен возникать: кому это выгодно? Проведите параллель с Донбассом. С самого начала все знали, что это агрессия России. Но для юридического преследования нужны конкретные доказательства: задержали противника с документами, свидетельствующими, что это солдат или офицер российских войск, обнаружили и доказали присутствие российской военной техники и т. д. В киберпространстве атрибуция доказательств подобного рода крайне затруднена, не говоря уже о юридическом признании таких доказательств. Поэтому обвинения в кибератаках государственного уровня находятся только в политической, а не в юридической плоскости

Какие цели преследовались?

«Если атака имеет все признаки state actor, то первый вопрос, который должен возникать: кому это выгодно?»

— В первую очередь это была зачистка следов предыдущих атак, демонстрация своей киберсилы, отработка осуществления масштабной скоординированной атаки, включая способность вводить в заблуждение противника, выдавая один тип атаки за другой, подготовка к следующим атакам, тестирование возможностей кибербезопасности, особенно скорости реагирования на атаку и восстановления систем.

Мы сразу поняли и заявили, что это не атака, связанная с вымогательством, как многие ошибочно считали на протяжении первых суток, включая даже известных во всём мире экспертов.

Основной канал заражения — обновления программы M.E.Doc?

— Это был один из ключевых векторов атаки. Но когда атаку видят уже все — это её последняя фаза, кульминация. От момента проникновения в систему до активной фазы проходит, как правило, шесть месяцев.

В чём смысл такой задержки во времени?

— Например, проникновение происходит через машину обычного пользователя. Чтобы злоумышленников не обнаружили системы защиты, их действия длительное время носят изучающий характер. Они сканируют сеть, отслеживают поведение людей в системах, перехватывают пароли от технологических или административных пользователей. В итоге их действия практически нельзя отличить от действий администраторов или технологических пользователей.

Власть уже пообещала выделить дополнительные средства на киберзащиту государства. Это поможет?

— Главный вопрос, как и после волны атак 2016 года, на что именно дадут деньги, в каком объёме и как будут использовать. Возьмём ситуацию с Минфином и Госказначейством. После прошлогодних атак на эти органы Кабмин выделил дополнительные средства на новые системы хранения данных. Но это не защищает от проникновения и присутствия хакеров внутри, получения и выведения ими конфиденциальной информации и данных.

Весь мир исходит из одного принципа: на 100% защититься от проникновения в инфраструктуру невозможно. Соответственно, делается акцент на установке таких технологий, процессов и построении таких команд по кибербезопасности, которые позволяют выявлять присутствие хакеров на наиболее ранней стадии, прерывать их действия, очищать от них инфраструктуру, снова обнаруживать их, и так по кругу. Безопасность — это не результат, а процесс.

«Кибербезопасность сегодня — один из ключевых элементов национальной безопасности в любой стране»

Мы видим определённый прогресс в отношении к кибербезопасности со стороны государства: создана стратегия кибербезопасности, при СНБО есть координационный центр и т. д. Но по-прежнему нет закона о кибербезопасности, нет юридической основы для государственно-частного партнёрства в этой сфере, без которого не обходится ни одна передовая страна.

А уровень зарплат в украинском госсекторе в принципе позволит привлекать специалистов нужного уровня?

— Необходимо либо принимать специальный закон, позволяющий дать рыночные зарплаты сотрудникам государственных структур по кибербезопасности, либо создать механизмы государственно-частного партнёрства, которые решат эту проблему. В любом случае эта задача должна быть приоритетной для государства. У Израиля ещё несколько лет назад были серьёзные вопросы с кибербезопасностью, а сейчас он в тройке мировых лидеров за счёт мощного стимулирования частного бизнеса заниматься исследованиями и разработками в этой сфере. Вот ещё один пример: Department of Homeland Security США, аналог нашего МВД, буквально на днях подписал миллиардный контракт на пять лет на услуги киберзащиты с компанией Raytheon.

Чего стоит ждать от следующих кибератак?

— Если представить себе ещё одну-две мощные атаки, например, на банковский сектор, то это может нанести серьёзный удар по доверию к нему. Кто будет держать деньги в банке, если его в любой момент могут хакнуть и доступа к деньгам не будет как раз в тот момент, когда они очень нужны? Подрыв банковской системы тянет за собой политическую нестабильность и хаос.

А к чему может привести, например, дисфункциональность госорганов, особенно в критические моменты, или выход из строя систем критической энергетической или транспортной инфраструктуры? Думаю, что нет необходимости рисовать страшилки, нужно просто понять, что кибербезопасность сегодня — один из ключевых элементов национальной безопасности в любой стране. Президент Обама ещё несколько лет назад, когда была принята новая доктрина кибербезопасности США, сказал, что экономическое процветание Америки зависит от того, как будет решён вопрос с кибербезопасностью. Наверное, он что-то знает, правда? Можно себе представить, какие проблемы нас всех ожидают, если мир полностью перейдёт в фазу развитого интернета вещей (IoT) с его беспилотными автомобилями, автоматизированными домами, умной одеждой, агротехом, финтехом и здоровьетехом, не найдя ответ на вопрос, как обеспечить, чтобы всё это безопасно работало.

И что же делать нам?

— В Украине есть экспертиза мирового уровня в сфере кибербезопасности, просто её мощность невысокая, то есть количество людей соответствующего уровня пока невелико. Но есть масса талантов, и при должном внимании к этой теме со стороны власти, создании необходимых условий мы можем не только преодолеть отставание, но и создать экосистему разработки технологий и компетенций кибербезопасности, войдя в группу передовых стран в этой отрасли. Со всеми вытекающими позитивными последствиями не только для развития экономики, но и для усиления международного веса и геополитических позиций Украины.


ЧИТАЙТЕ ТАКЖЕ:
Читайте также

Мультимедиа