Минулого року, 27 червня, на Україну відбулася найпотужніша за всю її історію кібератака. Націлена на об'єкти критичної інформаційної інфраструктури, енергогенеруючих і енергопостачальних компаній, об'єктів транспорту, низки банківських установ, телекомунікаційних компаній. За деякими даними, вона вразила більше двох тисяч комп'ютерів та «коштувала» Україні 466 млн доларів.

США, Британія, Австралія заявили про причетність до неї Росії.

Оцінка Білого дому була гостра: «Атака була частиною зусиль Кремля дестабілізувати Україну... Це була безвідповідальна, нерозбірлива кібератака, яка отримає відповідь на міжнародному рівні.

Вже через тиждень після ліквідації наслідків Петро Порошенко заявив про наявність даних, які підтверджують причетність РФ до організації кібератак на інфраструктуру країни. Прикметно, що заявив він про це на спільній прес-конференції з генеральним секретарем НАТО Йенсом Столтенбергом.

Ми вирішили поговорити про це з фахівцем, який протягом десятиліть займається інформаційною безпекою та очолює офіс одного з найпотужніших у світі  Інтернет-реєстраторів, – Олексієм Семенякою.

- Які уроки ми винесли з останньої кібератаки?

- Еволюцію змін я б розглядав у трьох площинах. Перша. Як переосмислив це в цілому бізнес? Якщо говорити про це у термінах порівняльного ступеня, то думати про кібербезпеку стали більше. Але більше не означає багато. На жаль, стурбованість не приводить до діяльності. Найпростіший та дуже показовий приклад: команда реагування на інциденти Talos (Talos діє в складі найбільшої в світі корпорації з кібербезпеки Cisco і стежить за подіями в Україні – ред.) напередодні фіналу Ліги чемпіонів виявила загрозу – VPNFilter, величезний ботнет на маршрутизаторах.

І ця подія – значною мірою саме українська історія. Це відбулося рівно через рік після «Медка». І я зазвичай запитую людей, які звертаються до мене – і бізнес, і журналістів – а ви перевірили свій домашній роутер, чи є він у списку скомпрометованих? І, як правило, чую: ні. Це дуже наочна ситуація. В Україні сотні тисяч інфікованих пристроїв – й ані бізнес, ані користувачі не усвідомлюють загрози. Причому це таке дежавю.

Нагадаю, що до «Пєті» накрив у нас був вірус «Wanna cry», від якого постраждало багато компаній. Але ті, хто не постраждав, не зробили геть нічого для своєї безпеки, хоча те, що вони уникнули інфікування, – було суто випадковим, їм просто поталанило. Вірус, що передував «Пєті», не виробив жодного імунітету для тих, кого він не зачепив. І потім – коли прийшов «Пєтя» – вони виявилися просто відкритим для атаки. Бо вектори роботи – одні й ті самі.

Є компанії, які якось турбуються, почали приділяти увагу в правильний спосіб кібербезпеці. Кібербезпека – це комплекс – і софт, і навчання, техніка може допомогти, але вона не замінить правильної поведінки людини. Турбота про кібербезпеку – це і робота із зовнішніми підрядниками, із ентузіастами, у нас їх називають хактивістами. Раніше, якщо активісти та волонтери кібербезпеки повідомляли власників чи керівників відомств про дірки у їхньому захисті, то не отримували жодної реакції. Тепер натомість всі вхідні сигнали активістів враховуються. Це поступ. Але стадія початкова, але шлях побудови захисту інформаційних систем буде довгий...

- А чи покращилась взаємодія у правоохоронців та власників критичної інфраструктури?

- Друга площина – безпека об'єктів критичної інфраструктури.

Насправді рівень захищеності об'єктів критичної інфраструктури показує акція, яку провели активісти Кіберальянсу. (Мається на увазі #FuckResponsibleDisclosure або FRD із пошуку й виявлення уразливостей в державних структурах та на держоб'єктах – ред.).

Я б сказав, що підсумок акції FRD можна схарактеризувати так: приходьте, забирайте схеми, логіни-паролі. Акцію проводили кілька людей, одиницями, вони не копали глибоко. У хакерів не так багато часу, у них своя робота, своє хобі. І навіть за таких невеличких затрат часу та роботи були виявлені дірки де завгодно, на найбільш стратегічних підприємствах. Якщо люди (прямо скажімо – зловмисники) будуть активніше шукати пул уразливостей, які ще не стали епідеміями й «ліки» для яких ще не винайдені, то тоді результати будуть сумніші. А якщо будуть використовувати і соціальну інженерію, то тоді буде ще сумніше. Попереду ще довгий шлях.

Коли я чую відповідь: мовляв, у нас є друзі, ось Talos приїхав та допоміг на Лізі Чемпіонів, то я думаю, що це помилка того, хто вижив. Дякувати Талосу, що він відпрацював на фіналі Ліги. Але де впевненість, що на якомусь водосховищі з ГЕС усе добре, що там нема вживленого шкідливого коду, який дозволить у певний момент скинути цю воду в екстрений спосіб? Є у вас упевненість, що нема загроз саме такого коду на електростанціях? У системах управління питною водою? Їх достатньо багато. Я ненавиджу термін «критична інфраструктура», але це світовий термін. В Україні не сформовано єдиний підхід до цього терміну. Але об'єкти критичної інфраструктури є, в загальному вони підпадають під два універсальних критерії: від них залежить життя, здоров'я та національна безпека. Судіть самі: чи ці об'єкти у нас достатньо захищені.

Але, аналізуючи це, скажу про ще один момент – фінансування. Багато у чому ефективність кібербезпеки залежить від ефективності економіки. Це не означає, що якщо грошей багато – все добре, це означає, що якщо грошей мало, то точно все погано. Просто тому, що люди будуть думати не про те. Коли компанія чи відомство думають про виживання, вони гарантовано не думають про комп'ютери.

- Але коли я згадую цю атаку, то не можу не відзначити: її видимі наслідки були ліквідовані швидко. Вона почалася у вівторок зранку, а ввечері вже відкривалися сайти кабміну, в середу сайт Нафтогазу та сайти обленерго. Під час кібератаки ми чи не вперше побачили відкритість та мобілізацію владних структур, які цього разу на весь світ заявили про нашу проблему. Міністри, голова НБУ, АП – всі визнали кібератаку; СБУ, Кіберполіція видавали рекомендації. Держспецзв'язок, окрім «людської» допомоги, теж видав рекомендації, а також закликав власників об'єктів критичної інфраструктури не приховувати дані. Кіберлабораторії надавали шаблон для створення плану стримування й відновлення після кібератаки, продукти, які блокують шифрувальника, інструменти захисту.

- Ну, й у цілому скажімо: окремі проекти держава вміє відпрацьовувати. Згадайте, що й кібератаку під час виборів президента в 2014 році ми абсолютно фахово відбили. Ми багато навчилися. І у суспільства, і в політиків є розуміння, що є проблема. Є взаємодія між структурами. Але також потрібно розуміти. Держава може допомогти, може завадити та зіпсувати, а може бездіяти... Але зробити абсолютно все добре держава не може. Вона обмежена в інструментах та практиках. Тому чекати, що хлопці з кіберполіції, СБУ вирішать усі проблеми кібербезпеки – це не лише неправильно, але й шкідливо. Не слід думати, що ваші проблеми вирішить якійсь зовнішній дядя. Це питання і власної відповідальності, й бізнесу, і приватних осіб. Розраховувати, що держава зробить усе – шкідливо.

Але, якщо продовжувати про зміни та уроки. Є третій пункт. Зміни у корпоративному середовищі.

Воно значно пожвавилося, краще почали почуватися представники професійної сфери. Кількість професійних конференцій вже зашкалює, відбуваються одна-дві конференції в тиждень. А пожвавлення у середовищі – перші ознаки дорослішання індустрії. Тому що фахівці в сфері є, є цілі групи фахівців, але індустрія – значно більше, ніж окремі фахівці.

Деколи структура, яку я очолюю, проводить семінари для наших правоохоронців, а також правоохоронців Європолу, Білорусі та Росії. І є такий індикатор добрий у цілому: наші правоохоронці були найбільш активні та зацікавлені у знаннях. А зростання зацікавленості свідчить про правильний вектор розвитку.

Розмовляли Лана Самохвалова, Оксана Климончук.

Фото з Facebook