Кто взломал госреестры: почему украинцы не получат ответа и как жить дальше
Кибератака на государственные реестры Украины — история, с которой нужно тщательно разобраться. И может, предполагает IT-специалист Василий Задворный, важнее сейчас не то, как отбить следующую атаку, а то, чтобы вычислить злоумышленника...
Несколько тезисов о взломе реестров ГП НАИС.
====Disclaimer===
1) Каждый из тезисов цепляет до полудесятка различных объемных вопросов и может быть расширен до отдельного сообщения. Эксперты могут писать книги. Поэтому формулировки здесь с упрощениями и без описания корнер-кейсов.
2) Лично не был привлечен к робот систем ГП НАИС, а информация только из открытых источников.
==========
Мы не узнаем причин (и это хорошо):
- все, что мы знаем сейчас — это комбинация официальных заявлений, слухов разного уровня достоверности и наших предположений;
- реальный сценарий взлома будут знать только Incident Response Team, соответствующие службы и, возможно, партнеры.
Да это и хорошо: подобная информация не должна попадать в публичное пространство.
Предположение.
Из того, что сейчас выглядит справедливой догадкой:
- удалены базы (потому что восстановление обещают за две недели);
- удалены те бэкапы, что делаются оперативно (ежедневно, еженедельно);
- остались "холодные" копии (ленты или другие архивные решения);
- такой масштаб требует глубокого проникновения в инфраструктуру и длительной подготовки (речь о месяцах);
- все удаленные данные, скорее всего, предварительно были скопированы (хотя можно представить сценарий, при котором этого не произошло);
- атака должна была быть комплексной и длительной: я не верю, что это "просто украли пароль админа". Взломы такого уровня — это прохождение лабиринта из большого количества комнат. Один украденный пароль — лишь ключ к одной двери;
- соответственно, решение проблемы — гораздо труднее, чем "надавать по рукам идиотам" и "нанимать нормальных людей" (хотя это тоже входит в необходимые, но не достаточные условия);
- все остальные данные о векторах атак и их реальной эффективности пока для меня выглядят не более чем предположения — надо было бы слушать профессионалов в поле, но, надеюсь, п.п. (1)
Последствия информационные:
- восстановление, скорее всего, не восстановит всех данных. RPO — Recovery Point Objective — точка времени, до которой можно восстановить данные, измеряется значительными периодами. Если потеряны только недели данных, это уже неплохо;
- из трех характеристик информационной безопасности — целостность, конфиденциальность, доступность — конфиденциальность сейчас волнует меньше всего (хотя не везде);
- ЕГР — один из самых "интегрированных" реестров. Первая интеграция в Prozorro была именно с ним. Многие бизнес-процессы могут быть заблокированы или приостановлены в зависимости от официальной коммуникации;
- ЕГР — реестр "предыдущей эпохи". Он был разработан одним из самых первых и имеет кастомную архитектуру, что ограничивает привлечение других вендоров к его восстановлению;
- с другой стороны, я не считаю, что сам факт взлома реестров увеличивает риск взлома других, интегрированных систем (отчасти потому, что этот риск и так высок, все находятся под атакой сейчас).
Последствия социальные:
- зависят от того, будут ли восстановлены данные и с каким RPO;
- больше всего волнует реестр имущественных прав и риск рейдерских схем;
- реестры и сервисы, интегрированные с поврежденными реестрами, также пострадали. Например, бронирование через "Дію";
- разработчики и владельцы будут решать: ждать восстановления или создавать временные обходные решения. Это решение зависит от затрат времени и денег.
Последствия для ІТ в государстве:
- доверие к ИТ-услугам, как по мне, останется неизменным. В борьбе между удобством и безопасностью пользователи выбирают первое;
- осознание киберугроз немного повысится, но ненадолго. Через год уже забудут эмоциональные последствия;
- программы усиления кибербезопасности продолжатся. Надеюсь, вырастут инвестиции в эту отрасль (особенно при поддержке партнеров).
Что делать и какие сделал я выводы:
- реакция с каждым разом становится лучше. Важно, что была официальная коммуникация от профильного министра;
- информационная безопасность — как спорт. Нельзя "натренироваться" на всю жизнь. Нужны регулярные проверки и практики для ключевых систем. Критически важно, как по мне, иметь набор базовых практических рекомендаций для тех, кто не способен сейчас инвестировать достаточно;
- важно найти баланс между централизованным внедрением и децентрализацией. Централизованные реестры потребуют большего внимания и, очевидно, больше инвестиций;
- МСП сложнее всего: кибербезопасность требует значительных инвестиций. Здесь самое место для нативного упоминания проекта https://cyber.business.gov.ua;
- парадигма мышления: очень откликнулась мысль Влада Стирана, о том, что в нашем случае надо думать не как отразить очередную атаку, а над тем, как выявить тех, кто вас УЖЕ СЛОМАЛ.
И хотя это и весьма параноидальный способ мышления, в текущих условиях, вероятно, лучше всего описывает ситуацию.
Опять же: как с обстрелами, которые делают не "в ответ на что-то" а "просто потому, что могут".
Автор выражает личное мнение, которое может не совпадать с позицией редакции. Ответственность за опубликованные данные в рубрике "Мнения" несет автор.