Разделы
Материалы

Кто взломал госреестры: почему украинцы не получат ответа и как жить дальше

Кибератака на государственные реестры Украины — история, с которой нужно тщательно разобраться. И может, предполагает IT-специалист Василий Задворный, важнее сейчас не то, как отбить следующую атаку, а то, чтобы вычислить злоумышленника...

Фото: Getty | Как уберечься от следующей кибератаки

Несколько тезисов о взломе реестров ГП НАИС.

====Disclaimer===

1) Каждый из тезисов цепляет до полудесятка различных объемных вопросов и может быть расширен до отдельного сообщения. Эксперты могут писать книги. Поэтому формулировки здесь с упрощениями и без описания корнер-кейсов.

2) Лично не был привлечен к робот систем ГП НАИС, а информация только из открытых источников.

==========

Мы не узнаем причин (и это хорошо):

  • все, что мы знаем сейчас — это комбинация официальных заявлений, слухов разного уровня достоверности и наших предположений;
  • реальный сценарий взлома будут знать только Incident Response Team, соответствующие службы и, возможно, партнеры.

Да это и хорошо: подобная информация не должна попадать в публичное пространство.

Предположение.

Из того, что сейчас выглядит справедливой догадкой:

  • удалены базы (потому что восстановление обещают за две недели);
  • удалены те бэкапы, что делаются оперативно (ежедневно, еженедельно);
  • остались "холодные" копии (ленты или другие архивные решения);
  • такой масштаб требует глубокого проникновения в инфраструктуру и длительной подготовки (речь о месяцах);
  • все удаленные данные, скорее всего, предварительно были скопированы (хотя можно представить сценарий, при котором этого не произошло);
  • атака должна была быть комплексной и длительной: я не верю, что это "просто украли пароль админа". Взломы такого уровня — это прохождение лабиринта из большого количества комнат. Один украденный пароль — лишь ключ к одной двери;
  • соответственно, решение проблемы — гораздо труднее, чем "надавать по рукам идиотам" и "нанимать нормальных людей" (хотя это тоже входит в необходимые, но не достаточные условия);
  • все остальные данные о векторах атак и их реальной эффективности пока для меня выглядят не более чем предположения — надо было бы слушать профессионалов в поле, но, надеюсь, п.п. (1)

Последствия информационные:

  • восстановление, скорее всего, не восстановит всех данных. RPO — Recovery Point Objective — точка времени, до которой можно восстановить данные, измеряется значительными периодами. Если потеряны только недели данных, это уже неплохо;
  • из трех характеристик информационной безопасности — целостность, конфиденциальность, доступность — конфиденциальность сейчас волнует меньше всего (хотя не везде);
  • ЕГР — один из самых "интегрированных" реестров. Первая интеграция в Prozorro была именно с ним. Многие бизнес-процессы могут быть заблокированы или приостановлены в зависимости от официальной коммуникации;
  • ЕГР — реестр "предыдущей эпохи". Он был разработан одним из самых первых и имеет кастомную архитектуру, что ограничивает привлечение других вендоров к его восстановлению;
  • с другой стороны, я не считаю, что сам факт взлома реестров увеличивает риск взлома других, интегрированных систем (отчасти потому, что этот риск и так высок, все находятся под атакой сейчас).
Будет ли теперь доверие к Дие?
Фото: коллаж Фокус

Последствия социальные:

  • зависят от того, будут ли восстановлены данные и с каким RPO;
  • больше всего волнует реестр имущественных прав и риск рейдерских схем;
  • реестры и сервисы, интегрированные с поврежденными реестрами, также пострадали. Например, бронирование через "Дію";
  • разработчики и владельцы будут решать: ждать восстановления или создавать временные обходные решения. Это решение зависит от затрат времени и денег.

Последствия для ІТ в государстве:

  • доверие к ИТ-услугам, как по мне, останется неизменным. В борьбе между удобством и безопасностью пользователи выбирают первое;
  • осознание киберугроз немного повысится, но ненадолго. Через год уже забудут эмоциональные последствия;
  • программы усиления кибербезопасности продолжатся. Надеюсь, вырастут инвестиции в эту отрасль (особенно при поддержке партнеров).

Что делать и какие сделал я выводы:

  • реакция с каждым разом становится лучше. Важно, что была официальная коммуникация от профильного министра;
  • информационная безопасность — как спорт. Нельзя "натренироваться" на всю жизнь. Нужны регулярные проверки и практики для ключевых систем. Критически важно, как по мне, иметь набор базовых практических рекомендаций для тех, кто не способен сейчас инвестировать достаточно;
  • важно найти баланс между централизованным внедрением и децентрализацией. Централизованные реестры потребуют большего внимания и, очевидно, больше инвестиций;
  • МСП сложнее всего: кибербезопасность требует значительных инвестиций. Здесь самое место для нативного упоминания проекта https://cyber.business.gov.ua;
  • парадигма мышления: очень откликнулась мысль Влада Стирана, о том, что в нашем случае надо думать не как отразить очередную атаку, а над тем, как выявить тех, кто вас УЖЕ СЛОМАЛ.

И хотя это и весьма параноидальный способ мышления, в текущих условиях, вероятно, лучше всего описывает ситуацию.

Опять же: как с обстрелами, которые делают не "в ответ на что-то" а "просто потому, что могут".

Автор выражает личное мнение, которое может не совпадать с позицией редакции. Ответственность за опубликованные данные в рубрике "Мнения" несет автор.

Источник