"В Украине нет единой системы кибербезопасности": эксперты пояснили причины атаки на госсайты

14 января 2022 года были взломаны несколько правительственных сайтов Украины, в результате чего на главных страницах интернет-ресурсов появилось сообщение о якобы состоявшейся утечке личных данных украинцев (данная информация официально не подтверждена). Фокус узнал у экспертов по кибербезопасности, по каким причинам могла состояться эта атака, кому она была выгода и какими могут быть ее последствия.

Как были взломаны государственные сайты

Около 01:00 14 января 2022 года пользователи Twitter заметили, что на на сайте Минобразования Украины появилось сообщение от хакеров (см. фото ниже), а к утру стало известно, что неизвестными хакерами были взломаны сайты МИД Украины, ГСЧС, Минспорта, Государственного казначейства, Министерства аграрной политики и продовольствия, Кабинета министров, портал "Дія".

Сообщение написано на трех языках — украинском, польском, русском с явными ошибками. Данный файл является картинкой, созданной в графическом редакторе. Этим файлом взломщики "подменили" главные страницы атакованных интернет-ресурсов. Такая подмена называется дефейс (англ. Deface) и обычно сопровождается блокировкой доступа ко всему сайту, или же удалением всей информации с сайта.

Как сообщила американская журналистка Ким Зеттер, ссылаясь на свои источники, хакеры воспользовались уязвимостью системы управления содержимым сайта с открытым исходным кодом использовали OctoberCMS, которая была установлена на все атакованные сайты.

По словам эксперта по кибербезопасности Андрея Барановича, злоумышленники воспользовались уязвимостью CVE-2021-32648, о существовании которой было известно еще в августе 2021 года. Специалист пояснил, что достаточно было скачать обновления и проверить правильность настроек OctoberCMS, чтобы воспрепятствовать взлому. Но этого не случилось потому, полагает Андрей, что в ведомствах и министерствах просто нет людей, ответственных за администрирование интернет-ресурсов и их безопасность.

Кто мог взломать сайты украинских госструктур

Конечно, об этом можно только догадываться, говорит Андрей Баранович, но все же можно предположить, что взлом осуществили либо российские хакеры, либо белорусские.

Примечательно и то, что сообщения написаны на трех языках, при чем на украинском и польском — с явными ошибками. . Более того, эксперт обнаружил, что к файлу с угрозами, размещенному на госсайтах, привязаны данные GPS, указывающие на Варшавскую школу экономики. Но он полагает, что это — фейк, потому что обычно координаты проставляются в фотофайлах, а не в картинках, нарисованных при помощи графических редакторов.

"Эти координаты были добавлены нарочно. Польский язык тоже был выбран не с проста. Все это сделано, чтобы поссорить Украину с Польшей", — заключил Андрей. "Давайте рассуждать так: кому это выгодно? Ввиду стягивания российских войск к украинской границе и обострения конфликта с РФ, такие действия могли быть санкционированы Кремлем. Но также не стоит исключать возможности того, что атаку совершили белорусские спецслужбы, ввиду ухудшения отношений с Украиной. Но пока это только догадки".

Почему государственные сайты не защищены от взломов и кто за это в ответе

Эксперты говорят, что сайты госструктур не поддерживаются и не администрируются на должном уровне — и это большая проблема, ведь неподдерживаемый сайт взломать гораздо проще. Еще один недочет в том, что в госучреждениях нет сотрудников, ответственных за кибербезопасность. В итоге, интернет-ресурсами никто толком не занимается.

"Можно было бы переложить ответственность на таких сотрудников, если бы они были. Но я думаю, что теперь все службы будут перекладывать ответственность друг на друга, а виновных так и не найдут. Подчеркну, что в каждом госучреждение должен быть человек, несущий персональную ответственность за обеспечение безопасности в Интернете", — говорит Баранович.

Константин Корсун, специалист в области кибербезопасности, полагает, что ответственность будет возложена на глав ведомств, пострадавших от хакерских атак.

"Конечными владельцами/распорядителями сайтов являются министерства и ведомства, и в их компетенции обеспечивать безопасность интернет-сайтов. Я думаю, что виноватыми сделают глав ведомств", — заявил Константин в комментарии Фокусу.

Кто должен обеспечивать защиту от хакерских атак интернет-ресурсов госструктур Украины

Как рассказал Фокусу Константин Корсун, в Украине существует три центра влияния в области кибербезопасности.

Первый — Национальный координационный центр кибербезопасности (НКЦК) СНБО, который, согласно закону, является национальным координатором в сфере кибербезопасности.

Второй, имеющий больше полномочий, — Государственная служба специальной связи и защиты информации Украины (Госспецсвязи), на которую возложена реализации политики государства в сфере защиты информации и государственных информационных ресурсов в том числе.

Третий, негласный, центр влияния — Департамент контрразведывательной защиты интересов государства в сфере информационной безопасности (ДКИБ) СБУ, который занимается защитой национальных интересов в сфере кибербезопасности.

Минцифры, по словам Корсуна, не имеет существенного влияния в данной сфере.

Что нужно сделать для обеспечения кибербезопасности интернет-ресурсов госстурктур Украины

Несмотря на то, что у нас есть центры и доктрины кибербезопасности, само обеспечение безопасности работы интернет-ресурсов оставляет желать лучшего, потому что подобные инциденты происходят постоянно, утверждают эксперты.

"Если у госструктур нет своих безопасников, или они не могут нанять для этих целей сторонние компания, значит, такую систему кибербезопасности нужно "выключать". О возможности кибератак ввиду эскалации конфликта на границе с РФ все ведомства знали еще до нового года. В Украину приезжали киберэксперты из Британии и США, но никто ничего не сделал", — говорит Андрей.

Специалист уверен, что стоило бы просто проверить обновления и настройки софта, сменить пароли, в общем, провести рутинное обслуживание, и ничего бы не случилось. Но этим никто не занимался.

Константин Корсун также отметил, что, несмотря на заявления политиков и получении помощи от американских партнеров в сфере кибербезопасности, в Украине до сих пор не существует собственного, единого "киберщита". По его словам, по этой причине (в том числе) госорганы не могут защитить ни себя, ни объекты критической инфраструктуры.

Результат хакерской атаки 14 января — мнение экспертов

Опираясь на свой опыт Андрей Баранович предположил, что если дело ограничится только дефейсами, то наше государство понесет чисто имиджевые потери, т.е. вряд ли случится масштабная утечка данных. Но пока не известны детали, эксперт ничего точно сообщить не может. Госспецсвязи в своем официальном заявлении также никаких деталей не раскрывает.

"Данная атака продемонстрировала, что никакой системы кибербезопасности у нас в стране нет. Все, о чем говорят депутаты, СБУ — это фантазии, не имеющие никакого отношения к реальности. Они мечтают о кибервойсках, о киберзащите, но о каких кибервойсках может идти речь, если все субъекты кибербезопасности не в состоянии обеспечить бесперебойную работу двух десятков сайтов органов центральной власти?", — задается вопросом специалист.

Для коллективной кибербезопасности необходимы коллективные усилия, объединение государства, общества, бизнеса вокруг одной прогрессивной идеи, считает Константин Корсун. Но на практике происходит профанация идеи кибербезопасности, говорит он, поэтому этот случай атаки — далеко не последний.

Фокус направил запросы в СНБО, повторно — в Госспецсвязи, а в Национальной комиссии, осуществляющей государственное регулирование в сфере связи и информатизации ответили, что данный вопрос их не касается. Следите за нашими новостями.