Украина утратила персональные и критически важные данные: эксперт о кибератаке 15 февраля

Пятнадцатого февраля сайты украинских банков и государственных ведомств подверглись мощной DDOS-атаке. Эксперт по кибербезопасности рассказал Фокусу о том, чем она грозит украинцам.

Министр цифровой трансформации Михаил Федоров заявил, что киберэксперты отбили атаки, направленные из России, Китая, Чехии и Узбекистана на портал "Дія". По словам чиновника, пользователи не ощутили сбоев в работе государственного сервиса (хотя редакторы Фокуса эти сбои зафиксировали). Однако специалист в сфере кибербезопасности Артем Карпинский считает, что госсектору и критической инфраструктуре нанесен значительный урон вследствие DDoS-атак 15 февраля.

Чем опасны DDoS-атаки и как определить их источники

По словам главы ОО "Украинский Киберальянс" Артема Карпинского, DDoS-атаки (distributed denial of service — распределенные атаки на отказ в обслуживании) направлены на выведение объектов инфраструктуры и информационных систем из штатного состояния функционирования. Иногда — на полное прекращение их работы, что критично прежде всего для государственных ресурсов и инфраструктуры, а также и для частного бизнеса, к примеру, — электронной коммерции.

В комментарии Фокусу Карпинский отметил, что определить местоположение центра управления и контроля проведения атаки крайне сложно ввиду ее распределенности.

"К примеру, оператор может находиться в одной стране и управлять источниками атаки, которые могут находится в десятках других стран. Также есть технологии атаки с подменой исходящего IP-адреса — так называемый spoofing, — что не дает возможности определить точное местоположение источников атаки. И, в таком случае, единственная эффективный вариант противодействия — взаимные действия операторов связи и команд реагирования на киберинциденты", — пояснил эксперт.

В своем комментарии от 15 февраля министр Федоров отметил, что атаки проводились с территории России, Китая, Узбекистана и Чехии. Однако Карпинский раскритиковал чиновника, написав в своем Facebook, что установить реальный источник DDoS-атаки пока невозможно и что геометок для этого недостаточно.

"Вас втягивают в авантюру. Вы выставляете мою страну неспособной трезво оценивать обстановку в кибер домене войны. И, нет, не отбила (атаки — ред.), а пала под ними (имеется ввиду Украина, — ред.). Пала утратой персональных, критически важных данных, эксплуатацией объектов критической инфраструктуры и демонстративным прерыванием их операционной деятельности", — написал Карпинский.

Фокус попросил разъяснить, почему геоданные являются недостаточными для выявления местоположения хакеров и какие еще данные нужны. Киберэксперт ответил, что

DDoS-атаки эксплуатируют несколько базовых ресурсов инфраструктуры:

1. каналы связи, — когда реализуется нагрузка полосы передачи данных непригодная для передачи самих данных — flood;
2. ресурсы информационных систем, — когда нагрузка на сам сервис превышает допустимые нормы и происходит отказ в обслуживании легитимных пользователей.

По этой причине, указывает Артем, задача по отражению ДДОС-атак реализуется в зависимости от типа атак и не имеет конкретного единого решения. К примеру, можно использовать облачные сервисы для фильтрации сетевого трафика и запросов к сервису, а можно использовать аппаратно-программные комплексы, направленные на распределение самой атаки с последующей фильтрацией трафика и подавлением источника атаки, объяснил он.

Какими могут быть последствия атаки 15 февраля

Артем Карпинский напомнил, что кибератака с использованием вируса notPetya в 2017 году нанесла Украине большой экономический урон. Специалист считает, что украинцы не вынесли урок из той ситуации, поэтому снова пострадали от хакеров.

"Атака 14 января будет иметь глубокие социальные-политические последствия. Мы более не контролируем те данные, которые будут использованы против нас. Мы не сможем нейтрализовать этот импакт, даже при всем желании. Это невозможно, даже за 100500 миллионов донорских денег и со всеми киберцентрами НАТО, хотя они бы тут не помешали", – отметил руководитель "Украинского Киберальянса".

Эксперт по кибербезопасности Андрей Баранович на своей странице в Facebook тоже предположил, что рассылка СМС-сообщений о неработающих банкоматах перед DDoS-атакой 15 февраля является продолжением кибератаки 14 января. По его мнению, исполнители могли бы не маскироваться и сразу отправлять сообщения с российских, а не польских номеров.

"Надеюсь, что это просто DDoS-атака — попробовать украинский коннективити на зуб, а не что-то большее. И этого следовало ожидать, отрицание провоцирует агрессию", — подчеркнул Андрей Баранович.

"Атака 14-го января еще не закончилась. И вчера — был один из актов этой атаки. Почему государство на 8-й год войны и на 3-й год пребывания диджитализаторов у власти позволяет себе выступать макетом для кибер-учений стран агрессоров — мне не известно", — подытожил Карпинский.

Ранее Госспецсвязи раскрыла, какие информационные ресурсы Украины подверглись DDOS-атаке 15 февраля. Она затронула "ПриватБанк", "Ощадбанк", МВД, Минобороны и Вооруженных сил.