После Пети. Когда ожидать следующей кибератаки на Украину

"Я бы даже не называл это атакой. Это был теракт", — говорит Фокусу руководитель компании "Лаборатория компьютерной безопасности" Сергей Прокопенко, комментируя беспрецедентную по масштабам кибератаку, которой подверглась инфраструктура Украины 27 июня. Действительно, под ударом оказались десятки частных компаний и ряд органов государственного управления. Некоторые из них, например Ощадбанк, полностью восстановились лишь спустя несколько дней после нападения. Так в Украине тема кибербезопасности впервые вышла за пределы узкого круга профильных специалистов, став главной новостью недели.

Отравленный "Медок"

Уже в первые часы после атаки вируса Petya.A главной стала версия о "российском следе". С учетом войны, которую РФ ведет против Украины уже три с половиной года, именно она выглядела наиболее правдоподобной. "Распространение этого компьютерного вируса и анализ взлома информационных систем дает нам возможность говорить, что это составляющая гибридной войны, которую ведет против нас РФ", — заявил секретарь СНБО Украины Александр Турчинов.

Спустя неделю с лишним после атаки с большой долей вероятности эта версия подтвердилась. По крайней мере вариант с вымогательством от группы неизвестных хакеров уже отбросили. Те компании, которые рискнули перечислить им требуемые $300, никакого кода разблокировки так и не дождались.

Правда, от Petya.A пострадали не только украинцы — атакованы пользователи около 60 стран. При этом 80% заражений, по данным словацкого разработчика программного обеспечения ESET, произошли именно в Украине. Задело и российские компании, в том числе такие гиганты, как Роснефть, Башнефть и Газпром. "Это могло быть сделано для отвода глаз. Но в любом случае между многими украинскими и российскими компаниями сохраняются тесные связи, коммуникация, вплоть до создания общих сетей, таким образом вирус мог заразить и россиян. То же касается и контактов украинских компаний с западными", — считает Прокопенко.

Главным каналом распространения "заразы", вероятно, стали обновления бухгалтерского программного обеспечения M.E.Doc, которым массово пользуется украинский бизнес. Именно такую версию подтвердили в компании Microsoft. По их данным, всего от атаки пострадали 12,5 тыс. компьютеров. В украинской киберполиции даже угрожают разработчикам M.E.Doc уголовной ответственностью за пренебрежительное отношение к киберугрозам. В самой компании сначала утверждали, что хакеры взломали их компьютеры, но позже вообще отрицали причастность к распространению вируса. "Мы изучали и анализировали наш продукт на следы хакерства — он не заражен вирусом, и все хорошо, он безопасен", — заявила Reuters Олеся Линник, разработчик программы.

По словам консультанта и тренера по цифровой безопасности Николая Костиняна, до определенного момента разработчики M.E.Doc могли сами не знать, что в их программу зашили вирус. Другой путь распространения вируса, о котором много говорили, — это фишинговые письма (корреспонденция от хакеров с вредоносными ссылками, которые маскируются под настоящие письма). Пользователи с невысоким уровнем компьютерной грамотности письмо от хакеров принимали, к примеру, за сообщение от налоговой, нажимали на предлагаемую ссылку и тем самым заражали свои компьютеры, а далее — другие машины в сети. "Такой путь заражения тоже мог быть, но если бы он стал массовым, то я бы наверняка увидел где-то в сети скриншоты соответствующих фишинговых писем, а они пока мне не попадались", — говорит Костинян.

Киберпаника

Общий ущерб, нанесенный Украине этой кибератакой, оценить невозможно, речь идет о сотнях миллионов или даже миллиардов гривен. Для сравнения: убытки от вируса WannaCry, несколькими неделями ранее атаковавшего компьютерные сети по всему миру, оцениваются примерно в $8 млрд. А потери обычных украинцев, которые не смогли снять деньги через банкомат или рассчитаться карточкой за покупки, в принципе не поддаются подсчету. Впрочем, нанесение прямых убытков от неработоспособности банков, заправок, аэропортов и т. д. — это лишь одна из целей злоумышленников, уверены опрошенные Фокусом эксперты.

"Это был классический террор — запугивание обычных людей. Кроме того, и сигнал Западу: посмотрите, на что мы способны", — считает специалист по информбезопасности Владимир Стыран. В таком случае кибератака идеально укладывается в концепцию гибридной войны, одна из целей которой — привить украинским гражданам постоянное чувство страха и неуверенности в завтрашнем дне. Действительно, панические настроения в первые дни после атаки наблюдались и у многих украинцев, которые прежде плохо представляли себе, что такое компьютерные вирусы и киберугрозы. А все непонятное пугает.

Не числом, а умением

Судя по всему, организаторы атаки пока не ставили целью нанесение максимального вреда Украине прямо здесь и сейчас. "Это был тестовый сценарий. Его цель — прощупать слабые места цифровой инфраструктуры украинских частных и государственных компаний", — заявил глава Мининфраструктуры Владимир Омелян. Таким образом, атаки, вероятно и более масштабные, будут повторяться не раз.

Пережитый стресс наверняка стимулирует украинский бизнес более ответственно заняться вопросами киберзащиты. "Эта история должна научить бизнесменов, потому что они считают свои деньги. Например, они оценивали возможный ущерб в 10 тыс., а на защиту должно было бы уйти 20 тыс. Но оказывается, что ущерб не 10 тыс., а 110 тыс., следовательно, есть смысл вкладывать деньги в защиту. Спрос на специалистов этого профиля начнет расти", — отмечает Николай Костинян.

Что касается органов государственной власти, то они, конечно, обещают сделать все от себя зависящее. Тем более что фронт работ очень широк. В устаревшем украинском законодательстве до сих пор не прописаны даже основные понятия киберзащиты и кибербезопасности государства. Как пообещал Александр Турчинов, в ближайшее время наработки, которые сделал Нацио­нальный координационный центр кибербезопасности, лягут в основу соответствующего решения Совбеза.

И все же абсолютно надежной защиты от киберугроз не существует в принципе. Это подтверждает опыт стран, куда более развитых в этой сфере, например США или Великобритании. Что уже говорить об Украине, где значительная часть низшего чиновничества с большим трудом освоила элементарные компьютерные программы вроде текстовых редакторов или электронной почты. Об информбезопасности они вообще не имеют представления.

Чтобы это исправить, власть обещает действовать привычным методом — дополнительно выделить деньги. "Надо увеличить финансирование мероприятий по кибернетической безопасности и информационной защите государства, потому что негативные последствия кибер­атак значительно превышают сумму расходов на эти направления", — заявил Турчинов.

При этом Владимир Стыран отмечает, что гораздо важнее не то, сколько средств будет выделено, а то, как их используют. "Главное, чтобы все не закончилось просто закупками технологий защиты, и на том все посчитают проблему решенной. В первую очередь надо менять подход людей к сфере кибербезопасности, все необходимые советы и правила давно есть в открытом бесплатном доступе. Надо привыкать работать, как нужно, а не так, как привычно и удобно", — говорит он.

• Читайте также: Черный вторник. DOS/Petya.A

На волне паники после атаки Petya.A многие украинцы стали бояться, что в следующий раз в Украине может случиться технологический апокалипсис с выходом из строя всех систем жизнеобеспечения вроде воды и электричества и авариями на критически важных объектах, в частности на атомных станциях. Но такой сценарий представляется слишком мрачным. "Подобного рода объекты имеют параллельные системы управления, в том числе в ручном режиме, большинство из них могут работать без подключения к внешним сетям. Конечно, "положить" можно все, но это потребует намного больше усилий, а наши спецслужбы все же отрабатывают определенные сценарии. Потому, полагаю, до этого не дойдет", — говорит Сергей Прокопенко.

• Читайте также: Сетевой shit. Почему Украина беззащитна перед кибертеррористами

Впрочем, недооценивать масштаб угрозы нельзя. Специфика подобных атак состоит в том, что проникновение в систему может остаться незамеченным и вирус месяцами способен никак себя не проявлять. В это время он потихоньку подминает под себя управление сетью и срабатывает одновременно по всей стране в заранее спланированный час икс. Сколько таких "закладок" в украинских сетях было сделано за время гибридной войны, никто не знает. Так что следующий случай проверить готовность Украины к отражению киберугроз может представиться совсем скоро.