Демонстрация силы. Олег Деревянко о ключевых целях последней кибератаки на Украину

22 июня, за пять дней до мощной кибератаки, которой подверглась Украина, американское издание Wired выложило в онлайн статью с обложки своего июльского номера под названием "Как целая страна стала полигоном для российских кибератак". Речь в ней идет о предыдущих атаках российских хакеров на Украину (в частности, на ее энергетические компании), осуществленных в конце 2015-го и 2016 года (в самой Украине СМИ на них особого внимания не обратили). Одним из главных героев статьи стал украинский эксперт по кибербезопасности Алексей Ясинский, занимающийся борьбой с хакерской группировкой Sandworm, которую связывают с Кремлем. "Ясинский считает: то, с чем Украина столкнулась в течение последних трех лет, возможно, было всего лишь серией тестов", — пишет Wired. Сейчас Ясинский работает в Information System Security Partners (ISSP), международной компании с главным офисом в Киеве, которая занимается кибербезопасностью. Фокус поговорил с главой совета директоров ISSP Олегом Деревянко о том, какие цели ставили перед собой хакеры во время последней атаки и как противодействовать будущим угрозам.

Недавняя атака — это действительно часть гибридной агрессии против Украины?

— Мы занимаемся техническим анализом атак и внедрением технологий и процессов кибербезопасности. Это функция соответствующих госструктур — заниматься атрибуцией атак. Когда происходит хакерское вмешательство, то в логах нигде не написано "Россия", "Корея" или "преступная группировка Х", если они хотят получить материальную выгоду.

Если же атака имеет все признаки state actor (участия государства. — Фокус), то первый вопрос, который должен возникать: кому это выгодно? Проведите параллель с Донбассом. С самого начала все знали, что это агрессия России. Но для юридического преследования нужны конкретные доказательства: задержали противника с документами, свидетельствующими, что это солдат или офицер российских войск, обнаружили и доказали присутствие российской военной техники и т. д. В киберпространстве атрибуция доказательств подобного рода крайне затруднена, не говоря уже о юридическом признании таких доказательств. Поэтому обвинения в кибератаках государственного уровня находятся только в политической, а не в юридической плоскости. Нужно проделать большую работу, чтобы появилось международное регулирование, которое позволит юридически доказывать такие преступления и наказывать государства за кибератаки на другие страны.

Какие цели преследовались?

— В первую очередь это была зачистка следов предыдущих атак, демонстрация своей киберсилы, отработка осуществления масштабной скоординированной атаки, включая способность вводить в заблуждение противника, выдавая один тип атаки за другой, подготовка к следующим атакам, тестирование возможностей кибербезопасности, особенно скорости реагирования на атаку и восстановления систем. Мы сразу поняли и заявили, что это не атака, связанная с вымогательством, как многие ошибочно считали на протяжении первых суток, включая даже известных во всем мире экспертов.

Почему они ошибались?

— Есть вирус Petya. Он известен антивирусным компаниям. Хакеры взяли определенные части кода вируса Petya и вставили их в код нового комплексного кибероружия. Соответственно, антивирусы определяли его как Petya, поскольку антивирусное программное обеспечение не видит того, что ранее не было известно как вирус.

Основной канал заражения — обновления программы M.E.Doc?

— Это был один из ключевых векторов атаки. Но когда атаку видят уже все — это ее последняя фаза, кульминация. От момента проникновения в систему до активной фазы проходит, как правило, шесть месяцев.

В чем смысл такой задержки во времени?

— Например, проникновение происходит через машину обычного пользователя. Чтобы злоумышленников не обнаружили системы защиты, их действия длительное время носят изучающий характер. Они сканируют сеть, отслеживают поведение людей в системах, перехватывают пароли от технологических или административных пользователей. В итоге их действия практически нельзя отличить от действий администраторов или технологических пользователей. На это уходит много времени, чем дольше и незаметнее они находятся в инфраструктуре жертвы, тем сложнее будет выявить их присутствие и зачистить инфраструктуру от "спящих агентов", которых злоумышленники оставляют на случай провала или для того, чтобы можно было вернуться в инфраструктуру после окончания очередной операции.

И это никак нельзя заметить?

— Хакеры мимикрируют под действия администратора, максимально их копируя, используют стандартные средства, которыми пользуются IТ-специалисты. Выявить их непросто, но с применением современных технологий, правильно настроенных процессов, обслуживаемых высококвалифицированными аналитиками, это возможно. Другой вопрос — готовность организации быстро и эффективно блокировать хакерскую активность и очистить инфраструктуру от нее.

Многие эксперты утверждают, что хакеры не ставили своей целью нанести максимальный ущерб. Вы согласны?

— В данном случае приоритетной целью не было нанесение максимального урона, это была зачистка предыдущих атак, тестирование своих возможностей проведения массированной атаки, скорее всего, еще и закладка для следующих атак. Когда все силы и внимание направлены на то, чтобы отбивать атаку, когда все тушат пожар, у злоумышленников есть прекрасная возможность оставлять лазейки для дальнейшего доступа к компьютерным системам.

Кроме того, надо спрашивать не только о том, кто и почему пострадал, но и отчего пострадали не все. В каждой организации остались машины, которые выжили, хотя находятся в той же сети, с той же операционной системой и т. д. Самое логичное объяснение — противники были заинтересованы, чтобы эти компьютеры выжили, на них могли оставить "спящих агентов", эти машины надо очень тщательно проверять.

Мы считаем, что инфраструктура большинства крупных украинских компаний и госорганов скомпрометирована, хакеры уже давно находятся "внутри". Даже если бы это было не так, для обеспечения кибербезопасности нужно исходить из принципа, что проникновение хакеров внутрь неизбежно. Исходя из этого, выстраивать технологии и процессы защиты. Но даже если все идеально настроено с точки зрения IТ — правильное сегментирование сети, наличие всех необходимых технологий и процессов обеспечения безопасности информации и информационных систем, наличие команды по кибербезопасности с соответствующим уровнем профессионализма, — всегда остается человеческий фактор.

К сожалению, после атак 2015-го и 2016-го годов так и не приняли достаточных мер для противодействия будущим атакам — те хакерские налеты пережили, данные бэкапов восстановили и решили, что проблема исчезла. На самом деле, если вы восстановили функционал и данные, это не означает, что вы выкинули хакеров из своей системы. Поэтому каждая новая волна атак на нас сильнее предыдущей.

Конечно, был нанесен и большой экономический ущерб — остановка операционных процессов, потеря выручки, стоимость восстановления инфраструктуры, подрыв доверия клиентов. Многие бизнесмены не могли совершать необходимые платежи из-за проблем в банковской системе. Теперь им придется доказывать своим контрагентам, что это были форс-мажорные обстоятельства.

Власть уже пообещала выделить дополнительные средства на киберзащиту государства. Это поможет?

— Главный вопрос, как и после волны атак 2016 года, на что именно дадут деньги, в каком объеме и как будут использовать. Возьмем ситуацию с Минфином и Госказначейством. После прошлогодних атак на эти органы Кабмин выделил дополнительные средства на новые системы хранения данных. Но это не защищает от проникновения и присутствия хакеров внутри, получения и выведения ими конфиденциальной информации и данных.

Весь мир исходит из одного принципа: на 100% защититься от проникновения в инфраструктуру невозможно. Соответственно, делается акцент на установке таких технологий, процессов и построении таких команд по кибербезопасности, которые позволяют выявлять присутствие хакеров на наиболее ранней стадии, прерывать их действия, очищать от них инфраструктуру, снова обнаруживать их, и так по кругу. Безопасность — это не результат, а процесс. Вы не можете один раз пропатрулировать улицы и сказать: "Теперь у нас все безопасно". Патруль ежедневно должен выходить на улицы. Точно так должна быть организована и кибербезопасность. Нужен постоянный процесс мониторинга, обнаружения, реагирования и устранения угроз.

Лет 10–20 назад можно было отсекать хакеров исключительно технологиями, антивирусами, файерволами. Сейчас какой-то одной стопроцентно надежной технологии нет, нужны комплексные решения. И здесь главное — кто с этими технологиями будет работать.

После последней атаки прибежит куча разных поставщиков "железа" и программного обеспечения, обещая, что, установив их программу, все будет хорошо. Но волшебных пилюль больше нет.

Сейчас Украина пожинает плоды того, что еще в начале агрессии, в 2014 году, не стартовал проект подготовки нескольких сотен высококвалифицированных профильных специалистов по кибербезопасности. Наши вузы таких умельцев не готовят. Базовые знания они могут дать, но нужны специальные знания, а главное — умение и опыт, приобретаемый на практике. Если мы сейчас как государство начнем создавать свои настоящие кибервойска и специальные подразделения по оборонной и наступательной кибербезопасности, то закончим только через несколько лет. Например, Германия в прошлом году заявила о желании создать кибервойска. С их возможностями первое подразделение численностью 260 человек появилось лишь год спустя, а целевой численности специалистов в новых киберподразделениях — 13,5 тыс. человек (!) они достигнут только к 2021 году.

Мы видим определенный прогресс в отношении к кибербезопасности со стороны государства: создана стратегия кибербезопасности, при СНБО есть координационный центр и т. д. Но по-прежнему нет закона о кибербезопасности, нет юридической основы для государственно-частного партнерства в этой сфере, без которого не обходится ни одна передовая страна.

А уровень зарплат в украинском госсекторе в принципе позволит привлекать специалистов нужного уровня?

— Необходимо либо принимать специальный закон, позволяющий дать рыночные зарплаты сотрудникам государственных структур по кибербезопасности, либо создать механизмы государственно-частного партнерства, которые решат эту проблему. В любом случае эта задача должна быть приоритетной для государства. У Израиля еще несколько лет назад были серьезные вопросы с кибербезопасностью, а сейчас он в тройке мировых лидеров за счет мощного стимулирования частного бизнеса заниматься исследованиями и разработками в этой сфере. Вот еще один пример: Department of Homeland Security США, аналог нашего МВД, буквально на днях подписал миллиардный контракт на пять лет на услуги киберзащиты с компанией Raytheon.

То есть пока обеспечением безопасности украинских госструктур будут и далее заниматься специалисты с нынешней зарплатой и, соответственно, компетенциями?

— В госструктурах есть люди с компетенциями в кибербезопасности, но их очень-очень мало. Кибербезопасноть — это комплексная сфера. Есть сетевая безопасность, безопасность данных, безопасность рабочих станций и приложений, безопасность программного обеспечения, обнаружение и анализ уязвимостей и угроз, реагирование на инциденты, операционные процессы кибербезопасности. Конечно, когда происходят такие ситуации, как с последней атакой, то государство привлекает и частные компании, но это лишь тушение пожаров. Нужен системный подход. И это только оборонительная кибербезопасность, а государству также нужны компетенции и мощности в сфере наступательной кибербезопасности, для построения которой нужно в срочном порядке создать законодательную основу.

Чего стоит ждать от следующих кибератак?

— Если представить себе еще одну-две мощные атаки, например, на банковский сектор, то это может нанести серьезный удар по доверию к нему. Кто будет держать деньги в банке, если его в любой момент могут хакнуть и доступа к деньгам не будет как раз в тот момент, когда они могут быть очень нужны? Подрыв банковской системы тянет за собой политическую нестабильность и хаос.

А к чему может привести, например, дисфункциональность госорганов, особенно в критические моменты, или выход из строя систем критической энергетической или транспортной инфраструктуры? Думаю, что нет необходимости рисовать страшилки, нужно просто понять, что кибербезопасность сегодня — один из ключевых элементов национальной безопасности в любой стране. Президент Обама еще несколько лет назад, когда была принята новая доктрина кибербезопасности США, сказал, что экономическое процветание Америки зависит от того, как будет решен вопрос с кибербезопасностью. Наверное, он что-то знает, правда? Можно себе представить, какие проблемы нас всех ожидают, если мир полностью перейдет в фазу развитого интернета вещей (IoT) с его беспилотными автомобилями, автоматизированными домами, умной одеждой, агротехом, финтехом и здоровьетехом, не найдя ответ на вопрос, как обеспечить, чтобы все это безопасно работало.

• Читайте также: После Пети. Когда ожидать следующей кибератаки на Украину

И что же делать нам?

— В Украине есть экспертиза мирового уровня в сфере кибербезопасности, просто ее мощность невысокая, то есть количество людей соответствующего уровня пока невелико. Но есть масса талантов, и при должном внимании к этой теме со стороны власти, создании необходимых условий мы можем не только преодолеть наше отставание, но и создать экосистему разработки технологий и компетенций кибербезопасности, войдя в группу передовых стран в этой отрасли. Со всеми вытекающими позитивными последствиями не только для развития экономики, но и для усиления международного веса и геополитических позиций Украины.