Хто зламав держреєстри: чому українці не отримають відповіді та як жити далі
Кібератака на державні реєстри України — історія, з якою потрібно ретельно розібратися. І може, припускає IT-фахівець Василь Задворний, важливішим зараз є не те, як відбити наступну атаку, а те, щоб викрити зловмисника…
Кілька тез про злам реєстрів ДП НАІС.
====Disclaimer===
1) Кожна з тез порушує до пів десятка різних об’ємних питань і може бути розширена до окремого допису. Експерти можуть писати книжки. Тому формулювання тут зі спрощеннями та без опису корнер-кейсів.
2) Особисто не був залучений до робот систем ДП НАІС, а інформація тільки з відкритих джерел.
==========
Ми не дізнаємося причин (і це добре):
- усе, що ми знаємо наразі — це комбінація офіційних заяв, чуток різного рівня достовірності та наших припущень;
- реальний сценарій зламу будуть знати лише Incident Response Team, відповідні служби та, можливо, партнери.
Та це й добре: подібна інформація не повинна потрапляти у публічний простір.
Припущення
З того, що зараз має вигляд fair guess:
- видалені бази (бо відновлення обіцяють за два тижні);
- видалені ті бекапи, що робляться оперативно (щоденно, щотижнево);
- залишилися "холодні" копії (стрічки або інші архівні рішення);
- такий масштаб вимагає глибокого проникнення в інфраструктуру і тривалої підготовки (мова про місяці);
- усі видалені дані, скоріш за все, попередньо були скопійовані (хоча можна уявити сценарій, за якого цього не відбулося);
- атака мала бути комплексною і довготривалою: я не вірю, що це "просто вкрали пароль адміна". Злами такого рівня — це проходження лабіринту з великої кількості кімнат. Один вкрадений пароль — лише ключ до однієї двері;
- відповідно, рішення проблеми — набагато важче ніж "надавати по руках ідіотам" і "наймати нормальних людей" (хоча це теж входить в необхідні, але не достатні умови);
- всі інші дані про вектори атак та їх реальну ефективність наразі для мене виглядають не більше як припущення — треба було б слухати професіоналів в полі, але, сподіваюся, п.п. (1)
Наслідки інформаційні:
- відновлення, швидше за все, не поверне усіх даних. RPO — Recovery Point Objective — точка часу, до якої можна відновити дані, вимірюється значними періодами. Якщо втрачено лише тижні даних, це вже непогано;
- з трьох характеристик інформаційної безпеки — цілісність, конфіденційність, доступність — конфіденційність наразі хвилює найменше (хоча не скрізь);
- ЄДР — один із найбільш "інтегрованих" реєстрів. Перша інтеграція в Prozorro була саме з ним. Багато бізнес-процесів можуть бути заблоковані або призупинені залежно від офіційної комунікації;
- ЄДР — реєстр "попередньої епохи". Він був розроблений одним із найперших і має кастомну архітектуру, що обмежує залучення інших вендорів до його відновлення;
- з іншого боку, я не вважаю, що сам факт зламу реєстрів збільшує ризик зламу інших, інтегрованих систем (частково тому, що цей ризик і так високий, всі перебувають під атакою зараз).
Наслідки соціальні:
- залежать від того, чи будуть відновлені дані та з яким RPO;
- найбільше хвилює реєстр майнових прав та ризик рейдерських схем;
- реєстри та сервіси, інтегровані із пошкодженими реєстрами, також постраждали. Наприклад, бронювання через "Дію";
- розробники та власники будуть вирішувати: чекати на відновлення чи створювати тимчасові обхідні рішення. Це рішення залежить від затрат часу та грошей.
Наслідки для ІТ у державі:
- довіра до ІТ послуг, як на мене, залишиться незмінною. У боротьбі між зручністю і безпекою користувачі обирають перше;
- усвідомлення кіберзагроз трохи підвищиться, але ненадовго. За рік уже забудуть емоційні наслідки;
- програми підсилення кібербезпеки продовжаться. Сподіваюся, зростуть інвестиції в цю галузь (особливо за підтримки партнерів).
Що робити і які зробив я висновки:
- реакція з кожним разом стає кращою. Важливо, що була офіційна комунікація від профільної міністерки;
- інформаційна безпека — як спорт. Не можна "натренуватися" на все життя. Потрібні регулярні перевірки та практики для ключових систем. Критично важливо, як на мене, мати набір базових практичних рекомендацій для тих, хто не здатен зараз інвестувати достатньо;
- важливо знайти баланс між централізованим впровадженням і децентралізацією. Централізовані реєстри потребуватимуть більшої уваги та очевидно більше інвестицій;
- МСП найскладніше: кібербезпека потребує значних інвестицій. Тут саме місце для нативної згадки проєкту https://cyber.business.gov.ua;
- парадигма мислення: дуже відгукнулася думка Влада Стирана про те, що в нашому випадку треба думати не як відбити чергову атаку, а над тим, як виявити тих, хто вас ВЖЕ ЗЛАМАВ.
І хоч це і вельми параноїдальний спосіб мислення, в поточних умовах, певно, найкраще описує ситуацію.
Знову ж таки: як з обстрілами, які роблять не "у відповідь на щось" а "просто тому, що можуть".
Автор висловлює особисту думку, яка може не збігатися із позицією редакції. Відповідальність за опубліковані дані в рубриці "Думки" несе автор.