Україна втратила персональні та критично важливі дані: експерт про кібератаку 15 лютого

П'ятнадцятого лютого сайти українських банків і державних відомств зазнали потужної DDOS-атаки. Експерт із кібербезпеки розповів Фокусу про те, чим вона загрожує українцям.

Міністр цифрової трансформації Михайло Федоров заявив, що кіберексперти відбили атаки з Росії, Китаю, Чехії й Узбекистану на портал "Дія". За словами чиновника, користувачі не відчули збоїв у роботі державного сервісу (хоча редактори Фокусу ці збої зафіксували). Проте фахівець у сфері кібербезпеки Артем Карпинський вважає, що держсектору та критичній інфраструктурі завдано значної шкоди внаслідок DDoS-атак 15 лютого.

Чим небезпечні DDoS-атаки та як визначити їхні джерела

За словами голови ГО "Український Кіберальянс" Артема Карпинського, DDoS-атаки (distributed denial of service — розподілені атаки на відмову в обслуговуванні) спрямовані на виведення об'єктів інфраструктури й інформаційних систем зі штатного стану функціонування. Іноді — на повне припинення їхньої роботи, що критично насамперед для державних ресурсів та інфраструктури, а також для приватного бізнесу, наприклад, — електронної комерції.

У коментарі Фокусу Карпинський зазначив, що визначити місце розташування центру управління та контролю проведення атаки вкрай складно через її розподіл.

"Приміром, оператор може перебувати в одній країні та керувати джерелами атаки, які можуть перебувати в десятках інших країн. Також є технології атаки із заміною вихідної IP-адреси — так звана spoofing, — що не дає можливості визначити точне місце розташування джерел атаки. І в такому разі єдиний ефективний варіант протидії — взаємні дії операторів зв'язку та команд реагування на кіберінциденти", — пояснив експерт.

У своєму коментарі від 15 лютого міністр Федоров зазначив, що атаки проводилися з території Росії, Китаю, Узбекистану та Чехії. Однак Карпинський розкритикував чиновника, написавши у своєму Facebook, що встановити реальне джерело DDoS-атаки поки що неможливо та що геоміток для цього недостатньо.

"Вас утягують у авантюру. Ви виставляєте мою країну нездатною тверезо оцінювати обстановку в кібердомені війни. І ні, не відбила (атаку — ред.), а впала під ними (мається на увазі Україна, — ред.). Впала втратою даних, критично важливих даних, експлуатацією об'єктів критичної інфраструктури та демонстративним перериванням їхньої операційної діяльності", — написав Карпинський.

Фокус попросив пояснити, чому геодані є недостатніми для виявлення розташування хакерів і які дані потрібні. Кіберексперт відповів, що

DDoS-атаки експлуатують кілька базових ресурсів інфраструктури:

1. канали зв'язку, коли реалізується навантаження смуги передачі даних, непридатна для передачі самих даних — flood;
2. ресурси інформаційних систем, коли навантаження на сам сервіс перевищує допустимі норми та відбувається відмова в обслуговуванні легітимних користувачів.

Із цієї причини, зазначає Артем, завдання щодо відображення ДДОС-атак реалізується залежно від типу атак і не має конкретного єдиного рішення. Наприклад, можна використовувати хмарні послуги для фільтрації мережного трафіку та запитів до сервісу, а можна використовувати апаратно-програмні комплекси, спрямовані на розподіл самої атаки з подальшою фільтрацією трафіку та придушенням джерела атаки, пояснив він.

Якими можуть бути наслідки атаки 15 лютого

Артем Карпинський нагадав, що кібератака з використанням вірусу notPetya у 2017 році завдала Україні великих економічних збитків. Фахівець вважає, що українці не винесли урок із тієї ситуації, тому знову постраждали від хакерів.

"Атака 14 січня матиме глибокі соціально-політичні наслідки. Ми більше не контролюємо ті дані, які будуть використані проти нас. Ми не зможемо нейтралізувати цей імпакт, навіть за всього бажання. Це неможливо, навіть за 100 500 мільйонів донорських грошей і з усіма кіберцентрами НАТО, хоча б вони тут не завадили", – зазначив керівник "Українського Кіберальянсу".

Експерт із кібербезпеки Андрій Баранович на своїй сторінці у Facebook також припустив, що розсилка СМС-повідомлень про непрацюючі банкомати перед DDoS-атакою 15 лютого є продовженням кібератаки 14 січня. На його думку, виконавці могли б не маскуватись і одразу відправляти повідомлення з російських, а не польських номерів.

"Сподіваюся, що це просто DDoS-атака — спробувати українське коннективіті на зуб, а не щось більше. І цього слід очікувати, заперечення провокує агресію", — наголосив Андрій Баранович.

"Атака 14-го січня ще не закінчилася. І вчора був один із актів цієї атаки. Чому держава на 8-й рік війни та на 3-й рік перебування діджиталізаторів при владі дозволяє собі виступати макетом для кібернавчання країн агресорів — мені не відомо", — підсумував Карпинський.

Раніше Держспецзв'язку розкрила, які інформаційні ресурси України зазнали DDOS-атаки 15 лютого. Вона торкнулася "ПриватБанку", "Ощадбанку", МВС, Міноборони та Збройних сил.