У грудні 2015 року відбулася масштабна хакерська атака на Прикарпаттяобленерго. За словами представників компанії, тоді без струму тимчасово залишилося близько 200 тис. споживачів. Подія зацікавила більшість іноземних ЗМІ, адже раніше збоїв такого масштабу через віруси в системі не фіксували.
«Це перший випадок, коли ми маємо доказ і можемо пов’язати шкідливу програму та конкретний збій у роботі системи», — пізніше наголосив у коментарі Reuters старший дослідник японського розробника систем захисту інформації Trend Micro Кайл Вілойт.
Чорна енергія
Згодом стало відомо, що для атаки використали вірус типу BlackEnergy Malware. Цікаво, що новину про це дав Департамент національної безпеки США, а не відповідальні українські відомства. Американська ІТ-компанія iSight Partners пов’язала напад із російською групою хакерів, відомою як «піщаний хробак» (Sandworm).
СБУ, своєю чергою, прямо звинуватила в нападі РФ, однак не розкрила подробиць. Також у відомстві заявили, що не тільки Прикарпаттяобленерго стало жертвою атак на енергетичні об’єкти в грудні 2015 року. За інформацією СБУ, в інших випадках суттєвої шкоди вдалося уникнути. Відомо, що знеструмлення через атаку хакерів наприкінці 2015-го відбулося також у Київській та Чернівецькій областях.
Шкідливе програмне забезпечення сімейства BlackEnergy відоме з 2007 року, однак хакери досі з успіхом використовують різні його модифікації. Особливістю цього вірусу є те, що він роками може перебувати на зараженому пристрої, жодним чином себе не видаючи. Зловмисник активує його лише у визначений момент.
Читайте також: НБУ створить Центр для захисту кібербезпеки в банківській системі
Саме тому про масштаби кібератаки проти українських компаній та на об’єкти інфраструктури судити зарано. Ще у 2014-му фахівці ESET повідомили, що комп’ютери близько половини всіх виявлених жертв вірусу BlackEnergy містяться в Україні та Польщі. «Серед них низка державних організацій, різних підприємств, а також цілі, які ми не змогли визначити», — йшлося в повідомленні. Скільки шкідливих програм станом на 2017-й досі перебуває в «режимі сну», лишається хіба що здогадуватися.
Після зламу енергомереж у 2015-му відбулася ще низка атак. У січні 2016-го вірус BlackEnergy виявили на одній із робочих станцій в аеропорту «Бориспіль». Інфікований комп’ютер ізолювали від електронної інфраструктури аеропорту, а про завдану шкоду нічого не повідомили.
Після цього хакери здійснили серію атак, спрямованих на завдання шкоди передусім в інформаційному просторі. У березні відбувся масований напад на сайт електронних петицій до президента. За 11 хв зафіксували 738 тис. підписів переважно на підтримку петиції про відставку Міхеїла Саакашвілі з посади голови Одеської ОДА. На День Незалежності невідомим удалося зламати сторінки в соцмережах Міноборони та Нацгвардії. Згодом аналогічні атаки здійснили на сайт інформаційно-аналітичного центру РНБО та сторінку прес-центру штабу АТО у Facebook. І перелік таких випадків можна продовжити. Майже завжди на сторінках залишали повідомлення на підтримку терористів «ДНР/ЛНР» або антиукраїнські заклики.
Рівно за рік після кібернападів на обленерго знову відбулася масштабна атака, ймовірно, з використанням модифікації BlackEnergy. У грудні її жертвами стали Мінфін, Держказначейство та Національний банк. Незважаючи на те що прямих доказів причетності Росії до названих нападів досі не надали, їхній характер свідчить саме про це.
Передусім слід звернути увагу на обраний для активації шкідливих програм час. Знеструмлення у 2015 році сталося взимку — у найхолоднішу пору року, коли населення найбільше потерпає через відсутність опалення. Атаки на фінансові установи саме напередодні новорічних свят могли спровокувати чергову хвилю невдоволення та протестів через затримку соціальних виплат. Схожу тактику Кремль застосовував під час кількох газових війн проти України. Тоді Москва йшла на загострення та відключала постачання палива до Європи в період найбільших морозів. Незалежні від держав хакери зазвичай намагаються завдати жертвам (переважно великим корпораціям) економічного збитку, натомість у всіх згаданих випадках в Україні йдеться про соціально-політичну спрямованість атак.
Новий театр воєнних дій
Україна поступово намагається налагодити систему відповіді на агресію в кіберпросторі. У березні 2016-го указом президента було схвалено Стратегію кібербезпеки України. Такий нормативно-правовий документ країна отримала вперше за часів незалежності. Влітку того самого року запрацював Національний координаційний центр кібербезпеки при РНБО України, вдалося нормативно визначити об’єкти критичної інфраструктури та порядок формування їх переліку.
Читайте також: Кіберрозвідка виявила біля кордону з Україною секретну ядерну базу РФ
Однак через значне відставання від лідерів у сфері операцій у кіберпросторі Україні слід рухатися з подвоєною швидкістю. Наприклад, у згаданій вище Стратегії зазначено, що «кіберпростір поступово перетворюється на окрему, поряд із традиційними «Земля», «Повітря», «Море» та «Космос», сферу ведення бойових дій, у якій все більш активно діють відповідні підрозділи збройних сил провідних держав світу». Визнання факту на рівні держави цілком доречне. Однак, для порівняння, ще у 2009-му було створено Кіберкомандування армії США, а у 2010-му президент Барак Обама ще проголосив цифрову інфраструктуру своєї країни «стратегічним національним надбанням». У Китаї із січня 2016-го офіційно існують Стратегічні сили підтримки — окремий вид військ армії КНР, відповідальний за операції в кіберпросторі. Спеціальні підрозділи для ведення кібервійни давно створили у Великій Британії та Ізраїлі. Інші країни, наприклад Росія та Іран, постійно заявляють про наміри створити такі підрозділи. Неофіційно там уже функціонують цілі армії хакерів на службі влади.
На думку керівника Служби з питань інформаційної безпеки РНБО Валентина Петрова, зараз українські інформаційні ресурси вже не легка здобич для хакерів. Є певні зміни, насамперед в усвідомленні проблеми. За його словами, раніше питання кібербезпеки були для державного керівництва таким собі різновидом фантастики. Факти масштабних атак на Естонію та Грузію ігнорували. Влада залюбки слухала доповіді та рекомендації спеціалістів, проте далі розмов справа не йшла. Бракувало коштів, а ще більше політичної волі.
Також, каже Петров, Україні вдалося налагодити координацію між головними захисниками кіберпростору: Кіберполіцією, СБУ та ДССЗІ (Держслужбою спецзв’язку та захисту інформації). Раніше на заваді ставала конкуренція відомств за славу та нагороди. Часто-густо вони намагалися першими доповісти про виникнення кризової ситуації, заважаючи її вирішенню. Ця тенденція почала змінюватися на краще з появою Національного координаційного центру кібербезпеки, що покликаний мінімізувати негативні наслідки кібератак. Окрім того, вже розроблено рекомендації для запобігання їм.
Водночас в Україні безліч невирішених проблем, серед яких відсутність державної системи зв’язку, уразливість програмного забезпечення та застаріла законодавча база. Перша проблема гостро постала ще на початку АТО, коли через брак штатних засобів зв’язку командири українських підрозділів активно стали використовувати мобільні телефони, незахищеністю яких скористався ворог. Нині в ДССЗІ працюють над створенням національної телекомунікаційної мережі, яка матиме й мобільний компонент, але про терміни завершення цієї роботи досі не повідомили.
Чи не найвідоміший приклад зі сфери програмного забезпечення — російські системи бухгалтерського обліку, якими користується більшість підприємців. Заборонити їх зараз неможливо, оскільки це на тривалий час паралізує фінансову звітність. Водночас аналіз атаки на Держказначейство підтвердив, що на більшості комп’ютерів були встановлені російські програмні продукти, які могли полегшити злам системи загалом.
Щоб уникати таких ситуацій, Україна має створити умови для виходу на свій ринок міжнародних виробників програмного забезпечення та розвитку власних. Однак підтримувати вітчизняний ІТ-сектор слід без сліпого надання переваг, щоб не повторити «хвороби» лобіювання автопрому.
Потрібен кіберлікнеп
Застарілі норми деяких законів також значно ускладнюють і гальмують процес розвитку. Крім того, в Україні досі немає дієвого механізму притягнення до відповідальності за порушення вимог безпеки в інформаційному просторі. Значно обмежені можливості державних органів у розслідуванні кіберзлочинів. За словами Петрова, цей недолік можна усунути насамперед імплементацією Конвенції Ради Європи про кіберзлочинність. Головне — дотримати балансу між необхідними обмеженнями та збереженням свободи громадян, щоб не перетворитися на Росію з її сумнозвісними «законами Ярової».
Читайте також: Хакери атакували департамент Мін'юсту України
При цьому згідно з вимогами законодавства всі сервери, на яких зберігається інформація державних органів, фізично містяться в Україні. Тож фізично вилучити бази даних органів влади України противник не зможе. Разом із тим система державних закупівель ProZorro наразі міститься в хмарному сховищі.
Окрім загальних питань, що потребують вирішення на законодавчому рівні, гостро постає також кадрове. Особливістю атак із застосуванням BlackEnergy стало використання методів соціальної інженерії. Зловмисники створили листи, зміст яких важко ігнорувати. Пошту надсилали нібито від імені одного з підрозділів Верховної Ради, а в тексті обіцяли списки депутатів-сепаратистів або вимагали від керівників надати прізвища мобілізованих працівників. Жертва завантажувала прикріплений файл, після чого її комп’ютер ставав зараженим.
За таких умов на перший план банально виходить комп’ютерна грамотність персоналу підприємств та організацій. У серйозних приватних компаніях працівникам принаймні раз на місяць нагадують про елементарні принципи інформаційної гігієни, за порушення яких передбачені серйозні санкції аж до звільнення. Серед найпростіших рекомендацій — завжди виходити з акаунтів після завершення роботи на пристрої, використовувати складні паролі, не надсилати паролі та внутрішні посилання на сайт через електронну пошту тощо. Водночас на українських державних підприємствах часто працюють люди старшого віку, які тільки недавно почали користуватися комп’ютером і клацають на все підряд. У багатьох випадках не розуміють проблеми й керівники установ. Про тренінги та підвищення комп’ютерної грамотності в таких умовах не йдеться. Навіть органи безпеки України, зокрема СБУ та МВС, ще у 2015 році в розпал агресії РФ використовували російські поштові сервіси mail.ru, yandex.ru тощо. Аналіз грудневих атак на Держказначейство, Мінфін та НБУ засвідчив, що мінімального успіху зловмисники досягли в Нацбанку, де керівництво зосередило найбільшу увагу на питаннях кібербезпеки.
Читайте також: Україна стала полігоном для хакерських експериментів спецслужб РФ – СБУ
Ще один вимір кадрової проблеми — зарплати, які пропонують у державних органах. Фахівець у ДССЗІ отримує 3,5 тис. грн за місяць, кіберполіцейський — близько 11 тис. грн. Водночас у приватних ІТ-компаніях зарплати фахівця сягають 30 тис. грн і вище. Як у таких умовах залучити якісні кадри для роботи на державу — запитання без відповіді. Частково можуть допомогти іноземні партнери. Якщо не із зарплатами, то принаймні з програмним забезпеченням та освітою наявного персоналу. Йдеться про спеціальні трастові фонди НАТО. Завдяки американському фонду реалізується масштабна програма реформування системи військових комунікацій та управління. Інший, яким керує Румунія, займається розвитком технічних засобів захисту для СБУ. Цей проект дасть змогу вже найближчим часом створити потужний моніторинговий центр для виявлення підозрілої активності на державних інформаційних ресурсах. Відкрито численні навчальні курси та стажування для українських фахівців.
Кожна витримана атака в кіберпросторі надає досвід для відбиття нападів у майбутньому. Однак спеціалісти антивірусної лабораторії McAfee та Команди реагування на комп’ютерні надзвичайні події (CERT-UA) дійшли висновку, що рівень організації грудневої атаки на фінансові органи України низький. Можливо, це була лише розвідка, і справжні бої ще попереду.