У процесі підготовки військового наступу на нашу країну Російська Федерація може вдатися до кібератак, щоб порушити державну систему управління. Зокрема, для поширення паніки серед населення атаки можуть спрямувати на об’єкти критичної інфраструктури. Чи доцільно вважати таким кібернаступом нещодавній інцидент?
А.К.: Будь-який державний інформаційний ресурс — це об’єкт критичної інфраструктури, тому те, що відбувається зараз, є атакою якраз на критичну інфраструктуру. Щодо масштабів завданої шкоди — побачимо, ще не всі деталі відомі.
Ви маєте на увазі повідомлення про ймовірний витік персональних даних унаслідок атаки?
А.К.: Перший відомий нам витік персональних даних стався з реєстру МТСБУ. Ми знаємо, що тоді цей реєстр видалили, але чому б щось не вкрасти, перш ніж знищити? Тепер оцей свіжий імовірний витік даних з «Дії», який потребує дослідження.
Чи можна вважати кібератаки маркером початку агресії?
А.К.: Кібератаки не припинялися з 2014 року, вони так чи так відбуваються постійно. Але є питання координованих, операційних атак, що належать до більших стратегічних операцій. Їх слід відрізняти від дрібніших, опортуністичних, що стаються щодня. Щодо нещодавньої атаки, то її було досить давно й добре сплановано. Ми з колегами-експертами знайшли деякі артефакти, які свідчать, що окремі елементи планували ще у 2019 році. Атаку можна також пов’язати з «епідемією мінувань», яка відбулася зараз у кількох містах України, зокрема в Києві та Львові (ідеться про різке збільшення анонімних повідомлень про нібито заміновану низку громадських місць, як-от станцій метро чи вокзалів. — Ред.).
Ба більше, ми припускаємо, що Український кіберальянс (УКА) був однією з цілей цієї атаки, адже нас намагалися втягнути в цю історію, щоб потім зробити інструментом нападу й дискредитувати.
Що особисто для вас є маркером підготовки до наступу?
А.Б.: На місці нападника я намагався б атакувати зв’язок та енергетику. Не факт, що їм вдасться, адже зв’язок у нас дуже різноманітний, висококонкурентний і добре захищений, а енергетика технічно відстала, тому в разі загрози деякі процеси там просто вмикатимуть механічно, вручну.
Ви сказали, що вас могли зробити метою атаки, але відомо, що УКА вже став жертвою переслідувань — проте не зі сторони РФ, а зі сторони української влади. Чому, на ваш погляд, так сталося?
А.Б.: Причин кілька. По-перше, наша ініціатива #Fuck Responsible Disclosure (#FRD), у рамках якої ми намагалися вказати органам державної влади на проблеми з кіберзахистом об’єктів критичної інфраструктури, стала дуже серйозним подразником. Ну не можна ж терпіти, коли тебе щодня тицяють носом у твої помилки. Поки цей флешмоб тривав у фейсбуку, на нас безперервно сипалися погрози, натяки на фізичну розправу або надходили заяви в поліцію. По-друге, восени 2019 року змінилося керівництво в профільних підрозділах СБУ та кіберполіції, зайшли нові люди, не завжди адекватні. Від них надходили різні неприємні пропозиції, тому відносини в нас із ними якось не склалися. Наша маленька організація всім набридла, й нам вирішили зв’язати руки — відкрили висмоктану з пальця судову справу (активістів УКА обвинувачують у нібито зламі інформаційної системи одеського аеропорту. — Ред.). Проте в цій справі нічого не відбувається, немає жодних слідчих дій, окрім того, що в нас конфіскували всю техніку. За понад два роки з жовтня 2019-го не було нічого, окрім продовження терміну розгляду. До речі, всупереч системі та теорії ймовірності, наша справа чомусь потрапляє до одного й того самого судді. Але, наскільки ми розуміємо, максимальні терміни, згідно з КПК, завершуються й далі їх продовжувати не можна. Водночас майже всіх, кого в Одесі так чи так було залучено до цієї справи (поліція, слідчі, прокурори), уже звільнили.
Чого ви очікуєте: гальмування чи появи «нових деталей»?
А.Б.: Ні поліцію, ні СБУ ця справа вже не цікавить, тому вони, напевно, спробують її «зам’яти». Адже досі не опубліковано жодних знахідок чи доказів, не було слідчих дій. Якщо не зважати, наприклад, на те, що в жовтні 2021 року, тобто через два роки після інциденту, слідчий попросив суддю «негайно (!) здійснити радіомоніторинг на місці подій». Байдуже, що за цей час уже змінилося керівництво аеропорту й компанія, яка його обслуговує. А ще — зробити експертизу п’яти мобільних телефонів і зарядних пристроїв до них.
А.К.: Звісно, мати такий актив (УКА) декому дуже цікаво. Можна ж хлопчиків узяти на аркан і змусити їх робити якісь «мутні» операції, наприклад, красти гроші з банків «ДНР / ЛНР» чи Південної Осетії й віддавати їх чиновникам. Але хлопчики чомусь не погодилися, та ще й чинять спротив.
А.Б.: Насправді, якби було нормальне розслідування, то насамперед зверталися б до провайдера й з’ясовували, з яких адрес відбувалося проникнення до інформаційної системи. Натомість правоохоронці, зокрема одеський УКІБ, опитували працівників аеропорту, чи знають вони мене й чи надавали мені доступ до інформаційної системи для якогось її дослідження.
Нещодавно іншому активісту у сфері кібербезпеки, Костянтину Корсуну, у фейсбуку теж надходили погрози судовою справою за критику вразливостей додатку «Дія». Прикметно, що вони пролунали з боку Олексія Вискуба, першого заступника міністра цифрової трансформації України. Це вже тенденція з боку влади?
А.К.: На жаль, поведінку чиновників, які дорвалися до влади, можна схарактеризувати як «А що ти мені зробиш?»
А.Б.: Перше, що здійснили після створення у 2020 році департаменту захисту інтересів суспільства й держави в Національній поліції, — це розіслали попередження відомим блогерам за їхні публікації в соцмережах, які начебто схожі на провокації проти чинної влади.
А.К.: І нинішні заяви щодо нещодавньої кібератаки, коли деякі народні депутати говорять, наче всі, хто пише зараз про помилки влади, дестабілізують ситуацію і є агентами Кремля. Вибачте, як можна такими діями «викликати недовіру до влади», якщо цієї довіри немає й без нас?
Українська влада доволі швидко визначила, що джерелом атаки була Росія. А якби атака відбулася справді заради викрадення персональних даних і здійснили її звичайні анонімні кіберзлочинці — які могли б бути відмінності в їхній поведінці?
А.Б.: Кримінал ніколи не влаштовує галасу й політичної демонстрації. Вони тихенько позливали б собі всі потрібні дані й ніхто нічого не знав би. А вже потім, через певний час, на закритих форумах з’явилися б пропозиції про продаж даних, і ніхто не писав би, що це «Дія» чи якесь міністерство. Просто є набір даних, джерело невідоме. І ціна, яку днями виставили на форумі ($15 тис.) за весь пакет даних — просто сміховинна, адже в такому разі, якщо дані справжні й актуальні, ціна мала б починатися від $500 тис. У викладеному зразку я бачив дозволи на будівництво, документи для отримання матеріальної допомоги з народження дитини (з усіма фінансовими реквізитами особи), паспорти, водійські посвідчення. Усі спеціалісти, з якими я встиг поговорити, впевнені, що дані не обов’язково з «Дії», але вони справжні й актуальні, приблизно на час осені-зими 2021 року. Тобто сказати, що це старі бази, трохи видозмінені, не вдасться. Було б дуже цікаво послухати ДССЗЗІ, СБУ та Міністерство цифрової трансформації, що вони про це думають. Поки що ми побачили, як заступник міністра цифрової трансформації заходив на хакерський форум, щоб завантажити собі ці дані й подивитися, бо, думаю, вони самі не знають, що в них зламали і що «витекло». Саме тому портал «Дія» не функціонував аж тиждень, та й досі працює в дуже обмеженому режимі.
А.К.: Проблема в тому, що нам два з половиною роки розповідали, нібито ми витратили купу грошей на кіберзахист і залучили найкращих світових фахівців. Окремо говорили про те, що «Дія» не зберігає дані, а всі наші реєстри надійно захищено. Отже, таких подій варто було очікувати. Ще пів року тому один з наших колег показав вразливості на порталі «Дія» — фактично це була папка з відкритим доступом, де зберігалися паролі й розподіл доступів. Це чітко показує культуру роботи та ставлення до її виконання. Тобто якісь приватні виконавці можуть вільно відкривати реєстри, а потім ми дивуємося, чому стаються витоки даних. Приблизно торік відбулася велика пресконференція, на якій СБУ та поліція розповіли, що вони всіх зловили, всіх перемогли й жодних витоків більше не буде. І буквально через тиждень після того з’явився цей телеграм-бот UA Baza Bot, який пропонував продати персональні дані українців.
А.Б.: Але тепер більше не вдається заперечувати власні помилки, бо дані лежать ось тут, проте тривають ці недолугі «відмазки» й нікому не повідомляють, що відбулося насправді. Щодо атаки 14 січня досі немає повного звіту, до того ж його, найімовірніше, не буде (інтерв’ю було записано 22 січня. — Ред.). Бо або вони самі не знають, що відбулося, або не хочуть визнавати власні помилки.
Тоді банальні одвічні питання: хто винен і що робити?
А.Б.: Це особливість пострадянської системи управління. Вона складається з шаблону «влада — гроші — влада». Основна мета — створити свій феод і охороняти його від конкурентів. Щоб забезпечити собі безпечне перебування на посадах, певний чиновник намагається «розмазати» відповідальність на якомога більшу кількість людей. Якщо ми зараз зберемо всіх, хто так чи так дотичний до останнього інциденту, то міністерство скаже: «У нас немає людей і грошей, щоб утримувати таку ІТ-інфраструктуру, тому ми найняли приватну організацію». Ця компанія заявить: «Ми виграли тендер на Prozorro, виконали всі завдання, ось акти виконаних робіт, а підтримку міністерство не замовляло, бо не має грошей». ДССЗЗІ скаже: «Ми все моніторили, всіх попереджали, ось стос паперів вихідної кореспонденції про необхідність закрити вразливості». Кіберполіція заявить, що вона все конфіскувала, справу розслідує. СБУ кивне на РФ, однозначно. І тоді виникає питання: а хто все полагодить і зробить так, щоб ситуація більше не повторилася? І хто відповідатиме за завдану шкоду? Відповідь — ніхто. В Україні немає жодної людини, яка вийшла б і сказала: «Вибачте, відбулася ось така неприємна ситуація, але ми працюємо, щоб усе залагодити». Чиновники добре знають, що правильно реагувати саме так, але ще краще вони знають, що це одразу використають проти них.
Можна згадати інцидент, який відбувся близько двох років тому в Національному агентстві з питань державної служби. Унаслідок програмної вразливості можна було вільно завантажити безліч документів: паспорти, заяви, декларації всіх претендентів на державну службу, інформацію на всіх майбутніх чиновників. Це колосальний витік, який уже не вдавалося ігнорувати. Тому довелося скликати засідання РНБО, де всіх послухали, запевнили одне одного в боротьбі за кібербезпеку і звільнили керівника цього агентства. На цьому все закінчилося, тобто якщо людина визнає свою провину, то вона має піти.
Але виникає дуже зручний момент: дії влади критикувати не можна, «бо Путін нападе», що ми вже проходили з попереднім президентом, а водночас — будь-які помилки та недбальство чиновників автоматично списують на підступних російських хакерів…
А.Б.: Саме підступний агресивний ворог змушував нас не оновлювати систему з травня минулого року…
А.К.: Цих людей туди призначили якраз для того, щоб вони відбивалися від атак ворожих хакерів. Їм дали для цього гроші й повноваження. А вони так невдовзі скаржитимуться на рептилоїдів з Нубіру, які їм заважають працювати. Тим паче, що напали доволі примітивними засобами, скористалися нашими вразливостями, неоновленим програмним забезпеченням. І тепер це вже сталося, це факт, злам відбувся, хай би як його хтось намагався зараз заперечувати. Проте ми чуємо про «фейки» і «спроби дестабілізації».
А.Б.: Навіть якщо згаданий архів буде підробкою, ми точно знаємо, що підрядника Мінцифри, компанію Kitsoft, зламали. Це означає, що всі вихідні тексти ПЗ тепер у руках ворога. Хакери туди зайшли не для того, щоб написати дурниці ламаною польською мовою, а щоб викрасти будь-які доступні дані.
Чи є ймовірність, що там тепер будуть якісь «закладки» на майбутнє?
А.К.: У виявлених ресурсах це малоймовірно, але питання в тому, що залишилося в резервних копіях. Утім, важливіше те, що ми досі не знаємо точно рівня проникнення, тобто які ресурси було атаковано. Microsoft детектувало шкідливе ПЗ, частину його могли знищити, але частина може залишатися в системах. І ніхто не знає, де вони були й де можуть залишатися. Коли була атака на SolarWinds у США, то з’ясувалося, що росіяни непомітно «сиділи» в системі дев’ять місяців і могли б робити це й далі, якби не напали на компанію з кібербезпеки, що їх виявила. Під час операцій УКА у період активної фази російсько-української війни ми могли контролювати об'єкти противника місяцями, за деякими контроль зберігається й на даний момент.
Два роки після кібератаки NotPetya (27 червня 2017 року) відбулася пресконференція, на якій волонтери й активісти заявили, що майже нічого не змінилося й висновків ніхто не зробив. Відтоді минуло ще два з половиною роки. Чи є відмінність, чи щось змінилося?
А.К.: Відмінність у тому, що за цей час пролунало безліч заяв про те, що в нас усе захищено. Президент Зеленський особисто з великою помпою відкрив черговий кіберцентр, який мав би нас усіх захистити від атаки, у це буквально зарили купу грошей.
А.Б.: Ми можемо привезти сюди найкращих світових спеціалістів провідних фірм, але в рамках чинної державної структури вони тут не зможуть нічого зробити. Тут не допоможуть жодні гроші чи фахівці, допоки існує така система, у якій ніхто ні за що не відповідає. До речі, зараз ніщо не заважає працівникам Microsoft, перебуваючи у себе в США, випускати звіти про атаку 14 січня. Вони дізнаються про наші події за пів години.
Змінити це реально, але потрібна політична воля. Утім, навіть за таких сприятливих умов це не відбудеться за день, а може зайняти кілька років. Нині маємо надто розгалужену й надскладну бюрократичну систему, яку треба демонтувати. Водночас є спокуса простих рішень для складних питань. Наприклад, зробити єдиний центр, де все зберігатимемо й захищатимемо. Ніби дуже зручно. Однак це вже проходили в США в 1970-х. Тоді військові попередили, що в разі протистояння з тодішнім СРСР це буде перша мішень, яка припинить працювати й так паралізує всю роботу державної машини. Тому від цієї ідеї тоді відмовилися й досі не дуже поспішають повністю цифровізувати всі державні процеси, хоча грошей і фахівців там вистачає. І вибори в США досі проводять переважно паперовими бюлетенями. Естонія реалізувала цю ідею дуже вибірково й з серйозними обмеженнями. Від таких виборів відмовилися у Фінляндії, припинили розробляти таку систему у Швейцарії. Чим закінчилися результати електронних виборів у Росії, ми всі знаємо. У ФРН спробували запустити систему електронних водійських прав, але виявили вразливість і миттєво закрили.
Але в Україні тему електронних виборів обережно, проте більш-менш регулярно порушують…
А.Б.: Це перше завдання, яке поставили ще під час передвиборчої кампанії. Не випадково, що одним з перших у «Дії» з’явився паспорт. Звісно, влада дуже хоче реалізувати цю ідею. Так сподіваються залучити частину молодого електорату, який не ходить на звичайні вибори. Утім, сподіваємося, що після нещодавніх атак навіть найбільші цифровізатори зрозуміють, що електронні вибори — це небезпечно. До того ж їхню улюблену цифрову іграшку їхні ж політичні противники можуть обернути проти них — не факт, що нові голоси проголосують саме за них.
А.К.: Не випадково згаданий уже Вискуб у коментарях наполягав, що не можна порівнювати якісь реєстри й голосування, бо це різний рівень складності, бюджетів і захисту. Але якщо їм не вдається організувати щось просте, то чому я маю повірити, що вони впораються зі складнішим завданням? Тобто або ти все робиш добре, або ні.
———————-
Український кіберальянс — спільнота кіберактивістів з багатьох міст України та різних країн світу. Альянс виник навесні 2016 року з об’єднання двох груп кіберактивістів: FalconsFlame і Trinity. Згодом до них приєдналася група активістів RUH8 та окремі кіберактивісти групи КіберХунта. Хактивісти об’єдналися, щоб протидіяти російській агресії в Україні.