Кибератаки на Украину стоят миллионы долларов - эксперт

Средняя зарплата начинающего разработчика софта (Junior Software Engineer), по данным ресурса DOU, в Киеве составляет $600 в месяц. А лучшие спецы по кибербезопасности в СБУ получают примерно $500. Службе едва ли удается конкурировать с частными структурами за кадры.

Читай также: Как “липовые“ сайты воруют деньги украинцев

Начальник профильного управления СБУ Максим Максимов (попросил изменить имя и должность) рассказал в интервью ЛІГА.net, как ведомство отреагировало на череду кибератак на объекты критической инфраструктуры в декабре 2016 года и какие риски еще сохраняются.

В рамках беседы с представителем СБУ также была затронута болезненная тема обысков в ИТ-компаниях. У начальника управления об их причинах сформировалось собственное и не очень популярное среди участников ИТ-рынка мнение: “У нас все общество “больное“. И срез по силовикам не является исключением“. Поэтому, мол, и происходят злоупотребления - изымаются сервера и оборудование.

- Кто в СБУ отвечает за кибербезопасность?

- В структуре СБУ имеется Департамент контрразведывательной защиты интересов государства в информационной сфере. В этом департаменте весной прошлого года создано подразделение, которое занимается кибербезопасностью.

Читай также: В России арестован топ-менеджер Лаборатории Касперского

- Какое количество людей работает в этом подразделении?

- У нас их меньше всего в сравнении с другими странами. Если говорить о примерно похожих странах (Турция, Франция), в них в разы больше сотрудников, которые занимаются этим направлением. Во многих странах подразделения, аналогичные нашей структуре в СБУ, а также подразделения в Госспецсвязи объединены в один центр. Это связано с тем, что у таких структур одна общая задача - обеспечить состояние защищенности кибернетической сферы.

- Как вы нанимаете в подразделение людей? Какой у них уровень подготовки?

- У нас очень индивидуальный подход к каждому кандидату. Уровень подготовки позволяет обмениваться данными со структурами по всему миру, анализировать атаки и делать аналитические выводы. Понятное дело, что в нашем подразделении будет постоянная тенденция к оттоку кадров, так как по окладам мы даже близко не можем конкурировать с частными структурами.

Читай также: За год в Украине стало в 4,5 раза больше фишинговых сайтов

- Какая у вас средняя зарплата специалиста?

- Может быть, чуть больше, чем в среднем по госсектору. У хороших специалистов оклады около 12 000-15 000 грн. Если это молодой человек, он только пришел, то речь о 7 000-8 000 грн.

- Насколько я знаю, согласно указу президента о стратегии кибербезопасности, у нас еще в прошлом году должен был появиться координационный центр при СНБО…

- Если говорить об этой структуре, то она де-юре создана, но де-факто только вырисовывается. Координационный центр предназначен для решения стратегических вопросов. Но для того чтобы решать стратегические вопросы, на тактическом уровне должна быть налажена работа, чтобы у стратегов была почва для принятия решений.

- То есть этот центр - он сейчас на бумаге только?

- Нет. Этот орган сейчас занимается созданием сети ситуационных центров. Они будут обеспечивать достижение общей цели (состояние защищенности) по двум векторам: как защиту гособъектов, так и противодействие атакам. Противодействовать, естественно, можно преимущественно силовыми методами, поэтому круг субъектов противодействия ограничен.

Читай также: Украину поглотили кибератаки

По закону такие полномочия есть, например, у СБУ и Нацполиции (Киберполиция), а в военное время - у Минобороны. Второй блок сети ситуационных центров будет отвечать непосредственно за защиту. Например, при Госспецсвязи есть центр киберзащиты и противодействия киберугрозам. Этот центр может отвечать за координацию, информировать госструктуры о потенциальных атаках, угрозах.

Но рано или поздно, чтобы координационные действия и информирование привели к успеху, нужно использовать силы принуждения.

Общая задача СНБО на сегодня - скоординировать блоки защиты, информационные и силовые блоки в один узел, чтобы быстрее реагировать на киберугрозы.

- Есть ли срок создания сети ситуационных центров?

- За сроки отвечают непосредственно сами органы, которые работают над задачей.

- Как-то долго этот процесс идет.

- Нам всем кажется, что долго. И хочется, чтобы было быстрее. Но “маємо те, що маємо“.

Читай также: Тостеры и кофемашины атаковали российские банки

- Хотя бы обмен информацией наладить между органами, отвечающими за кибербезопасность.

- Так он и сейчас осуществляется. Но не совсем оперативно. У органов силового блока, например, есть возможность обмениваться информацией оперативно. Это позволяет действующий закон, но такое взаимодействие фрагментарно и точечно. С другими субъектами все сложнее.

Многие по закону могут отвечать в течение месяца. Естественно, такой ответ уже будет никому не нужен. А если бы мы говорили о частном бизнесе, например о телеком-провайдерах, то для получения информации иногда необходимо судебное решение. На наш взгляд, это абсолютно избыточная мера, даже если при этом была благая цель - не дать злоупотребить такими возможностями.

Но страдают при этом не только государственные интересы в сфере кибербезопасности, но и простые граждане, остающиеся без защиты государства.

Наверное, этот проблемный этап нашему обществу еще предстоит пережить. Мы все должны понять: силовикам нельзя злоупотреблять полномочиями, а бизнесу - выставлять бессмысленные преграды. Мы пока еще не готовы доверять друг другу. К сожалению, сегодня нам еще не доверяет большинство коммерческих игроков.

Читай также: Украинская киберполиция помогла накрыть мировую хакерскую сеть

- Но ведь у бизнеса есть основания не доверять СБУ. Мы же знаем, что обыски проводятся очень часто. И бизнес от этого страдает.

- Это системная проблема. Она продуцирована теми отношениями, которые сложились между бизнесом и силовиками еще накануне принятия нового УПК. Все бизнесмены тогда хотели максимально дистанцировать силовиков от информации (например, на серверах).

Новые нормы УПК установили непреодолимые преграды между частным бизнесом и силовым блоком. Побочный эффект: это привело к тому, что, кроме как с помощью санкции на обыск, оперативно получить информацию без ущерба для следствия шансов нет. Ведь если уж получать санкцию в суде, то почему потом ею не воспользоваться в полной мере?

В результате такие меры приводят к тому, что участились случаи изъятия серверов, когда можно было бы обойтись и копией информации. Но когда есть санкция суда, изъять банально проще. Я не исключаю злоупотреблений, которые могут при этом быть. Но у нас все общество “больное“. И срез по силовикам не является исключением. Это те же люди. Они ходили в те же школы. Поменяй их сейчас местами с теми, кто был по другую сторону, и через некоторое время и они начнут злоупотреблять полномочиями.

Читай также: Десятки украинских онлайн-магазинов подверглись хакерской атаке

- Можете ли прокомментировать обыски СБУ, которые в прошлом году привели к отключению сотовой сети Интертелекома, обыски в Lucky Labs?..

- Мое подразделение к обыскам не имеет прямого отношения - сервера мы не изымаем. Мы занимаемся техническими вопросами, направленными в первую очередь на то, чтобы оказать помощь. На обыски мы самостоятельно не ходим. Нас приглашают для того, чтобы оценить ситуацию. Наш профиль - это защита от кибератак.

- Я слышал, что целью декабрьской кибератаки на Минфин и Госказначейство было выведение системы из строя на долгий срок, чтобы у государства не было возможности провести важные платежи перед концом года, например, подготовить к выплате пенсии. Насколько это правда?

- Если говорить в общих чертах, то ситуация была достаточно серьезная. Речь шла о целенаправленных атаках высокого уровня и длительной подготовки (APT-атаки). Срок присутствия хакеров в информационных сетях госведомств иногда шокирует: полгода, восемь месяцев… За это время можно много чего подготовить и заразить. Полугодичное присутствие в такой сети позволяет гипотетически выудить все, что только можно.

Читай также: Верховная Рада одобрила создание системы кибербезопасности

- Государство выделило Минфину и Госказначейству 80 млн грн на модернизацию систем после хакерских атак. Как думаете, теперь они надежно защищены?

- Я думаю, что можно сказать: они залатали дыры. Вряд ли ведомства подошли системно к этому вопросу. А тем более за то незначительное время, которое им было отведено на закупки.

- Какие были риски у декабрьских атак на объекты критической инфраструктуры государства?

- Риски были велики. Но вывод можно сделать один: ущерб мог бы оказаться гораздо больше. При этом нужно отметить, что все последние атаки направлены на формирование в обществе негативного социального настроения, состояния напряженности, а иногда это и просто демонстрация возможностей. Именно поэтому выбираются социально ориентированные сферы.

Например, блокирование продажи билетов перед новогодними праздниками вызвало бы большой всплеск недовольства в обществе. Как и отключение электричества большому количеству абонентов. Проблемы с выплатами пенсий тоже могли бы нанести серьезный удар по репутации государства. Но при этом имеющиеся возможности воспользоваться результатами взлома говорят о том, что цель нанести наибольший ущерб не ставилась.

- Сколько может стоить организация таких атак в Украине?

- Большие атаки совершены с серьезными наработками по вирусам типа BlackEnegry, которые можно назвать кибероружием. Сложно посчитать. Можно смотреть только по косвенным признакам. Я думаю, речь идет о работе, стоящей миллионы долларов. Те же типы вирусов используются и в других странах: Германии, США.

Читай также: В Украине запускают защищенное Облако для госучреждений

- Можно ли говорить о том, что организация этих атак идет со стороны России?

- Очень много признаков об этом свидетельствует. Если говорить о внутренней уверенности, то она есть. Нужно провести расследование и получить юридически значимые факты. У нас есть с РФ договор о предоставлении правовой помощи.

Но, по понятным причинам, он не работает. А значит, и невозможно в правовом смысле до конца раскрыть того, кто стоит за атакой, идущей со стороны России. Таким образом, есть два аспекта: социальный и формально юридический. Для возложения социальной ответственности достаточно аргументов, мотива, который совпадает с интересами России, что оперативно подтверждают российские массмедиа на постоянной основе. То есть для большинства граждан Украины именно они формируют устойчивое мнение о причастности РФ.

Читай также: В Украине набирает обороты торговля личными данными клиентов

Однако в юридическом смысле имеющиеся аргументы являются косвенными и обосновать только на них ответственность России было бы некорректно. Это и есть гибридная составляющая российской технологии агрессии.

- Но по каким признакам вы судите?

- Изучение многих семплов, скриптов, микропрограмм, которые использовались в атаках, позволяет пролить свет на то, каков был язык операционной системы, на которой их компилировали, к какому часовому поясу работы были привязаны. Так вот, язык был русским, а часовой пояс соответствовал полосе, где расположены Москва и Санкт-Петербург.

Понятно, что в этом часовом поясе расположено много других государств. Но в сочетании с такими признаками, как язык, расположение командных центров, регистраторов фейковых доменов, провайдеров размещения серверов загрузки вредоносного ПО, а иногда и номерного ресурса РФ для телефонного флуда, сопровождающего кибератаки, количество “подозреваемых“ заметно сужается. До одного.

- Я правильно понимаю, что основным способом заражения госсистем была социальная инженерия?

Читай также: Мозги для машин и роботов: Почему украинские айтишники ценнее индийцев

- Да. Основным способом проникновения вредоносных программ в системы была email-рассылка. Наше бескультурье в сфере кибербезопасности приводит к тому, что подавляющее большинство пользователей можно заразить в два клика. Человеку просто приходит письмо от адресата, которому он доверяет. А подделать контакт отправителя письма не составляет труда.

- Правда ли, что сейчас по-прежнему очень велика вероятность того, что новые атаки будут проведены на объектах, которые уже заражены?

- Да, уровень латентной угрозы очень высок. Системная работа, которая позволила бы сейчас выявить “затаившуюся угрозу“, требует больших капиталовложений. Все это в проекте. Наша структура получает финансирование в размере примерно 1 млн евро от трастового фонда Украина - НАТО по вопросам кибербезопасности.

Это долгосрочный проект, который мы планируем развивать совместно с Госспецсвязи. Но на первом этапе он предполагает разворачивание только двух ситуационных центров, работающих в тандеме. В дальнейшем будут финансироваться и подключаться аналогичные центры Национальной полиции и Минобороны. А параллельно - объекты критической инфраструктуры.

Читай также: Хакеры ограбили один из украинских банков

- Удавалось ли кого-то предупреждать об атаке?

- У нас были случаи, когда мы предупредили об атаке на объект критической инфраструктуры заблаговременно - за 20 часов. Мы узнали, что доступ к нескольким серверам будет зашифрован. Результат - железо продолжило работать.

- Какие объекты критической инфраструктуры страны сейчас наиболее уязвимы?

- Я бы назвал энергетику и транспорт.

- Финансы?

- Только госсектор в финансах уязвим. Частный сектор более или менее защищен. Банки уже давно уделяют внимание безопасности своих систем, что связано в первую очередь с криминальными угрозами. Хотя к нынешним атакам частный сектор тоже не всегда оказывается готов. Мы в том числе расследовали инциденты, связанные с атакой на Swift.

- Интересны потенциальные последствия в энергетике. На сколько часов хакеры могут отключить свет, например?

Читай также: Сколько зарабатывают сотрудники геймдев-компаний

- Как показывают наши события, более чем на несколько часов - это вряд ли. Все сразу переводится в ручной режим. И наши системы не так сильно компьютеризованы, чтобы это привело к коллапсу.

- Это касается распределительных энергосетей. А такие структуры, как Энергоатом, как защищены?

- Там вообще все системы отключены от сетей. Поэтому возможна только атака с использованием инсайдера или даже силовой операции. В таких системах может быть запущен только вирус типа Stuxnet.

- Можно ли вывести из строя навигацию самолетов через атаку на Украэрорух, Борисполь, МАУ?

- Гораздо больше сейчас угроз у структур управления речным и морским транспортом. Они меньше уделяли внимание своей защите. Возможно, последние атаки на Администрацию морских портов подстегнут их к тому, чтобы усовершенствовать свои системы.

- От декабрьской атаки на информ-системы (диспетчерская система распределения вагонов, продажа электронных билетов) Укрзализныця очень долго отходила…

Читай также: Украинские программисты пожаловались на работу в IT-компаниях

- Она до сих пор отходит. Дело в том, что у этого предприятия очень сложная и распределенная ИТ-система. И оно более уязвимо исходя из масштабов и особенностей своей работы. В системах УЗ хакерами использовалось не криптование серверов, а вредоносный софт KillDisk (удаляет данные). До чего у них руки дотянулись, то и пытались уничтожить.

Целью было создание хаоса и формирование у граждан негативного отношения к компании. Но системы непосредственного управления механизмами транспорта не подвержены кибератакам, поэтому нагнетание паники по поводу техногенных аварий является преувеличением рисков. А вот очереди за билетами в кассах создать вполне реально.

- Возможно ли спрогнозировать, когда будет очередной вал атак на критические объекты в Украине?

- Второй год подряд основная масса атак приходится на декабрь. Можно спрогнозировать, что это опять произойдет в декабре 2017 года. Наша задача как можно быстрее создать национальную систему кибербезопасности и предупредить большинство объектов, нейтрализовать вредоносные программы. Тогда у нас появятся основания говорить о том, что мы на что-то влияем системно. А пока мы тушим пожар, боремся с последствиями.

Ранее сообщалось о том, что украинскому хакеру грозит до 30 лет тюрьмы в США.

Смотри также - ТОП-5 самых известных хакерских атак в истории:

• Теги:
• хакеры
• кибер-афера
• новости экономики
• кибератаки