Урок не выучен? Как Украина (не)защищает свое киберпространство

Версия для печати

Специалисты по информационной безопасности оценили, в правильном ли направлении движется государство, которое с 2014 года понесло серьезные потери от хакерских атак. Эксперты считают, что «Дія» также недостаточно защищена.

Вмешательство в сеть ЦИК во время президентских выборов-2014, обесточивание домов около 230 000 жителей вследствие атаки на «Прикарпатьеоблэнерго» и, наконец, вирус NotPetya, из-за которого пострадало около 30% украинской экономики. Все эти событияэксперты называют кибервойной между Россией и Украиной, пик которой пришелся на 2014-2018 годы, отмечает  Детектор медіа.

И в то время, как военные действия на востоке побудили украинскую армию модернизироваться и стать сильным противником, киберсфера все еще остается уязвимым местом Украины. Об этом говорили эксперты на 11-м форуме по управлению Интернетом IGF-UA, что в этом году состоялся в режиме видеоконференций из-за пандемии коронавируса.

Организаторы расстроены, что событием не заинтересовались представители Министерства цифровой трансформации, которое сейчас задает тон в решении вопросов по интернет-пространству страны. Однако на форуме присутствовали другие чиновники, в частности из Госслужбы специальной связи и защиты информации Украины и профильного комитета Верховной Рады, и они не согласны с пессимистическими настроениями экспертов.

На эту тему: Кибервойна: зачем государствам армии хакеров?

Государство и хакеры: кому доверять?

В речи Александра Федиенко, председателя подкомитета цифровой инфраструктуры, электронных коммуникаций и смарт-инфраструктуры, чаще всего звучали слова «нарабатывается» и «должно быть».

Он начал с того, что в прошлом году президент Владимир Зеленский утвердил новую Стратегию национальной безопасности Украины. Там государство выражает намерение работать над уязвимостями своего киберпространства и изучать потенциальные угрозы - подробнее об этом речь пойдет в Стратегии кибербезопасности Украины, которую Кабинет Министров разработать в начале следующего года.

На эту тему: Carderplanet и убийство Дмитрия Завгороднего: дело российских спецслужб?

Федиенко отметил, что государству необходимо провести аудит критической инфраструктуры, ввести антикризисное управление, и все это - с учетом рекомендаций НАТО. Кроме того, нарабатываются законопроекты в этой области, в частности по защите данных. По его мнению, было бы хорошо также обучать кибергигиене школьников, а также проверять знания работников государственных и коммерческих учреждений.

Константин Корсун, эксперт по кибербезопасности и основатель общественной организации «Украинская группа информационной безопасности», обратил внимание на волонтерские инициативы, которые оказались более деятельными, чем государство. Украинский киберальянс (неформальное объединение четырех хакерских групп FalconsFlame, Trinity, RUH8, Cuberjunta) взломали немало пропагандистских ресурсов. InformNapalm, среди всего прочего, занимался анализом данных из открытых источников: группа Bellingcat в своем расследовании падения боинга MH17 взяла за основу материалы, собранные этой украинской организацией.

Решительнее поступил еще один альянс, FRD, публикуя вопиющие факты полного отсутствия киберзащиты стратегически важных для функционирования экономики и безопасности государства и общества объектов инфраструктуры. Таким образом «этические хакеры» хотели привлечь внимание государства, мотивировать его к быстрым изменениям. Но если предыдущая власть, отметил Корсун, пыталась конструктивно реагировать на действия активистов, то о нынешней этого сказать нельзя.

В качестве примера он приводит историю с открытием уголовного дела против активистов Украинской киберальянса, которые не раз выявляли уязвимости в системах международного аэропорта «Одесса». Хакеры непублично отчитывались об этом одесской власти и спецслужбам, «но там разводили руками». Когда же в аэропорту сломали табло, технику активистов арестовали: по словам прокурора Андрея Чебанова, «чтобы провести экспертное исследование и получить доказательства того, что именно с этой техники были совершены действия по взлому». «Поэтому много активистов свернули свою деятельность, - объясняет Корсун. - Государство показало им, что будет, "если быть слишком умными"».

Что же можно отнести к государственным успехам? По мнению эксперта, стало больше киберцентров. «До того их было несколько, и они (подобающе. - Ред.) не работали. Теперь их становится все больше, каждые полгода мы слышим еще об одном. Но количество не переходит в качество».

Достижением последних лет Корсун считает закон об основах обеспечения кибербезопасности Украины. Но принятие этого документа было требованием западных партнеров, а на практике закон не работает, говорит эксперт. Большого шума в 2018 году наделал законопроект № 6688, согласно которому информационные ресурсы предлагалось временно блокировать решением не только суда, но и операторов обязать за свой счет устанавливать на своих телекоммуникационных сетях оборудование, с помощью которого государство в случае необходимости может следить за гражданами.

И хотя № 6688 не приняли, новый законопроект № 4004, предложенный в сентябре этого года, содержит фактически то же самое обязательство для операторов. Такое вмешательство государства в частную жизнь должно быть обоснованным и не должно привести к незаконной обработке или случайной потере данных, предупреждает авторов законопроекта Комитет по вопросам интеграции Украины с ЕС, и, по словам Корсуна, «оснований доверять государстве нет».

На эту тему: Испытание «Аврора»: как 30 строк кода разорвали 27-тонный генератор

Подозрительная «Дія»

Более всего сообщество экспертов поразила реплика нынешнего министра цифровой трансформации Михаила Федорова, который в интервью изданию «Левый берег» в ноябре прошлого года заявил, что «роль кибербезопасности немного преувеличена» и что якобы назвать реальные «кейсы киберугроз» мало кто может.

«К сожалению, это не оговорка - там (во власти. - Ред.) действительно так считают. И это беда», - говорит Корсун. По его мнению, онлайн-платформа и одноименное приложение «Дія», что является главным продуктом министерства, является примером того, как «хорошая идея достигается нехорошими методами».

Эксперт рассказал, что при создании портала, приложения и цифровых услуг полностью игнорировалось мнение профессионального киберсообщества. «Подобные проекты должны быть серьезно защищены, а пользователям конкретными действиями и доказательствами следует доказать, что это (пользование. - Ред.) безопасно. Я и мои коллеги убеждены, что безопасность этих приложений пока не доказана», - сказал Корсун.

На эту тему: Про небезпеку додатку "Дія"

Директор ІТ-ассоциации Украины Виктор Валеев тоже с подозрением относится к «Дії». С одной стороны, существование приложения и введение цифрового сервиса во времена пандемии, падения экономики и перевода жизнь в онлайн играет на руку государству и гражданам. Но с другой, до сих пор не существует общественного анализа кода, который используется в «Дії», «хотя неоднократные обращения по этому поводу были».

Валеева также настораживают слова первого заместителя Федорова, Алексея Вискуба, который в августе дал интервью «Интерфаксу». Из ответов последнего напрашивается вывод, что государство намерено сделать из «Дії» монополиста в сфере разработки информационных систем и реестров. Монополия может стать угрозой для создания новых электронных сервисов, а также реализации потенциала Украины по созданию информационных технологий для противодействия пандемии, убежден эксперт.

«Государство не должно создавать монополиста или арбитра,- говорит Валеев. - Зато оно должно создавать площадку для обмена данными и реестров, рынок ІТ-сервисов. С точки зрения киберзащиты это будет более действенная модель».

Проблема с объектами критической инфраструктуры

Валеев отметил, что ему бы также хотелось, чтобы на объектах критической инфраструктуры не использовали российское программное обеспечение, или такое, что «мимикрирует под украинское, но по исходным кодам является российским».

Однако прежде чем решить эту проблему, нужно прежде всего определить перечень объектов критической инфраструктуры. Его отсутствие дало о себе знать в 2019 году. Тогда приняли постановление об общих требованиях к киберзащите таких объектов, но из-за того, что их перечень не существовал, оно так и не заработало в полной мере.

Дело в том, что определиться не так просто. Алексей Семеняка, технический директор по внешним связям в компании RIPE NCC, объясняет проблему на бытовом примере. Что является критической инфраструктурой в вашей квартире, тем, без чего не обойтись: холодильник или шкаф? Если холодильник, то насколько важна компания, которая отправляет работников для его ремонта?

На эту тему: Carderplanet и убийство Дмитрия Завгороднего: дело российских спецслужб? Часть 2

Необходимо также сравнивать риски потенциальной поломки критически важных объектов. Оценивается массовость и влияние. Например, если на Кабинет Министров Украины упадет кусок метеорита, то массовость будет небольшая - там работает не так много людей, просто последствия - чрезвычайные. Если же у половины жителей Украины начнет болеть палец на ноге, то последствий этого фактически не будет, но явлением будет масштабным, говорит Семеняка.

«Вот не показали по телевизору серию популярного сериала, и у 20% населения упало настроение ... Значит, серия явно должна быть частью критической инфраструктуры. И такие анекдотические ситуации могут случаться в жизни», - рассказывает Семеняка, объясняя сложность вызовов, которые стоят перед чиновниками сегодня. Черно-белый подход, который ранее применялся («что-то критическое, а что-то нет»), не работает в современном мире.

Александр Потий, заместитель председателя Госслужбы спецсвязи, ранее выполнявшего роль научного руководителя группы, которая оценивала критичность объектов инфраструктуры, вполне понимает проблему. По его словам, украинский подход будет заключаться в том, чтобы сначала выделить объекты, которые предоставляют жизненно важные услуги населению (здесь можно ориентироваться на списки, сформированные в США, Канаде или ЕС), а уже потом анализировать потенциальное воздействие других объектов.

И если маленькие страны могут позволить себе внедрить одни правила и четко разделить объекты по уровню значимости, то крупные (вроде Украины) должны вводить градацию - делить объекты по категориям, для каждой из которых будут действовать свои требования к защите данных. «Объекты категории 1 и 2 будут нести в том числе социальную ответственность. Одного стандарта и единой регуляции для всех не будет», - сказал Потий.

Образование тоже имеет значение

Александр Галущенко, ведущий инспектор Национального координационного центра кибербезопасности СНБО Украины, одной из угроз этой сферы считает человеческий фактор. По его наблюдениям, при 90% атак используются старые методы, так как разработка новых стоит немалых денег. «Есть клинические случаи, когда все (системы. - Ред.) открыто и люди не выполняют свои обязанности», - говорит эксперт.

Когда кто-то атакует сайт, риски для деятельности компании могут и не возникнуть. По словам Галущенко, основная же проблема заключается в том, что руководство не хочет углубляться, что происходит на самом деле и как следует контролировать своих работников. «Вот дают бюджет на кибербезопасность (а если не использовать, то его больше не дадут в следующем году), и начинается закупка каких-то сервисов, которые на самом деле не нужны», - говорит эксперт. По его словам, средства лучше вкладывать в образование работников.

Эту же идею активно продвигает Торгово-промышленная палата. Вице-президент киевской организации Владимир Коляденко рассказал, что по ее инициативе уже несколько лет проводится месяц кибербезопасности в стране и дни кибербезопасности - в университетах. А также в каждой области от Торгово-промышленной палаты работает учебный центр, где работникам государственных органов, а также представителям малого и среднего бизнеса прививают навыки кибергигиены.

В Киевском политехническом университете уже сейчас разрабатывают курс по безопасности и кибергигиене, чтобы в будущем предложить Министерству образования и науки проведение национального урока по безопасному интернету. «Такие инициативы позволяют вывести на новый уровень общую осведомленность, поведение и культуру в киберпространстве», - отметил Коляденко.

Противостояние продолжается

Но это не убедило Константина Корсуна. Уроки не выучены, заявлял он в начале дискуссии, и остался при своем мнении в конце. «Состояние кибербезопасности критической инфраструктуры остается таким же, как в 2014 году. Государственно-частного партнерства, о котором любят говорить, нет. А то, что они этим называют, таковым не является - так как должно быть равенство, - сказал эксперт. - Украинские правительственные структуры просто импотентны в вопросах кибербезопасности. Главным образом потому, что у них нет собственных специалистов, а голос киберкомьюнити они слышать не хотят».

На эту тему: Sandworm. Как хакеры ГРУ отключали энергетику в Украине и взламывали избирком США

По мнению Игоря Козаченко, действительного члена Украинской Академии кибербезопасности, информационную оборону невозможно выстроить без взаимодействия с бизнесом, который всегда приходил на помощь. И в 2014-м, когда благодаря совместным усилиям за 6 часов возобновили работу системы ЦИК и спасли президентские выборы. И в дальнейшем, когда инициировали диалог с государством, предоставляли необходимое оборудование и тому подобное.

Бизнес, по словам эксперта, в противостоянии с современными киберугрозами, опережает государство, потому что защищает в первую очередь свои данные. «Да,  противостояние продолжается, - говорит Козаченко. - И государство проигрывает».

Фото: niss.gov.ua, dev.by, Aleksandr Goncharov, фейсбук-страницы Алексея Семеняки, Александра Федиенко

—

Илона Громлюк,  опубликовано в издании  Детектор медіа

На эту тему:

• Как выглядит кибервойна с Россией
• Киберхиросима или Удивительные малвари и где они обитают
• Как «хакер» из Беларуси был осуждён в США: приключенческая и поучительная история
• «Всемирноизвестный кибермошенник», разыскиваемый ФБР, идет на выборы от блока Петра Порошенко
• Взлет и падение CarderPlanet глазами участника движения