У червні нинішнього року відбулись потужні хакерські кібератаки на ВЕБ-ресурси державних установ і бізнесу. Незважаючи на вжиті заходи з ліквідації загроз і впровадження захисту, у липні знову стались атаки на низку банків та Укрпошту.
1. Яка ймовірність повторних кібератак у серпні та на які галузі?
(Відповіді на питання надав Олександр Галущенко – експерт Антикризового центру кібернетичного захисту бізнесу при ТПП України, провідний розробник компанії IT Laboratory.)
Дуже висока. Це – системна проблема, а не точкова. Невірною є думка, що всі кібератаки мають один напрям: вони, як і хвороби, бувають абсолютно різними. Існує, як мінімум, із два десятки напрямів, за якими можуть здійснюватися напади і впливи на існуючу інфраструктуру. Та й причини впливів абсолютно різні: від легких, практично непомітних, до масових і деструктивних за своєю суттю, спрямованих на знищення інфраструктури. Тут варто зануритися в цю тему докладніше, щоб доступно пояснити сенс того, що відбувається. Але це – тема окремої розмови.
7 березня 2017 року Wikileaks почала оприлюднення дампа під кодовою назвою Vault 7, що містить подробиці роботи Центрального розвідувального управління (ЦРУ) США. Перша публікація отримала назву «Рік зеро» (Year Zero) і містила 8761 документ і файли з закритої мережі Центру радіотехнічної й електронної розвідки ЦРУ в Ленглі.
Фактично, у вільний доступ були викладені інструменти і вихідний код, за допомогою яких будь-який початківець «хакер» зможе створити свій, унікальний продукт. Для таких «хакерів» у середовищі фахівців є назва: скрипт-кідді (англ. Script kiddie) – таке принизливе призвісько у хакерській отримали ті, хто користується скриптами або програмами, розробленими іншими, для атаки на комп’ютерні системи та мережі, не розуміючи механізму їх дії. Вважається, що скрипт-кідді занадто недосвідчені, щоб самим написати свій власний експлойт або складну програму для злому, і що їхньою метою є лише спроба справити враження на друзів або отримати похвалу від спільнот комп’ютерних ентузіастів.
І це страшно: фактично, це аналогічно мавпі з гранатою. Тому створені мутації атакуючих продуктів, помножені на помилки в коді, можуть стати «гримучою сумішшю», яка значно перевершить початковий задум «хакера». Пригадайте апокаліптичні фільми про створення біологічних вірусів, що вирвалися на свободу і знищили 99% населення планети. У нашому випадку теж вірус, але він використовує іншу середу поширення: мережі передачі даних, гаджети і набирає популярність серед інтернет речей.
Будь-яка атака вимагає підготовки. Неможливо натиснути одну кнопку й обвалити системи. Створення будь-якого шкідливого продукту потребує часу, випробувань, визначення об’єкта атаки і розуміння, чого саме слід добитися. Якщо брати конкретний випадок 27 червня, то там все далеко не просто, як здається на перший погляд. Були визначені цілі, модель і спосіб поширення, використовувалися свіжі, ще не вживані масово, уразливості (з опублікованих на Wikileaks). За всіма наявними в нашому розпорядженні обробленими даними, це було тренування. Такий собі тест у реальних умовах і вивчення реакції соціуму. Тому чекаємо ще однієї хвилі: з виправленими помилками і новими експлойтами (англ. Exploit, експлуатувати – комп’ютерна програма, фрагмент програмного коду або послідовність команд, що використовують уразливості в програмному забезпеченні і застосовують для проведення атаки на обчислювальну систему. Метою атаки може бути як захоплення контролю над системою – підвищення привілеїв, так і порушення її функціонування – DoS-атака).
Існує ряд причин, через які кількість атак буде тільки збільшуватися. Але це – тема окремої великої розмови з прикладами.
2. До Антикризового центру кібернетичного захисту бізнесу при ТПП України постійно надходять конкретні запити від представників малого та середнього бізнесу, а саме:
Ці питання з розряду «як вижити після ядерного вибуху». Занадто багато факторів, змінних і початкових умов. Але спробуємо систематизувати їх і відповісти.
Як не дивно, перші кроки лежать не в технічній, а в організаційній частині роботи. Повинно відбутися розуміння, що сьогодні ми перейшли межу між «десь там далеко і нас не торкнеться» і реальним проникненням технологій у наше життя. Якщо раніше можливості таких атак були в основному в голлівудських фільмах, то зараз це з нами. З усіма. І правило про снаряд і попадання в воронку двічі вже не працює. Цікаве спостереження: тільки після серйозної втрати даних власники бізнесу і керівники компаній оцінили рівень загрози і наслідки. І одразу знайшлися бюджети.
Для усвідомлення існуючого стану ІТ складової компанії, необхідно провести аудит інформаційної безпеки. Це – перший і обов’язковий крок, із якого потрібно починати. Після цього стане зрозумілим, куди рухатися далі, скільки необхідно коштів і етапи приведення в порядок інфраструктури замовника.
Жодного універсального рецепта: завжди все по-різному: тому і необхідно починати з оцінки загроз і стану ІТ інфраструктури. Уже на цьому етапі багато хто починає нервувати: реальний стан майже завжди сильно відрізняється від того, що говорять «приходящі» фахівці, які вміють змінювати картридж у принтері і встановлювати піратські версії програмних продуктів. Рекомендуємо звертатися до компаній, що мають відповідні ліцензії і досвід роботи в цій сфері.
Загрози бувають різними. В першу чергу, необхідно розробити регламент роботи в мережі підприємства, призначити відповідальних осіб, а в ідеалі – побудувати систему захисту, яка сильно ускладнить проникнення і поширення шкідливих елементів. Тут, як не дивно, на першому місці не мегаскладні системи захисту, а адміністративні правила, виконання яких не є складним. Звичайно, використання новітніх систем апаратного захисту з аналітичними модулями сильно ускладнить життя хакерам і порушникам, але сподіватися тільки на апаратну частину – це неправильно. У будь-якій системі найслабша ланка – це людина.
Це будуть кілька порад, які не завжди врятують від цілеспрямованої атаки, але сильно ускладнять життя нападникам.
В Україні існують спеціалізовані органи і центри, уповноважені державою опікуватися питаннями інформаційної безпеки, які здійснюють моніторинг, ведуть боротьбу з кіберзагрозами та розробляють відповідні рекомендації.
CERT-UA (http://cert.gov.ua) – спеціалізований структурний підрозділ Державного центру кіберзахисту та протидії кіберзагрозам (ДЦКЗ) Державної служби спеціального зв’язку та захисту інформації України (Держспецзв’язку)
Кіберполіція України – https://www.cybercrime.gov.ua/
Ми рекомендуємо:
уважно читати надані рекомендації та не нехтувати ними, ставити питання, звертатися по допомогу до фахівців, не боятися просити роз’яснення. І пам’ятайте: одного, універсального, захисту не існує. Завжди потрібен комплекс заходів і постійний моніторинг систем для підтримки їх в актуальному, робочому стані.
Теги: кібератака, Антикризовий Центр кібернетичного захисту бізнесу