Скрытая угроза: Как защитить украинские предприятия от кибератак

"23 декабря в 15:30 жители Ивано-Франковска готовились к завершению рабочего дня и направлялись домой холодными зимними улицами. Операторы местного "Прикарпатьеоблэнерго", снабжающего электричеством весь регион, заканчивали смену. Но пока один из работников приводил в порядок бумаги на своем столе, курсор его мышки вдруг сам по себе скользнул по экрану. Оператор увидел, как курсор направился прямиком к иконке программы, контролирующей автоматические рубильники областных подстанций, кликнул, открыл окно управления рубильниками и выключил подстанцию. Выскочило диалоговое окно с просьбой подтвердить действие, а оператор продолжал ошарашенно смотреть на то, как курсор кликал на кнопку подтверждения. Он знал, что где-то за пределами города тысячи жителей лишились света". Так описывает хакерскую атаку на украинскую энергокомпанию американский журнал Wired. Тогда без света осталось более 230 тыс. жителей Прикарпатья.

До того декабрьского вечера словосочетание "кибератака" было для большинства украинцев чем-то далеким и диковинным. В СМИ периодически встречались сообщения о краже денег с банковских карт, персональных данных пользователей, говорилось даже о попытках взлома серверов Центральной избирательной комиссии во время выборов. Но никогда еще в новостях не говорили о тысячах украинцев, пострадавших от подобных действий хакеров.

Переломный момент

"Можно сказать, что систему фактически хакнули. Это у нас впервые за все время работы", — так прокомментировали произошедшую кибератаку местному изданию представители "Прикарпатьеоблэнерго". На самом деле случившееся стало откровением не только для сотрудников облэнерго, а и для всего мира. Международные эксперты в сфере безопасности утверждают, что компании из самых разных отраслей внимательно следили за расследованием инцидента в Украине. Он стал переломными моментом — первой известной кибератакой, которая привела к отключению энергосети.

"Очень важно понять, что кибератака может выходить за рамки виртуального мира и затрагивать мир физический. Это глобальный тренд", — утверждает замглавы Администрации президента и бывший руководитель Microsoft в Украине Дмитрий Шимкив.

К расследованию ивано-франковской атаки подключились частные фирмы и специализированные государственные организации по всему миру. Украину посетила команда американских экспертов из ФБР, Госдепартамента США, Министерства внутренней безопасности и Министерства энергетики. Украинские спецподразделения тоже не сидели сложа руки — сотрудники СБУ и CERT-UA (Computer Emergency Response Team — Компьютерная группа реагирования на чрезвычайные ситуации) расследовали инцидент совместно с иностранными коллегами.

Несмотря на то что СБУ менее чем через неделю после атаки поспешила обвинить в случившемся российские спецслужбы, украинские специалисты официально не комментировали инцидент. На вопрос журналиста Delo.UA заместитель начальника первого управления СБУ Сергей Южда ограничился сухим "пока идет расследование".

Первыми о деталях атаки заговорили частные компании. "Это серьезная веха. Мы и раньше были свидетелями целенаправленных кибератак на энергокомпании, например нефтяников, но это никогда не приводило к отключению электроэнергии. Это то, чего мы опасались долгое время", — рассказывал Джон Халткуист, глава практики кибершпионажа iSIGHT Partners британскому изданию Ars Technica.

Согласно данным компании Джона Халткуиста, словацкой ESET и американской Trend Micro, хакеры использовали для атаки вредоносные программы BlackEnergy и KillDisk. Специалисты по кибербезопасности также робко кивнули в сторону России, поскольку BlackEnergy неоднократно использовала группировка Sandworm, которую связывают с северным соседом.

Эти предположения позже подтвердили специалисты господразделений США. Спустя три недели после атаки на "Прикарпатьеоблэнерго" Компьютерная группа реагирования на чрезвычайные ситуации в системах индустриального контроля, подотчетная Министерству внутренней безопасности США, подтвердила наличие вредоносной программы BlackEnergy в системе облэнерго, но, опираясь на предоставленные технические улики, не смогла "подтвердить причинно-следственную связь между отключением энергоснабжения и наличием вредоносного ПО".

Американские специалисты отметили, что были приятно удивлены, обнаружив в атакованной системе большой журнал логов фаерволла, который помог им реконструировать события. Вопреки расхожему мнению о "дырявости" украинских систем, сети "Прикарпатьеоблэнерго" были хорошо защищены. Проблема в том, что у хакеров было достаточно времени на то, чтобы взломать систему.

Хорошая сторона плохой медали

"Чтобы снизить вероятность повторения подобной ситуации, необходимо тщательно проанализировать всю инфраструктуру "Прикарпатьеоблэнерго". Больше внимания уделить не статической защите (внедрению средств контроля, ограничения, шифрования), а мониторингу, анализу эффективности, поиску и устранению уязвимостей, тестированию всех систем на устойчивость к проникновению. Не стоит забывать и о пользователях — они также часть системы, которую можно взломать. Именно через пользователей совершается большинство успешных атак", — отмечает Дмитрий Петращук, директор по технологиям BMS Consulting.

С работы с пользователями, так называемой социальной инженерии, началась и атака на "Прикарпатьеоблэнерго". Так, по словам американского эксперта Роберта Ли, участвовавшего в расследовании, атака началась еще прошлой весной. Первой фазой стало проникновение в сеть предприятия с помощью фишинговой атаки — целенаправленной рассылки электронных писем с зараженным вложенным файлом Microsoft Word.

"Если раньше от хакеров на электронную почту приходил просто спам, то сейчас все зависит от цели. Это может быть одно конкретное письмо на конкретного сотрудника с указанием его ФИО, и придет оно от известного адресата", — рассказывает Алексей Ясинский, директор по информационной безопасности (ИБ) Starlight Media.

Как выглядит подобное письмо, сообщила 20 января 2016 года пресс-служба "Укрэнерго": "Злоумышленниками выполняется массовая рассылка поддельных электронных сообщений от имени ГП НЭК "Укрэнерго" о смене даты общественных обсуждений "Плана развития ОЭС Украины". В тело письма вложен файл с якобы проектом указанного плана, который, вероятно, заражен вирусом BlackEnergy". Комментируя эту ситуацию Delo.UA, представители НЭК сообщили, что такие общественные слушания действительно должны были состояться. Злоумышленники воспользовались поводом и с адреса, схожего с официальным e-mail "Укрэнерго", провели рассылку по отраслевым предприятиям. К счастью, угрозу удалось вовремя идентифицировать.

Одной из уязвимых частей любой информационной системы является человек. Большинство экспертов соглашаются в вопросе необходимости обучения персонала обращению с подозрительной почтой, присланными в Facebook ссылками; что делать, если ПК начал вести себя подозрительно и что такое это "подозрительно". "Раньше когда человеку, работающему на облэнерго или другом объекте, в рамках профилактики говорили, что нужно делать и на что обращать внимание, он мог пропустить это мимо ушей. После известной атаки он уже начинает прислушиваться и воспринимать это как объективную реальность. Атака на "Прикарпатьеоблэнерго" стала поводом задуматься, может ли это произойти с каждым", — утверждает Сергей Южда.

Задумываться об этом начали не только рядовые сотрудники, но и руководители предприятий. До этого они, по словам Алексея Ясинского, не совсем понимали "экономического эффекта" существования подразделений информационной безопасности. "Сколько бы мы потеряли, если бы у нас не было антивируса? Нас не атакуют потому, что у нас нет антивируса и мы не видим атак, или потому, что в принципе не атакуют? Эти вопросы не дают руководству почувствовать целесообразность существования информационной безопасности [...] Если нет регламентирующих документов (вроде PCI-DSS для банковского сектора), то считайте, что ИБ — это темный чулан, где сидят два человека и занимаются проверкой персонала, который приходит устраиваться на работу", — описывает прошедшее отношение руководителей предприятий к ИБ представитель Starlight Media. С ним согласны и представители компании "Бакотек", международного дистрибьютора решений для IT-инфраструктуры и ее безопасности: "До 2014 года ситуация с ИБ в государственных компаниях и органах власти (за редким исключением) была достаточно сложной. [...] Сейчас же наблюдаем определенный положительный тренд. Он отмечается в желании выстраивать комплексные системы защиты не только "на бумаге" (опираясь при этом на международный опыт и стандарты), появлении профильных должностей и новых молодых специалистов, начале обсуждения проблематики защиты критических инфраструктур".

Отметка "до 2014 года" является не случайной. Это желание у госкомпаний и других структур появилось еще до атаки на "Прикарпатьеоблэнерго" — она была не первой и не единственной, но наиболее успешной.

Масштаб проблемы

В мае 2014 года название BlackEnergy впервые услышали сотрудники "Укрзализныци", получившие письмо с рекомендациями по безопасности якобы от Минпромполитики. В августе того же года письма якобы от Олега Тягнибока с обвинениями ряда депутатов в сотрудничестве с террористами получили и некоторые госорганы. Затем рассылка с тем же вредоносным ПО была зафиксирована в марте 2015 года, а в октябре прошлого года произошла атака на телеканалы "СТБ" (входит в Starlight Media) и ТРК "Украина". Поэтому руководитель ИБ Starlight Media Алексей Ясинский не понаслышке знаком с BlackEnergy. Тогда на телеканале была уничтожена информация на двух контроллерах домена, одном сервере и сервере-приложении чуть более десятка ПК. Но, как говорит Алексей Ясинский, это стало отличным опытом для команды, бесплатным pentest (penetration test — "тест на проникновение" — попытка взлома системы для выявления в ней уязвимостей — Ред.) и сплотило коллектив. "Руководству стала понятнее роль информационной безопасности, поскольку единоразовая демонстрация реальной угрозы и ее расследований помогла намного лучше, чем постоянное озвучивание гипотетических угроз", — утверждает специалист.

После атаки на медиа последовал инцидент на Прикарпатье. Но на этом попытки взлома украинских компаний и госструктур не закончились. В январе-2016 стало известно об атаке на систему аэропорта "Борисполь".

"На сегодняшний день идет атака на системы энергообеспечения, хранения информации (банковские системы, системы вещания). По своей сути любой сегмент критической инфраструктуры представляет интерес для потенциального противника", — предупреждает Сергей Южда. Его слова подтверждает Дмитрий Шимкив: "Сейчас в CERT и СБУ очень хорошая команда. Но их немного. А вы же представляете уровень угроз, с которыми им приходится бороться".

Ситуация на местах

Кибератака на "Прикарпатьеоблэнерго" заставила ведущие энергетические компании Украины ужесточить требования к ИБ. Так, в пресс-службе ДТЭК Delo.UA подтвердили "попытки заражения инфраструктуры компании вредоносным ПО, используемым при кибератаках на другие энергетические компании". Но проникнуть "внутрь" и повлиять на работу предприятия хакерам не удавалось.

Директор по информационным технологиям НАК "Энергоатом" Александр Лесовой рассказал Delo.UA, что на предприятии постоянно "пересматриваются модели угроз и модели нарушителя для информационных систем", но о попытках целенаправленной атаки не сообщил. Аналогичный ответ издание получило и от представителей ГП "Украэрорух": соответствующие подразделения есть, они готовы отвечать на угрозы, но спланированных атак в последнее время зафиксировано не было. Специалисты НЭК "Укрэнерго" рассказали, что на предприятии недавно была проведена реструктуризация IT-компетенций, которые были выведены в отдельную сервисную компанию. В ней предусмотрен и отдел безопасности. В остальном за последние два года целенаправленных кибератак специалисты компании не фиксировали.

"Мы все знаем, что на объектах существует охрана и отдел безопасности. Сейчас в основном на всех предприятиях существует и информационная безопасность. Вопрос в уровне подготовки и готовности [к кибератакам систем предприятия]. Он определяется в том числе и оплатой труда, насколько оплата определяет уровень знаний [специалистов], их возможностей и умений. Плюс материальное техническое обеспечение", — подводит итог Сергей Южда.

Дмитрий Шимкив не раз заявлял о проблеме оплаты труда специалистов в госорганах. "На те зарплаты, с которыми они работают, особенно учитывая оплату на рынке IT-компаний, много людей в госорганы не заведешь. Поэтому вопрос как построить это правильно — один из самых сложных", — резюмирует замглавы АП.

Киберстратегия

Как утверждает директор по технологиям BMS Consulting, все существующие системы уязвимы для кибератак, так как уязвимость программной и аппаратной системы — это неотъемлемое ее качество. Причина в их сложности. "Что может сделать государство? — задается вопросом Дмитрий Петращук. — Его задача — устанавливать общие правила и порядок взаимодействия между разными субъектами на государственном уровне. Оно может разработать общую стратегию, стандарты, адаптировать международные стандарты в области ИБ, выдвигать требования к компаниям и их инфраструктуре".

Проблемы, с которыми столкнулась Украина, не уникальны, и государство в лице президента сделало свой весомый шаг в сторону решения проблемы информационной безопасности. 16 марта 2016 года Петр Порошенко утвердил "Стратегию кибербезопасности Украины", предложенную Советом национальной безопасности и обороны.

Она определяет общее направление развития страны в сфере кибербезопасности, регламентирует ответственность соответствующих государственных органов и обозначает их цели. Это общая канва, фундамент для защиты в информационном поле всей Украины, ее граждан и организаций. Все проблемы и угрозы, о которых упоминали эксперты, описаны в этой стратегии и будут решаться на ее основе дальнейшими действиями ответственных органов.

Защита объектов критической инфраструктуры, которые пострадали от упомянутых кибератак за последние два года, получила отдельный раздел Стратегии. Внимание уделяется и "человеческому" фактору: ставится цель повышения цифровой грамотности и культуры безопасного поведения граждан в киберпространстве.

Также "должны быть созданы условия для привлечения предприятий, учреждений и организаций независимо от формы собственности, которые осуществляют деятельность в сфере электронных коммуникаций, защиты информации и являются собственниками (распорядителями) объектов критической инфраструктуры, к обеспечению кибербезопасности Украины". Этот момент трудно переоценить, поскольку, по мнению Дмитрия Петращука, только путем создания широкого экспертного сообщества по вопросам безопасности может быть решена проблема защиты украинского киберпространства.

В Украине есть фундамент для того, чтобы ситуация, произошедшая холодным декабрьским днем в Ивано-Франковской области, больше не повторялась. Остается тщательно и методично возводить на его основе монолитное киберздание.