НБУ курс:

USD

41,93

-0,00

EUR

43,58

-0,00

Наличный курс:

USD

42,34

42,25

EUR

44,40

44,15

Цифровые войны. Как Украина защищает свои секреты от киберврага

Как Украина усиливает свою кибербезопасность. Источник: Delo.ua
Как Украина усиливает свою кибербезопасность. Источник: Delo.ua

В Украине идет полномасштабная война не только на фронте, но и в виртуальном пространстве. Согласно данным CERT-UA, за 2021 год было проработано в ручном режиме 1374 киберинцидента, за 2022 - 2194 киберинцидента и кибератаки. А за первые четыре месяца 2023-го уже зафиксирован 701 инцидент. В основном внимание врага нацелено на правительство и местные власти. Также много атак осуществляется на энергетику, сектор безопасности и обороны, телеком компании и разработчиков, финансовые учреждения, логистику. Как видим, кибервойна набирает все большие обороты. Delo.ua решило узнать, какие именно схемы используют российские хакеры после 24 февраля, как построена защита данных в Украине и как украинские компании отражают преступные атаки.

Как киберфронт изменился во время полномасштабной войны

С начала 2023 года интенсивность атак на информационную инфраструктуру Украины остается на стабильном уровне, пояснили Delo.ua в пресс-службе Госспецсвязи. Исключение – начало января.

"Снижение количества атак в январе - это традиция. Связана она с "длинными выходными" на новогодние праздники в России. Российские хакеры в погонах только в прошлом году ее нарушили, когда активность атак в начале года, как часть подготовки к полномасштабному вторжению, была очень высокой", - говорят в пресс-службе Госспецсвязи.

В целом, соседняя страна ведет себя в киберпространстве как государство-террорист. Российские кибератаки в Украине часто координируются с наземными и воздушными ударами по гражданской инфраструктуре. Также хакеры используют информационно психологические операции.

"С начала вторжения в киберпространстве, отсчет которого мы ведем с 14-го января 2022 года, с атаки на ряд сайтов государственных органов, враг целью ставил уничтожение нашей информационной инфраструктуры. Цели, стоящие перед российскими хакерами, отвечают общим целям российской военной агрессии ", – обращают внимание в пресс-службе Госспецсвязи.

Почему российские хакеры атакуют разные объекты в Украине.

Следует отметить, что основной мишенью российских киберпреступников является гражданская инфраструктура. Но во время полномасштабного вторжения приоритеты хакеров менялись в соответствии с военными потребностями. Так, государственные структуры постоянно оставались ключевыми целями кибератак. В то же время, в начале вторжения важными мишенями были медиа и телевидение. Тогда российские власти рассчитывали на скорую победу и надеялись, что смогут повлиять на украинцев через СМИ. Впоследствии фокус хакеров и российской армии сместился в энергетический сектор.

Больше всего враг атакует правительственные сайты и важную инфраструктуру.

Какие схемы использует враг в кибервойне

После 24 февраля российские хакеры в основном ищут технические уязвимости в украинских организациях и компаниях, а также активно используют фишинг, говорят в пресс-службе Госспецсвязи. В частности, таргетированный фишинг остается одним из доминантных и эффективных методов получения доступа к организациям-жертвам.

"Однако во второй половине 2022 года мы заметили изменения в тактике российских хакеров. Вместо того чтобы атаковать непосредственно организации-цели с помощью фишинга, хакеры начали смещать акцент на использование технических уязвимостей учреждений, предоставляющих услуги операторам критической информационной инфраструктуры", - объясняют в пресс-службе Госспецсвязи.

При этом хакеры нацелены на все учреждения, куда могут дотянуться. Характер атак указывает на то, что ни одно учреждение не может быть в безопасности. Прежде всего, в зоне риска – компании, предоставляющие услуги и сервисы операторам критической информационной инфраструктуры: разработчики, интернет-провайдеры и т.д.

Также российские хакеры активно используют электронные письма со шпионским программным обеспечением (ПО). Такие письма враг активно рассылал государственным органам в течение четырех месяцев 2023 года. По данным CERT-UA, хакеры отправляли письма якобы от имени системных администраторов пострадавших учреждений. В них преступники размещали информацию типа об обновлении безопасности Windows.

"Сегодня украинские центральные и местные органы власти и дальше являются основной мишенью российских хакеров", - говорят в пресс-службе Госспецсвязи.

В то же время фишинг остается любимым средством российских хакеров. Их фишинговые кампании хорошо спланированы и массовые по своему характеру. Этот тип атак подвергает опасности не только государственных служащих и сотрудников компаний, связанных с критической инфраструктурой, а также каждого гражданина.

"Посредством фишинга российские спецслужбы пытаются собрать любую возможную информацию об украинцах, сосредотачиваясь на их персональных данных", - объясняют в пресс-службе Госспецсвязи.

Если говорить о коммерческих организациях, в последнее время российские хакеры активно атакуют частные компании, занимающиеся внедрением ИТ-решений. Речь и то о так называемых атаках на цепочку поставки ( supply chain attack ). По данным CERT-UA, таких атак стало больше в марте 2023 года.

"Так же атаки на телеком- и интернет-провайдеров являются атаками на цепочку поставки. Через их инфраструктуру российские хакеры, вероятно, надеются найти доступ к чувствительным данным и государственным информационным системам", - говорят в пресс-службе Госспецсвязи.

Стоит отметить, что этот тренд не нов: CERT-UA впервые зафиксировала рост количества атак на цепочку поставок еще во второй половине 2022 года.

Как НАТО помогает Украине на киберфронте

Чтобы успешно противостоять киберврагу, Украина постоянно внедряет лучшие мировые практики. В частности, наша страна активно сотрудничает с союзниками: США, Великобритания и другие страны НАТО помогают с информацией, технологиями и оборудованием. Также Киев делится информацией и данными с партнерами.

Но следует отметить, что всю работу по обеспечению обороны и повышению безопасности Украины выполняют отечественные специалисты. В частности, поэтому во время полномасштабной войны к Госспецсвязи присоединились лучшие специалисты по кибербезопасности.

Украина переходит на стандарты НАТО по кибербезопасности

Как госучреждения усилили киберзащиту во время войны

До начала 2022 года мало государственных органов занимались темой кибербезопасности, рассказывает Delo.ua заместитель главы ГСБТ по цифровой трансформации Валерий Кулик-Куличенко. Но после 24 февраля процесс изменился кардинально: госструктуры начали серьезно усиливать киберзащиту информационных ресурсов. О том, как Госслужба Украины по безопасности на транспорте (ГСБТ) перестроила киберинфраструктуру во время войны – читайте дальше.

До начала полномасштабной войны в подразделениях по кибербезопасности ГСБТ числилось три специалиста по штату, но физически не было ни одного человека. После 24 февраля удалось увеличить штат до восьми специалистов именно в подразделении по кибребезопасности.

"Это важно, поскольку у ГСБТ есть много информационных ресурсов, которые нужно защищать. В частности, в Укртрансбезопасности работают система автоматической фиксации; лицензионный реестр и другие ресурсы".

Валерий Кулик-Куличенко
Валерий Кулик-Куличенко заместитель главы ГСБТ по цифровой трансформации

Во время полномасштабной войны Укртрансбезопасность обратилась за помощью к Cisco, Fortinet, Microsoft и другим компаниям. Они передали много лицензионного и аппаратного программного обеспечения. Сейчас это сотрудничество продолжается.

Одним из наиболее сложных испытаний для Укртрансбезопасности стало 28 июля 2022 года. В этот день состоялась массированная DDoS-атака на различные информационные ресурсы, принадлежащие, в частности, ГСБТ. В результате специалисты в течение суток возобновляли работу системы "Единый комплекс информационных систем" ( система "Шлях" ).

"Нам пришлось перезагружать систему. То есть полностью перестраивали часть инфраструктуры, меняли доступ. Поэтому понадобились сутки, чтобы возобновить работу нашего информационного ресурса. Тогда очень помогли специалисты Госспецсвязи".

Валерий Кулик-Куличенко
Валерий Кулик-Куличенко заместитель председателя ГСБТ по цифровой трансформации

После этой истории в ГСБТ говорят, что почти не замечают кибератаки, потому что система хорошо защищена от хакеров.

"Кибервраг работает примитивно: использует ботофермы, киберальянсы, куда подключает, условно, студентов и волонтеров. Они в основном пытаются создать массированные DDoS-атаки с большим количеством запросов", – говорит Валерий Кулик-Куличенко.

Вражеские кибератаки "съедают" несколько уровней защиты систем ГСБТ, но не нарушают их работу. Так что пользователи ничего не чувствуют.

"Не знаю, почему они не используют современные подходы, но российские хакеры не могут слать на нас какой-нибудь вредоносный программный код. ГСБТ хорошо защищено в плане программных продуктов".

Валерий Кулик-Куличенко
Валерий Кулик-Куличенко заместитель председателя ГСБТ по цифровой трансформации

Сейчас Укртрансбезопасность продолжает усиливать инфраструктуру киберзащиты, поскольку это постоянный процесс.

"Задача киберподразделения защищать ресурсы на базовом уровне, а затем важно наращивать защитную инфраструктуру, не отвлекаясь на потенциальные риски в виде классических DDoS-атак", – говорит Кулик-Куличенко.

Стоит отметить, что Укртрансбезопасность постоянно мониторит информацию о киберугрозах. Также данные ГСБТ предоставляют Госспецсвязи и CERT-UA.

Как бизнес защищает данные от злоумышленников

После 24 февраля украинские компании вынуждены были срочно перестраивать свою деятельность, несмотря на дефицит ресурсов и невозможность планировать дольше, чем на день. Но у бизнеса не было другого выхода, поскольку нужно предоставлять непрерывный сервис клиентам, особенно критической инфраструктуре и ВСУ. Как же системные компании трансформировали систему киберзащиты во время войны? ИТ директор АО "Укртелеком" Кирилл Гончарук рассказал Delo.ua об основных трендах.

Сегодня компания имеет большой опыт по противостоянию российским хакерам. В частности, после 24 февраля специалисты по кибербезопасности отбивали атаки более одного миллиона раз!

После 24 февраля "Укртелеком" отразил более миллиона атак

Как объясняет Кирилл Гончарук, 99% всех атак были автоматическими. То есть эти атаки отражались автоматизированными средствами защиты.

"Было проведено расследование. Мы следили за этапами развития атак. После этого меняли свою систему защиты в зависимости от того, каким образом проходят атаки", - говорит Гончарук.

"Укртелеком" совершенствует защиту благодаря системе анализа Kill Chane. Эта модель безопасности позволяет проанализировать все этапы кибератаки. То есть, в компании понимают, как проходит атака, какими инструментами пользуется враг, на какие уязвимости делается акцент. После этого специалисты создают вывод, на основе которого усиливается киберзащита компании.

Для понимания: отправка писем – это один из типов атаки. Враг посылает письма, чтобы получить доступ к учетным данным пользователя. Такие письма поступают в "Укртелеком" каждую неделю.

При этом попасть в ловушку киберврага могут как сотрудники, так и клиенты "Укртелекома". Чтобы украинцы были готовы к коварным действиям хакеров, специалисты по киберзащите компании проводят регулярное обучение пользователей.

"Для пользователей, которые реагируют именно на фишинговые письма, проводится отдельное дополнительное обучение".

Кирилл Гончарук
Кирилл Гончарук ИТ директор АО "Укртелеком"

Также с точки зрения кибербезопасности сотрудники "Укртелекома" могут иметь ограничения по использованию социальных сетей. Но те специалисты, кому "Фейсбук", "Телеграмм" или другие сети нужны для работы, имеют соответствующий доступ.

Чтобы система киберзащиты отвечала международным стандартам, "Укртелеком" активно сотрудничает с международными партнерами: Microsoft, Cisco, Palo Alto, CloudFlare, Ciber Future Foundation. Они помогают, предоставляя программное обеспечение бесплатно или почти бесплатно.

"Сегодня мы не только перенимаем зарубежный опыт, но и делимся знаниями о кибервойне и способах противостояния", – говорит Гончарук.

Как кибервраг атакует локальные компании

Что любопытно, российские хакеры охотятся не только на системный украинский бизнес. Зачастую мишенью киберпреступников становятся компании регионального или даже городского уровня. Так, в середине мая столичные телеграмм-каналы сообщили о том, что враг атаковал нескольких локальных провайдеров – Citylan, Fibernet, Gigabit plus и проч. А еще раньше, в конце января, произошла мощная хакерская атака на других провайдеров – Империал, Копейка, Ком и ТЕХ, Sky line, G-net.

Как объясняет ИТ директор АО "Укртелеком" Кирилл Гончарук, враг атакует локальных провайдеров целенаправленно, поскольку ищет слабые места в системах защиты этих поставщиков услуг. К сожалению, у местных компаний есть проблемы с защитой данных, ведь вопрос кибербезопасности не является главным приоритетом маленьких провайдеров.

"У таких компаний нет достаточно ресурсов для решения таких задач – как человеческих, так и материальных. То есть речь идет о программном обеспечении от мировых брендов, которое может гарантировать высокий уровень защищенности системы".

Кирилл Гончарук
Кирилл Гончарук ИТ директор АО "Укртелеком"

По его словам, зачастую маржинальность бизнеса локальных провайдеров невысока из-за низких цен на услуги. Это позволяет держать в штате только одного IT-специалиста, который должен быть экспертом по всем вопросам. Логично, что в таких условиях обеспечить надежную защиту от хакерских атак очень сложно.

"Одним из слабых мест любой современной системы защиты является использование open source software - программного обеспечения с открытым исходным кодом. Довольно часто это самое open source billing. Такое ПО было распространено перед масштабным вторжением России. Часто оно использовалось как недорогая и даже бесплатная альтернатива программным продуктам известных брендов", – говорит Гончарук.

Почему такое ПО опасно для бизнеса? Дело в том, что открытый код создается в соавторстве многими специалистами. Следовательно, его слабые места известны тоже многим. Поэтому если локальный провайдер использует такие программы, его киберзащита становится очень уязвимой для хакерских атак.

"Предотвратить опасность можно, благодаря разработанным и внедренным правилам и политикам кибербезопасности компании. Также нужно создать общий защищенный периметр сети. Но такие действия требуют постоянного фокуса и материального и профессионального ресурса", - говорит Кирилл Гончарук .

В "Укртелекоме" говорят, что введение конкретных требований к провайдерам со стороны регулятора могло бы улучшить уровень кибербезопасности. Этот вопрос неоднократно рассматривался на разных уровнях. Так, в Национальной экономической стратегии до 2030 года указаны следующие векторы развития телекоммуникационных услуг: "Ввести обязательные требования по предоставлению сервиса доступа к сети интернет (наличие сертифицированной биллинговой системы, телефонная сервисная поддержка 24/7, пересчет абонплаты в случае просрочки возобновления работы сервиса)".

"Важно, чтобы эти требования применялись ко всем игрокам телеком рынка, ведь сегодня вопросы кибербезопасности нуждаются в особом внимании", - говорит Кирилл Гончарук.

Как может измениться киберфронт в будущем

Кибервойна между Украиной и Россией постоянно претерпевает изменения, поскольку развиваются различные технологии. К примеру, недавно стали популярными инструменты искусственного интеллекта (ИИ). Эти тренды беспокоят мировых лидеров по безопасности. Так, весной Европол предупредил о том, что ChatGPT – опасный чат-бот, поскольку хакеры могут неправомерно использовать его для попыток фишинга, дезинформации и киберпреступности.

"Поскольку возможности LLM (больших языковых моделей), таких как ChatGPT, активно совершенствуются, потенциальная эксплуатация этих типов систем искусственного интеллекта преступниками создает мрачную перспективу", - отметили в Европоле.

Но все не так страшно, как кажется на первый взгляд. Эксперты говорят, что искусственный интеллект используется в системах информационной безопасности уже много лет. При этом есть разные инструменты, которые позволяют, в частности, анализировать поведение пользователей.

"Например, пользователь постоянно вел себя одинаково, а затем резко изменил свои действия. Это может быть сигналом, что его "взломали" или он пытается что-то сделать не то. Также существуют случаи, когда происходит аномалия трафика. Ее как раз может направлять ИИ. То есть, надо понимать, что искусственный интеллект давно используется как со стороны злоумышленников, так и со стороны команды защиты".

Кирилл Гончарук
Кирилл Гончарук ИТ директор АО "Укртелеком"

В то же время эксперты говорят, что основным вызовом для Украины станет продолжение гибридной войны. А все потому, что кибервойна не оторвана от реальной, поэтому большинство крупных кибератак комбинируются с физическими атаками на энергосистему, телеком операторов и тому подобное.

В этих условиях существует риск развития гибридных атак, когда они становятся более точными", – говорит Гончарук.