- Категорія
- ІТ та Телеком
- Дата публікації
Цифрові війни. Як Україна захищає свої секрети від кіберворога
В Україні йде повномасштабна війна не тільки на фронті, а й у віртуальному просторі. Згідно з даними CERT-UA, за 2021 рік було опрацьовано у ручному режиму 1374 кіберінциденти, за 2022-й – 2194 кіберінциденти та кібератаки. А за перші чотири місяця 2023-го вже зафіксовано 701 інцидент. В основному увага ворога націлена на уряд та місцеві органи влади. Також багато атак здійснюється на енергетику, сектор безпеки та оборони, телеком компанії та розробників, фінансові установи, логістику. Як бачимо, кібервійна набирає все більших обертів. Delo.ua вирішило дізнатися, які саме схеми використовують російські хакери після 24 лютого, як побудовано захист даних в Україні та яким чином українські компанії відбивають злочинні атаки.
Як кіберфронт змінився під час повномасштабної війни
З початку 2023 року інтенсивність атак на інформаційну інфраструктуру України залишається на стабільному рівні, пояснили Delo.ua у прес-службі Держспецзв’язку. Виняток – початок січня.
"Зниження кількості атак у січні – це традиція. Пов’язана вона з "довгими вихідними" на новорічні свята у Росії. Російські хакери в погонах лише минулого року її порушили, коли активність атак на початку року, як частина підготовки до повномасштабного вторгнення, була надзвичайно високою", - говорять у прес-службі Держспецзв’язку.
В цілому, сусідня країна поводиться в кіберпросторі як держава-терорист. Російські кібератаки в Україні часто координуються з наземними та повітряними ударами по насамперед цивільній інфраструктурі. Також хакери використовують інформаційно-психологічні операції.
"Від початку вторгнення в кіберпросторі, відлік якого ми ведемо з 14-го січня 2022 року, з атаки на низку сайтів державних органів, ворог за мету ставив знищення нашої інформаційної інфраструктури. Цілі, які стоять перед російськими хакерами, відповідають загальним цілям російської воєнної агресії", - звертають увагу у прес-службі Держспецзв’язку.
Підписуйтеся на YouTube-канал delo.ua
Варто зазначити, що основною мішенню російських кіберзлочинців є цивільна інфраструктура. Але упродовж повномасштабного вторгнення пріоритети хакерів змінювалися відповідно до воєнних потреб. Так, державні структури постійно залишалися ключовими цілями кібератак. Водночас з цим, на початку вторгнення важливими мішенями були медіа та телеком. Тоді російська влада розраховувала на швидку перемогу і сподівалась, що зможе вплинути на українців через ЗМІ. Згодом фокус хакерів і російської армії змістився на енергетичний сектор.
Які схеми використовує ворог у кібервійні
Після 24 лютого російські хакери в основному шукають технічні вразливості в українських організаціях та компаніях, а також активно використовують фішинг, кажуть у прес-службі Держспецзв’язку. Зокрема, таргетований фішинг залишається одним із домінантних і ефективних методів отримання доступу до організацій-жертв.
"Однак у другій половині 2022 року ми помітили зміни в тактиці російських хакерів. Замість того, щоб атакувати безпосередньо організації-цілі за допомогою фішингу, хакери почали зміщувати акцент на використання технічних вразливостей установ, які надають послуги операторам критичної інформаційної інфраструктури", - пояснюють у прес-службі Держспецзв’язку.
При цьому хакери націлені на всі установи, до яких можуть дотягнутись. Характер атак вказує на те, що жодна установа не може бути в безпеці. Передусім у зоні ризику – компанії, які надають послуги та сервіси операторам критичної інформаційної інфраструктури: розробники, інтернет-провайдери тощо.
Також російські хакери активно використовують електронні листи зі шпигунським програмним забезпеченням (ПЗ). Такі листи ворог активно розсилав державним органам протягом чотирьох місяців 2023 року. За даними CERT-UA, хакери відправляли листи нібито від імені системних адміністраторів постраждалих установ. В них злочинці розміщали інформацію типу про оновлення безпеки Windows.
"Сьогодні українські центральні та місцеві органи влади й надалі є основною мішенню російських хакерів", - говорять у прес-службі Держспецзв’язку.
Водночас з цим, фішинг залишається улюбленим засобом російських хакерів. Їхні фішингові кампанії добре сплановані та масові за своїм характером. Цей тип атак наражає на небезпеку не тільки державних службовців та співробітників компаній, що пов’язані з критичною інфраструктурою, а також кожного громадянина.
"За допомогою фішингу російські спецслужби намагаються зібрати будь-яку можливу інформацію про українців, зосереджуючись на їхніх персональних даних", - пояснюють у прес-службі Держспецзв’язку.
Якщо говорити про комерційні організації, останнім часом російські хакери активно атакують приватні компанії, які займаються впровадженням ІТ-рішень. Мова й те про так звані атаки на ланцюжок постачання (supply chain attack). За даними CERT-UA, таких атак стало більше у березні 2023 року.
"Так само атаки на телеком- та інтернет-провайдерів є атаками на ланцюжок постачання. Через їхню інфраструктуру російські хакери, ймовірно, сподіваються знайти доступ до чутливих даних та державних інформаційних систем", - говорять у прес-службі Держспецзв’язку.
Варто зазначити, що цей тренд не новий: CERT-UA вперше зафіксувала зростання кількості атак на ланцюжок постачання ще в другій половині 2022 року.
Як НАТО допомагає Україні на кіберфронті
Щоб успішно протистояти кіберворогу, Україна постійно впроваджує найкращі світові практики. Зокрема, наша країна активно співпрацює із союзниками: США, Велика Британія та інші країни НАТО допомагають з інформацією, технологіями та обладнанням. Також Київ ділиться інформацією та даними з партнерами.
Але варто зазначити, що всю роботу із забезпечення оборони та підвищення безпеки України виконують вітчизняні фахівці. Зокрема, тому під час повномасштабної війни до Держспецзв’язку приєдналися найкращі спеціалісти з кібербезпеки.
Як держустанови посилили кіберзахист під час війни
До початку 2022 року мало державних органів опікувалися темою кібербезпеки, розповідає Delo.ua заступник голови ДСБТ із цифрової трансформації Валерій Кулик-Куличенко. Але після 24 лютого процес змінився кардинально: держструктури почали серйозно посилювати кіберзахист інформаційних ресурсів. Про те, як Держслужба України з безпеки на транспорті (ДСБТ) перебудувала кіберінфраструктуру під час війни – читайте далі.
До початку повномасштабної війни в підрозділах з кібербезпеки ДСБТ числилося три фахівця по штату, але фізично не було ні однієї людини. Після 24 лютого вдалося збільшити штат до восьми спеціалістів саме в підрозділі з кібребезпеки.
"Це важливо, оскільки у ДСБТ є багато інформаційних ресурсів, які потрібно захищати. Зокрема, в Укртрансбезпека працюють система автоматичної фіксації; ліцензійний реєстр та інші ресурси".
Під час повномасштабної війни Укртрансбезпека звернулася за допомогою до Cisco, Fortinet, Microsoft та інших компаній. Вони передали багато ліцензійного та апаратного програмного забезпечення. Зараз ця співпраця продовжується.
Одним з найбільш складних випробувань для Укртрансбезпека стало 28 липня 2022 року. В цей день відбулася масована DDoS-атака на різні інформаційні ресурси, які належать, зокрема, ДСБТ. В результаті фахівці протягом доби відновляли роботу системи "Єдиний комплекс інформаційних систем" (система "Шлях").
"Нам довелося перезавантажувати систему. Тобто, повністю перебудовували частину інфраструктури, змінювали доступ. Тому знадобилася доба, щоб відновити роботу нашого інформаційного ресурсу. Тоді дуже допомогли фахівці Держспецзв'язку".
Після цієї історії у ДСБТ кажуть, що майже не помічають кібератаки, оскільки система добре захищена від хакерів.
"Кіберворог працює примітивно: використовує ботоферми, кіберальянси, куди підключає, умовно, студентів та волонтерів. Вони в основному намагаються створити масовані DDoS-атаки з великою кількістю запитів", - говорить Валерій Кулик-Куличенко.
Ворожі кібератаки "з’їдають" кілька рівнів захисту систем ДСБТ, але не порушують їх роботу. Тож користувачі нічого не відчувають.
"Не знаю, чому вони не використовують сучасні підходи, але російські хакери не можуть слати на нас якийсь шкідливий програмний код. ДСБТ добре захищена в плані програмних продуктів".
Зараз Укртрансбезпека продовжує посилювати інфраструктуру кіберзахисту, оскільки це постійний процес.
"Задача кіберпідрозділу захищати ресурси на базовому рівні, а потім важливо нарощувати захисну інфраструктуру, не відволікаючись на потенційні ризики у вигляді класичних DDoS-атак", - каже Кулик-Куличенко.
Варто зазначити, що Укртрансбезпека постійно мониторить інформацію про кіберзагрози. Також ці дані ДСБТ надають Держспецзв’язку та CERT-UA.
Як бізнес захищає дані від зловмисників
Після 24 лютого українські компанії були змушені терміново перебудовувати свою діяльність, незважаючи на дефіцит ресурсів та неможливість планувати довше, ніж на день. Але бізнес не мав іншого виходу, оскільки треба надавати безперервний сервіс клієнтам, особливо критичній інфраструктурі та ЗСУ. Тож як системні компанії трансформували систему кіберзахисту під час війни? ІТ директор АТ "Укртелеком" Кирило Гончарук розповів Delo.ua про основні тренди.
Сьогодні компанія має великий досвід у протистоянні російським хакерам. Зокрема, після 24 лютого фахівці з кібербезпеки відбивали атаки більше одного мільйона раз!
Як пояснює Кирило Гончарук, 99% з усіх атак були автоматичними. Тобто, ці атаки відбивались автоматизованими засобами захисту.
"Було проведено розслідування. Ми прослідковували етапи розвитку атак. Після цього змінювали свою систему захисту в залежності від того, яким чином проходять атаки", - говорить Гончарук.
"Укртелеком" удосконалює захист, завдяки системі аналізу Kill Chane. Ця модель безпеки дозволяє проаналізувати усі етапи кібератаки. Тобто, в компанії розуміють, як проходить атака, якими інструментами користується ворог, на які вразливості робиться акцент. Після цього фахівці створюють висновок, на основі якого посилюється кіберзахист компанії.
Для розуміння: надсилання листів – це один із типів атаки. Ворог надсилає листи, щоб отримати доступ до облікових даних користувача. Такі листи надходять в "Укртелеком" кожен тиждень.
При цьому попасти в пастку кіберворога можуть як співробітники, так й клієнти "Укртелекому". Щоб українці були готові до підступних дій хакерів, фахівці з кіберзахисту компанії проводять регулярне навчання користувачів.
"Для користувачів, які реагують саме на фішингові листи, проводиться окреме додаткове навчання".
Також з точки зору кібербезпеки співробітники "Укртелекому" можуть мати обмеження щодо використання соціальних мереж. Але ті фахівці, кому "Фейсбук", «Телеграм» або інші мережі потрібні для роботи, мають відповідний доступ.
Щоб система кіберзахисту відповідала міжнародним стандартам, "Укртелеком" активно співпрацює з міжнародними партнерами: Microsoft, Cisco, Palo Alto, CloudFlare, Ciber Future Foundation. Вони допомагають, надаючи програмне забезпечення безкоштовно або майже безкоштовно.
"Сьогодні ми не тільки переймаємо закордонний досвід, але й ділимося знаннями кібервійни і шляхами протистостояння", - каже Гончарук.
Як кіберворог атакує локальні компанії
Що цікаво, російські хакери полюють не тільки на системний український бізнес. Часто мішенню кіберзлочинців стають компанії регіонального або навіть міського рівня. Так, у середині травня столичні телеграм-канали повідомили про те, що ворог атакував кількох локальних провайдерів - Citylan, Fibernet, Gigabit plus та ін. А ще раніше, наприкінці січня, відбулася потужна хакерська атака на інших провайдерів – Імперіал, Копійка, Ком і ТЕХ, Sky line, G-net.
Як пояснює ІТ директор АТ "Укртелеком" Кирило Гончарук, ворог атакує локальних провайдерів цілеспрямовано, оскільки шукає слабкі місця в системах захисту у цих постачальників послуг. На жаль, у місцевих компаній існують проблеми із захистом даних, адже питання кібербезпеки не є головним пріоритетом маленьких провайдерів.
"У таких компаній немає достатньо ресурсів для вирішення таких задач – як людських, так і матеріальних. Тобто, мова йде про програмне забезпечення від світових брендів, яке може гарантувати високий рівень захищеності системи".
За його словами, часто маржинальність бізнесу локальних провайдерів невисока через низькі ціни на послуги. Це дозволяє тримати у штаті лише одного IT-спеціаліста, який має бути експертом з усіх питань. Логічно, що у таких умовах забезпечити надійний захист від хакерських атак надзвичайно складно.
"Одним зі слабких місць будь-якої сучасної системи захисту є використання open source software - програмного забезпечення з відкритим початковим кодом. Досить часто це саме open source billing. Таке ПЗ було поширеним перед масштабним вторгненням Росії. Часто воно використовувалось як недорога і навіть безкоштовна альтернатива програмним продуктам відомих брендів", - говорить Гончарук.
Чому таке ПЗ небезпечне для бізнесу? Справа в тому, що відкритий код створюється у співавторстві багатьма спеціалістами. Отже, його слабкі місця відомі теж багатьом. Тому якщо локальний провайдер використовує такі програми, його кіберзахист стає дуже вразливим для хакерських атак.
"Запобігти небезпеці можна, завдяки розробленим і впровадженим правилам та політикам кібербезпеки компанії. Також треба створити загальний захищений периметр мережі. Але такі дії потребують постійного фокусу та матеріального і професійного ресурсу", - говорить Кирило Гончарук.
В "Укртелекомі" кажуть, що запровадження конкретних вимог до провайдерів з боку регулятора могло б покращити рівень кібербезпеки. Це питання неодноразово розглядалось на різних рівнях. Так, у Національній економічній стратегії до 2030 року зазначені такі вектори розвитку телекомунікаційних послуг: "Запровадити обов’язкові вимоги щодо надання сервісу доступу до мережі інтернет (наявність сертифікованої білінгової системи, телефонна сервісна підтримка 24/7, перерахунок абонплати у випадку прострочення відновлення роботи сервісу".
"Важливо, щоб ці вимоги застосовувались до всіх гравців телеком ринку, адже сьогодні питання кібербезпеки потребують особливої уваги", - говорить Кирило Гончарук.
Як може змінитися кіберфронт у майбутньому
Кібервійна між Україною та Росією постійно зазнає змін, оскільки розвиваються різноманітні технології. Наприклад, нещодавно стали популярними інструменти штучного інтелекту (ШІ). Ці тренди турбують світових лідерів з питань безпеки. Так, навесні Європол попередив про те, що ChatGPT – небезпечний чат-бот, оскільки хакери можуть неправомірно використовувати його для спроб фішингу, дезінформації та кіберзлочинності.
"Оскільки можливості LLM (великих мовних моделей), таких як ChatGPT, активно вдосконалюються, потенційна експлуатація цих типів систем штучного інтелекту злочинцями створює похмуру перспективу", - зазначили у Європолі.
Але все не так страшно, як здається на перший погляд. Експерти кажуть, що штучний інтелект використовується в системах інформаційної безпеки уже багато років. При цьому є різні інструменти, які дозволяють, зокрема, аналізувати поведінку користувачів.
"Наприклад, користувач постійно поводив себе однаково, а потім різко змінив свої дії. Це може бути сигналом, що його "зламали" або він намагається щось зробити не те. Також існують випадки, коли відбувається аномалія трафіку. Її якраз може скеровувати ШІ. Тобто, треба розуміти, що штучний інтелект давно використовується як з боку зловмисників, так і з боку команди захисту".
Водночас з цим, експерти кажуть, що основним викликом для України стане продовження гібридної війни. А все тому, що кібервійна не відірвана від реальної, тож більшість великих кібератак комбінуються з фізичними атаками на енергосистему, на телеком операторів тощо.
"У цих умовах існує ризик розвитку гібридних атак, коли вони стають більш точними. Зокрема, небезпечні атаки Supply Chain. В даному випадку хакери будуть атакувати різних постачальників послуг, наприклад, магістрального телеком оператора. Ціль - зламати ланцюжок сервісів для ЗСУ, військових силових структур", - говорить Гончарук.