В межах кібератаки, яку нещодавно було здійснено на сайти держустанов України, сталося знищення даних у низці держорганів. Це повідомлення на сайті Держспецзв’язку означає, що неоголошена кібервійна проти нашої держави триває. І хоча є періоди відносного затишшя, загальної картини це не змінює. Ми бачимо постійне зростання кількості кібератак на 10-12% за квартал.
“Атака-13”: слід з країни-агресора
Черговий потужний кіберудар було завдано у ніч з 13 на 14 січня 2022 року (у соцмережах їй надали тег #attack13). Нічого подібного за наслідками не було вже багато років. Постраждали 70 сайтів (в тому числі й вебресурси Міністерств), а 10 навіть зазнали безпосереднього втручання в базу даних.
Зловмисники (скоріш за все, з країни-агресора) скористалися відомими вразливостями у системах адміністрування веб-сайтів (CMS), а також несанкціонованим доступом до ІТ компанії, що розробляє, підтримує та адмініструє переважну більшість сайтів державних органів. Атакували за давно відпрацьованою схемою – отримали несанкціонований доступ до постачальника послуги CMS (supply chain attack). Власне, все як у 2014 році з "візиткою Яроша", як у 2015 році – у ситуації з "Прикарпаттяобленерго" та у 2017 році – у ситуації з вірусом NotPetya (тоді "зламали" компанію Медок). Отже, тактика країни-агресора залишається незмінною: кібервійна як складова загальної агресивної війни проти України. Тож із зовнішнім фактором начебто більш-менш зрозуміло та очікувано. Принаймні в експертному середовищі.
Чому не захищаємось
І все ж, інколи складається враження, що окремі державні органи живуть в іншій реальності. Бо про кібербезпеку говорять одне, а роблять інше.
По-перше, при нещодавній атаці відбулось занадто тривале відновлення сайту "Судова влада". У Державній судовій адміністрації України витрачають достатньо коштів й на захист системи, й на адміністрування Реєстрів. Але протягом майже двох діб не можна було не тільки переглянути відповідні файли у Реєстрі судових рішень, але й зайти на окремі субдомени відповідних судів. Сміх крізь сльози, але знайомим адвокатам телефонували клієнти й здивовано казали про те, що "суди зламались". На мій погляд, немає нічого гіршого для держави, аніж ці слова простих громадян.
По-друге, не можна було не звернути увагу й на оновлений сайт Уповноваженого з прав людини. На розробку цього вебресурсу було витрачено орієнтовно 3,5 млн грн (точну цифру дізнаємось після відповідного депутатського запиту, який вже надіслано за призначенням). Можливо, воно б і вартувало витрачених коштів, якби (як це й передбачалось у Технічному завданні до тендеру) було дійсно реалізовано максимальний рівень захисту від кібератак. Тільки ж цього не було зроблено. Виявилось, що сайт побудований на CMS October, через вразливість системи якого власне й була проведена атака 13 січня. І ця моя думка підтверджується висновком команди з Центру розвідки загроз Microsoft (MSTIC), яка працює разом з Держспецзв’язку, СБУ та Мінцифри у рамках укладеної ще 2014 року угоди про співробітництво Government Security Program. Виникає логічне запитання, про який захист персональних даних можна вести мову, якщо Омбудсмен (у віданні якого поки що знаходиться ця сфера) не може захистити навіть власний сайт.
Втім, будемо об’єктивними – це проблема не тільки Офісу Уповноваженого, а й багатьох інших державних органів. Тож наразі Україна не має права просто чекати наступних атак, не замислюючись про оборону.
Читай також: Росія організувала кібератаку на органи влади в Україні: як захиститись
Коли запрацює цифровий архів?
Кібератака - це не тільки втрата чи пошкодження, але часто й банальне викрадення важливих державних даних чи чутливої інформації простих громадян. В цьому аспекті найбільш актуальним питанням стане робота Національного центру резервування державних інформаційних ресурсів (НЦРДІР).
Центр мав запрацювати ще 1 листопада 2021 року (відповідна постанова КМУ була прийнята ще 8 лютого минулого року). Але незважаючи на наявність політичної волі, розробленої нормативної бази та відносно невеликої суми видатків (називаються цифри від 100 до 318 млн грн.), так званий цифровий архів держави й досі не запрацював. А втім головна його функція була б дуже доречною під час "атаки-13", оскільки з резервного сховища усіх даних державного значення, можна було б відновити усі пошкоджені дані за лічені години. А так ми й досі не знаємо, що саме з даних втрачено у Моторно-транспортному бюро (єдиний сайт, який досі відновлюється, принаймні на час написання статті). І вже були б зовсім катастрофічні наслідки, якби була пошкоджена, скажімо, та сама "Дія". Велике значення буде мати наявність захищених дата-серверів й у випадку подальшого розвитку електронного судочинства. Адже "розгул хакерів" у судових рішеннях може призвести до непоправного.
Впевнений, що запуск Центру після подій 13 січня значно прискориться.
Побічно про це свідчить й швидкість, з якою до другого читання був підготовлений законопроект №4378 від 13.11.2020. Вже пообід 14 січня на сайті Верховної Ради був узгоджений текст, згідно якого передбачається внести зміни до законів України "Про Державну службу спеціального зв'язку та захисту інформації України" (стаття 1) та "Про основні засади забезпечення кібербезпеки України" (статті 1 та 6). Відповідно до проекту органи державної влади, органи прокуратури, Нацполіції, СБУ, НАБУ, ДБР та інші органи, що здійснюють правозастосовні або правоохоронні функції, державні підприємства, установи та організації "створюють резервні копії державних електронних інформаційних ресурсів (відображені в електронному вигляді державні інформаційні ресурси), що перебувають у їх володінні або розпорядженні та безпосередньо впливають на їх стале функціонування, та передають їх на зберігання до Державної служби спеціального зв'язку та захисту інформації України".
Очевидно, що система резервування даних буде існувати, а Центр – працювати. Питання лише в тому, як саме будуть передаватись дані для архівування і чи будуть співробітники Центру мати доступ до баз даних. Потрібно чітко прописати, що дані (тих самих реєстрів) будуть передаватись до архівів у зашифрованому вигляді, і Центр буде виконувати роль еталонного депозитарію цифрових даних – не більше, але й не менше. І коли в разі ушкодження чи втрати даних, державний орган запросить їх відновлення – Центр зможе оперативно вирішити це питання щодо будь-якого реєстру даних. Тому у законопроєкті 4378, як мінімум, не вистачає одного нюансу: визначити, на який час будуть передаватись персональні дані до архіву, хто буде мати до них доступ та як часто вони будуть оновлюватись.
Іншими словами, якщо НЦРДІР буде сповідувати принципи захисту персональних даних – жодних зауважень не буде. Врешті-решт, час на доопрацювання проекту аж ніяк не впливає на строки приведення до ладу приміщення за адресою м. Київ, вул. Дорогожицька,10, де буде знаходитись Єдиний центр обробки даних № 1 Центру, та закупівлі відповідного обладнання (серверів). Тим більше, що за словами представників спецслужб, й це місце вибране не дуже вдало, бо не відповідає технічним та функціональним вимогам щодо споруди такого центру, а також вимогам до серверного приміщення. Зокрема, один з моїх співрозмовників вказував на наступні недоліки: "Приміщення не може пройти експертизу на TIER3 (час зупинки 1,6 години в рік, коефіцієнт відказостійкості 99,982), не кажучи вже про TIER4 (робота ЦОД без зупинки, коефіцієнт відказостійкості 99,995)".
Читайте також: СБУ викрила російський "Armagedon": 7 років атакували Україну
Кібербезпеці - найвищий пріоритет
Ще на зустрічі в Брюсселі в 2016 році міністри оборони держав Північноатлантичного Альянсу визнали кіберпростір оперативною зоною військових дій на рівні з суходолом, морем, повітрям. Тож, відтепер маємо розуміти, що реформа кібербезпеки й захист персональних даних – речі невід’ємні.
А наостанок процитую слова одного з фахівців з питань кібербезпеки, який на моє прохання зробив важливе узагальнення на тему, чому Україна знов виявилася неготовою до цілком прогнозованих кібератак країни-агресора: “Чому попередній досвід не був врахований? І про які внутрішні проблеми це свідчить? А свідчить це про відсутність національної системи кібербезпеки - саме як системи. В країні приблизно дев’ять чергових центрів з кіберзахисту, які відповідають за кібербезпеку, кожен у своєму напрямку. Складається враження, що для деяких країн Україна виступає як полігон, з подій на якому вони можуть дізнаватися про нові технології кібервійни, кіберзброю та практики їх застосування. Нічого не маю проти бойової практики для кібервійськ в аспекті кібероборони та можливостей кібернападу, але ж чому виключно на потужностях України? І чи настільки вже випадково буквально три тижні тому США та Британія прислали в Україну своїх експертів, нібито "допомогти Україні захиститися від кібератак". Тільки не було ніяких заяв, інформації та прогнозів від цих експертів.
І ще один момент. Скільки коштів з Держбюджету передбачено на розбудову національного кіберзахисту згідно Стратегії кібербезпеки України на 2021-2025 роки? Питання риторичне. А от Велика Британія, наприклад, під реалізацію своєї першої Стратегії кібербезпеки (на 2013-2015 роки) заклала 1 мільярд фунтів, а під імплементацію другої (на 2016-2021) – майже 2 мільярди фунтів та створила повноцінний Центр кібербезпеки з відповідним бюджетом на його розвиток та утримання".
Висновки очевидні, враховуючи внутрішній ІТ потенціал українських спеціалістів - головне належно організувати їх роботу і залучати до роботи кращих з кращих.
Тож разом з колегами з МДО “Люди” будемо здійснювати парламентський контроль над належним розвитком електронних ресурсів і кібербезпеки в Україні, особливо в судовій гілці влади.
Читайте також: На Польщу здійснили масштабну кібератаку