Кибербезопасность в Украине. Дискуссия

4 август, 2017 - 13:39Леонід Бараш

Раскаты грома, вызванного недавней широкомасштабной атакой вируса-вымогателя из семейства Petya, до сих пор не утихли. Под их аккомпанемент Институт Горшенина организовал круглый стол, темой обсуждения которого был вопрос, как обезопасить украинское киберпространство? В круглом столе участвовали представители Национальной полиции Украины, СНБО и ИТ-бизнеса.

Дискуссию открыла директор по связям Института Горшенина Наталья Клаунинг, предложив Вячеславу Марцинкевичу, старшему инспектору по особым поручениям департамента киберполиции НПУ, описать последствия массового поражения компьютерных систем в Украине вирусом Petya. По его словам, урон был нанесен колоссальный – от вируса пострадало очень много госпредприятий и компаний из частного сектора. Были выведены из строя как серверы, так и пользовательские компьютеры, работающие под управлением ОС Windows. Была парализована работа многих предприятий и организаций. До сих пор (на 20.07) многие компании не преодолели последствия этой атаки. Даже если они и начали работу в обычном режиме, то потребуется длительное время и огромные усилия по восстановлению потерянной информации и документов. Как отметил в заключение В. Марцинкевич, ситуацию осложняет недостаток специалистов в области кибербезопасности, особенно на госпредприятиях.

Кибербезопасность в Украине. Дискуссия

Вячеслав Марцинкевич: «От вируса Petya пострадало много госпредприятий и компаний из частного сектора, и потребуется длительное время и огромные усилия по восстановлению потерянной информации»


Вопрос о том, существует ли вообще какая-нибудь система кибербезопасности в Украине, был адресован государственному эксперту Службы по вопросам информационной безопасности аппарата СНБО Украины Надежде Литвинчук. По ее словам, этот вопрос является базовым для решения заданий кибербезопасности в государстве в целом. За все годы независимости, к этому вопросу, являющемуся таким критически важным, не было системного подхода. Конечно, была нормативная база, создавалась система защиты, но ключевые документы, на основе которых можно было выстраивать систему кибербезопасности, отсутствовали. Даже в законе про основы национальной безопасности были всего лишь очерчены угрозы в информационной сфере. Только в последнее время после известных событий состоялась цепочка рассмотрений СНБО вопросов, связанных с информационной безопасностью и кибербезопасностью. Известно, что в январе прошлого года СНБО наконец была одобрена стратегия кибербезопасности Украины, и Президент в 2016 г. своим Указом № 96 утвердил эту стратегию. Это дало толчок для решения других задач, поскольку сама стратегия определила цепочку направлений, по которым нужно в дальнейшем выстраивать национальную систему кибербезопасности.

Что же собой представляет национальная система кибербезопасности? Прежде всего, это субъекты, которые определены стратегией и входят в эту систему, в частности, Министерство обороны, Государственная служба специальной связи и защиты информации (ГСССЗИ), СБУ, органы разведки, НПУ, то есть органы, которые относятся к сектору безопасности и обороны, и которые будут обеспечивать кибербезопасность в государстве. Координатором во всей этой системе выступает, в соответствие со стратегией, СНБО. Однако СНБО является коллегиальным органом, а для того, чтобы функционировать в постоянном режиме и оперативно реагировать на инциденты, был создан Национальный координационный центр кибербезопасности. Его возглавляет секретарь СНБО. В Центре постоянно проводятся заседания и принимаются решения, которые координируют и становятся основой для решений СНБО и для деятельности всех органов государственной власти.

Кибербезопасность в Украине. Дискуссия

Надежда Литвинчук: «СНБО в 2016 г. одобрил стратегию кибербезопасности Украины, определившую цепочку направлений, по которым нужно в дальнейшем выстраивать национальную систему кибербезопасности»


Для примера, первым шагом, который сделал Центр, - это определение заданий для формирования законодательной базы. Что здесь имеется в виду? У государства есть информационные ресурсы, есть критическая инфраструктура. Однако если для государственных информационных ресурсов легче выстраивать систему кибербезопасности на основе действующей законодательной базы, то много объектов критической инфраструктуры, таких как ТЭС, входящие в систему жизнеобеспечения, находятся в частной собственности. Защитить вычислительные ресурсы таких объектов на сегодняшний день является большой проблемой. Поэтому сейчас создается перечень таких объектов и в законодательство введены предложения относительно перечисления объектов критической инфраструктуры. Четкий перечень телекоммуникационных систем этих объектов позволит «Госспецсвязи» Украины решать задачи относительно безопасности этих систем.

За годы независимости в системе НАН Украины работали 16 научных учреждений, которые занимались ИТ. Они насчитывали более 2 тыс. сотрудников. Это весьма существенный потенциал. Однако проблема в том, что эти учреждения использовали для построения своих ИС разные технологические решения, и объединение всех созданных баз данных и реестров является трудной задачей. Но сегодня уже существует решение СНБО, утвержденное президентским Указом 32, которое предусматривает создание единого ЦОД для обработки данных государственных информационных ресурсов. В целом же необходимо создавать мощную кибероборону, поскольку на Варшавской встрече G7 киберпространстов было признано пятым театром военных действий.

По мнению Александра Кардакова, главы наблюдательного совета компании «Октава Капитал», задачу построения киберзащиты нужно разделить, по крайней мере, на несколько частей. Есть государственные информационные ресурсы, которыми занимаются отдельные специальные государственные организации – это один полюс. Вторым являются частные системы. Их данные являются объектом атаки частных злоумышленников. Целенаправленных атак на такие объекты никто осуществлять не будет. Посередине остался большой пласт коммерческих предприятий с разной формой собственности.

Александр Кардаков: «По инициативе бизнеса должны быть созданы центры обмена информацией, которые будут сотрудничать друг с другом и с государственными органами, чтобы выработать метрики угроз, методологию защиты и т. п., вплоть до инструкций, что делать в случае взлома»


Отрадным является факт, что СНБО начал серьезно относиться к безопасности объектов критической инфраструктуры. Так что эта проблема начала решаться. В то же время сегмент коммерческих предприятий составляют основу экономики Украины. И последняя атака была осуществлена именно на этот экономический потенциал Украины – коммерческие предприятия, которыми никто специально в государстве не занимался. Однако кто-то же должен это делать. Поскольку у государства и так есть чем заниматься, то должно быть сформировано некое сообщество, которое выступающий предложил назвать «Гражданская кибероборона». Оно должно заниматься созданием штабов, подготовкой соответствующего персонала компаний, выявлением угроз и т. п. По инициативе бизнеса должны быть созданы центры обмена информацией, которые будут сотрудничать друг с другом и со всеми государственными органами, чтобы выработать метрики угроз, методологию защиты и т. п. вплоть до инструкций, что делать в случае взлома. Для тех компаний, у которых нет ИТ-отделов или соответствующих специалистов, нужно создать «горячий резерв», специалисты которого могли бы быть временно наняты для восстановления ИТ-систем.

Комментируя выступление А. Кардакова, Надежда Литвинчук отметила, что предложение очень интересное, и что государство для реализации этой инициативы должно создать необходимые условия. Однако, по мнению Вячеслава Марценкевича, никакие заседания, указы, «кибероборона» не дадут должного эффекта для предотвращения следующей массовой атаки, поскольку самыми слабыми местами в сети организаций являются их системные администраторы. Пока они не построят и правильно не сконфигурируют систему безопасности, никакие CERT или закупка дорогостоящего оборудования не помогут. Вирус Petya атаковал компьютеры изнутри организаций, и те, у кого была правильно сделана сегментация сети, установлены соответствующие политики доступа, пострадали в наименьшей степени.

Основатель компании RMRF Technology, разработчика средств киберзащиты, Андрей Пастушенко остановился на характеристиках современного кибероружия. По его словам, современное кибероружие можно сравнить со средствами массового поражения, но по отношению к компьютерам. Оно может одновременно вывести из строя множество объектов критической инфраструктуры как на уровне одного государства, так и на уровне объединения нескольких государств. Киберпространство - это среда взаимодействия разнообразных нестандартизованных уязвимых информационных систем, в которых используются чувствительные к взлому данные и коммуникационные возможности. Именно из этого и нужно исходить. Кибероружие нацеливается как на отдельные сегменты экономики и локальные компании, так и на отдельных граждан. Кибератаки очень тщательно подготавливаются. В 2011 г. исследователи киберугроз, выходцы из спецслужб США, разработали методологию kill chain, которая первоначально использовалась в военной концепции, относящейся к структуре атаки. Она содержит ряд последовательных действий, или цепочку фаз, нарушение любой из которой может прервать весь процесс. Большинство кибератак включают ряд этих фаз. Современные атаки подготавливаются таким образом, чтобы они не могли быть обнаружены и идентифицированы, а их действие было максимально длительным для достижения поставленных целей.

Андрей Пастушенко: «Бизнес должен относиться к кибербезопасности, как к одному из направлений своей основной деятельности»


Какие выводы можно сделать из имеющегося опыта? По мнению выступающего, любые организационные действия, которые принимаются, сразу же устаревают. Это современная проблема защиты. Как только принимается какой-нибудь стандарт или метод противодействия, они сразу же становятся мишенью. И единственным эффективным противодействием является понимание этого на всех уровнях общества и государства. Поэтому должны создаваться центры любого формата, которые отслеживали бы угрозы не только в стране, но и глобально, и оценивали их возможные последствия. Бизнес должен относиться к кибербезопасности, как к одному из направлений своей основной деятельности.

Необходимо повышать уровень информированности о кибербезопасности граждан в масштабе страны. Они должны понимать, что публикуют свои персональные данные в незащищенных сетях, и принимать необходимые меры безопасности. Нужно приучить бизнес резервировать критические данные, повышать уровень знаний о кибербезопасности своих сотрудников.

Однако есть мировой опыт, и он в той или иной мере может быть использован и в Украине. На этом вопросе остановился R&D-директор компании IT.Integrator Владимир Кург. Он подверг сомнению тезис о том, что атаки постоянно изменяются, и соответственно единого рецепта нет. Это так и не так, по мнению В. Курга. Если, к примеру, взять вирус Petya, то можно вспомнить 2012 г. и кибератаку на саудовскую нефтяную компанию Saudi Aramco. Как и в Украине, она стартовала перед выходными. Ее последствия были примерно такими же, как и у нас. По оценкам, за сутки были уничтожены данные на 30—35 тыс. компьютеров по всему Ближнему Востоку. Эта атака детально описана и приведены процедуры, как ее предотвращать и как ликвидировать последствия. Эти рекомендации были опубликованы CERT в том же 2012 г. В чем проблема Украины? В компаниях не отстроены процессы обеспечения кибербезопасности. Компании и, пожалуй, госорганы не задумывались о действиях в кризисных ситуациях, когда одной из причин является кибератака. Если говорить о мировых практиках, то они рекомендуют включать команду по кибербезопасности в общую команду кризисного реагирования предприятий.



Владимир Кург: «Проблема Украины в том, что в компаниях не отстроены процессы обеспечения кибербезопасности»


Что выясняется при подобных кибератаках, - отсутствие отдельных департаментов кибербезопасности. Обычно этим занимаются ИТ-отделы. Но, как правило, у них нет кризисных регламентов, они не знают, как действовать в таких ситуациях. А там, где есть навыки быстрого реагирования, зачастую нет полномочий.

Что требуется? Первое, это система CERT, как это сделано в Европе. При этом необходимы специализированные CERT. К примеру, в США есть общий CERT, который занимается общей кибербезопасностью, есть ICS (Industrial Control System) CERT, который занимается объектами критической инфраструктуры, есть NERC, некоммерческая организация, занимающаяся вопросами безопасности в энергетике. Следующее, необходимо наладить обмен информацией. Компании, в основном, зациклены на отражении атак и ликвидации их последствий. В Европе и в США есть организации, которые выпускают документы по предотвращению атак, содержащие готовые рецепты.

Комментируя предложение о создании системы CERT, Надежда Литвинчук отметила, что в мире функционирует примерно 300 таких центров. В Украине также есть команда CERT-UA, которая работает под эгидой ГСССЗИ. После атаки на финансовый сектор в январе прошлого года была поставлена задача о формировании и утверждения протокола совместных действий во время киберинцидента. Имеется в виду подведение нормативной базы, наделение полномочиями субъектов обеспечения кибербезопасности, чтобы они имели возможность быстро реагировать и взаимодействовать для противодействия атакам. Такой протокол сейчас находится на утверждении Кабинета Министров.