Василий Задворный

Генеральный директор ГП «Прозорро»

Подобные кибератаки за последние 5 лет стали частью гибридных войн. И сегодня это не только увлекательная история для разговора за пивом с друзьями. Это может быть (а может, и нет) тем же, чем есть является раздача паспортов, проведение референдумов, или очередной фейк о «распятом мальчике» — оружием современности.

Во-первых, о Prozorro

Ни система, ни сайт, ни площадки не были поражены. К счастью, вопросам информационной безопасности мы уделяли много внимания с самого начала разработки системы. И на уровне процессов, и на уровне интеграции безопасности в процесс разработки. К тому же с 2020 года у нас действует постоянная программа баг-баунти (это когда «хакеры» ищут уязвимости за деньги), что позволяет достаточно оперативно находить и закрывать «дыры».

Во-вторых, об атаке. Субъективная оценка

Атака похожа на классическую «активную меру». Цель таких действий всегда не столько причинить вред, сколько посеять хаос, недоверие, туман войны. О подобных историях советую прочитать книгу Active Measures Томаса Рида.

Читайте также:

Старая уязвимость. Подробности крупнейшей за четыре года кибератаки на украинские госресурсы

Основной ресурс, который был атакован — это доверие, уверенность. Доверие партнеров, доверие граждан к государству, доверие друг к другу. Думаю, основная цель именно этой атаки не в похищении данных, не в остановке работы систем, а именно в сеянии паники и недоверия.

Отсюда вытекает два важных следствия:

1. Не стоит недооценивать угрозу, считать, что это «учебная тревога», или «небольшие проблемы». Хотя персональные данные, как заявлено, не утрачены, системы работают нормально, да и сама атака сильно проще по сравнению с NotPetya, инцидент может являться частью гораздо более комплексных и враждебных стратегий.

2. Атакованное доверие — чрезвычайно важный и хрупкий ресурс. И его не слишком достаточно в Украине. Доверие нужно защищать и поддерживать. И здесь нельзя не упомянуть о важности ежедневных и открытых коммуникаций и такого же открытого признания ошибок.

В-третьих, о причинах

Состояние государственных ІТ-систем — предмет отдельной дискуссии, но вкратце: как и везде. Устаревшая инфраструктура, нехватка финансирования, нехватка персонала (из-за нехватки финансирования), нехватка стратегического видения. Как следствие, подавляющее большинство ІТ-систем государство поддерживает не само, а отдает на аутсорсинг (об одной из проблем такого подхода писал здесь).

В Украине к развитию ІТ-систем относятся как к строительству: заплатили 90% средств за «разработку» и потом немного платим «квартплату» — поддержку. И качество поддержки проверяем, как качество коммунальных услуг: работает — значит, все ок.

Основной ресурс, который был атакован — это доверие, уверенность

Беда же в том, что ІТ-система — это не дом. Это скорее перманентное строительство. Квартира, в которой вы меняете планировку ежегодно, двигаете стены и продолжаете жить в ней. И разработка длится постоянно. А поддержка — это постоянная перекладка электричества, замена систем отопления, обновление вентиляции. Поэтому даже отдавая поддержку на аутсорс, придется не просто платить значительные суммы, а четко описывать уровень качества этой поддержки, список процессов и все это контролировать. А это требует наличия персонала, который может это сделать квалифицированно. На аутсорсинг можно отдать функцию, и нельзя отдать ответственность.

Дайджест главных новостей

Бесплатная email-рассылка только лучших материалов от редакторов NV

Подпишись

Рассылка отправляется с понедельника по пятницу

В-четвертых. Какие выводы?

Украина является объектом «активных мер», которые будут сеять панику и тревогу. Необходимо строить и поддерживать доверие.

Кибератаки будут продолжаться и будут иметь целью не только вебсайты, но и остановку сервисов, персональных данных и т. д.

Систему характеризуют не ошибки — а реакция на ошибки. В целом считаю, что сегодня Украина продемонстрировала определенный прогресс: суть уязвимости, действия государства — прокоммуницированы. Но теперь вопрос, будут ли сделаны более глобальные выводы.

Дальнейшее безопасное развитие ІТ-систем невозможно без комплексного подхода: не только к информационной безопасности, но и шире — к вопросу того, кто овладеет и имеет знания о критичных ІТ-системах. Как настроены и какие процессы. В этой трансформации не так много «быстрых побед», но это как фундамент — без этого нельзя надеяться на защищенность.

Ну и напоследок — хорошо, что есть Prozorro — увидим, как будут наши деньги тратиться на нашу безопасность.