Кібер (НЕ)безпека: як дати відсіч і перемогти на кіберфронті
Фото надані НЕК «Укренерго» для Kyivstar Business Hub
Події на кіберфронті у війні з росією розгортаються не менш стрімко, аніж на «фізичному». Команда CERT-UA тільки у липні зареєструвала 203 кібератаки. Найсильніше відчувають це органи влади, оборонний, фінансовий, енергетичний сектори. Серед організацій найбільше атак припало на телекомгалузь. Зазнають впливу від атак хакерів також і інформаційні ресурси.
Як боронить себе на кіберфронті держава і бізнес? Та які підходи використовуються для забезпечення захисту цифрової інфраструктури? Про це та інше в дискусії на Open Talk Club від Kyivstar Business Hub розказали експерти — представники держави та бізнесу.
Поле битви: кіберпростір
Протягом 2021 року на кордонах України накопичувалися війська росії, а інформація про можливе вторгнення ширилася в заявах політиків та у ЗМІ. Утім, підготовка до агресії відбувалася не лише в фізичному просторі: Москва, вочевидь, планувала напад і в цифровому світі. Тому в Києві не сиділи склавши руки і готувалися до кіберпровокацій. Безпосередня підготовка, за словами фахівців, почалася ще у вересні.
Сергій Прокопенко
«Перші дії, спрямовані на підготовку до вторгнення, — це атаки 13−14 січня, які ми охрестили операцією „Конаючий ведмідь“. Кібернапад був спрямований на 22 державні організації, основною його метою була дезінформаційна кампанія. Посил зрозумілий: показати, що Україна не захищена у кіберпросторі», — каже Сергій Прокопенко, керівник управління забезпечення діяльності НКЦК Апарату РНБО України.
За його словами, ворог сприймав це як навчання перед масштабною кібероперацією. Проте росія недооцінила потужність та можливості України — українські фахівці спільно з міжнародними колегами вже мали алгоритм дій на такі випадки. Крім того, запрацювала і спільна група реагування.
За тиждень до вторгенння, розповідає Прокопенко, почалися масові атаки на державний та приватний сектори. Мета цих дій — пошкодження української цифрової інфраструктури, зокрема, супутниковий звʼязок та інші системи комунікації, які використовуються ЗСУ. Утім, українським кіберзахисникам вдавалося грати на випередження та стримувати напади. На перший тиждень агресії припав пік кібератак — цілили в усе, від енергетики до сайтів ЗМІ. Підготовленість України та значні децентралізовані зусилля цифрової спільноти дозволили перейти у контрнаступ у віртуальному просторі вже наприкінці лютого. І виявилося, що системи ворога не настільки добре захищені, як йому здавалося, додає Сергій Прокопенко.
Уже з березня в подіях на кіберфронті була помітна відчутна перевага України. Зокрема, і через фаховість та злагодженість спільноти, а також через технологічні втрати росії, спричинені західними санкціями. Проте Кремль не припиняє інвестувати у дезінформаційні кампанії та пропаганду.
Нині ж, резюмує Прокопенко, Україна переходить до стратегічного планування кібероперацій та навіть кібердипломатії — тісної кооперації із міжнародними партнерами.
Історія одного нападу
Промовистий приклад боротьби у кіберпросторі навів Сергій Галаган, директор з інформаційних технологій НЕК «Укренерго». Ця держкомпанія відповідає за стабільність енергетичної системи України, тому не дивно, що вона потрапила під приціл хакерів.
23 лютого Україна відключилася від російських електромереж для тестування. Це планувалося, щоб випробувати, як українські системи функціонують автономно та у єдиному блоці з Молдовою. Метою була і підготовка до того, щоб Україна приєдналася до європейської системи операторів передачі електроенергії — ENTSO-E. Тому ввечері і вночі цього дня команда «Укренерго» була напоготові.
І недарма. Уже о 23:00 ІТ-спільнота помітила, що окремі українські ІТ-ресурси стали недоступними: почалася масштабна DDoS-атака з боку росії. О першій ночі - за кілька годин до початку вторгнення — кібернапад почався і на «Укренерго». Захисні «стіни» в цифровому просторі — фаєрволи — заблокували майже два мільйони зловмисних запитів до ресурсів компанії.
Ближче до ранку фахівці «Укренерго» почали вручну обмежувати доступ до цифрової інфраструктури для окремих IP-адрес та цілих країн. Загалом, за перші два тижні вручну «забанили» 20 тисяч адрес, ще 100 тисяч відрізав автоматичний фільтр. А вже зранку 24 лютого доступ до кіберресурсів «Укренерго» був відкритий лише для України та членів ENTSO-E.
Сергій Галаган
«За період війни кількість щоденних атак на системи „Укренерго“, порівняно з попереднім періодом, зросла в десятки разів. Основні напади здійснюються двома гравцями — росією та білоруссю. Прикро, але хакери працюють і з території тимчасово окупованих районів Донецької та Луганської областей», — каже Сергій Галаган. За його словами, більшість зловмисників повʼязана із ФСБ, утім є і групи найманих хакерів.
Директор з інформаційних технологій «Укренерго» перелічує кілька важливих висновків з боротьби на кіберфронті:
- завжди бути напоготові щодо ризиків у кіберпросторі — як на рівні інфраструктури, так і на рівні обізнаності й експертизи персоналу;
- покращувати все, що стосується питань кібербезпеки;
- контрольована ізоляція власних ресурсів може бути відповіддю на серйозні атаки — і такий варіант варто включати до стратегічного планування;
- розподіленість та «надмірність» інфраструктури — один із основних факторів стабільності.
Кібербезпека з точки зору бізнесу
Обʼєктами хакерських атак не обовʼязково є державні структури. Навпаки — саме бізнеси по всьому світу найчастіше є жертвами нападів кіберзловмисників. За даними аналітиків Cybersecurity Ventures, кібератаки коштуватимуть компаніями щорічними втратами у 10,5 трильйони доларів у 2025 році — втричі більше, ніж це було ще пʼять років тому.
Приклад однієї з актуальних вразливостей бізнесу і держави навів Юрій Прокопенко, директор з кібербезпеки «Київстар». Ідеться про так звану supply chain attack — напад на організацію через її підрядників. Безпосередньо компанія може бути добре захищеною, утім, її контрактори із доступами до критично важливих систем часто мають нижчий рівень кібербезпеки.
«Готуючись до можливої повномасштабної війни на початку року, ми відстежували різноманітні аномалії за кордоном. Так, ми звернули увагу на атаку одного з європейських операторів, яка повинна була зруйнувати доступ до його сервісів. Це був класичний supply chain, коли використовуються вразливості підрядників. Саме тому ми почали інвестувати в підвищення експертизи в протидії саме цьому виду атак. Вже під час вторгнення ми стикнулися з кількома реальними кейсами. Проте цей заздалегідь опанований досвід дозволив нам не допустити реалізації загроз та витоку персональних даних абонентів», — розповідає Прокопенко.
Він навів дані Агенції з кібербезпеки ЄС ENISA щодо supply chain атак:
- 66% нападів сфокусовані на коді розробника;
- 58% мають на меті отримати критично важливі дані;
- 62% прагнуть використати довірчі відносини між компаніями;
- 62% атак повʼязані із шкідливим програмним забезпеченням.
Юрій Прокопенко радить компаніям, які прагнуть запобігти кібернападам такого типу, підвищити вимоги до захисту підрядних організацій, контролювати проходження ними незалежного аудиту з кібербезпеки, а також шукати можливості надавати підрядникам сервіси для гарантування кіберзахисту.
Юрій Прокопенко
«Ваш периметр безпеки розширюється і на тих, з ким ви співпрацюєте. Тому розглядайте можливості контролювати безпосередньо і те обладнання, на якому працюють ваші підрядники. Це неодмінно зменшить ризики до мінімальних значень», — радить Юрій Прокопенко.
Це були дешеві ботнети, що генерували нетипові запити для наших медіаресурсів, а тому ми легко їх «відрізали» й продовжували працювати.
У свою чергу бізнес/медіа бюро Ekonomika+ найбільше стикається з DDos-атаками. Digital директор видання Олександр Клімашевський каже, що до повномасштабної війни атаки на видання частіше були від фігурантів журналістських розслідувань, які були незадоволеними певними публікаціями: «Це були дешеві ботнети, що генерували нетипові запити для наших медіаресурсів, а тому ми легко їх „відрізали“ й продовжували працювати».
Олександр Клімашевський
А зараз ситуація інакша — йде мова про цілеспрямовані атаки, які постійно змінюють географію. «В перші тижні повномасштабного вторгнення ми бачили атаки з нетипових країн, наприклад, з Індонезії. Звісно ж, ми могли їх легко „обрізати“. Згодом кібер-атакувальники змінили тактику, і пікове навантаження почало надходити із США. Тут вже складніше відключати, бо у нас є постійна аудиторія читачів із Сполучених штатів», — додає Олександр Клімашевський.
Щоб протистояти DDos-атакам видання обмежило зовнішній доступ до внутрішніх редакційних систем, локалізувало атаки за допомогою доступних інструментів для кіберзахисту та намагається прогнозувати можливі напади у майбутньому.
Спільний фронт
Питання кібербезпеки — не те, що можна вирішити одномоментно. Це постійна робота в середовищі, яке постійно змінюється. До того ж, розвиток технологій та проникнення різноманітних сервісів та пристроїв у життя суспільства збільшує і потенційну кількість цифрових загроз.
Лише торік кількість кібератак зросла на третину: за даними звіту Accenture, у 2021-му пересічна компанія зазнавала 270 нападів у цифровому просторі проти 206 у 2020-му.
У розмові Open Talk Club від Kyivstar Business Hub експерти погоджуються, що інвестиції в кібербезпеку — неодмінна частина розвитку і бізнесу, і держави. Зокрема, мова про фахові команди, постійно оновлювану стратегію кібербезпеки, а також підтримку безпекових ініціатив з боку керівництва та залученість його до цих процесів.
«Ми працюємо з трьома основними складовими: люди, процеси та технології. І це мистецтво — знайти правильний баланс щодо вкладень у кібербезпеку між цими елементами. Наш досвід показує, що найголовніше — люди. Якщо інвестувати в експертизу команди, в її фахівців, вони зможуть підтримати і процеси, і технології», — каже директор з кіберзахисту Київстар Юрій Прокопенко.
Не менш важливо в боротьбі з кіберзагрозами використовувати правильні технології. Київстар пропонує комплекс інструментів, які боронять мережеву інфраструктуру, сервіси та хмарні рішення компаній від несанкціонованого доступу та загроз різних типів. Вони розроблені лідерами у сфері інформаційної безпеки Fortinet, Barracuda і Commvault.
А захиститися від DDos-атак компанії можуть також завдяки комплексному рішенню від Київстар — AntiDDos. Цей інструмент забезпечує багаторівневий захист даних та всієї IT-інфраструктури компанії від відомих і невідомих атак.
