Кібератака на державні ресурси України. Що важливо розуміти?
14 січня сталася наймасштабніша за чотири роки кібератака на українські державні ресурси. До чого це призведе і як важливо реагувати?
Подібні кібератаки за останні 5 років стали частиною гібридних війн. І сьогодні це не тільки цікава історія для розмови за пивом з друзями. Це може бути (а може, й ні) тим самим, чим є роздача паспортів, проведення референдумів, або черговий фейк про «розіп'ятого хлопчика» — зброєю сучасності.
По-перше, про Prozorro
Ані система, ані веб-сайт, ані майданчики не були вражені. На щастя питанням інформаційної безпеки ми приділяли багато уваги з самого початку розробки системи. І на рівні процесів, і на рівні інтеграції безпеки в процес розробки. До того ж з 2020 року у нас діє постійна програма баг-баунті (це коли «хакери» шукають вразливості за гроші), що дозволяє доволі оперативно знаходити та закривати «дірки».
По-друге, про атаку. Суб'єктивна оцінка
Атака схожа на класичний «активний захід». Мета таких дій завжди не стільки заподіяти шкоди, скільки посіяти хаос, недовіру, «туман війни». Про подібні історії раджу прочитати книгу Active Measures Томаса Ріда.
Основний ресурс, що було атаковано — це довіра, впевненість. Довіра партнерів, довіра громадян до держави, довіра один до одного. Думаю, основна мета саме цієї атаки не у викрадені даних, не у зупинці роботи систем, а саме у сіянні паніки та недовіри.
Звідси витікає два важливі наслідки:
1. Не варто недооцінювати загрозу, вважати, що це «учбова тривога», або «невеликі проблеми». Хоча персональні дані, як заявлено, не втрачені, системи працюють нормально, та й сама атака сильно простіша у порівнянні із NotPetya, інцидент може бути частиною набагато більш комплексних і ворожих стратегій.
2. Атакована довіра — надзвичайно важливий і крихкий ресурс. І його не надто вдосталь в Україні. Довіру треба захищати та підтримувати. І тут не можна не згадати про важливість щоденних та відкритих комунікацій, і такого ж відкритого визнання помилок.
По-третє, про причини
Стан державних ІТ-систем — предмет окремої дискусії, але коротко: як і скрізь. Застаріла інфраструктура, брак фінансування, брак персоналу (через брак фінансування), брак стратегічного бачення. Як наслідок — переважну більшість ІТ-систем держава підтримує не сама, а віддає на аутсорсинг (про одну з проблем такого підходу писав тут).
В Україні до розвитку ІТ-систем ставляться як до будівництва: заплатили 90% коштів за «розробку» і потім трошки платимо «квартплату» — підтримку. І якість підтримки перевіряємо, як якість комунальних послуг: працює — значить все ок.
Основний ресурс, що було атаковано — це довіра, впевненість
Біда ж у тому, що ІТ-система — це не будинок. Це скоріше перманентне будівництво. Квартира, в якій ви змінюєте планування щорічно, рухаєте стіни і продовжуєте жити в ній. І розробка триває постійно. А підтримка — це постійне перекладання електрики, зміна систем опалення, оновлення вентиляції. Тому навіть віддаючи підтримку на аутсорс, доведеться не просто платити значущі суми, а чітко описувати рівень якості цієї підтримки, перелік процесів і все це контролювати. А це вимагає наявності персоналу, який може це зробити кваліфіковано. На аутсорсинг можна віддати функцію, і не можна віддати відповідальність.
По-четверте. Які висновки?
Україна є об'єктом «активних заходів», що будуть сіяти паніку та тривогу. Необхідно будувати та підтримувати довіру.
Кібератаки будуть продовжуватися та будуть мати на меті не тільки вебсайти, а й зупинку сервісів, персональних даних тощо.
Систему характеризують не помилки — а реакція на помилки. В цілому вважаю, що сьогодні Україна продемонструвала певний прогрес: суть вразливості, дії держави — прокомуніковані. Але тепер питання, чи будуть зроблені більш глобальні висновки.
Подальший безпечний розвиток ІТ-систем неможливий без комплексного підходу: не тільки до інформаційної безпеки, а і ширше — до питання того, хто володіє та має знання про критичні ІТ-системи. Як налаштовані і які процеси. В цій трансформації не так багато «швидких перемог», але це як фундамент — без цього годі сподіватися на захищеність.
Ну і наостанок — добре, що є Prozorro — побачимо, як будуть наші гроші витрачатися на нашу безпеку.
