Кібератаки на держустанови: Україна не готова до загроз
29 грудня 2016 р."Привіт, друже. Ми знову тут. Битва почалася, але до кінця війни ще далеко… " Такими словами зранку 6 грудня зустрічав відвідувачів веб-сайт Державного казначейства України. Йдеться про цитату з американського телесеріалу "Mr.Robot" - історії про групу хакерів, що веде боротьбу проти могутньої фінансової корпорації.
Та ексцентрична витівка з підміною головної сторінки сайту виявилась лише обгорткою наймасштабнішої хакерської атаки на фінансову систему України, яка тривала близько трьох діб. Головним об’єктом її стали системи платежів казначейства, про перешкоди в роботі заявили також у пенсійному фонді та міністерстві фінансів. За інформацією DW, ще кілька установ, зокрема й два комерційних банки, також піддалися нападу, але вирішили не афішувати свої втрати.
За кілька днів міністерство фінансів заявило про відбиття нападу. Однак виявилось, що це тільки початок. Упродовж наступних днів об’єктами хакерських атак ставили інформаційні системи міністерств оборони та інфраструктури, Укрзалізниці, морського порту Южний та НАК "Укренерго".
"Нам відомо про щонайменше 25 інцидентів хакерських атак на державні установи впродовж останніх трьох тижнів, - розповів DW керівник департаменту кіберполіції Сергій Демедюк, - Проте офіційно ми розслідуємо тільки чотири: мінфін, Держказначейство, Укрзалізницю та порт Южний. Інші постраждалі до нас не звертаються або не заявляють про атаки публічно".
Тисячі платежів, сотні вагонів та райони без світла
DW намагалася прорахувати результати грудневих атак на державні інформаційні системи, але більшість постраждалих установ не поспішають розголошувати свої втрати. На запити редакції досі так і не надійшло відповіді, зокрема, від міністерства оборони та міністерства фінансів - виявилось, що поштові сервери останнього і досі не працюють.
У прес-службі "Укрзалізниці" DW розповіли, що через атаку хакерів упродовж двох діб не працювали системи електронного документообігу, а саме - система оформлення вантажів, а також система бронювання та продажу електронних квитків. Внаслідок хакерської атаки на енергетичні системи відбувся збій на підстанції "Північна" - без світла опинились мешканці правобережного Києва й сусідніх районів області. На щастя, наслідки хакерської атаки вдалося ліквідувати трохи більше ніж за годину. Генеральний директор компанії "Укренерго" Всеволод Ковальчук оцінив обсяг відключення у 200 мегават, або приблизно у п’яту частину від нічного обсягу споживання столиці.
Платіжні системи Держказначейства не працювали впродовж як мінімум трьох робочих днів, що, як оцінюють експерти, практично паралізувало всю систему бюджетних розрахунків. "Митні платежі підвисали. Гроші списувалися з рахунків Державної фіскальної служби, звідти до бюджету, і все - тиша, нічого не зрозуміло, - пояснювала тоді в коментарі виданню "РБК-Україна" віце-президент Українського союзу промисловців і підприємців Юлія Дроговоз. - У системі електронного адміністрування ПДВ не було зареєстровано жодної накладної. А якщо вчасно цього не зробити - штраф".
Та найбільшої шкоди мініфін та Держказначейство могло зазнати через вкрадення інформації, вважає заступник директора Національного інституту стратегічних досліджень при президентові України Олександр Власюк. За його словами, під час атаки установи втратили три терабайти конфіденційних даних. У відомствах не підтверджують слова Власюка, а керівник кіберполіції Сергій Демедюк взагалі заперечує імовірність витоків. "Ми не знайшли жодних слідів викрадення якихось реєстрів", - заяви він DW.
Слідство ведуть
Керівництво української держави вбачає у грудневих атаках "руку Кремля", називаючи їх ще одним елементом гібридної війни. Подібні заяви у розпал атак пролунали, зокрема, від секретаря РНБО Олександра Турчинова й міністра інфраструктури Володимира Омеляна.
Однак постраждалі називають й інші версії. Наприклад, генеральний директор Укрзалізниці Войцех Бальчун, пов’язував атаки на ресурси компанії зі спробами впровадити електрону систему розподілу порожніх вагонів та протидією цим планам з боку "конкретних осіб, очевидно афілійованих з чиновниками з високих владних кабінетів".
"Звісно, постраждалі можуть робити будь-які припущення, а політики - гучні заяви, - говорить Сергій Демедюк, - Але зараз я можу заявити, що всі останні відомі нам атаки мають спільні риси, спільний шлях зараження комп’ютерних систем через доволі примітивний вірус та елементарну неграмотність співробітників".
За словами Демедюка, над розслідуванням останніх атак майже цілодобово працює група з 20 спецагентів кіберполіції - так званих "білих хакерів", які прийшли на службу після реформи департаменту. До того ж, слідчі співпрацюють із спеціалістами Держслужби спецзв’язку та захисту інформації та приватними фахівцями.
Як розповіли DW у компанії CYS-Centrum, одному з двох офіційно акредитованих в Україні центрів реагування на комп’ютерні надзвичайні події (CERT), ймовірно жертви грудневих атак були заражені ще навесні-влітку цього року. В жовтні користувачі в кількох атакованих організаціях отримали електронні листи начебто від координаторів програм західної донорської допомоги. Лист містив файл Microsoft Excel з переліком рекомендованого IT-обладнання, однак для коректного відображення вмісту, користувачу пропонувалось запустити так званий макрос - вбудовану макрокоманду, яка самостійно скачувала на комп’ютер вірус з мережі. Після того він запускався вже дистанційно.
"Віруси в макросах - досить примітивний, старий спосіб зараження, - пояснюють у CYS-Centrum, - Але в нас на нього досі ловляться. За подібною схемою була організована й минулорічна атаки на об’єкти Прикарапаттяобленерго, в результаті за рік ніхто нічому не навчився".
Як протидіяти
8 грудня одразу ж після завершення атаки на фінансові установи уряд України виділив по 40 мільйонів гривень міністерству фінансів та Держказанчейству на термінове оновлення ІТ-обладнання. В CYS-Centrum звертають увагу, що зазначений у розпорядженні уряду перелік техніки фактично збігається із переліком, надісланим раніше у зараженому файлі Microsoft Excel.
Опитані DW експерти зазначають, що самою лише заміною "заліза" проблему захисту інформаційних ресурсів держави не вирішити. "Потрібно підвищувати грамотність держслужбовців, наймати якісних спеціалістів з безпеки за ринкові зарплати, які б постійно вдосконалювали знання і врешті решт попереджали б атаки, а не виправляли їх наслідки", - пояснює голова кіберполіції Сергій Демедюк.
Та у CYS-Centrum, компанії, заснованій колишніми співробітниками Держслужби спецзв’язку та захисту інформації, констатують, що важливість попередження кібератак не розуміють навіть у приватному секторі. "З точки зору витрат наша робота коштує 36 тисяч доларів на рік. Але навіть українським банкам зараз важко платити і 20 тисяч на рік", - пояснюють у компанії.
В одній з установ, що постраждала під час останніх атак, у розмові з DW ситуацію прокоментували так: "Ми прорахували, нам простіше просто на кілька днів вимкнути системи, ніж наймати спеціалістів".