Уроки кібератаки: як уникнути повторення?
Олександр Дмітрієв "ТИХОХОД", автор і кервник проєкту "Очі"
Чому в Європі та інших розвинутих країнах не відбувається така швидка цифровізація державних послуг, до якої ми звикли в Україні? Це не тому, що там не вміють писати програми чи не можуть побудувати бізнес-процеси, — вони це ефективно роблять і вчать цього весь світ. Ця “повільність” передусім тому, що вони висувають на перший план питання безпеки, забезпечення надійного захисту інформації та систем, в яких вона оброблюється, щоб не допустити втрати даних, зупинки процесів, а головне, захистити своїх громадян, диверсифікувати ризики.
В нашому випадку відповідні ризики були певною мірою недооцінені, про що свідчать злам Дії спецслужбами росії у січні 2022 року і злив персональних даних 13 мільйонів користувачів цього ресурсу (даний факт розслідується чомусь ФБР США, а не українськими спецслужбами). На жаль, факт успішності останньої кібератаки на державні реєстри Мін'юсту засвідчив, що висновків і уроків з 2022 року зроблено не було. Весь цей час, вже впродовж “великої війни”, замість зосередження на питаннях захисту наявних державних інформаційних ресурсів (першочергово тих, де обробляються дані громадян, зокрема військовозобов’язаних, чинних військовослужбовців, працівників правоохоронних органів), відбувається “шалена цифровізація”. Одна за одною, під гаслами “зручності”, “боротьбою з корупцією” зʼявляються все нові цифрові послуги для населення, які створюють додаткові точки входу до дих тих чи інших державних реєстрів, баз даних, все більше і більше концентрують інформацію щодо різноманітних аспектів життедільності громадян... Чи справді ця глобальна і шалена цифровізація є настільки важливою для держви, населення під час війни ?
За твердженням СБУ, до атаки на реєстри Мін'юсту знову причетні спецслужби росії. Якщо хвалькуваті повідомлення проросійського хакерського угруповання у Телеграм відповідають дійсності, то ця атака - явно був довгий процес. Адже заявлений ними обсяг начебто викрадених з реєстрів даних у 700 терабайт, неможливо непомітно викачати ані за хвилину, годину, чи добу. Тобто скоріше за все хакери тривалий час сиділи в системах Мін'юсту. На жаль, вже є сумний жарт, що в разі підтвердження знищення баз, можливо доведеться шукати ці дані у Даркнеті. Наскільки повідомляється, захищені частини систем Мін'юсту зламані не були, копії баз даних збереглися. Але факт залишається фактом, ситуація – навіть не колапс, а справжня катастрофа. По-перше, зупинені всі дії, пов'язані з обігом, реєстрацією, починаючи від банальних купівлі-продажу, з якого отримуються податки, в тому числі військовий збір. Закінчуючи тим, що люди банально не можуть ні спадщину оформити, ні доручення, щоб там щось зробити, ну і таке інше. Тобто, заблоковано цілий величезний сегмент економіки, який надає надходження в бюджет, а громадяни по суті не можуть розпоряджатися власним майном та ризикують стати об’єктом шахрайських дій.
Варто розуміти: систем, які неможливо зламати, не існує. Будь-яку можна пошкодити, порушити її комунікацію чи вплинути на роботу. Безпека — це не те, що роблять в оснащених “за всі гроші світу” “ситуаційних центрах”, побудованих “за стандартами НАТО”. Десятки чи сотні модернових кіберцентрів, збір даних про злами з мільярда джерел в одному місці та інші масштабні дії — принципово нічого не змінюють, якщо культура кібербезпеки на загальнодержавному та національному рівнях або відсутня, або ігнорується (до речі, причини свідомого ігнорування принципів кібербезпеки мали б зацікавити контррозвідку). Безпека — це не стан, а постійний, динамічний процес, який має починатися, щойно виникає ідея автоматизувати (цифровізувати) якийсь процес. Тобто, ще на етапі ідеї, думаючи про “зручності”, необхідно паралельно думати й про безпеку! При проєктуванні системи необхідно відпрацьовувати як усі можливі моделі загроз, так і плани реагування на будь-які негативні сценарії, насамперед з метою забезпечення безперервності процесу. Ці моменти мають бути відразу закладені в архітектуру системи.
Загальновідомо, що безпека завжди суперечить зручності. Це не означає, що безпечна система завжди незручна, але це факт: збільшення рівня безпеки однозначно може зменшити зручність — юзабіліті. Тому має бути здоровий баланс безпека/юзабіліті. І якщо безпека не дозволяє досягнути бажаного рівня юзабіліті, то перевагу потрібно надавати безпеці!
В історії з реєстрами, як вбачається, було порушено одне з основних правил: наявність багаторівневого, ешелонованого захисту, який унеможливлює ситуацію, коли хтось зайшов у середину і може робити все, що завгодно. Як було попередньо повідомлено, зловмисники, які дібралися до систем Мін'юсту, здійснили це начебто через компрометацію облікового запису легального користувача. Як вони до нього дісталися - ще з'ясовується, але в результаті - змогли видалити дані з багатьох різних реєстрів. Сама по собі можливість видалення даних в державному реєстрі по команді якогось супер-користувача (адміна) взагалі є дуже дивною. Адже дані в реєстрах мають деактуалізуватися, тобто позначатися як застарілі, і не видалятися за будь-якою командою. При цьому дані були видалені в різних, не повязаних між собою реєстрах. Це дозволяє робити припущення щодо наявності якогось такого собі мега-привілейованого адміна/користувача (або якусь певну кількість таких користувачів) із настільки привілейованим доступом, що дозволяє проводити будь-які дії, так ще і з даними в різних реєстрах! І взагалі, як стало можливим, що багато різних реєстрів були обʼєднані під “однією парасолькою” ? Умовно кажучи, реєстри, - це великий сейф (на жаль, це не депозитні комірки в різних місцях, все складено в одному місці). І ключі до цього сейфу є у директора банку, касира, та охоронця. Так от, привілейовані користувачі можуть зайти, взяти інформацію, змінити. Багато-багато сервісів зараз на цьому базується, що там можна і шлюб укласти, і машину продати, і багато іншого, що пов'язане зі зміною даних в цих реєстрах.
Можливо, це все наслідок помилок на стадії проєктування і провадження системи реєстрів, а, ймовірніше, — наслідок безглуздої гонитви за примарними “зручностями” в умовах “шаленої цифровізації”, коли вимоги безпеки та крашестійкості відсувалися на другий план в угоду “юзабіліті”. Розробники й адміни виконували те завдання, яке їм визначили, їхня експертиза зовсім не в аналізі всіх потенційних загроз і не у визначенні моделей загроз та в розробці планів відновлення. Але поруч з ними мали б бути фахівці з кібербезпеки, які мали контролювати як тих, хто готував технічне завдання на створення системи, так і його виконання. І у цих фахівців мали б бути відповідні повноваження, а також своєрідний захист від команд керівництва “не заважати прогресу” …
Неврахування безпекових моментів на загальнодержавному рівні під час швидкої цифровізації створює величезні ризики. Про це і я говорив раніше, а також багато експертів з кібербезпеки. Централізація потоків даних, без належного захисту інформації та без диверсифікації для підвищення стійкості — це все спричинило дуже серйозні проблеми. Це можна порівняти зі зберіганням боєприпасів, адже інформація — це зброя. Володіння нею відкриває шлях до використання в будь-який спосіб: від примітивних шахрайських схем, як псевдокредити, до використання цілих ланцюгів взаємозв’язків між людьми, установами та підприємствами для завдавання нам більшої шкоди. Ми зараз у стані війни, і військові добре розуміють, що таке розосередження. Коли особовий склад, склади, техніка та зброя розподіляються по різних точках, ворогу стає економічно невигідно завдавати ударів. Грубо кажучи, запускати ракету по одному контейнеру — це все одно, що стріляти з гармати по горобцях. Такий самий підхід має бути й щодо інформації.
Я не є противником прогресу. Мені дуже зручно користуватися електронними сервісами. Але прогрес має бути поступовим, еволюційним. Це повинен бути продуманий продукт і крашестійка система. В тій системі, що робимо ми, кібербезпека — це люди, які постійно аналізують логіку. І будь-яка аномалія сприймається, в першу чергу, як проблема. Це дає свій результат – ми ефективно виявляємо і вчасно нейтралізуємо загрози. Ми вибудовуємо усі процеси з самого початку, ретельно прогнозуючи усі можливі загрози, усі процеси розбудови системи контролюються фахівцями з кібербезпеки.
В європейських країнах певні процедури досить бюрократизовані та займають багато часу не тому, що там люди не хочуть працювати чи не хочуть зручних сервісів, а тому, що вони розуміють: найважливіше — це забезпечити стійкість і захист інформації, захист процесів. Без захисту все інше не має жодного сенсу. Це правило номер один для всіх військових систем, для військового управління: як тільки ти не контролюєш місце, де зберігається інформація, це вже не військова система управління, а просто допоміжний зручний інструмент. Уявіть, що вся інформація про підрозділ, про лінію зіткнення, глибину, підрозділи, сили і засоби знаходиться в хмарі. І раптом, з якихось причин — а це постійно трапляється у бригад чи КСП — втрачається зв'язок. Все, ми не можемо воювати. У нас немає даних ні про нас, ні про ворога. Дехто кричить: “Паперові карти — це погано”. Анітрохи це не погано, це навпаки, супер зручна історія! Хай це буде навіть карта, яка є у тебе на комп'ютері, завантажена і готова до використання, без потреби стукатися в інтернет. Інформація на мапі про свої сили та про ворога має бути завжди у командира, навіть якщо нема зв’язку.
При побудові системи надважливо перш за все проаналізувати можливі загрози. На жаль, тих фахівців, які вказували на загрози, — їх не слухали, бо це ж “олдскул”, як багато хто каже. Я часто використовую вислів, що зараз в нас у військових технологіях йде боротьба “стартапів” зі “старперами”. Але “старпери” — не в поганому сенсі, а навпаки, бо з деяких відомств складається враження, що змішали ясла, підготовчу групу і початкові класи разом, а жоден дорослий не прийшов. І процеси у нас йдуть на рівні “давайте-ка ми замутимо таку штуковину, нам потрібен піар!!!” І все, пішов піар, штуковину замутили, коефіцієнти ніхто не прораховував, технічних завдань не ставили, захисту інформації немає, але всі кажуть — це прямо вау! Тут ще така історія, як багато хто жартує з досвідчених олдскулів: “Немає ТЗ — результат ХЗ”. Бо, по-перше, не зрозуміло, кому це потрібно, і це робиться просто тому, що це класно. Налаштування рівнів доступу, пропрацювання всіх процесів, можливостей — це важка праця, яку потрібно враховувати. Потім у нас є проблема з аутентифікацією, або аутентифікатори крадуть і влазять до систем. Або навпаки, ми втрачаємо контроль над цими реєстрами, і в нас проіндентифікували всіх людей, отримали кредити, майно попереписували — просто створили хаос. Вірю в наших захисників кіберпростору, які зроблять все можливе, щоб цього в майбутньому не сталось.
На жаль, вся теперішня цифрова зручність побудована на безвідповідальному ставленні до безпеки. І ця зручність, або, як дехто каже “сексі”, зараз поширюється на військові системи, створюючи майже ті самі проблеми, тільки в набагато гірших масштабах. Ухвалено декілька законодавчих та нормативних актів, які послаблюють вимоги до захисту інформації в комплексних системах. З’явився термін "декларування комплексної системи захисту інформації". Тобто замість посилення вимог до захисту, їх знижують до рівня декларації. Захист інформації на папері виглядає як текст на десяти сторінках: “управління доступом реалізовано”, і підписує це одна людина. Жодних перевірок, жодних тестувань на зовнішній вплив. Звісно, формально все “захищено”, та уявіть собі, наскільки це небезпечно реально. А все це робиться через зміну постанов, внесення поправок до законів. Наприклад, замість вимог до комплексного захисту інформації використовується декларативний підхід – я вважаю, що система захищена тому що … «я так вважаю!». Там зазначено стандартні профілі безпеки, які відповідають стандарту для цивільних систем захисту, умовно, для супермаркету, а не для критичних чи військових систем під час війни.
З іншого боку, паралельно із послабленням вимог до безпеки військових систем, спостерігається тенденція нав’язливого запихування усіх потоків військової інформації у єдине середовище та автоматизація усіх управлінських процесів в рамках єдиної системи (під однією парасалькою), без диверсифікації ризиків… Ми ламаємо та використовуємо бази ворогів для нанесення їм ураження. Уявіть тепер, наскільки зараз у них збільшилися можливості в цій сфері. Там, де ми могли б здобути перевагу завдяки обміну даними, ми фактично даємо перевагу ворогу. Ми самі збираємо, концентруємо інформацію в одному місці, в одній системі, а потім, не забезпечуючи належного захисту, фактично даруємо її противнику. Навіщо ворогу мати розвідку, якщо йому буде достатньо мати тільки хакерів та наших корисних “фахівців”?
Функція будь-якої держави – захищати інтереси своїх громадян і вживати для цього усіх необхідних заходів. Необхідно не зволікаючи модернізувати закони для посилення кібербезпеки та розповсюджувати, навіть насаджувати культуру кібербезпеки. При цьому, мають бути скасовані як застаріли норми так і ті, які полегшують впровадження незахищених систем на кшталт “це ж так потрібно, це ж так зручно”, але при цьому зменшують вимоги до кібербезпеки, так запровадження підходу обов’язкової диверсифікації ризиків. Якщо цього не зробити, ми отримаємо невдовзі ще більше проблем. Люде вже гинуть, коли ці системи де концентрується забагато інформації ламають і відбуваються контрзаходи ворога, і аргументи “Винні не ми, а вороги” — неприйнятні. Ми також маємо забезпечити легкий та охоплюючий усі сфери обмін інформацією щодо кіберзагроз і кіберінцидентів. Усі хто виконує відповідні обов’язки чи хоче захищати свої системи, могли б дотягнутися до необхідної інформації і заздалегідь попереджалися про реальні і потенційні загрози. Бажано щоб до розробки та впровадження законодавчих новацій якомога ширше залучалися різноманітні фахівці, щоб на належному рівні був налагоджений діалог між законотворцями – державою і кіберіндустрією, у рамках державно-приватного партнерства.
Кібербезпека — це фортифікація даних. І це зовсім не про теорію, це на 100% про розуміння теперішніх реалій, і вміння на них впливати. Це багато нудної та дрібної роботи, і це вкрай невдячна праця, тому що багато хто буде нею незадоволений. Не можу зрозуміти цього перегину, коли ми вимагаємо зводити фортифікації на бойових позиціях та одночасно послаблюємо захист інформації, яка має набагато більший коефіцієнт впливу на ці ж самі позиції. Цю проблему необхідно негайно вирішувати, бо наслідки можуть бути катастрофічними. Хайп не виграє війну!