Кібергігієна та подробиці атаки на “Київстар” від експерта з кібербезпеки

Кібергігієна та подробиці атаки на “Київстар” від експерта з кібербезпеки
Посилання скопійовано
Ввечері 13 грудня “Київстар” розпочав відновлювати мобільний зв'язок.
Кібергігієна та подробиці атаки на “Київстар” від експерта з кібербезпеки

Впродовж 14 грудня компанія планує відновити передачу даних та SMS. За попередньою інформацією, протягом дня мають повернути фіксований Інтернет для домогосподарств та мобільний зв’язок з Інтернетом. У компанії попереджають, що відновлення послуг відбуватиметься поступово, тому ще можливі короткочасні складнощі. 

Нагадаємо, 12 грудня мобільний оператор “Київстар” потрапив під потужну кібератаку. Компанія заявила, що IT-інфраструктура частково зруйнована. Вчора, 13 грудня, відповідальність на себе за цю атаку взяло хакерське угруповання “Солнцепек”. СБУ вже відкрило 8 кримінальних справ, зокрема йдеться про диверсію. 

Про подробиці кібератаки на одного з найбільших операторів України та реальні збитки від хакерської атаки в ексклюзивному інтерв'ю для “FM Галичина” розповів експерт з кібербезпеки Костянтин Корсун

Стало відомо, що атака на "Київстар", ймовірно, сталась через акаунт одного зі співробітників. Як таке могло статись і чому?

Насправді для подібного класу атак це досить типовий метод, тому що він найпростіший. За допомогою "своєї людини" проникнути всередину мережі значно легше, ніж технічними каналами. Для того, щоб реалізувати негативний сценарій, зловмиснику потрібно проникнути всередину системи організації. Для цього в соцмережах шукають тих, хто працює в тій чи іншій організації, потім знаходять імейли, контакти та месенджери, вивчають всі ці дані, і дізнаються, чи може ця людина таке “прокрутити”. Ми часто недооцінюємо важливість кібербезпеки. Тобто шукають потенційно вразливу жертву, засилають лінки, або ж іншими способами виманюють інформацію. Найважливіше – отримати паролі, доступ до електронної пошти, корпоративні дані і пів роботи зроблено. Жертву можуть як обманути, так і просто "купити". Зазвичай всі ці проблеми від ненадійних паролів, які й допомагають зробити "витік" інформації. Це називається скомпрометований акаунт, і через нього вже заходять в корпоративну внутрішню мережу. Вона складна, багатошарова, і поступово від меншої безпеки до більшої доходять аж до серцевини, ядра, серця всієї цієї системи. Ну а наслідки ми вже всі побачили. 

Наскільки цей збій був серйозним ударом для цієї мережі? Скільки часу може піти на відновлення "Київстару"? 

"Київстар" почав відновлювати свою роботу впродовж двох діб. А ось навесні 2022-го року якісь невідомі проукраїнські хакери "поклали" російську платформу для хостингу RUTUBE, і сценарій там був схожим. Тобто була знищена вся інфраструктура і бекапи. Ця платформа відновлювалася кілька місяців. Тоді ж, навесні 2022-го, "Росавіація" після аналогічної за наслідками атаки була змушена перейти на паперовий документообіг. І відновлювалася також місяців три-чотири. Це говорить про те, що ми до таких атак готувались, аби якнайшвидше відновити свою роботу. 

Я досить спокійно до цього ставлюся, як і більшість людей, з якими спілкуюся, тому що наразі у нас є й інші оператори, супутниковий інтернет, тобто певні альтернативи. Хоча росіяни намагалися "покласти" усі мобільні оператори, усі провайдери, усі телекомкомпанії на початку повномасштабного вторгнення. Пригадаймо осінь 2022-го, рівно рік тому ми усі сиділи без світла, також не було ані зв'язку, ані інтернету. Все було без електрики і без світла, тому що базові вишки не працювали через російські атаки. Тоді ми вистояли, витерпіли, а зараз всього лише один оператор мобільного зв'язку "накрився", та й лише на дві доби. Тому я вважаю, що ця історія – це певний досвід, а такого досвіду у нас вже багато. Провайдери й оператори компанії "Київстар" дуже серйозно ставляться до кібербезпеки, тому після цієї історії це буде найзахищеніший провайдер.

Національний банк України закликав українські банки посилити свою кібербезпеку. Це певні застереження і попередження чи Національний банк щось знає? Можливо потрібно вивести гроші в готівку, бо банківські рахунки стали небезпечними?

Порада Нацбанку – не “страшилка”, а очевидність, яка лежить на поверхні

Наразі деякі банкомати не працюють. Вчора я хотів зняти готівку в одному відомому банку – у мене не вийшло. Порада Нацбанку є абсолютно очевидною. Зміст у тому, що банкомати зазвичай підключені до мобільного трафіку, бо це зручніше і вигідніше. Але коли "лягає" один провайдер, це проблема, бо вони заточені, на жаль, під одного провайдера. Тобто не можна взяти одну сім-карту, вийняти і вставити іншу. Ця порада лежить на поверхні. Банки і самі все це зрозуміли в перший же день проблем з "Київстаром". Треба передбачити резервний канал з метою безпеки. Якщо провайдер "впаде", наприклад, в датацентр прилетить ракета, то має бути можливість підключитися до іншого провайдера. Тому цю пораду не можна трактувати як щось страшне і те, що має викликати паніку. Вона проста, примітивна і очевидна.

Чи можна вважати, що за допомогою "Київстару" ворог "промацує" ситуацію з вимкненими, атаками і дестабілізацією в суспільстві? На що здатен ворог і як далеко він може зайти?

"Промацування" почалося ще з 2014-го року, офіційним відліком більшість експертів вважають саме травень 2014-го. І, відповідно, з цього часу воно й триває. "Промацування" не припиняється ні на день, включно з святами і вихідними. А потрібно їм це для того, аби знайти слабкі місця і вдарити в найбільш незручний для нас момент. Такий момент стався  24-го лютого 2022-го року і наступні декілька тижнів після повномасштабного вторгнення. Проте їхній задум не досяг успіху завдяки тому, що у нас немає централізованого державного керівництва з операторами зв'язку, особливо інтернет-сервіс з провайдерами. І хоч держава давно намагається взяти це під свій контроль, цим компаніям вдається “відбиватись”. Тому ця розвідка – не справа сьогодення, вона триває десятиліттями. Я б навіть сказав, з моменту проголошення нашої незалежності. 

Українські фахівці атакували російську податкову, і досить серйозно. Ви назвали й інші кейси, коли наші атаки на російські органи влади були успішними. Наскільки, за вашою оцінкою, сильний чи слабкий російський кіберзахист? 

Кібербезпека у Росії зазвичай “декоративна” або взагалі відсутня

В цілому, вони слабкі, але й Україна теж не дуже сильна у цьому. Росіяни дуже ретельно готувалися до нападу, формували команди, різні спецслужби присутні ледь не в кожній державній установі. Ось і вони готувалися, але повністю забули про кіберзахист. Тому в них безліч вразливих місць, причому в деяких дуже поважних державних установах кіберзахист або “декоративний”, або його взагалі немає. Цим користуються численні проукраїнські хакерські групи.

Всі ми цифровізовані. Практично кожен зареєстрований у соцмережах чи в інших провайдерах. Що можна зробити, аби убезпечити себе і подбати про свій кіберзахист? 

Можливо, якщо людина працює в ГУР, то їй потрібно блокувати профіль у Facebook, для всіх інших такої потреби немає. Але навіщо тоді створювати акаунт? 

А стосовно практичних порад, то правила кібергігієни прості й очевидні. Не відкривайте лінки, які вам надіслали чужі й незнайомі контакти. Не відкривайте навіть від знайомих те, що виглядає підозріло. Передзвоніть людині, уточніть в інших месенджерах, чи це справді вона вам надіслала. Поставте двоетапну перевірку даних на вхід у ваші соцмережі, тоді якщо хтось чужий захоче увійти на ваш профіль, вам прийде сповіщення і ви зможете вказати, що це – не ви. Паролі мають бути не примітивними, а складними і нелогічними. 

Випадок з "Київстаром" показав, що багато людей не можуть зайти в онлайн банкінг, тому що їм на не надходить повідомлення про вхід. Використовуйте символи і англійською, і українською. Надійні паролі закривають проблеми із зломом акаунтів на 95%. Завжди оновлюйте додатки, оновлюйте операційну систему, як тільки виходять нові оновлення. Розробники багато працюють над виявленням вразливості, саме тому постійно вдосконалюють систему. Не завантажуйте додатки, які вам не потрібні. Чим більше у вас на телефоні додатків, тим більший ризик, що вас можуть "хакнути". 

Редакція не завжди поділяє думки, висловлені спікерами. 

Читайте також: Ми не можемо бути готовим нових хакерських атак, – Ступак