Уроки з кібератак: як не допустити їх повторення?

Олександр Дмітрієв, творець і лідер ініціативи "Очі", відомий під псевдонімом "ТИХОХОД".

Чому в Європі та інших розвинених країнах цифровізація державних послуг не відбувається так швидко, як ми спостерігаємо в Україні? Це не пов'язано з тим, що там не здатні розробляти програмне забезпечення чи організовувати бізнес-процеси – насправді, вони роблять це дуже успішно і діляться своїм досвідом з усім світом. Основна причина їхньої "повільності" полягає в тому, що вони ставлять акцент на питаннях безпеки, надійного захисту даних і систем, у яких вони обробляються. Це дозволяє уникнути втрати інформації, збоїв у роботі, а також забезпечити захист своїх громадян і зменшити ризики.

У нашій ситуації ризики виявилися значною мірою недооціненими, про що свідчить злом платформи "Дія" російськими спецслужбами в січні 2022 року, а також витік персональних даних 13 мільйонів користувачів цього ресурсу. Цей інцидент, чомусь, розслідує ФБР США, а не українські правоохоронці. На жаль, успішна кібератака на державні реєстри Міністерства юстиції продемонструвала, що висновки з подій 2022 року так і не були зроблені. Протягом усієї "великої війни" замість того, щоб зосередитися на захисті існуючих державних інформаційних ресурсів — особливо тих, де обробляються дані громадян, військовозобов'язаних, чинних військовослужбовців і працівників правоохоронних органів — спостерігаємо активну "цифровізацію". Під виглядом "зручності" та "боротьби з корупцією" з'являються нові цифрові послуги, які створюють додаткові точки доступу до різних державних реєстрів і баз даних, все більше зосереджуючи інформацію про різні аспекти життя громадян. Чи дійсно ця бурхлива цифровізація є настільки критично важливою для держави та населення під час війни?

За твердженням СБУ, до атаки на реєстри Мін'юсту знову причетні спецслужби росії. Якщо хвалькуваті повідомлення проросійського хакерського угруповання у Телеграм відповідають дійсності, то ця атака - явно був довгий процес. Адже заявлений ними обсяг начебто викрадених з реєстрів даних у 700 терабайт, неможливо непомітно викачати ані за хвилину, годину, чи добу. Тобто скоріше за все хакери тривалий час сиділи в системах Мін'юсту. На жаль, вже є сумний жарт, що в разі підтвердження знищення баз, можливо доведеться шукати ці дані у Даркнеті. Наскільки повідомляється, захищені частини систем Мін'юсту зламані не були, копії баз даних збереглися. Але факт залишається фактом, ситуація - навіть не колапс, а справжня катастрофа. По-перше, зупинені всі дії, пов'язані з обігом, реєстрацією, починаючи від банальних купівлі-продажу, з якого отримуються податки, в тому числі військовий збір. Закінчуючи тим, що люди банально не можуть ні спадщину оформити, ні доручення, щоб там щось зробити, ну і таке інше. Тобто, заблоковано цілий величезний сегмент економіки, який надає надходження в бюджет, а громадяни по суті не можуть розпоряджатися власним майном та ризикують стати об'єктом шахрайських дій.

Важливо усвідомлювати: не існує систем, які неможливо зламати. Будь-яка система піддається атакам, її можна пошкодити, порушити взаємозв'язки або вплинути на її функціонування. Безпека — це не лише діяльність, яку здійснюють в дорогих "ситуаційних центрах", зведених за "стандартами НАТО". Навіть якщо сотні сучасних кіберцентров об'єднають дані про злами з мільярдів джерел, це не матиме значення, якщо культура кібербезпеки на рівні держави та суспільства або відсутня, або ігнорується (цікаво, що причини такого ігнорування мали б зацікавити контррозвідку). Безпека — це не статичний стан, а постійний і динамічний процес, який має починатися ще на етапі ідеї автоматизації (цифровізації) будь-якого процесу. Іншими словами, міркуючи про "зручності", слід відразу ж враховувати й питання безпеки. При проєктуванні системи важливо розробити всі можливі моделі загроз і плани дій на випадок негативних сценаріїв, щоб забезпечити безперервність процесу. Ці аспекти мають бути закладені у саму архітектуру системи з самого початку.

Усе відомо, що безпека часто йде врозріз із зручністю. Це не означає, що безпечні системи завжди є незручними, проте існує істина: підвищення рівня безпеки може знизити комфортність використання — юзабіліті. Тому важливо знайти оптимальний баланс між безпекою та юзабіліті. Якщо ж забезпечення безпеки заважає досягненню бажаного рівня зручності, то пріоритет слід віддавати безпеці!

В історії з реєстрами, як вбачається, було порушено одне з основних правил: наявність багаторівневого, ешелонованого захисту, який унеможливлює ситуацію, коли хтось зайшов у середину і може робити все, що завгодно. Як було попередньо повідомлено, зловмисники, які дібралися до систем Мін'юсту, здійснили це начебто через компрометацію облікового запису легального користувача. Як вони до нього дісталися - ще з'ясовується, але в результаті - змогли видалити дані з багатьох різних реєстрів. Сама по собі можливість видалення даних в державному реєстрі по команді якогось супер-користувача (адміна) взагалі є дуже дивною. Адже дані в реєстрах мають деактуалізуватися, тобто позначатися як застарілі, і не видалятися за будь-якою командою. При цьому дані були видалені в різних, не повязаних між собою реєстрах. Це дозволяє робити припущення щодо наявності якогось такого собі мега-привілейованого адміна/користувача (або якусь певну кількість таких користувачів) із настільки привілейованим доступом, що дозволяє проводити будь-які дії, так ще і з даними в різних реєстрах! І взагалі, як стало можливим, що багато різних реєстрів були обʼєднані під "однією парасолькою" ? Умовно кажучи, реєстри, - це великий сейф (на жаль, це не депозитні комірки в різних місцях, все складено в одному місці). І ключі до цього сейфу є у директора банку, касира, та охоронця. Так от, привілейовані користувачі можуть зайти, взяти інформацію, змінити. Багато-багато сервісів зараз на цьому базується, що там можна і шлюб укласти, і машину продати, і багато іншого, що пов'язане зі зміною даних в цих реєстрах.

Можливо, це все наслідок помилок на стадії проєктування і провадження системи реєстрів, а, ймовірніше, -- наслідок безглуздої гонитви за примарними "зручностями" в умовах "шаленої цифровізації", коли вимоги безпеки та крашестійкості відсувалися на другий план в угоду "юзабіліті". Розробники й адміни виконували те завдання, яке їм визначили, їхня експертиза зовсім не в аналізі всіх потенційних загроз і не у визначенні моделей загроз та в розробці планів відновлення. Але поруч з ними мали б бути фахівці з кібербезпеки, які мали контролювати як тих, хто готував технічне завдання на створення системи, так і його виконання. І у цих фахівців мали б бути відповідні повноваження, а також своєрідний захист від команд керівництва "не заважати прогресу" ...

Неврахування безпекових моментів на загальнодержавному рівні під час швидкої цифровізації створює величезні ризики. Про це і я говорив раніше, а також багато експертів з кібербезпеки. Централізація потоків даних, без належного захисту інформації та без диверсифікації для підвищення стійкості -- це все спричинило дуже серйозні проблеми. Це можна порівняти зі зберіганням боєприпасів, адже інформація -- це зброя. Володіння нею відкриває шлях до використання в будь-який спосіб: від примітивних шахрайських схем, як псевдокредити, до використання цілих ланцюгів взаємозв'язків між людьми, установами та підприємствами для завдавання нам більшої шкоди. Ми зараз у стані війни, і військові добре розуміють, що таке розосередження. Коли особовий склад, склади, техніка та зброя розподіляються по різних точках, ворогу стає економічно невигідно завдавати ударів. Грубо кажучи, запускати ракету по одному контейнеру -- це все одно, що стріляти з гармати по горобцях. Такий самий підхід має бути й щодо інформації.

Я не заперечую прогресу. Використання електронних сервісів для мене дуже зручне. Проте, зміни повинні відбуватися поступово, еволюційно. Це має бути ретельно продуманий продукт та надійна система. У нашій структурі кібербезпека забезпечується командою фахівців, які постійно аналізують логіку роботи системи. Будь-яка аномалія сприймається як сигнал про проблему. Це підхід дає свої результати – ми ефективно виявляємо і своєчасно усуваємо загрози. Всі процеси ми вибудовуємо з нуля, уважно прогнозуючи можливі ризики, а контроль за розбудовою системи здійснюють спеціалісти з кібербезпеки.

У європейських країнах деякі процедури виявляються надмірно бюрократичними і займають чимало часу не через небажання людей працювати чи впроваджувати зручні сервіси, а тому, що вони усвідомлюють: найголовніше — це забезпечення стабільності та захисту інформації і процесів. Без належного рівня захисту все інше втрачає сенс. Це основне правило для всіх військових систем та управлінських структур: якщо ви не контролюєте місце, де зберігається інформація, то це вже не військова система, а лише зручний інструмент. Уявіть ситуацію, коли вся інформація про підрозділ, лінію фронту, глибину, сили та засоби зберігається в хмарі. І раптом, з якихось причин — а це часто трапляється в бригадах чи КСП — зв'язок втрачається. У такому випадку, ми опиняємося без можливості діяти. Інформації про себе та ворога немає. Дехто може стверджувати, що "паперові карти — це застаріло". Але це зовсім не так, адже паперові карти можуть бути неймовірно зручними! Навіть якщо у вас є цифрова карта на комп'ютері, яка завантажена і готова до використання без доступу до Інтернету, це надзвичайно корисно. Інформація про власні сили і ворога повинна бути завжди під рукою у командира, навіть у разі відсутності зв'язку.

При побудові системи надважливо перш за все проаналізувати можливі загрози. На жаль, тих фахівців, які вказували на загрози, -- їх не слухали, бо це ж "олдскул", як багато хто каже. Я часто використовую вислів, що зараз в нас у військових технологіях йде боротьба "стартапів" зі "старперами". Але "старпери" -- не в поганому сенсі, а навпаки, бо з деяких відомств складається враження, що змішали ясла, підготовчу групу і початкові класи разом, а жоден дорослий не прийшов. І процеси у нас йдуть на рівні "давайте-ка ми замутимо таку штуковину, нам потрібен піар!!!" І все, пішов піар, штуковину замутили, коефіцієнти ніхто не прораховував, технічних завдань не ставили, захисту інформації немає, але всі кажуть -- це прямо вау! Тут ще така історія, як багато хто жартує з досвідчених олдскулів: "Немає ТЗ -- результат ХЗ". Бо, по-перше, не зрозуміло, кому це потрібно, і це робиться просто тому, що це класно. Налаштування рівнів доступу, пропрацювання всіх процесів, можливостей -- це важка праця, яку потрібно враховувати. Потім у нас є проблема з аутентифікацією, або аутентифікатори крадуть і влазять до систем. Або навпаки, ми втрачаємо контроль над цими реєстрами, і в нас проіндентифікували всіх людей, отримали кредити, майно попереписували -- просто створили хаос. Вірю в наших захисників кіберпростору, які зроблять все можливе, щоб цього в майбутньому не сталось.

На жаль, сучасна цифрова зручність базується на безвідповідальному підході до безпеки. Така зручність, або ж, як її часто називають, "привабливість", нині проникає й у військові системи, створюючи подібні проблеми, але в набагато масштабніших розмірах. Прийнято низку законодавчих та нормативних актів, які зменшують вимоги до інформаційної безпеки в складних системах. Виник термін "декларація комплексної системи захисту інформації", що означає, що замість підвищення вимог до захисту, їх знижують до рівня простого формалізму. Формальною виглядає ситуація, коли захист інформації фіксується на десяти сторінках тексту, де зазначається: "управління доступом реалізовано", а підписує це одна особа. Немає жодних перевірок чи тестувань на зовнішні загрози. Звісно, формально все "захищено", проте уявіть лише, наскільки це небезпечно насправді. І все це вчиняється шляхом зміни постанов і внесення поправок до законів. Наприклад, замість вимог до комплексного захисту інформації запроваджується декларативний підхід — я вважаю, що система захищена, бо... "я так вважаю!". У документах вказані стандартні профілі безпеки, що відповідають вимогам для цивільних систем, умовно кажучи, для супермаркетів, а не для критично важливих чи військових систем в умовах конфлікту.

З іншого боку, поряд із послабленням стандартів безпеки для військових систем, спостерігається явна тенденція до централізації всіх військових інформаційних потоків в одній платформі та автоматизації управлінських процесів в рамках єдиної системи (під однією "парасолькою"), без належної диверсифікації ризиків. Ми використовуємо вразливості баз даних противника для завдання йому ударів. Уявіть, наскільки їхні можливості в цій сфері зросли. Там, де ми могли б отримати перевагу завдяки обміну даними, ми фактично надаємо перевагу ворогу. Ми самостійно збираємо і концентруємо інформацію в одному місці, в одній системі, а потім, не забезпечуючи достатній захист, фактично передаємо її противнику. Якою потребою володіє ворог у розвідці, якщо йому досить мати лише хакерів і наших недобросовісних "експертів"?

Основною метою будь-якої держави є захист інтересів своїх громадян, і для цього необхідно вжити всіх можливих заходів. Вкрай важливо оперативно оновити законодавство з метою посилення кібербезпеки, а також активно популяризувати і навіть впроваджувати культуру безпеки в цифровому середовищі. При цьому слід скасувати застарілі норми, а також ті, які сприяють впровадженню незахищених систем, аргументуючи це зручністю, але насправді зменшуючи вимоги до кібербезпеки. Важливо запровадити обов'язкову диверсифікацію ризиків. Якщо ці кроки не будуть реалізовані, ми можемо зіткнутися з ще більшими проблемами. Вже зараз люди втрачають життя через недоліки в системах, де зосереджено занадто багато інформації, коли відбуваються атаки ворога; аргументи на кшталт "Це не наша провина, винні вороги" абсолютно неприйнятні. Також потрібно забезпечити простий і всебічний обмін інформацією про кіберзагрози та інциденти. Усі, хто має відповідні обов'язки або прагне захистити свої системи, повинні мати доступ до необхідної інформації та отримувати попередження про реальні й потенційні загрози. Бажано, щоб у процесі розробки та запровадження нових законодавчих ініціатив брали участь фахівці з різних галузей, аби забезпечити ефективний діалог між законодавцями, державою та кіберіндустрією в рамках державно-приватного партнерства.

Кібербезпека – це захист даних, схожий на укріплення фортеці. Це не лише теоретичні знання; це глибоке розуміння сучасних викликів і здатність на них реагувати. Часто це вимагає виконання рутинної та монотонної роботи, і, на жаль, результати залишаються непоміченими, адже багато людей можуть бути незадоволені такою працею. Мене дивує, чому ми зосереджуємося на зміцненні фізичних позицій, тоді як при цьому ослаблюємо захист інформаційних ресурсів, які мають значно більший вплив на ці самі позиції. Цю ситуацію потрібно терміново вирішити, адже наслідки можуть виявитися руйнівними. Хайп не може бути заміною реальній безпеці!