Антихакер из СБУ: Кибератаки на Украину стоят миллионы долларов
Средняя зарплата начинающего разработчика софта (Junior Software Engineer), по данным ресурса DOU, в Киеве составляет $600 в месяц. А лучшие спецы по кибербезопасности в СБУ получают примерно $500. Службе едва ли удается конкурировать с частными структурами за кадры.
Начальник профильного управления СБУ Максим Максимов (попросил изменить имя и должность) рассказал в интервью ЛІГА.net, как ведомство отреагировало на череду кибератак на объекты критической инфраструктуры в декабре 2016 года и какие риски еще сохраняются.
В рамках беседы с представителем СБУ также была затронута болезненная тема обысков в ИТ-компаниях. У начальника управления об их причинах сформировалось собственное и не очень популярное среди участников ИТ-рынка мнение: "У нас все общество "больное". И срез по силовикам не является исключением". Поэтому, мол, и происходят злоупотребления - изымаются сервера и оборудование.
- Кто в СБУ отвечает за кибербезопасность?
- В структуре СБУ имеется Департамент контрразведывательной защиты интересов государства в информационной сфере. В этом департаменте весной прошлого года создано подразделение, которое занимается кибербезопасностью.
- Какое количество людей работает в этом подразделении?
- У нас их меньше всего в сравнении с другими странами. Если говорить о примерно похожих странах (Турция, Франция), в них в разы больше сотрудников, которые занимаются этим направлением. Во многих странах подразделения, аналогичные нашей структуре в СБУ, а также подразделения в Госспецсвязи объединены в один центр. Это связано с тем, что у таких структур одна общая задача - обеспечить состояние защищенности кибернетической сферы.
- Как вы нанимаете в подразделение людей? Какой у них уровень подготовки?
- У нас очень индивидуальный подход к каждому кандидату. Уровень подготовки позволяет обмениваться данными со структурами по всему миру, анализировать атаки и делать аналитические выводы. Понятное дело, что в нашем подразделении будет постоянная тенденция к оттоку кадров, так как по окладам мы даже близко не можем конкурировать с частными структурами.
- Какая у вас средняя зарплата специалиста?
- Может быть, чуть больше, чем в среднем по госсектору. У хороших специалистов оклады около 12 000-15 000 грн. Если это молодой человек, он только пришел, то речь о 7 000-8 000 грн.
Читайте также: Атака на гаубицы. Как российские хакеры наводили на наших военных
- Насколько я знаю, согласно указу президента о стратегии кибербезопасности, у нас еще в прошлом году должен был появиться координационный центр при СНБО…
- Если говорить об этой структуре, то она де-юре создана, но де-факто только вырисовывается. Координационный центр предназначен для решения стратегических вопросов. Но для того чтобы решать стратегические вопросы, на тактическом уровне должна быть налажена работа, чтобы у стратегов была почва для принятия решений.
- То есть этот центр - он сейчас на бумаге только?
- Нет. Этот орган сейчас занимается созданием сети ситуационных центров. Они будут обеспечивать достижение общей цели (состояние защищенности) по двум векторам: как защиту гособъектов, так и противодействие атакам. Противодействовать, естественно, можно преимущественно силовыми методами, поэтому круг субъектов противодействия ограничен. По закону такие полномочия есть, например, у СБУ и Нацполиции (Киберполиция), а в военное время - у Минобороны. Второй блок сети ситуационных центров будет отвечать непосредственно за защиту. Например, при Госспецсвязи есть центр киберзащиты и противодействия киберугрозам. Этот центр может отвечать за координацию, информировать госструктуры о потенциальных атаках, угрозах. Но рано или поздно, чтобы координационные действия и информирование привели к успеху, нужно использовать силы принуждения.
Общая задача СНБО на сегодня - скоординировать блоки защиты, информационные и силовые блоки в один узел, чтобы быстрее реагировать на киберугрозы.
- Есть ли срок создания сети ситуационных центров?
- За сроки отвечают непосредственно сами органы, которые работают над задачей.
- Как-то долго этот процесс идет.
- Нам всем кажется, что долго. И хочется, чтобы было быстрее. Но "маємо те, що маємо".
- Хотя бы обмен информацией наладить между органами, отвечающими за кибербезопасность.
- Так он и сейчас осуществляется. Но не совсем оперативно. У органов силового блока, например, есть возможность обмениваться информацией оперативно. Это позволяет действующий закон, но такое взаимодействие фрагментарно и точечно. С другими субъектами все сложнее. Многие по закону могут отвечать в течение месяца. Естественно, такой ответ уже будет никому не нужен. А если бы мы говорили о частном бизнесе, например о телеком-провайдерах, то для получения информации иногда необходимо судебное решение. На наш взгляд, это абсолютно избыточная мера, даже если при этом была благая цель - не дать злоупотребить такими возможностями. Но страдают при этом не только государственные интересы в сфере кибербезопасности, но и простые граждане, остающиеся без защиты государства. Наверное, этот проблемный этап нашему обществу еще предстоит пережить. Мы все должны понять: силовикам нельзя злоупотреблять полномочиями, а бизнесу - выставлять бессмысленные преграды. Мы пока еще не готовы доверять друг другу. К сожалению, сегодня нам еще не доверяет большинство коммерческих игроков.
Читайте также: Призрак отмывания денег: налоговики приземляют облака Де Ново
- Но ведь у бизнеса есть основания не доверять СБУ. Мы же знаем, что обыски проводятся очень часто. И бизнес от этого страдает.
- Это системная проблема. Она продуцирована теми отношениями, которые сложились между бизнесом и силовиками еще накануне принятия нового УПК. Все бизнесмены тогда хотели максимально дистанцировать силовиков от информации (например, на серверах). Новые нормы УПК установили непреодолимые преграды между частным бизнесом и силовым блоком. Побочный эффект: это привело к тому, что, кроме как с помощью санкции на обыск, оперативно получить информацию без ущерба для следствия шансов нет. Ведь если уж получать санкцию в суде, то почему потом ею не воспользоваться в полной мере? В результате такие меры приводят к тому, что участились случаи изъятия серверов, когда можно было бы обойтись и копией информации. Но когда есть санкция суда, изъять банально проще. Я не исключаю злоупотреблений, которые могут при этом быть. Но у нас все общество "больное". И срез по силовикам не является исключением. Это те же люди. Они ходили в те же школы. Поменяй их сейчас местами с теми, кто был по другую сторону, и через некоторое время и они начнут злоупотреблять полномочиями.
- Можете ли прокомментировать обыски СБУ, которые в прошлом году привели к отключению сотовой сети Интертелекома, обыски в Lucky Labs?..
- Мое подразделение к обыскам не имеет прямого отношения - сервера мы не изымаем. Мы занимаемся техническими вопросами, направленными в первую очередь на то, чтобы оказать помощь. На обыски мы самостоятельно не ходим. Нас приглашают для того, чтобы оценить ситуацию. Наш профиль - это защита от кибератак.
- Я слышал, что целью декабрьской кибератаки на Минфин и Госказначейство было выведение системы из строя на долгий срок, чтобы у государства не было возможности провести важные платежи перед концом года, например, подготовить к выплате пенсии. Насколько это правда?
- Если говорить в общих чертах, то ситуация была достаточно серьезная. Речь шла о целенаправленных атаках высокого уровня и длительной подготовки (APT-атаки). Срок присутствия хакеров в информационных сетях госведомств иногда шокирует: полгода, восемь месяцев… За это время можно много чего подготовить и заразить. Полугодичное присутствие в такой сети позволяет гипотетически выудить все, что только можно.
- Государство выделило Минфину и Госказначейству 80 млн грн на модернизацию систем после хакерских атак. Как думаете, теперь они надежно защищены?
- Я думаю, что можно сказать: они залатали дыры. Вряд ли ведомства подошли системно к этому вопросу. А тем более за то незначительное время, которое им было отведено на закупки.
- Какие были риски у декабрьских атак на объекты критической инфраструктуры государства?
- Риски были велики. Но вывод можно сделать один: ущерб мог бы оказаться гораздо больше. При этом нужно отметить, что все последние атаки направлены на формирование в обществе негативного социального настроения, состояния напряженности, а иногда это и просто демонстрация возможностей. Именно поэтому выбираются социально ориентированные сферы. Например, блокирование продажи билетов перед новогодними праздниками вызвало бы большой всплеск недовольства в обществе. Как и отключение электричества большому количеству абонентов. Проблемы с выплатами пенсий тоже могли бы нанести серьезный удар по репутации государства. Но при этом имеющиеся возможности воспользоваться результатами взлома говорят о том, что цель нанести наибольший ущерб не ставилась.
- Сколько может стоить организация таких атак в Украине?
- Большие атаки совершены с серьезными наработками по вирусам типа BlackEnegry, которые можно назвать кибероружием. Сложно посчитать. Можно смотреть только по косвенным признакам. Я думаю, речь идет о работе, стоящей миллионы долларов. Те же типы вирусов используются и в других странах: Германии, США.
Читайте также: Кибервойна полным ходом: готова ли Украина отражать новые удары?
- Можно ли говорить о том, что организация этих атак идет со стороны России?
- Очень много признаков об этом свидетельствует. Если говорить о внутренней уверенности, то она есть. Нужно провести расследование и получить юридически значимые факты. У нас есть с РФ договор о предоставлении правовой помощи. Но, по понятным причинам, он не работает. А значит, и невозможно в правовом смысле до конца раскрыть того, кто стоит за атакой, идущей со стороны России. Таким образом, есть два аспекта: социальный и формально юридический. Для возложения социальной ответственности достаточно аргументов, мотива, который совпадает с интересами России, что оперативно подтверждают российские массмедиа на постоянной основе. То есть для большинства граждан Украины именно они формируют устойчивое мнение о причастности РФ. Однако в юридическом смысле имеющиеся аргументы являются косвенными и обосновать только на них ответственность России было бы некорректно. Это и есть гибридная составляющая российской технологии агрессии.
- Но по каким признакам вы судите?
- Изучение многих семплов, скриптов, микропрограмм, которые использовались в атаках, позволяет пролить свет на то, каков был язык операционной системы, на которой их компилировали, к какому часовому поясу работы были привязаны. Так вот, язык был русским, а часовой пояс соответствовал полосе, где расположены Москва и Санкт-Петербург. Понятно, что в этом часовом поясе расположено много других государств. Но в сочетании с такими признаками, как язык, расположение командных центров, регистраторов фейковых доменов, провайдеров размещения серверов загрузки вредоносного ПО, а иногда и номерного ресурса РФ для телефонного флуда, сопровождающего кибератаки, количество "подозреваемых" заметно сужается. До одного.
- Я правильно понимаю, что основным способом заражения госсистем была социальная инженерия?
- Да. Основным способом проникновения вредоносных программ в системы была email-рассылка. Наше бескультурье в сфере кибербезопасности приводит к тому, что подавляющее большинство пользователей можно заразить в два клика. Человеку просто приходит письмо от адресата, которому он доверяет. А подделать контакт отправителя письма не составляет труда.
- Правда ли, что сейчас по-прежнему очень велика вероятность того, что новые атаки будут проведены на объектах, которые уже заражены?
- Да, уровень латентной угрозы очень высок. Системная работа, которая позволила бы сейчас выявить "затаившуюся угрозу", требует больших капиталовложений. Все это в проекте. Наша структура получает финансирование в размере примерно 1 млн евро от трастового фонда Украина - НАТО по вопросам кибербезопасности. Это долгосрочный проект, который мы планируем развивать совместно с Госспецсвязи. Но на первом этапе он предполагает разворачивание только двух ситуационных центров, работающих в тандеме. В дальнейшем будут финансироваться и подключаться аналогичные центры Национальной полиции и Минобороны. А параллельно - объекты критической инфраструктуры.
- Удавалось ли кого-то предупреждать об атаке?
- У нас были случаи, когда мы предупредили об атаке на объект критической инфраструктуры заблаговременно - за 20 часов. Мы узнали, что доступ к нескольким серверам будет зашифрован. Результат - железо продолжило работать.
- Какие объекты критической инфраструктуры страны сейчас наиболее уязвимы?
- Я бы назвал энергетику и транспорт.
- Финансы?
- Только госсектор в финансах уязвим. Частный сектор более или менее защищен. Банки уже давно уделяют внимание безопасности своих систем, что связано в первую очередь с криминальными угрозами. Хотя к нынешним атакам частный сектор тоже не всегда оказывается готов. Мы в том числе расследовали инциденты, связанные с атакой на Swift.
- Интересны потенциальные последствия в энергетике. На сколько часов хакеры могут отключить свет, например?
- Как показывают наши события, более чем на несколько часов - это вряд ли. Все сразу переводится в ручной режим. И наши системы не так сильно компьютеризованы, чтобы это привело к коллапсу.
- Это касается распределительных энергосетей. А такие структуры, как Энергоатом, как защищены?
- Там вообще все системы отключены от сетей. Поэтому возможна только атака с использованием инсайдера или даже силовой операции. В таких системах может быть запущен только вирус типа Stuxnet.
- Можно ли вывести из строя навигацию самолетов через атаку на Украэрорух, Борисполь, МАУ?
- Гораздо больше сейчас угроз у структур управления речным и морским транспортом. Они меньше уделяли внимание своей защите. Возможно, последние атаки на Администрацию морских портов подстегнут их к тому, чтобы усовершенствовать свои системы.
- От декабрьской атаки на информ-системы (диспетчерская система распределения вагонов, продажа электронных билетов) Укрзализныця очень долго отходила…
- Она до сих пор отходит. Дело в том, что у этого предприятия очень сложная и распределенная ИТ-система. И оно более уязвимо исходя из масштабов и особенностей своей работы. В системах УЗ хакерами использовалось не криптование серверов, а вредоносный софт KillDisk (удаляет данные). До чего у них руки дотянулись, то и пытались уничтожить. Целью было создание хаоса и формирование у граждан негативного отношения к компании. Но системы непосредственного управления механизмами транспорта не подвержены кибератакам, поэтому нагнетание паники по поводу техногенных аварий является преувеличением рисков. А вот очереди за билетами в кассах создать вполне реально.
- Возможно ли спрогнозировать, когда будет очередной вал атак на критические объекты в Украине?
- Второй год подряд основная масса атак приходится на декабрь. Можно спрогнозировать, что это опять произойдет в декабре 2017 года. Наша задача как можно быстрее создать национальную систему кибербезопасности и предупредить большинство объектов, нейтрализовать вредоносные программы. Тогда у нас появятся основания говорить о том, что мы на что-то влияем системно. А пока мы тушим пожар, боремся с последствиями.