Хакери на дві доби паралізували всю фінансову систему країни
Чому так сталося і як запобігти таким випадкам
Заблокованими, починаючи з 6 грудня, виявилися структури Міністерства фінансів. Держказначейство не могло проводити платежі, зупинилась митна служба, заблоковані були усі державні платежі, підприємці не могли сплатити податки. Справді неймовірно. Як таке могло статися?
"Привіт, друже. Ми знову тут, -- такий запис бачили користувачі, заходячи на сайт Держказначейства. -- Битва почалася, але до кінця війни ще далеко. Сила залишається безмежною. Після всього, що сталося, хто насправді контролює все? Ти не можеш перестати бути маріонеткою, якщо ти навіть ніколи не бачив ниточки, за які смикають. Ти хотів врятувати світ. Ти думаєш, що це так просто? Ми запалили полум'я революції. І тепер ми вирішуємо, буде воно горіти чи згасне, чи розгориться по-справжньому. Наша справжня робота тільки починається..."
У цих словах обізнані юзери впізнали цитату з американського серіалу "Mr. Robot". Сюжет цієї кримінальної драми розгортається навколо хлопця на ім'я Еліот. Його видатні здібності мають попит в організаціях урядового рівня, що спеціалізуються на кібербезпеці. Але одного разу на зв'язок з ним виходить якийсь “містер Робот” -- людина, що є лідером великого підпільного руху анархістів. Рух цей, прикриваючись гарними гаслами, насправді хоче обвалити найбільші американські корпорації.
...А в Україні уряду та бізнесу було не до серіалів. "Митні платежі зависали. Гроші списувалися з рахунків Держказначейства, звідти до бюджету -- і все. Тиша, нічого не зрозуміло, -- розповідає віце-президент Українського союзу промисловців і підприємців Юлія Дроговоз. -- У системі електронного адміністрування ПДВ не було зареєстровано жодної накладної. А якщо вчасно цього не зробити -- штраф".
Ввечері у вівторок у міністерстві зрозуміли, що йдеться про скоординовану хакерську атаку. Власне, мало місце наймасштабніше досі хакерське втручання в роботу фінансових органів України. Атаку вдалося зупинити лише через добу -- 7 грудня.
Здавалося б, це ж Міністерство фінансів понад 40-мільйонної країни в Європі! Але... Яким же чином організовують такі серйозні атаки? Які наслідки вони можуть мати для країни та чи можливо від них захиститися?
Ми поставили ці запитання експертові з питань інформаційних технологій Максиму Саваневському і фахівцеві з питань кібербезпеки Володимиру Кащевському.
-- Розкажіть, будь ласка, які методи використовують для того, щоб зламати критично важливі системи держави?
М. Саваневський:
-- Є кілька способів. Нападники можуть заразити зловмисним програмним забезпеченням електронну систему бажаної установи чи підприємства. І завдяки вірусу здобути доступ до акаунту конкретного працівника установи і таким способом дістатися до всієї системи. Як варіант, можуть запустити вірус у цілу систему, і він робитиме шкідливі дії, які її руйнують. Але не вірусами єдиними...
В. Кащевський:
-- Так, так... Це і неякісне налаштування техперсоналом мережі й системи безпеки. Це і вразливі місця у програмному забезпеченні, встановленому на комп'ютери. Навіть у популярних офісних програмах можуть бути слабкі місця. Мова про так звані backdoor (з англійської -- “чорний хід”) -- це дефекти алгоритму, які дають змогу дістати таємний доступ до віддаленого управління комп'ютером. Деякі розробники їх можуть навіть навмисно вводити в код, а деякі можливості віддаленого управління з'являються в коді випадково - через помилку. Виявивши помилку, автори програми намагаються її виправляти і надіслати на комп'ютери відповідні пакети оновлення, але, доки це станеться, дірою вже можуть скористатися зловмисники.
Найнебезпечніший момент -- коли програма автоматично оновлюється через інтернет. Оновлення відбувається через порт доступу до мережі, яким і можуть скористатися для проведення кібератаки.
-- Чи могли в нашій ситуації фактором ризику стати віддалене адміністрування комп'ютерів, яке останнім часом стає дедалі популярнішим?
В. Кащевський:
-- Можливість віддаленого доступу до робочого комп'ютера багатьом видається доволі зручною. Однак для передачі даних в такому разі використовують доволі широкий канал, а це створює можливості для втручання в нього.
-- У мережі можна знайти рекомендації поставити окремі дозволи на запуск макросів, що нібито підвищує рівень захисту мережі. Це справді ефективно?
В. Кащевський:
-- Формально макрос -- це цілий набір вказівок та інструкцій, які комп'ютер має виконати за єдиною вказівкою. Простішими словами, міні-програма, що запускається в рамках основної програми. Якщо обмежити використання макросів, можна справді дещо зменшити вразливість мережі. Однак до захисту все ж варто підходити комплексно.
-- Як саме?
В. Кащевський:
-- Загальний принцип такий: що менше можливостей дістатися до мережі, то краще. Якщо йдеться про особливо цінну інформацію, то її можна окремо зберігати на серверах, не під'єднаних до інтернету. А доступ до неї надавати лише дуже вузькому колу працівників. Також важливо, щоб в установі була команда професіоналів, які постійно стежать, щоб не було несанкціонованого доступу до системи.
М. Саваневський:
-- Насправді нюансів доволі багато. До прикладу, є окремі вимоги до програмного забезпечення, яке використовують в організаціях, котрі відповідають за безпеку країни чи фінансовий стан. Воно повинно бути належним чином сертифіковане, а встановлення має відбуватися за допомогою спеціальних протоколів.
-- Повернімося до минулотижневої атаки на сайти державних відомств. Уряд вже розпорядився виділити Мінфіну і Держказначейству 80 мільйонів гривень з резервного фонду на заміну старого IT-обладнання, що працює ще з минулого століття. Чи це допоможе?
В. Кащевський:
-- Важко оцінити, напевне не знаючи, на що саме підуть гроші. Обладнання, звісно, відіграє певну роль, але також дуже важливо, як його використовують.
Та в будь-якому разі на 100% захиститися від зовнішнього втручання неможливо. От днями з'явилася інформація, що секретні документи комітету Бундестагу, який опікується розслідуванням масштабного стеження Агентства нацбезпеки США, опинилися у Wikileaks завдяки атаці російських хакерів на IT-системи Бундестагу.
М. Саваневський:
-- Справді, хакерські атаки на сайти органів державної влади відбуваються безперервно. Однак за останні три роки наша країна навчилася трохи краще від них захищатися.
-- Але ефективно це робити, як бачимо, не завжди вдається. Хто ж, на вашу думку, стоїть за нещодавнім зламуванням системи Мінфіну України?
М. Саваневський:
-- Є багато зацікавлених сторін, перш за все Росія -- сторона, яка намагається дестабілізувати ситуацію в країні.
Але, крім Москви, також є низка хакерських угрупувань, які атакують різноманітні органи державної влади в багатьох країнах. Задля розваги, шантажу чи заробляння грошей на продажу викраденої інформації. Триває безперервна війна між тими, хто захищає інформацію, і тими, хто намагається її вкрасти.
-- Яких же втрат може зазнати держава в такій кібервійні?
В. Кащевський:
-- Дуже великих! До прикладу, є інформація, що напередодні кібератаки, 5 грудня, Державна фіскальна служба передала в казначейство реєстр на відшкодування ПДВ на суму понад 760 мільйонів гривень. Також на початок місяця припадають виплати пенсій, соціальної допомоги і зарплат. Якби хакерам вдалося на триваліший час заблокувати рахунки Держказначейства, наслідки могли б бути критичними.
І, припускаю, в уряді це розуміли. Оце згадане авральне виділення 80 мільйонів гривень на оновлення техніки -- насправді ознака неймовірної знервованості.