Фото предоставлены НЭК «Укрэнерго» для Kyivstar Business HubКибер (НЕ)безопасность: как дать отпор и победить на киберфронте
События на киберфронте в войне с россией разворачиваются не менее стремительно, чем на физическом. Команда CERT-UA только в июле зарегистрировала 203 кибератаки. Сильнее всего ощущают это органы власти, оборонный, финансовый, энергетический секторы. Среди организаций больше всего атак пришлось на телекомотрасль. Испытывают влияние от хакерских атак также и информационные ресурсы.
Как защищает себя на киберфронте государство и бизнес? И какие подходы используются для защиты цифровой инфраструктуры? Об этом и другом в дискуссии на Open Talk Club от Kyivstar Business Hub рассказали эксперты — представители государства и бизнеса.
Поле битвы: киберпространство
В 2021 году на границах Украины накапливались войска России, а информация о возможном вторжении распространялась в заявлениях политиков и в СМИ. Впрочем, подготовка к агрессии проходила не только в физическом пространстве: Москва, очевидно, планировала нападение и в цифровом мире. Поэтому в Киеве не сидели сложа руки и готовились к киберпровокациям. Непосредственная подготовка, по словам специалистов, началась еще в сентябре.
Сергей Прокопенко
Руководитель управления обеспечения деятельности НКЦК Аппарата СНБО Украины
«Первые действия, направленные на подготовку к вторжению, — это атаки 13−14 января, которые мы окрестили операцией „Умирающий медведь“ . Кибернападение было направлено на 22 государственные организации, основной его целью была дезинформационная кампания. Посыл понятен: показать, что Украина не защищена в киберпространстве», — говорит Сергей Прокопенко, руководитель управления обеспечения деятельности НКЦК Аппарата СНБО Украины.
По его словам, враг воспринимал это как обучение перед масштабной кибероперацией. Однако россия недооценила мощь и возможности Украины — у украинских специалистов совместно с международными коллегами уже был алгоритм действий на такие случаи. Кроме того, заработала и общая группа реагирования.
За неделю до вторжения, говорит Прокопенко, начались массовые атаки на государственный и частный секторы. Цель этих действий — повреждение украинской цифровой инфраструктуры, в частности спутниковая связь и другие системы коммуникации, которые используются ВСУ. Впрочем, украинским киберзащитникам удавалось играть на опережение и сдерживать нападение. На первую неделю агрессии пришелся пик кибератак — целили во все, от энергетики до сайтов СМИ. Подготовленность Украины и значительные децентрализованные усилия цифрового сообщества позволили перейти в контрнаступление в виртуальном пространстве уже в конце февраля. И оказалось, что системы неприятеля не столь хорошо защищены, как ему казалось, добавляет Сергей Прокопенко.
Уже с марта в событиях на киберфронте было заметно преимущество Украины. В частности, и из-за профессиональности и слаженности сообщества, а также из-за технологических потерь России, вызванных западными санкциями. Однако Кремль не перестает инвестировать в дезинформационные кампании и пропаганду.
В настоящее время, резюмирует Прокопенко, Украина переходит к стратегическому планированию киберопераций и даже кибердипломатии — тесной кооперации с международными партнерами.
История одного наступления
Красочный пример борьбы в киберпространстве привел Сергей Галаган, директор по информационным технологиям НЭК «Укрэнерго». Эта госкомпания отвечает за стабильность энергетической системы Украины, поэтому неудивительно, что она попала под хакерский прицел.
23 февраля Украина отключилась от российских электросетей для тестирования. Это планировалось испытать, как украинские системы функционируют автономно и в едином блоке с Молдовой. Целью была и подготовка к тому, чтобы Украина присоединилась к европейской системе операторов передачи электроэнергии — ENTSO-E. Поэтому вечером и ночью в этот день команда «Укрэнерго» была начеку.
И не зря. Уже в 23:00 ИТ-сообщество заметило, что некоторые украинские ИТ-ресурсы стали недоступными: началась масштабная DDoS-атака со стороны россии. В час ночи — за несколько часов до начала вторжения — кибернападение началось и на «Укрэнерго». Защитные «стены» в цифровом пространстве — файерволы — заблокировали почти два миллиона злонамеренных запросов к ресурсам компании.
Ближе к утру специалисты Укрэнерго начали вручную ограничивать доступ к цифровой инфраструктуре для отдельных IP-адресов и целых стран. В общем, за первые две недели вручную «забанили» 20 тысяч адресов, еще 100 тысяч отрезал автоматический фильтр. А уже утром 24 февраля доступ к киберресурсам Укрэнерго был открыт только для Украины и членов ENTSO-E.
Сергей Галаган
Директор по информационным технологиям НЭК «Укрэнерго»
«За период войны количество ежедневных атак на системы „Укрэнерго“ по сравнению с предыдущим периодом возросло в десятки раз. Основные нападения совершаются двумя игроками — россией и белорусью. Обидно, но хакеры работают и с территории временно оккупированных районов Донецкой и Луганской областей», — говорит Сергей Галаган. По его словам, большинство злоумышленников связано с ФСБ, впрочем, есть и группы наемных хакеров.
Директор по информационным технологиям «Укрэнерго» перечисляет несколько важных выводов по борьбе на киберфронте:
- всегда быть готовы к рискам в киберпространстве — как на уровне инфраструктуры, так и на уровне осведомленности и экспертизы персонала;
- улучшать все, что касается вопросов кибербезопасности;
- контролируемая изоляция собственных ресурсов может быть ответом на серьезные атаки — и такой вариант следует включать в стратегическое планирование;
- распределенность и «избыточность» инфраструктуры — один из основных факторов стабильности.
Кибербезопасность с точки зрения бизнеса
Объектами хакерских атак не обязательно государственные структуры. Напротив, именно бизнесы по всему миру чаще всего являются жертвами нападений киберзлоумышленников. По данным аналитиков Cybersecurity Ventures, кибератаки будут стоить компаниями ежегодными потерями в 10,5 триллиона долларов в 2025 году — втрое больше, чем это было еще пять лет назад.
Пример одной из актуальных уязвимостей бизнеса и государства привел Юрий Прокопенко, директор по кибербезопасности «Киевстар». Речь идет о так называемом supply chain attack — нападении на организацию из-за ее подрядчиков. Непосредственно компания может быть хорошо защищена, однако ее контракторы с доступами к критически важным системам часто имеют более низкий уровень кибербезопасности.
«Готовясь к возможной полномасштабной войне в начале года, мы отслеживали различные аномалии за рубежом. Да, мы обратили внимание на атаку одного из европейских операторов, которая должна была разрушить доступ к его сервисам. Это был классический supply chain, когда используются уязвимости подрядчиков. Именно поэтому мы начали инвестировать в повышение экспертизы в противодействии именно этому виду атак. Уже при вторжении мы столкнулись с несколькими реальными кейсами. Однако этот заранее освоенный опыт позволил нам не допустить реализации угроз и утечки персональных данных абонентов», — рассказывает Прокопенко.
Он привел данные Агентства по кибербезопасности ЕС ENISA относительно supply chain атак:
- 66% приступов сфокусированы на коде разработчика;
- 58% преследуют цель получить критически важные данные;
- 62% стремятся использовать доверительные отношения между компаниями;
- 62% атак связаны с вредоносным программным обеспечением.
Юрий Прокопенко советует компаниям, стремящимся предотвратить кибернападения такого типа, повысить требования к защите подрядных организаций, контролировать прохождение ими независимого аудита по кибербезопасности, а также искать возможности предоставлять подрядчикам сервисы для обеспечения киберзащиты.
Юрий Прокопенко
Директор по кибербезопасности «Киевстар»
Ваш периметр безопасности расширяется и на тех, с кем вы сотрудничаете. Поэтому рассматривайте возможности контролировать непосредственно и оборудование, на котором работают ваши подрядчики. Это непременно уменьшит риски до минимальных значений", — советует Юрий Прокопенко.
Это были дешевые ботнеты, которые генерировали нетипичные запросы для наших медиаресурсов, поэтому мы легко их «отрезали» и продолжали работать.
В свою очередь бизнес/медиа бюро Ekonomika+ больше всего сталкивается с DDos-атаками. Digital директор издания Александр Климашевский говорит, что до полномасштабной войны атаки на издание чаще были от фигурантов журналистских расследований, которые были недовольны определенными публикациями: «Это были дешевые ботнеты, которые генерировали нетипичные запросы для наших медиаресурсов, поэтому мы легко их „отрезали“ и продолжали работать».
Александр Климашевский
Digital директор Ekonomika+
А сейчас ситуация иная — идет речь о целенаправленных атаках, постоянно меняющих географию. «В первые недели полномасштабного вторжения мы видели атаки из нетипичных стран, например, из Индонезии. Конечно, мы могли их легко обрезать. Впоследствии кибер-атаковщики сменили тактику, и пиковая нагрузка начала поступать из США. Здесь уже сложнее отключать, потому что у нас есть постоянная аудитория читателей из Соединенных штатов», — добавляет Александр Климашевский.
Чтобы противостоять DDos-атакам, издание ограничило внешний доступ к внутренним редакционным системам, локализовало атаки с помощью доступных инструментов для киберзащиты и пытается прогнозировать возможные нападения в будущем.
Совместный фронт
Вопрос кибербезопасности — не то, что можно решить одномоментно. Это постоянная работа в постоянно меняющейся среде. К тому же развитие технологий и проникновение разнообразных сервисов и устройств в жизнь общества увеличивает потенциальное количество цифровых угроз.
Только в прошлом году количество кибератак выросло на треть: по данным отчета Accenture, в 2021-м рядовая компания подвергалась 270 нападениям в цифровом пространстве против 206 в 2020-м.
В разговоре Open Talk Club от Kyivstar Business Hub эксперты соглашаются, что инвестиции в кибербезопасность — непременная часть развития и бизнеса, и государства. В частности, речь идет о профессиональных командах, постоянно обновляемой стратегии кибербезопасности, а также о поддержке инициатив безопасности со стороны руководства и вовлечении его в эти процессы.
Фото: Фото предоставлены НЭК «Укрэнерго» для Kyivstar Business Hub«Мы работаем с тремя основными составляющими: люди, процессы и технологии. И это искусство найти правильный баланс относительно вложений в кибербезопасность между этими элементами. Наш опыт показывает, что самое главное — люди. Если инвестировать в экспертизу команды, в ее специалистов, они смогут поддержать и процессы, и технологии», — говорит директор по киберзащите Киевстар Юрий Прокопенко.
Не менее важно в борьбе с киберугрозами использовать правильные технологии. Киевстар предлагает комплекс инструментов, защищающих сетевую инфраструктуру, сервисы и облачные решения компаний от несанкционированного доступа и угроз разных типов. Они разработаны лидерами в области информационной безопасности Fortinet, Barracuda и Commvault.
А защититься от DDos-атак компании могут также благодаря комплексному решению от Киевстар — AntiDDos. Этот инструмент обеспечивает многоуровневую защиту данных и всей IT-инфраструктуры компании от известных и неизвестных атак.
Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.