«Київстар» зламали, що буде далі? Аналізуємо наслідки атаки
Якщо досі хакери намагалися «зламати» переважно сайти та сервіси державних органів влади, то кібератака на «Київстар» цього тижня показала мобільним операторам потребу в захисті даних та готовності до позаштатних ситуацій.
І поки «Київстар» поступово відновлює свої послуги, AIN.UA проаналізував ситуацію з фахівцями — експертом телекомунікаційного ринку Романом Хімічем та заступником Дніпропетровської ОДА з питань цифрових технологій (CDTO) Іваном Начовним.
Події розвиваються доволі стрімко, і вже стало відомо про те, що хакерам вдалося отримати доступ до системи за допомогою облікового запису одного зі співробітників. Про це заявив президент «Київстар» Олександр Комаров. Він визнав, що хакерам вдалося пробити захист і потрапити в середину інфраструктури компанії.
Чому хакерам вдалося «покласти» «Київстар» і чи можна було цього уникнути?
Начовний вважає, що цю кібератаку чітко спланували та готували заздалегідь. За його словами, немає жодної системи безпеки, яка би захищала зв’язок на 100%. Захист можна хіба що посилити, але й це буде коштувати значно більше, ніж будь-яка попередня робота із заходів безпеки. Тому завжди можна досягти якогось значного рівня в кіберзахисті, у залежності від його профілю та безпекових вимог.
Експерт назвав три головних фактори будь-якої загрози: антропогенний, техногенний і стихійний. У випадку першого фактора всі загрози спричинені людьми, наприклад, диверсантами чи коригувальниками вогню. Другий фактор обумовлює технічні несправності обладнання — наприклад, коли воно виходить з ладу через обмежений термін працездатності. Стихійний фактор важко спрогнозувати. Він пов’язаний із погодними умовами чи природними катаклізмами.
Чи готуються мобільні оператори до кібератак, яким чином?
Роман Хіміч відзначив, що це перший випадок серйозної атаки на мобільну мережу за майже 10 років війни з росією. Але, на його думку, українські оператори серйозно ставляться до цього питання, інвестуючи достатньо часу, сил і коштів. Саме тому цей випадок поки що єдиний, хоча й масштабний.
На думку Хіміча, держава не вкладається в кібербезпеку на належному рівні — не наймає достатньо компетентних і, відповідно, достатньо високооплачуваних фахівців.
На думку Начовного, кожен мобільний оператор постійно перебуває під прицілом загрози кібератак на інформаційні ресурси, тому постійно готуються до цього.
Експерт зазначив ефективність команди «Київстар», адже вже ввечері оператор відновив домашній інтернет і поновив деякі внутрішні сервіси. Втім, проблема кібератаки полягає і у тому, що оператор втрачає час на відновлення, адже з погляду на бізнесову складову, «Київстар» втрачає клієнтів, адже люди втратили зв’язок і шукають альтернативу серед інших операторів.
За словами фахівця, цей метод роботи полягає в періодичному копіюванні системи — наприклад, щодня. В разі позаштатної ситуації «холодні» копії можна розгорнути на новому обладнанні й у такий спосіб підняти систему. Максимум, що можна втратити — це оперативні дані за одну добу.
Окрім «холодного», є «гаряче» резервування, коли дані копіюються постійно. У такий спосіб оператор не втрачає нічого.
Інший запобіжний захід — віддзеркалення ресурсів, коли паралельно з дата-центром працює його «дзеркало», на яке перемикається робота у випадку його ураження.
Начовний також зауважив, що вже другий рік поспіль ведеться боротьба з кібератаками на різні інформаційні ресурси державних органів. Але в цьому випадку хакери віднайшли лазівку, за допомогою якої зробили те, що зробили.
Чи можливий витік даних?
У компанії вже заявили, що інформації про витік даних у них немає. Втім Начовний зауважив, що під час витоку даних унаслідок кібератаки на мобільного оператора хакер може отримати лише номер телефону і SIM-картки, без прив’язки до абонента ці дані нічого не дають. Більш чутлива інформація має обмежений доступ.
Чому були проблеми з іншою інфраструктурою (банки, система оповіщення населення)?
Роман Хіміч відповів, що на послугах «Київстар» зав’язана частина банкоматної мережі в Україні, оскільки цей оператор мобільної мережі є найбільшим у країні та має свою велику фіксовану мережу. Те, що почалися проблеми з рештою інфраструктури через хакерську атаку «Київстара», на думку Хіміча, сталося через відсутність резервних каналів і зв’язку.
Іван Начовний навів приклад: у магазинах термінали для оплати картками під’єднуються через мобільну мережу. І якщо це «Київстар», то працювати він не буде. Але що стосується системи оповіщення про тривогу, то фахівець підкреслив, що вона дротова і працює без мобільного зв’язку. Чому в деяких містах України вона певний час не функціонувала — йому сказати важко. Але Начовний припускає, що на цю ситуацію можуть вплинути погодні умови, адже лінії обмерзають. Тому, ймовірно, злам «Київстар» і збої в роботі системи повітряної тривоги — це збіг обставин.
Яка мета кібератаки?
На думку Івана Начовного, хакери робили це для дестабілізації зв’язку в державі.
Але фахівець звертає увагу на те, що ворог прогадав. По-перше, в Україні працює не один, а декілька операторів. По-друге, багато людей уже давно спілкуються переважно через месенджери.
Роман Хіміч не розуміє доцільність атаки без поєднання з іншими діями, наприклад, наступом на фронті чи масованою повітряною атакою. На його думку, цей саботаж ні з чим не пов’язаний.
Як кібератака на «Київстар» вплине на телеком-ринок?
На думку Начовного, кібератака на «Київстар» показала залежність від одного мобільного оператора. Втім, він здивований ажіотажем пересічних громадян у магазинах інших операторів, адже людей не перший рік попереджають про потребу в другій SIM-картці або її електронному варіанті.
Що стосується подальшої ситуації на телеком-ринку, то на думку Начовного, баланс поновиться. Спочатку частина клієнтів усе ж піде від «Київстару» до інших операторів. Їм, своєю чергою, доведеться посилити можливості своїх сайтів, адже навантаження зростає в рази. Але експерт прогнозує, що після відновлення «Київстар» більшість абонентів повернеться до компанії, а оператор вживатиме заходів і посилить підготовку до можливих атак.