Запобіжники від хакерів: чи зможуть нові правила безпеки уберегти держреєстри від кібератак
Коли у грудні минулого року тисячі українців раптом втратили доступ до державних реєстрів, стало зрозуміло, наскільки вразливою є цифрова інфраструктура країни та якими катастрофічними можуть бути наслідки масштабної кібератаки.
І щоб її захистити, народні депутати створили робочу групу, яка б мала проаналізувати причини цієї кібератаки і напрацювати нормативно-правову базу, що унеможливить подібне в майбутньому. Але перший же напрацьований нею законопроєкт щодо обмеження доступу до інформації в реєстрах викликав негативну реакцію суспільства, і його розгляд поки що відклали. Водночас, Верховна Рада ухвалила законопроєкт, який передбачає створення національної системи реагування на кібератаки, кіберінциденти і кіберзагрози.
Фактично сьогодні Україна стоїть на порозі фундаментальної перебудови системи захисту інформації. Але відкритим залишається питання: чи подальші кроки убережуть нас від нових криз, чи наступного разу наслідки можуть бути ще більш руйнівними?
КІБЕРГІГІЄНА ДЛЯ ВСІХ
Автори законопроєкту №11290, ухваленого в другому читанні, але поки що не підписаного президентом, наголошують, що існує стійка тенденція збільшення кількості загроз національній безпеці у кіберпросторі. І як приклад наводять дані про те, що в березні 2024 року Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA розкрито задум угруповання Sandworm, спрямований на порушення сталого функціонування інформаційно-комунікаційних систем (ІКС) близько двадцяти підприємств галузі енергетики, водо- та теплопостачання (ОКІ) у десяти регіонах України. Фахівцями CERT-UA підтверджено факти компрометації, щонайменше, трьох "ланцюгів постачання".
"Зловмисна активність груп, пов’язаних із силовими структурами країни агресора, направлена майже на всі сектори економіки, ЗМІ, юстиції, правоохоронні органи, критичної інфраструктури, сил оборони", - йдеться у пояснювальній записці.
І щоб побачити, що атаки ворога не лише на фронті, а й в кіберпросторі не припиняються, не потрібно бути вузькопрофільним фахівцем. Достатньо згадати нещодавню масштабну атаку на "Укрзалізницю". Тому сумнівів, що система захисту і реагування потрібна, ні в кого немає. Питання скоріш у тому, якою вона має бути, щоб попереджувати атаки чи хоча б мінімізувати негативні наслідки.
Ухвалений законопроєкт передбачає, що в Україні створять єдину систему обміну інформацією про кібератаки та реагування на них. До її складу увійдуть CERT-UA, галузеві та регіональні команди реагування, Нацполіція та СБУ. Координувати їх буде центр у складі РНБО. При цьому до реагування на кібератаки залучатимуть приватні компанії.
Також документом прописано, що в державних органах та на об’єктах критичної інфраструктури мають бути створені профільні підрозділи з кіберзахисту. А посадовці проходитимуть навчання та тренінги з кіберзахисту та захисту інформації, а також інструктажі з кібергігієни. Систему навчань має запровадити Держспецзв’язку.
Загалом Держспецзв’язку отримає безпрецедентні повноваження. І це викликало критику фахівців з питань кібербезпеки навіть після прийняття законопроєкту. "Всі функції повісили на Держспецзв'язок, від стандартизації до контролю, знов той самий принцип з срср, без конкуренції і противаг", - зазначає експерт з кібербезпеки, президент групи ІТ компаній "Адамант" Іван Пєтухов.
А на думку ексзаступника керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ, засновника та першого керівника CERT-UA Костянтина Корсуна, такі широкі повноваження дають цьому органу і чимало можливостей для маніпуляцій. "Основне, за що критикували законопроєкт № 11290 – було засекречування інформації про кіберінцидент, себто про факт результативної кібератаки ворога, - пише він у своєму блозі на "Цензор.НЕТ". - Проголосована у другому читанні змінена редакція цього ЗП начебто декларує, що це є відкритою інформацією. Але залишає Держспецзв’язку (він же ДСС331) широке поле для махінацій, оскільки інформація "про характер, технічні характеристики, інші деталі кіберінциденту, кібератаки,.." - віднесена до інформації з обмеженим доступом. А критерії віднесення такої інформації до ДСК – колись визначить Кабмін. Читай – сама Держспецзв’язку. І таке формулювання залишає широке поле для різних трактувань таких "критеріїв", які, скоріш за все,теж будуть нечіткими і які в принципі не можуть передбачити усіх можливих ситуацій. Та хоча б питання: чи є DDoS "характером кібератаки"? Як на мене – так. А значить – буде ДСК. Тобто фактично секретність залишається. А у темряві, як відомо, дуже зручно ховати свою некомпетентність та корупцію".
В самому ж Держспецзв’язку наразі заявляють, що ухвалений законопроєкт надасть можливість протистояти новим викликам та загрозам у кіберпросторі, а також забезпечить посилення захисту державних інформаційних ресурсів та об’єктів критичної інформаційної інфраструктури. І наголошують, що він містить положення, які забезпечують імплементацію норм європейських директив з кібербезпеки до національного законодавства щодо функцій команд реагування, практики повідомлень про кіберінциденти, управління ризиками.
Наскільки якісними будуть подальші кроки усіх дотичних до цього процесу, і наскільки швидко буде побудована система, наразі складно спрогнозувати. Та й чи врахують те, що сталося з державними реєстрами минулого року, коли здавалось, що країна опинилась за крок до повного цифрового паралічу, бо зловмисники атакували не просто бази даних, а всю цифрову інфраструктуру, прагнучи зробити відновлення неможливим.
НОВА СИСТЕМА МОНІТОРИНГУ
Як розповів "Цензор.НЕТ" виконувач обов’язків гендиректора державного підприємства "Національні інформаційні системи" Сергій Липка, наразі усі державні реєстри функціонують в штатному режимі. І всі, хто повинен мати за законодавством до них доступ, його отримали.
"Державні реєстратори і нотаріуси повторно мали підключити засоби додаткової ідентифікації з використанням одноразового пароля. Таке рішення пов’язане з удосконаленням системи кіберзахисту державних реєстрів, - зазначив він. – Хочу нагадати, що це була наймасштабніша кібератака за всю історію України не тільки на державний сектор. Напевно, і в цілому. Вона була спрямована на атаку інфраструктури і носила деструктивний характер. На нашу думку, задача була саме максимально нашкодити – прагнули позбавити можливості відновити роботу реєстрів і надалі забезпечувати державні функції, пов’язані з доступом до них.
Але завдяки злагодженим діям не лише нашої команди, а й працівників Держспецзв’язку, Департаменту кіберзахисту Служби безпеки України, Департаменту кіберполіції Національної поліції, вони її не досягли. Тому, що була узгодженість дій і повна зацікавленість усіх служб і відомств, нам вдалося насправді за дуже короткий відрізок часу відновити роботу всіх реєстрів.
А відновлювати довелося дуже багато. Оскільки атака була спрямована на інфраструктуру, підхід нульової довіри був до всього, що пов’язано з інфраструктурою.
– Чи встановлено, як діяли ті, хто вчиняв атаку? Чи була у них домовленість з кимось зі співробітників держорганів?
– Усе це повинно бути встановлено під час досудового розслідування. Воно ще триває. Ми зі свого боку надаємо всебічну підтримку правоохоронним органам, бо зацікавлені розібратися в причинах того, що сталося, і мінімізувати ризики на майбутнє.
– Як їх можна мінімізувати?
– Ми працюємо над тим, щоб в подальшому за допомогою правоохоронних органів ми могли виявляти підозрілу активність на ранніх стадіях. Це пов’язано з впровадженням технічних засобів кіберзахисту, системи моніторингу. Також проводиться додаткова робота з людьми, які працюють з реєстрами. І ми маємо зараз певно більше часу приділяти навчанню нотаріусів щодо базових основ кібергігієни.
Загалом всі ми маємо насправді розуміти, що таке кібербезпека. Бо якщо люди, які безпосередньо користуються реєстрами, не будуть дотримуватись простих базових рекомендацій, ми будемо рано чи пізно стикатися з такими проблемами. Тому насамперед, ми будемо працювати з людьми глобально на державному рівні. Для того, щоб кожен усвідомив свою роль в загальній системі кібербезпеки. Тому що це надважливо. І як показує кожна з атак – все починається і закінчується на людях. Поки люди управляють технологіями, вони залишаються найбільш вразливим елементом в усій цій конструкції.
Певні заходи з посилення кібербезпеки ми вже вживаємо на рівні підприємства. Вже багато чого змінено на рівні інфраструктури і кіберзахисту реєстрів. В подальшому ми будемо оновлювати наявні плани реагування на кіберінциденти в ДП НАІС і узгоджувати їх з ключовими партнерами.
Нещодавно було проведено перший форум в Україні із захисту та розвитку державних реєстрів, де ми разом з експертами та представниками всіх зацікавлених сторін обговорили актуальні виклики до вдосконалення системи захисту реєстрів. В цей же день проведення форуму Парламент підтримав за основу законопроект №11290, спрямований на посилення захисту інформації та кіберзахисту державних інформаційних ресурсів та об’єктів критичної інформаційної інфраструктури. Ми вдячні депутатам за підтримку цього документу та всім, хто долучився до його розробки.
Безумовно, будемо посилювати співпрацю і з Держспецзв’язком, і з іншими суб’єктами забезпечення кібербезпеки в плані обміну індикаторами кібербезпеки, які можуть становити для нас цінність і про які нам варто знати.
Це об’ємна робота, яка на мою думку, повинна проводитись.
– Було щось втрачено з даних?
– Всі дані було відновлено.
– Нічого не було замінено?
– Реєстри відновлювались з останніх онлайн-копій баз даних, які були актуальними на час кібератаки.
Відновлення зайняло тривалий час, бо атака була спрямована саме на інфраструктуру. І ми не могли довіряти ніяким її складовим. Тому було прийнято рішення розгортати усю інфраструктуру з нуля. Вона розгорталась за кращими практиками на етапі кібератаки, які ми могли узгодити.
Етап запуску безпосередньо реєстрів був останній під час відновлення інфраструктури.
За той час, як після відновлення функціонують реєстри, до нас не надходило ніяких сигналів про те, що якась інформація в реєстрах видалена чи змінена.
– Після атаки в соцмережах розганялися поради щодо обов’язкової перевірки даних, які стосуються прав на нерухоме майно. Мовляв, нерухомість можуть переписати на інших осіб. Чи виявлено такі факти?
– Ми не бачили таких підтверджень і не отримували жодних сповіщень щодо таких кейсів.
В будь-якому разі незаконна заміна власника в реєстрі не має юридичної сили. А законний власник, якщо з’ясує, що щось змінене, може звернутись до Антирейдерської комісії при Міністерстві юстиції щодо поновлення даних в реєстрі на підставі документів, які в нього є.
КОЛИ ЗАХИСТ ПАРОЛЕМ НЕ РЯТУЄ
Ще минулого року, реагуючи на цю масштабну кібератаку, Служба безпеки України відкрила кримінальне провадження за статтею 438 Кримінального кодексу України (порушення законів і звичаїв війни). А днями, під час форуму "Держреєстри Мін'юсту: стратегічне значення, безпека та розвиток" віцепрем’єр-міністерка з питань євроінтеграції - міністерка юстиції Ольга Стефанішина заявила, що правоохоронці встановили відповідальних за атаку на держреєстри. За її словами, на сьогодні є розуміння внаслідок чого відбулась кібератака, як це було можливо здійснити та хто саме з боку ворога займався цим питанням.
Але деталей не повідомила, вочевидь, зважаючи на таємницю досудового розслідування, яке ще триває.
А представник Департаменту кібербезпеки Служби безпеки України Сергій Барабаш, теж не розголошуючи деталей розслідування, зазначив, що це була не просто кібератака. Це була добре спланована і продумана кібероперація.
"Це кібероперація, проведена проти цивільної інфраструктури, що заборонено навіть при веденні повномасштабної війни різними конвенціями. На жаль, ворог з цим не рахується", - розповів він.
За його словами, СБУ лише за минулий рік попереджено понад 2, 8 тисяч кіберінцидентів і кібератак різного рівня.
Ці кібератаки документуються як злочини, пов’язані з порушенням законів і звичаїв війни.
Загалом на форумі про деталі того, що відбулося під час наймасштабнішої кібератаки на держреєстри говорили мало – здебільшого про те, хто наразі має доступ до реєстрів, як розслідуються кіберінциденти і чи можна запобігти серйозним наслідкам, якщо виявляти шкідливу активність на ранній стадії.
Голова комісії Нотаріальної палати України з питань інформатизації, цифровізаціі, трансформації і запобігання кіберзлочинності Наталія Казаєва нагадала, що нотаріуси отримали доступ до державного реєстру речових прав на нерухомість в 2013 році. А за кілька років побачили протиправні дії в державних реєстрах, які були вчинені з використанням ідентифікаторів доступу нотаріусів. "Ніхто в це не повірив. Міністерство юстиції теж в це не повірило, - розповіла вона. – І ми працювали з колегами, які постраждали. Як це відбувалось? Нотаріуса відключали від реєстру, поки він не принесе в Міністерство юстиції ухвалу суду про те, що не винен. Тобто, нотаріус мав довести, що він не проводив цю реєстрацію. І у нас були колеги, які протягом року, а іноді і більше року, проходили цей важкий шлях".
За її словами, тоді ще не було досвіду реагування на такі інциденти, не всі розуміли, що треба шукати в комп’ютері нотаріуса і як доводити, що він не вчиняв протиправних дій. Адже, на перший погляд, вхід до реєстру був захищеним – нотаріуси мали логіни і паролі, також була двофакторна автентифікація.
Тому в 2015 році, за ініціативи президента Нотаріальної палати, було створено окрему комісію, яка б мала цими випадками займатися.
За її словами, члени комісії постійно навчаються, мають дипломи в сфері кіберзахисту. "Зараз у нас є розроблений алгоритм дій, своя внутрішня політика щодо того, як реагувати на інцидент, що має робити нотаріус. У нас чітко визначено, що має бути заява до кіберполіції щодо відкриття кримінального провадження, а також заява в ДП НАІС, що ключ скомпрометований і має були, звісно, заміна паролів. Також має бути заява до територіальних органів Міністерства юстиції, до Офісу протидії рейдерству – повідомлення про несанкціонований доступ. І повернення даних в реєстрі в той стан, в якому вони були до цього інциденту".
Вона також додала, що тепер нотаріусів не відключають від реєстрів на тривалий термін, у випадку кіберінциденту, вони можуть продовжувати свою професійну діяльність, допоки триває досудове розслідування, проводяться експертизи.
За її словами, під час повномасштабної війни збільшилась активність ворога. "Це не закінчиться ніколи, тому що ми живемо в часи технологічної революції. Ми вже в цьому процесі і вийти з цього не можемо. І зараз ми ще отримали штучний інтелект. Всі ці злами, інциденти, які відбувались в реєстрах з використанням реєстраторів, нотаріусів, не робила людина. Ми чітко відслідкували, що їх робить бот. Та швидкість, з якою змінюються данні в реєстрах…Ми фізично не можемо це повторити. Хоча реєстрації ми робимо щоденно 10-15 років. Ми з такою швидкістю не можемо робити ці переходи. Звісно, бот не додає скани, не додає документи – часто це так буває. Він використовує чуже рішення, чужу заявку. Він нічого не ідентифікує і не підписує, тому що використовує те, що вже підписано. Так воно було і далі буде ще складніше", – вважає вона. – Але я хочу наголосити, що ми маємо працювати однією командою, розуміти один одного, шукати шляхи, як протидіяти усьому цьому. Якби була розвернута якась система для всіх кінцевих точок… У нас дуже велика кількість людей має доступ до реєстрів. Це десь 7 тисяч нотаріусів, більш ніж 2 тисячі реєстраторів, а державних і приватних виконавців я навіть кількість не знаю. Плюс у нас є співробітники РАЦС. Так само фізичні особи – звичайні люди, які працюють в тому ж Міністерстві юстиції, в управліннях юстиції, які теж проводять реєстраційні дії. І вони теж не захищені з боку держави, яка б мала думати, що робити з кінцевими точками".
Як пояснив модератор цієї панелі форуму, у випадках, коли підключається бот, захоплюється повний контроль над робочим місцем людини, яка має доступ до реєстру, а для системи реєстрів це виглядає, як легітимний користувач. Тобто, він працює під тим самим паролем, логіном, в нього є той самий захищений носій в комп’ютері. При цьому він бачить все, що робить цей користувач.
Хоч, як розповів представник кіберполіції, серед нотаріусів є й ті, хто вчиняє протиправні дії, а якщо щось іде не так, заявляє, що їх "зламали".
За словами начальника третього управління департаменту кіберполіції Національної поліції Станіслава Самойлова, був випадок, коли досліджувався комп’ютер, з якого здійснювалась реєстрація, бо нотаріус заявляв, що його "зламали". У комп’ютері дійсно знайшли шкідливе програмне забезпечення, яке дозволяло отримувати неавторизований віддалений доступ. Але між часом внесення змін в реєстр і в логах встановлення цього програмного забезпечення була різниця в два дні. Тобто воно було встановлено після внесення змін в реєстр.
"Злочини, пов’язані з атаками на реєстри, не є унікальними з точки зору розслідування кібератак, - розповів він. – Ми так само маємо точку компрометації. Якщо ми кажемо про державних реєстраторів або нотаріуса, ми маємо робочі станції потенційних жертв, які були атаковані. З іншого боку, ми маємо записи в реєстрі, які засвідчують факт внесення змін, із зазначенням міток часу, ідентифікаторів користувачів, які вчиняли подібні дії. Тобто, повністю підтвердження ланцюгу вчинених дій".
Розповідаючи про методику розслідування кіберінцидентів, він пояснив, що спочатку проводиться аналіз та огляд робочої станції з метою фіксації наявних цифрових доказів. "За необхідності звертаємось до наших міжнародних колег та партнерів. І ця необхідність є майже у 100% випадків. Тому що хакерські угруповування, зокрема, і з російської федерації орендують серверні потужності і будують приватні віртуальні мережі для того, щоб уникнути прямої асоціації з державою-агресором. І міжнародна взаємодія є, мабуть, одним з ключових інструментів не лише протидії, але й розслідування подібних типів злочинів", - додав Станіслав Самойлов.
Ворог не полишає спроб дестабілізувати Україну будь-яким чином. Тому, як зазначила Ольга Стефанішина, Міністерство юстиції найближчим часом підготує і передасть на розгляд уряду низку законодавчих актів, які в першу чергу будуть спрямовані на подолання наслідків кібератаки, яка відбулась в грудні. "Ми зробили дуже багато висновків, розуміємо, що нам потрібно посилити", - зазначила вона.
Кібератака на державні реєстри показала, наскільки вразливою залишається цифрова інфраструктура України. Створення національної системи реагування на кіберзагрози і ухвалення нових законів — важливі кроки для її захисту. Однак наскільки ефективною буде ця система, залежить не лише від технологічних рішень, а й від того, чи зможе держава забезпечити ефективність роботи нових структур і сформувати відповідальне ставлення до кібербезпеки серед усіх, хто має доступ до реєстрів. Бо навіть найкращі технічні рішення не врятують систему, якщо в ній залишатимуться слабкі місця через людський фактор.
Тетяна Бодня, "Цензор.НЕТ"
