Кто они — киберзащитники Украины? Репортаж из штаба CERT-UA

Только 15 мая 2014 года CERT-UA был впервые упомянут в Законе Украины — до этого о команде мало кто знал, хотя на самом деле она функционирует в составе Госспецсвязи с 2007 года. Публичности украинские киберзащитники не любят поэтому в СМИ почти не фигурировали. Однако AIN.UA удалось проникнуть в самое сердце отечественной «киберкрепости» и пообщаться с теми, кто стоит на страже информационной безопасности государства.

2014-05-28-12.jpg

Журналистов на входе в Госспецсвязи встречают сотрудники — в здание пускают только по пропускам, на входе женщина в военной форме записывает паспортные данные

Подполковник Госспецсвязи, начальник Государственного центра защиты информационно-телекоммуникационых систем Игорь Козаченко:

«Структура военизированная, мы здесь все имеем звания, только мы не военные и не милиция — мы специальная служба. Сюда вообще журналистов не пускают. Это третий раз за всю историю ведомства, и то прошлые два были в день открытых дверей».

Фотографировать нельзя — сотрудники CERT-UA не любят публичности. Познакомиться лично удалось только с их руководителем Иваном Соколовым, а комнату, где располагается команда реагирования, не показали — на мониторах сотрудников конфиденциальная информация, ее фиксировать нельзя.

Мировое признание CERT-UA

Команда реагирования на компьютерные угрозы в Украине начала зарождаться еще в 2000-х — тогда при Департаменте специальных телекоммуникационных систем и защиты информации СБУ появился государственный центр безопасности, на который возлагался ряд функций по информационной защите. Операторам связи он не нравился — его воспринимали, как спецслужбу, которая шпионит за пользователями.

Виктор Лещук, заместитель начальника Государственного центра защиты информационно-телекоммуникационых систем Госспецсвязи:

«Изучая опыт многих стран мира мы поняли, что нам лучше уйти от системы правоохранительных органов и СБУ и работать в секторе государственных органов, имеющих регуляторные функции. Так это организовано во всем мире. В 2005 году эту необходимость определил Указ Президента Украины «О соблюдении прав человека во время проведения оперативно-технических мероприятий». И с 2006 года в структуре Госспецсвязи был создан государственный центр защиты ИТС, в состав которого вошла команда реагирования на компьютерные угрозы CERT. Структура возникла, но в области кибербезопасности мы поехали изучать мировой опыт».

Первая командировка украинской команды была в финский CERT, созданный при государтсвенном министерстве связи. Финны тогда уже обладали значительным опытом в сфере кибербезопасности и имели аккредитацию международной организации FIRST (Forum of Incident Response and Security Teams), которая объединяет все «церты» мира (на сегодня их 304) и определяет правила, которые они должны соблюдать. Если какой-то CERT не отвечает заявленным стандартам, то может лишиться аккредитации.

Аккредитация FIRST для команды реагирования означает признание другими «цертами». Процесс ее получения может затянуться на пару лет — нужно не только продемонстрировать высокий уровень команды, но и получить рекомендации от нескольких членов FIRST. Первыми поручителями украинской команды стали финны, а сегодня CERT-UA — не просто достойный участник FIRST, но и одна из лучших команд, как показывают последние совместные «кибер-учения».

В FIRST «церты» не только делятся опытом, но и напрямую сотрудничают. Например, если российский CERT фиксирует атаку из Украины, он передает данные в CERT-UA. Украинская команда расследует инцидент, после чего дело передают в СБУ, и правоохранители привлекают виновных к ответственности. Аналогично, если CERT-UA фиксрует нападение российских хакеров, она обращается к российской команде. Тут-то и возникает проблема.

Украинцы добросовестно выполняют свои функции, а вот у россиян особого рвения сотрудничать не наблюдается

Виктор Лещук: «Коллеги из российского CERT формально выполняют свои обязательства перед FIRST и перед нами — они передают в местные правоохранительные органы наши наводки на киберпреступников, которые атакуют украинские ресурсы. Но ФСБ и МВД отрабатывает далеко не все инциденты. Правила соблюдены, а по факту хакеры продолжают осаждать Украину и никто против них никаких действий не предпринимает».

Кибернаступление из России: случай с Ярошем

За последние месяцы в CERT-UA фиксируют значительный рост атак со стороны России. Одним из ярчайших примеров стала попытка российского телевидения силами хакеров дискредитировать выборы в Украине. В Госспецсвязи исследовали атаку и нашли в ней явные следы телеканала ОРТ, который в горячке выпустил сюжет об инциденте, так и не состоявшемся по факту. Речь идет о якобы победе лидера «Правого сектора» Дмитрия Яроша на выборах президента Украины.

40607)3.jpg

Скриншот, который ОРТ хотели показать на сайте Украинского ЦИК, да не вышло

Виктор Лещук: «Кибератаки на ЦИК во время выборов происходят постоянно, начиная с 2004 года. Но впервые в истории они направлены не та то, чтобы сорвать или сфальсифицировать, а на то, чтобы дискредитировать выборы в Украине. Они внедрились в систему непосредственно перед выборами и ждали, что система даст сбой. Однако CERT-UA вовремя обнаружила подлог и предприняла меры по локализации этого инцидента».

Сейчас команда готовит полную подборку информации для следственных органов, а пока выпустила статью о том, как команде удалось найти и обезвредить вброс ОРТ. В CERT-UA предполагают, что канал просчитался с исполнителями — заказали услуги не очень «дорогих» хакеров, которые не смогли завершить начатое.

В противостоянии с российскими хакерами, которые атаковали ЦИК и систему «Выборы», команде CERT-UA помогали интернет-провайдеры — с киберзащитниками они сотрудничают давно и плодотворно.

Кибернаступление из России: Уроборос

Второй знаковый случай — нашумевший вирус «Уроборос». Также его называют Trula, Snake, Red October, Flame — все это формы зловреда Agent. BTZ, известного уже лет семь. Он полиморфен, и ранее обнаруживался командами других стран, которые давали ему разные названия. Однако последний эпизод мировые эксперты признали военной кибероперацией против Украины по заказу российского правительства.

Атака поразила десятки украинских компьютерных сетей, включая правительственные, и стала одной из самых сильных среди зафиксированных в мире за последние несколько лет. Английские эксперты обнаружили, что вирус обладает очень высоким уровнем сложности, гибок и может развиваться — в нем присутствуют как известные, так и новаторские технологические функции.

Несмотря на то, что в «Уроборосе» нашли следы Москвы, доказать, кем и с какой целью производилась данная серия атак, почти невозможно.

Иван Соколов, руководитель CERT-UA:

«Тяжело установить, кто на самом деле атакует. И даже если эта атака производилась с территории Российской Федерации — это еще ничего не значит. Такие атаки на Украину ведутся постоянно, часто из России, но мы учимся с ними справляться.

Но кибервойна — это не только защита, но и нападение. У нас нет опыта кибератак — мы не воюем, мы только защищаемся.

Полноценного участия в кибервойне, которую нам навязывают, мы принимать не можем»

Угрозы таких масштабов, как «Уроборос», в CERT-UA имеют статус киберопераций. Это атаки или серии атак, которые могут нанести существенный ущерб вплоть до инфраструктурных повреждений и парализовать работу таких жизненноважных объектов, как системы водо-, электро- и теплоснабжения. Чаще всего такие угрозы взаимосвязаны и носят системный характер.

Начинаются они с кибер-разведки — хакеры внедряются и наблюдают, как скоро и каким образом реагирует оппонент. Когда атака блокируется, они переписывают вирус и CERT приходится иметь дело с уже совсем другим ПО. Здесь, как и в реальной войне, бои идут за позиции — цель вражеских войск продвинуться вглубь, а цель защитников — отогнать их как можно дальше.

Иван Соколов: «Такие нападения не совершают простые хакеры или даже группировки, потому что на них нужны огромные ресурсы. А спецслужбы готовы тратить на это много денег».

КиберУкраина в законодательной базе

В последнее время CERT-UA все чаще фиксирует случаи, имеющие характер киберопераций. Часто они направлены на Министерство иностранных дел или украинские посольства в других государствах, а также против центральных органов исполнительной власти Украины. Команде неоднократно приходилось противостоять крупным акциям. Например, из-за атаки на датацентр «Парковый» была практически парализована работа Бортнической станции аэрации, чьи системы хостились на этих серверах. Аналогичная ситуация на атомной станции угрожала бы Украине техногенной катастрофой. И хоть наша страна недостаточно компьютеризирована, это реальная угроза.

Иван Соколов: «Мы как-то проводили аудит информационной безопасности на одной из крупных электростанций. Там в сети около 10 000 компьютеров, и системами защиты все напичкано от пола до потолка. С мобильным телефоном туда не зайдешь. Так вот, когда мы представили им результаты нашего аудита, они были шокированы, потому что думали, что у них все хорошо. А на самом деле это не так».

Чтобы понять, где делать аудит информационной безопасности в первую очередь, правительство Украины уже давно пытается родить закон о кибернетической безопасности. Писали его по очереди несколько ведомств — сначала СБУ, а теперь МВД. И вот, наконец, проект закона разместили на сайте Верховной Рады, но вопросы кибербезопасности в нем не урегулированы, поэтому проект нуждается в существенной доработке. Кибербезопасность лишь упоминается в базовых определениях, а сам закон касается регулирования распространения информации в СМИ. Поэтому Госспецсвязи будет настаивать на том, чтобы в нем был учтен опыт работы ГЦЗИТС или необходимости подавать отдельный проект закона «О кибербезопасности».

В этом законе CERT-UA представил перечень объектов критической информационной инфраструктуры, которую важно защитить от кибератак в первую очередь ради безопасности государства. Проблема в том, что согласно законопроекту их защитой занимается СБУ, МВД и даже Госпогранслужба, но не Госспецсвязи и CERT-UA

1113_5.jpg

Второй «блокпост» с проверкой документов находится непосредственно на входе в департамент защиты ИТС

Тем не менее, это первый законопроект, в котором появляются такие слова как «киберугроза» или «киберпреступник» — раньше в органах хакеров называли длинным набором слов — «субъект, который осуществляет несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи».

До этого законопроекта единственным документом, который хоть как-то регулировал киберпространство в Украине, была международная конвенция про кибепреступность. Кстати, в отличие от Украины, Россия для себя ее не ратифицировала и никаких сдерживающих факторов в кибердеятельности государства, кроме внутренних (все мы знаем, что такое законы РФ), у нее нет.

Украинские чиновники не хотят, чтобы их «киберзащищали»

CERT-UA проводит аудиты не только в государственных, но и коммерческих структурах. Причем, реагирование на угрозы и ликвидацию инцидентов команда осуществляет бесплатно даже для коммерческих структур.

Виктор Лещук: «За границей, например, аудит информационной безопасности в банке стоит от $50–200 тыс. Я давно пытаюсь добиться от правительства, чтобы нам разрешили зарабатывать на коммерческом аудите и приносить деньги в бюджет, но пока безрезультатно».

На самом деле именно из-за нерадивости и медлительности украинской власти наши госорганы постоянно страдают от кибератак. По законодательству они должны обращаться в Госспецсвязи при первом же сигнале тревоги. Но они этого не делают.

Иван Соколов: «Если кто-то прорвался в их систему — значит это их „косяк“. Поэтому каждое ведомство хочет создать такую команду, как наша, у себя внутри — чтобы, когда упадет сайт или случится несанкционированный доступ, они смогли разобраться своими силами и, как говорится, „не выносить сор из избы“. Как правило, у них это происходит очень долго и неэффективно, но ведь в киберпространстве счет идет на секунды!

Чем крупнее ведомство, тем сильнее нежелание его чиновников обращаться к нам

В итоге они звонят через две недели после атаки, когда базы данных уже взломаны и скопированы. Все, что нам остается — это прийти и реанимировать систему. Чтобы на должном уровне защищать госорганы, нужно, чтобы чиновники не боялись признать свои ошибки и вовремя к нам обращались. Потому что лезть в систему без санкций владельца информации мы не можем».

Украина — безнадежный лузер в информационной войне

Против Украины ведется масштабная информационная война со стороны России. Провластные СМИ, которые составляют абсолютное большинство в РФ, ведут активную пропаганду против нашей страны. И Украина должна не оправдываться, а действовать на упреждение, уверен замглавы департамента защиты ИТС.

Виктор Лещук: «Если тебя уже втолкали в грязь — отмыться нереально. Мы не должны ждать, пока они распространят о нас очередную ложь и робко оправдываться. Мы должны сотрудничать со СМИ, блогерами, интернет-сообществом, чтобы доносить факты до людей. Так же, как это делает бизнес. Закрываться можно только тогда, когда лишняя информация может быть использована врагом против нас. Только так можно противостоять пропаганде, когда промывается мозг не только россиянам, но и всему миру. Когда военные действия ведутся в физическом пространстве, они ограничены кордонами страны. В информационном пространстве они ничем не ограничены.

В начале 2000-х, когда я был консультантом при Госспецсвязи, я очень тесно работал с журналистами, а сейчас этого не делается. Хотя СМИ начинают доносить до украинцев, что такое информационная война и насколько она опасна. Люди на себе это чувствуют, когда даже их родственники в России уверены, что здесь «озверевший конвой доедал беглеца».

uiA9uF4G7zY_6.jpg

Когда информацию используют как оружие, распространяя фальшивые заявления, чтобы дискредитировать Украину — в CERT-UA это называют «социальным терорризмом». В нашей стране этим занимается организация «КиберБеркут», обезвредить которую команда реагирования не может — это задача СБУ.

Виктор Лещук: «Мы не имеем функций правоохранительных органов. Если бы имели, могли бы обращаться в суды, возбуждать уголовные дела, сопровождать и доказывать. Мы бы хотели иметь свою лабораторию и выступать экспертами в суде. Но пока нет законодательства о киберпреступности, и суды не могут назначать такие экспертизы, поэтому наши результаты не являются значимыми. В СБУ нам говорят: «Ребята, эти ваши крючечки, значки и скриншоты — это не доказательная база, суд это не примет».

Компьютерщик без компьютера

Как и прочие украинские госструктуры, CERT-UA страдает от недофинансирования. Особенно с тех пор, как в Украине приняли антикризисный закон, в рамках которого сократили госзакупки.

Иван Соколов: «Нам нужна сильная система защиты, которая позволить уберечь Украину от поражения в кибервойне. А правительство запретило нам даже компьютеры покупать! Команда реагирования на компьютерные угрозы не может выполнять свои обязанности без компьютеров. Конечно, я люблю свою работу, понимаю, в каком экономическом положении оказалась страна и готов это пережить. Но это как минимум странно.

Sokolov_7.jpg

Все говорят, что Украина уже фактически проиграла информационную войну, тем не менее по номеру 565 мы скидываемся на «калаши» и бронежилеты. В ЦИК сидели автоматчики около серверной. И я с улыбкой спросил у них — мимо вас кто-то проходил? Они сказали — нет. Но я то знаю, что проходили, и все, что нужно, уже сделали. Можно обставить серверную БТРами по периметру, но это не поможет — сайт все-равно покажет, что у Яроша 37%.

Виктор Лещук: «Украина должна перестроиться и понять, что она не тем оружием воюет и выигрывет не ту войну. Война ведется в киберпространстве. В России очень хорошо понимают, что информация — это оружие, а у нас нет».

Еще интересное

Американские власти предъявили обвинения владельцам и операторам электронной обменной системы Liberty Reserve в отмывании 6 млрд долларов.
Брайан Кребс нашел на подпольных форумах информацию о взломе компании, которая предоставляет услуги проката лимузинов на территории США
Экс-директор ЦРУ и АНБ США генерал Майкл Хейден считает Эдварда Сноудена не предателем, а перебежчиком.

Ракета-носитель Delta 4 с двумя американскими спутниками-шпионами GSSAP стартовала вечером в понедельник, 28 июля, с космодрома на мысе Канаверал. Об этом сообщает Associated Press.

The Washington Post опубликовало результаты внутренней проверки АНБ, предоставленные Эдвардом Сноуденом.
1 января 2014 года все госреестры станут открытыми. Такой законопроект уже подготовил Минюст.