Позначка: Непетя

Три роки по кібератаці notPetya. Що змінилося?

Три роки тому ви прокинулися з кращим розумінням того, з чим спеціалісти з кібербезпеки мають справу щодня. З кібератаки notPetya 2017 року кожен зробив свої висновки: хтось правильні, хтось не дуже. Одне можна стверджувати напевне: ця історія не залишила осторонь нікого з користувачів комп‘ютерної техніки та мереж. Але сьогодні, у День Конституції України, нас в першу чергу цікавить, які висновки зробив уряд нашої держави.

На мою скромну думку, не зроблено рівно нічого з того, що можна і варто було зробити.

Спочатку, я поясню свою точку зору на ситуацію, щоб було зрозуміліше, хто вам це все пише. Формально, я працюю в галузі кібербезпеки з 2007 року, фактично – з 2005-го. Через освіту та особливості професійного виховання, я маю досить широкий кут огляду, адже отримую інформацію в основному з англомовних джерел в реальному часі, поки менш підготовлені колеги чекають на переклади та аналіз місцевих оглядачів. Однак, до 2014-го року я, як і більшість українських колег на той час, був досить тісно інтегрований в російськомовну професійну спільноту. Але скоріш наповнював її контентом – вів блог, записував подкаст, виступав на конференціях тощо – ніж споживав його. Протягом 2014-го, як багато хто з моїх друзів, я повністю ізолювався від російськомовного впливу та перевів власну медійну активність на українську, зменшивши аудиторію приблизно в 10 разів. Шість років потому я вважаю це правильним вибором, який призвів до зовсім неочікуваних позитивних наслідків, таких як заснування власної компанії, створення конференції NoNameCon та інших поступових рішень. Підсумовуючи, ви можете вважати мене кібербандерівцем, який має багату спільну історію з російською індустрією кібербезпеки.

Тому коли у 2017 році нарешті бомбануло – я був до цього морально готовий. Чи був такий тотальний ефект спланованим, для мене все ще загадка, але ескалація була логічною. Росія щонайменше з 2015-го демонструвала готовність в разі чого «вирубати» щось важливе. З метою демонстрації сили, надсилання дипломатичного сигналу на Захід, або просто випробування нових наступальних тактик в кіберпросторі. Власне з огляду на ці прояви агресії я й «прокачав» на той час раніше невідому мені галузь знань з кібербезпеки – міжнародні конфлікти та захист критичної інфраструктури. Очевидно, українські чиновники від кібербезу, цього не зробили. Не те, щоб я сподівався, що це допомогло б їм краще протистояти російській агресії, ні. Але це дало б їм змогу скористатися кризою захисту для накопичення наступального потенціалу.

Бо на мій погляд, у 2017 році Україна була в ідеальній ситуації, щоб на урядовому рівні зробити три важливі речі:

  1. Створити доктрину кібербезпеки, яка включає захисні та наступальні заходи. В ситуації, коли ми були жертвою тотальної агресії, міжнародна спільнота сприйняла б це схвально, і скоріш за все навіть допомогла б матеріально. Але ми не скористалися цим приводом, тому у 2020-му нарешті проводимо перші більш-менш підготовлені кібернавчання (до речі, організовані приватними особами), а не застосовуємо сучасні засоби отримання стратегічної інформації (також відомі як кібершпіонаж) в процесах прийняття рішень першими особами.
  2. Здійснити «мобілізацію» професіоналів кібербезпеки навколо оборонних завдань держави та створити в професії культуру ефективної протидії стратегічним загрозам. Хвилю патріотичного піднесення в спільноті на той момент переоцінити важко: навіть найпрактичніші скептики погоджувалися, що робити це треба негайно, щоб наступного разу бути готовими не лише захищатися, а й завдавати удар у відповідь. Одним з приємних наслідків цього піднесення було створення першої редакції конференції NoNameCon, але увага державних діячів до неї була досить стриманою. Силовики, напевно, і досі вважають, що «науково-практичні» змагання з синхронного надування щік – це те, що допоможе їм підготувати кваліфіковані кадри.
  3. Вийти на прямий діалог з хактивістами та іншими грейхетами усіх мастей та напрямків. Ви уявляєте собі, яким нереальним дивом є Український кіберальянс? Ні, ви майже напевно собі цього не уявляєте. Зібрати хакерів в групу – майже неможливо. Група хакерів це нонсенс, це як групова фотосесія котів. Редтімери занадто незалежні, щоб щось довго робити разом. В кожного є власна думка і майже ні в кого немає навичок добре поводитися в пісочниці. (Саме тому кожен раз, коли я чую вираз «хакерська тусовка» я внутрішньо посміхаюся.) І ось на тлі цього броунівського руху виникає не просто група патріотично мотивованих хакерів, — виникає альянс з кількох таких груп. І що ви думаєте, уряд радіє і починає використовувати цю громадську ініціативу в інтересах держави? Зовсім ні. Натомість, за Порошенка державні органи обмежуються мовчазною угодою про «повне взаємне ігнорування», а за Зеленського — переходять до репресій. Адже професія «хакер» небезпечна зокрема тим, що внаслідок моральної застарілості та недосконалості законодавства, «створити проблеми» можна будь-кому з нас – головне знайти достатньо енергійного слідчого та достатньо близькозорого суддю.

Україна мала шанс і вона ним не скористалася. Естонія мала схожий шанс за значно менш драматичних (читати: сприятливих) обставин – і скористалася ним по повній. Але в України інший шлях. Які були причини цього гальмування – мені не відомо. Можливо, в уряді просто не знайшлося людини, яка на належному рівні володіє предметом. Можливо, така людина знайшлася, але ініціатива обламалася через тодішню звичку перших осіб всі наступальні ініціативи спершу узгоджувати з «західними партнерами». А дарма – просити вибачення значно простіше, ніж дозволу.

Три роки по неПєті ми все ще не маємо належного захисту критичної інфраструктури та кваліфікованого кібервійська в країні, яка, напевно, найбільше цього потребує. Як я вже неодноразово казав, якщо світ кібербезпеки уявити собі дитячим майданчиком, то десь на лавочці Китай та Ізраїль грають в шахи, поруч з ними США, Британія, Німеччина, та інші союзники грають у шашки, десь збоку Росія, Іран та Пн. Корея грають в «Чапаєва», а посередині цього дійства сидить Україна і тримаючи лобзика в правій руці намагається відпиляти ним ліву.

З Днем Конституції.

Атрибуція кібератак: довге та невдячне доведення очевидних фактів

У зв’язку з останніми гучними заявами МЗС Великобританії та Білого дому, в яких вони напряму звинувачують Російську федерацію в здійсненні минулорічної кібер-атаки з використанням вірусу #NotPetya, вкотре повертають нас до питання атрибуції кібератак.

МЗС Сполученого королівства та Адміністрація Президента США одностайні в тому, що минулого року Росія за допомогою своїх військ свідомо вчинила кібер-напад на Україну з метою заподіяння шкоди нашій економіці та дестабілізації політичних процесів в нашому суспільстві. Розумію, для більшості читачів ці слова звучать як стара пластинка, тому що це вже багато разів обговорювалося спеціалістами з кібербезпеки, включаючи вашого покірного слугу. Є документальні та відео докази того, що спільнота професіоналів кібербезпеки ще 8 місяців тому була впевнена в тому, що російська федерація є кінцевим бенефіціаром та виконавцем цієї кібератаки. Чому ж офіційному Білому дому та МЗС Великобританії знадобилося стільки часу для того, щоб зробити відповідні висновки та політичні заяви?

Для початку відповім на інше запитання, яке дуже часто лунає від читачів та журналістів. Як ми взагалі можемо бути впевнені в тому, що та чи інша держава або група нападників є авторами певної кібератаки? Коротка відповідь: ніяк. Річ у тому, що якщо атака здійснюється високопрофесійними агентами загроз, які мають доступ до майже необмеженого бюджету, та виконують усі настанови дисципліни “операційна безпека” (OPSEC), провести стовідсотково точну атрибуцію кібератаки буде практично неможливо. Тобто, іншими словами, ми ніколи не будемо на 100% впевнені, хто здійснив кібератаку, якщо будемо володіти лише інформацію доступною її цілі.

Встановлення атрибуції кібератак можна порівняти із теоретичною фізикою. Так-так не смійтеся. Як багатьом відомо, хороша фізична теорія пояснює наші спостереження в навколишньому світі, та одночасно може якісно передбачити майбутні спостереження та результати експериментів. Але спільна риса усіх фізичних теорій полягає в тому, що жодна з них не може бути до кінця доведена. Теорія існує лише до того моменту, коли буде здійснено спостереження, яке вона не в змозі пояснити. І тоді настає момент, коли теорію необхідно або узагальнити (як це було з ньютонівською фізикою на початку минулого століття, коли Айнштайн запропонував Спеціальну теорію відносності), або повністю реформувати та запропонувати нову теорію та інтуїцію для її сприйняття (як це відбулося трохи пізніше, коли той самий Айнштайн висунув Загальну теорію відносності).

Так само і в кібер-розвідці. Аналітики провідних розвідувальних агенцій займається тим, що спостерігають факти та будують гіпотези, які згодом підтверджуються спостереженнями та перетворюється на теорії, які використовуються до тих пір, поки вони підтверджуються фактами. Як і у випадку з теоретичною фізикою, кількість цих фактів дуже велика, а якість — дуже й дуже висока. Та коли в теорії знаходяться протиріччя, вона скасовується та починається розробка нової.

Повертаючись до МЗС Великої Британії та прес-секретаря Білого дому. Чому Вова Стиран та інші українські спеціалісти з кібербезпеки вже 8 місяців впевнені в тому, що саме Росія здійснила кібер-атаку 27 червня, а офіційним особам потрібно аж стільки часу, щоб заявити то саме? Тому що, така заява, як і справжня фізична теорія, в майбутньому передбачатиме дуже багато важливих подій. В контексті окремих експертів кібербезпеки ці події очевидні: ми так само будемо звинувачувати Росію, ми так само будемо вказувати на необхідність адекватного кібер-захисту, ми так само будемо розвивати професійну спільноту, щоб кібербезпека нашої держави стала можливою та ефективною. В контексті ж світових лідерів ці події зовсім інші. Вартість їхньої помилки відіб’ється не лише на їхній репутації, а на долях людей, тому ставки та ризики в них набагато вищі.

Але в той момент коли уряд держави, впевнено покладаючись на рекомендації своїх розвідувальних агентств, робить такі різкі дипломатичні заяви, ми мусимо готуватися до сюрпризів. Які саме несподіванки приготували нам західні партнери, ми з вами ще побачимо. Але вже зараз очевидно, що у розвідок співдружності 5 Eyes є достатні, можливо навіть прямі, докази нашої теорії.

Висновки після notPetya

для керівників вищої ланки

Мене тут увесь день питали, тому коротенько про висновки, які мають зробити біг-бада-боси, з усього, що сталося.

  1. Інформаційна безпека (ІБ) це не антивірус і не фаєрвол. ІБ це агрегатний стан. Ви або в змозі триматися до купи, або розтікаєтеся по підлозі. Щоб не розтектися, треба ІБешить.
  2. ІБшить мають ІБшники. ІБешники це професія; адмін, програміст, секретар, перекладач, кур’єр — це інші професії, їх не можна примусити ІБшить продуктивно.
  3. Досвідчені ІБшники коштують дорого. Можна взяти молодого і виростити, але вийде ще дорожче. Оптимально буде взяти декілька досвідчених і нехай вирощують молодих.
  4. ІБшникам треба давати бюджет. Не те, що лишилося від бюджету ІТшників, а окремий бюджет, який вони в змозі логічно обґрунтувати за допомогою оцінки ризиків та чинних норм законодавства. І не половину, не третину того що вони обґрунтують, а весь.
  5. ІБшники повинні ІБшить, а не писати RFP на тендери, щоб найняти інших ІБшників, які будуть ІБшить замість них. Безпека це не прок’юрмент. Деколи ІБшникам потрібна допомога інших ІБшників ззовні. Деколи вона необхідна. Але коли ІБшники займаються виключно освоєнням бюджету — “на фіг” пишеться окремо.
  6. Сертифікат це не доказ безпеки, це шматок зіпсованого паперу. Абсолютно непотрібна в побуті річ, тому що ламінована і погано гнеться. Комплаянс це не безпека (точніше, це безпека сраки керівника від гніву регулятора, не більше). Щасливий аудитор це не безпека. “Зелений” звіт про пентест це не безпека. Безпека це коли досвідчений ІБшник, який читає зранку під каву скорельовані логі, бухтить собі під ніс: “– Як малі діти, єйбогу.”
  7. Безпека це головняк Генерального директора, чи як у вас там на візитці написано. Не ІБшників, не COO, не CFO, не борда, а вищої виконавчої влади в корпорації. Можна делегувати цю функцію, але не можна делегувати відповідальність за неї. Кіберполіція не прилетить на ракеті та не врятує вас від хакерів. Безпека — це +1 бізнес-процес та +1 параметр кожного бізнес-процесу.
  8. Будьте готові до інциденту до того, як він настане. Нормальні ІБшники вас до нього підготують. Але майте під рукою плани Б і В, тому що вони знадобляться. Вас хакнуть. (Вас скоріш за все вже хакнули: якщо вас ще не хакнули, це означає, що ви робите щось дуже незначне та нікому не цікаве). Але якщо ви не вважаєте, що ваш бізнес повинен завершитися на першому ж зламі, будьте до нього готові.
  9. Майте під рукою кризову піар-стратегію. “Ми нічого не знаємо” це не стратегія. “В нас все добре” це не стратегія. “Ми не винні” це не стратегія. “Майкрософт та інші вендори помиляються, а ми говоримо правду” це не стратегія. Стратегія, це: нас зламали — так; ми вибачаємося за це перед усіма, кому це завдало шкоди; і ми зробимо усе що в людських силах для того, щоб винести максимум уроків з цього зламу та не дозволити цьому повториться знов. Саме ваша піар поведінка під час кризи демонструє ваше справжнє ставлення до клієнтів.

Бережіться.