ДП «ЕС ЕНД ТІ УКРАЇНА» у ЗМІ

Чому кіберзагрози стали важливою частиною сучасного життя  

Сучасний світ невід’ємно пов’язаний із інформаційними технологіями. Ми звикли отримувати інформацію про навколишній світ, дивлячись в екран смартфона або ноутбука: з них ми дізнаємося яка погода, яку дорогу вибрати, що відбувається в світі, курси валют, вартість акцій, які справи сьогодні заслуговують на увагу. Можливість отримувати інформацію та швидкість, з якою ми її отримуємо, впливають на наше реальне життя. Так само, інформація є частиною підприємницької діяльності. У зв’язку з цим, захист інформаційних систем (далі ІС) від кіберзагроз стає одним з ключових завдань для успішного функціонування бізнесу.  

У грудні 2011 року на світові екрани вийшов фантастичний серіал «Чорне дзеркало». Його головна ідея полягала у тому, що людина за допомогою дій у кіберпросторі суттєво впливає на реальність. Ідея знайшла багато фанатів, а серіал став популярним: було знято п’ять сезонів. Кожен з сюжетів серіалу будувався навколо дій у кіберпросторі, які напряму впливали на життя окремих людей і цілих країн. Проте фантастика стала реальністю задовго до початку зйомок «Чорного дзеркала». Поступово, з часу організації мережі Інтернет і до наших днів, кіберпростір, як мережа для обміну інформацією, перетворився на інструмент впливу на  реальність, в якій дії окремих хакерів та/або кіберугрупувань можуть призвести до цілком реальних подій та катастроф. Наведемо деякі з відомих прикладів:

• Діяльність кіберпідрозділив західних спецслужб проти шпигунської діяльності КДБ СРСР призвела до потужного вибуху газопроводу Уренгой-Сургут у 1982 році, коли робота шкідливого програмного забезпечення (далі ШПЗ) призвела до помилок в роботі програми автоматизації технологічних процесів газопроводу (SCADA).
• Діяльність кіберпідрозділив західних спецслужб  проти Іранського центру збагачення урану у 2008 році. За допомогою вірусу Stuxnet в Ірані було зруйновано тисячі центрифуг виробництва збагаченого урану компанії Siemens, що призвело до уповільнення ядерної програми на декілька років та значних фінансових втрат.
• Вплив хакерського угрупування Sandworm, а фактично кіберпідрозділу ГРУ ГШ рф, на енергетичну мережу України у 2015 році. Системи SCADA зазнали атаки ШПЗ BlackEnergy3, що в подальшому призвело до тимчасового припинення електропостачання для великої кількості кінцевих споживачів трьох компаній обленерго.
• У червні 2017 року ШПЗ CrashOverride було використане для атаки на електроенергетичні системи в Україні. Цей вірус також відомий як Industroyer. Це перше відоме шкідливе програмне забезпечення, спеціально розроблене для атаки на системи управління енергетичними мережами.

Атаки на системи комп’ютерного керування технологічними процесами (SCADA) є постійною загрозою з моменту поширення цих систем на виробничих підприємствах у всьому світі,  проте зараз не тільки системи SCADA під загрозою. Так само за допомогою інформаційних технологій та кібератак злочинні угрупування та ворожі спецслужби намагаються втручатись у політичні та економічні процеси:

• 2016 рік: атака на інформаційні системи та окремі поштові сервери демократичної партії США з метою компрометації кандидата під час президентських виборів. У 2018 році міністерство юстиції США висунуло звинувачення проти 12 російських військових з ГРУ ГШ рф за хакерські атаки під час виборів 2016 року.
• 2017 рік: атака за допомогою вірусів WannaCry та NotPetya на український корпоративний сектор, що призвело до значних фінансових та репутаційних збитків.
• У грудні 2023 року відбулась атака на Київстар, відповідальність за яку взяло на себе російське хакерське угруповання «Солнцепёк», що тісно пов’язане з Sandworm та ГРУ ГШ рф. В ході атаки, яка тривала починаючи з травня 2023, хакери отримали доступ до ключових вузлів інфраструктури «Київстар» — контролера домену та сервісів віртуалізації, які в подальшому були видалені, що призвело до збою в роботі транспортної мережі та можливості надання компанією сервісів своїм замовниками. По всій країні у абонентів «Київстар» зник мобільний зв'язок та інтернет, при цьому користувачі не могли приєднатися до мереж інших операторів у рамках внутрішнього українського роумінгу. Зв'язок зник у більше ніж 24 мільйонів абонентів. Збої виникли у всього обладнання, яке використовувало зв'язок «Київстар», і це призвело до серйозних інфраструктурних проблем по всій Україні.

Спеціалісти Державної служби спеціального зв'язку та захисту інформації України (ДССЗЗІ) у своїх щорічних звітах підсумовують статистичну та методологічну інформацію стосовно атак та спроб атакувати державні та деякі комерційні інформаційні системи. Аналізуючи статистику 2022 року, який був дуже складним у всіх сенсах: початок війни, широкомасштабні бойові дії, захоплення частини країни, можна побачити, що зазнали численних атак і українські інформаційні системи. За інформацією ДССЗЗІ, загальна кількість зареєстрованих кіберінцидентів у порівнянні з 2021 роком збільшилась у майже 3 рази, а кількість використання нових унікальних  вірусних сигнатур в таких атаках перевищила 87 тисяч, що було у 18 раз більше за попередній рік. Головними цілями залишились фінансовий сектор та об’єкти критичної інфраструктури; особливу увагу кіберпідрозділи росіян приділяли органам державного управління, логістиці та військовим частинам.

Ці атаки стали важливими випробуваннями для національної системи кібербезпеки. Наведені приклади це лише найбільш відомі випадки дії того, що зараз має назву Advanced Persistent Threat (АРТ) – угрупування висококваліфікованих, добре оснащених хакерів для виконання деструктивних дій у кіберпросторі, які проникають в інформаційні системи з метою саботажу та/або викрадення інформації. Найчастіше джерелами APT є спецслужби – установи, що фінансуються з державних бюджетів та мають цілі, що виходять далеко за межі звичайної кіберзлочинності: військова розвідка, економічний саботаж, промислове шпигунство, фінансові махінації, політичні маніпуляції.

Зазвичай описати сценарій роботи APT можна за допомогою приблизно такого lifecycle:

• Все починається з вибору цілі, наприклад, державних органів, що впливають на прийняття управлінських рішень, об’єктів критичної інфраструктури тощо. 
• Пасивна розвідка, отримання інформації про публічні сервіси компанії (web, mail, git, vpn тощо), системи захисту ІС та користувачів. Збір відбувався через відкриті джерела (OSINT), корпоративні сайти/сервіси, соціальні мережі, такі як Meta/LinkedIn та спеціалізовані сервіси на кшталт Shodan.io.
• Активна розвідка – сканування сервісів на наявність вразливостей в програмному забезпеченні або архітектурі та організації ІС.
• Аналіз отриманої інформації та вибір вектору атаки.
• Підбір інструментів (с2, вірусів та експлойтів), розробка сценарію їх використання та побудова інфраструктури для проведення атаки.
• Експлуатація вразливостей. Це може бути використання експлойтів до знайдених вразливостей, або відправка фішингових листів, або поштових повідомлень, або повідомлень у месенджерах, що містять вірус. Головним завданням зловмисників на цьому етапі є проникнення в середину ІС.
• Горизонтальне просування у враженій ІС з пошуком вразливих внутрішніх сервісів, закріплення та створення легального каналу, який не буде привертати увагу айтішніків або спеціалістів ІБ.
• Вертикальне просування, головне завдання якого полягає в отриманні найвищого рівня привілей в системі та пошук і скачування таємної/конфіденційної інформації.
• Використання отриманих можливостей. Після досягнення результату коло повторюється для виконання іншої задачі на іншій цілі.

Спеціалісти ДССЗЗІ виявили показову тенденцію надання переваги спробам повторних атак. Хакери повертаються до попередніх цілей, якими володіють, і використовують як плацдарм для продовження експансії в інші пов’язані ІС. Такий підхід дає зловмисникам можливість стратегічного планування майбутніх операцій і прогнозування реакції захисників ІС. Заздалегідь знаючи про мережеву інфраструктуру, захисні заходи, ключовий персонал і моделі комунікації організації-жертви, нападники мають істотну перевагу, коли йдеться про повернення до цілей, скомпрометованих у минулому. Іншим важливим аспектом є те, що існують організації, що мають інформаційну, медійну, розвідувальну або іншу цінність для супротивника, тож він всілякими засобами намагається отримати або повернути собі доступ до необхідних йому джерел інформації.

Головним інструментом атаки в першу чергу є соціальна інженерія – фішингові листи та повідомлення з вірусами, які зорієнтовані на непідготовленого та вразливого користувача, що по звичці перейде по посиланню або відкриє «завірусований» документ в себе на комп’ютері. Є і інші чинники, що дозволяють зловмисникам отримувати доступ всередину ІС. Серед них варто зазначити відсутність координованості або взаємодії між відділами ІТ та ІБ, що призводить до несвоєчасного оновлення ПО та ОС. Цим, в свою чергу, можуть скористатись зловмисники.

Praemonitus, praemunitus — «попереджений, озброєний»

Методики захисту. Як зменшити ризики атаки на ІС?  За допомогою яких методів та процедур можна збільшити захищеність ІС?

Якщо відійти від сухих керівних термінів, то зазвичай інформаційну безпеку можна поділити  на дві рівномірні складові частини: організаційну та технічну. Чому складові? Все просто: одна частина не працює без іншої. Відповідно, організаційна описує яким чином, у відповідності до яких статутних та керівних документів, за допомогою яких технічних рішень, які спеціалісти будуть захищати ІС, яка в свою чергу складається з наступних елементів: сервісів, серверів, комп’ютерів, інформації, процесів, користувачів тощо, та від яких саме загроз.

В ідеалі це побудована ієрархічна система документів від загального – концепція  інформаційної безпеки, до конкретного – політики та інструкції на всі випадки порушення інформаційної безпеки, які можуть статись з ІС в цілому та окремими конкретними елементами цієї системи. Організаційна складова базується на нормах національного законодавствах та міжнародних і національних стандартах захисту ІС та інформації.

До організаційної складової захисту можна віднести:

• Стратегію реагування на інциденти – це розробка плану реагування на інциденти, включаючи швидке виявлення, ізоляцію вірусів та відновлення.
• Політику безпеки – це  розробка та впровадження політик безпеки, визначення правил доступу до інформації під час її обробки, переміщення та зберігання, контроль над автентифікацією та діяльністю користувачів в ІС.
• Security Awareness (безпекова обізнаність) – це тренінги та навчання. Проведення регулярних тренінгів для користувачів з питань кібербезпеки, щоб підвищити їхню обізнаність та навички. Проведення навчань та тренінгів з питань кібербезпеки допомагає збільшити «алертність» користувачів щодо потенційних загроз. Регулярні оновлення інструкцій та політик інформаційної безпеки грають важливу роль у забезпеченні захисту ІС.
• Аудит та моніторинг – це організація регулярної перевірки безпеки, моніторингу ІС для виявлення аномалій.
• Фізичну безпеку – це організація захисту фізичного доступу до серверних приміщень, обладнання та інфраструктури.

Технічна складова на практиці більш об’ємна, та включає в себе сукупність технічних засобів апаратно-програмних та програмних, які захищають ІС в цілому та її окремі елементи від несанкціонованих дій користувачів та зовнішніх зловмисників. Це сукупність рішень, головною задачею яких є надати можливість контролювати адміністраторам інформаційної безпеки легітимність процесу доступу та обробки, переміщення інформації уповноваженими на це користувачами, а, в разі порушення, приймати адекватні заходи його припинення та унеможливлення його повтору в майбутньому. Зазвичай, незважаючи на всю складність технічних рішень, впровадити їх значно простіше, ніж побудувати організаційну частину, яка буде вірно описувати процес захисту під час виконання процесів  обробки, переміщення та зберігання інформації різними групами користувачів. Органічне поєднання цих складових разом створює комплексний підхід до захисту інформаційної системи від різноманітних кіберзагроз. Одним з чинників, що дозволяє суттєво підвищити захищеність ІС і є елементом організаційної складової, має бути налагоджена взаємодія між відділами інформаційних технологій (ІТ) та інформаційної безпеки (ІБ), що є критичним елементом для забезпечення безпеки та ефективності роботи ІС. Ключовими аспектами цієї взаємодії є:

• Розуміння загроз і ризиків. Головним функціоналом спеціалістів відділу ІБ є виявлення та оцінка загроз для інформаційної безпеки компанії. Відділи ІБ повинні активно співпрацювати з відділами ІТ для зрозуміння можливих ризиків та вразливостей інформаційних систем, та приймати активну участь в розбудові та модернізації ІС з метою зробити її більш захищеною.
• Впровадження технічних заходів безпеки. Відділ ІБ сприяє впровадженню технічних рішень для захисту від загроз, які повинні бути інтегровані в інфраструктуру ІТ.
• Розробка та впровадження політик безпеки. ІБ відповідає за розробку та впровадження політик безпеки. Це включає в себе встановлення стандартів, процедур та технологій, які допомагають захищати інформаційні ресурси. Важливо, щоб ці політики були відомі і виконувалися відділом ІТ.
• Security Awareness. Спільна робота відділів ІБ та ІТ щодо навчання персоналу кібергігієні є надважливою. Це включає в себе організацію тренінгів, усвідомлення загроз та впровадження найкращих практик інформаційної безпеки.
• Моніторинг та виявлення інцидентів. Відділ ІБ веде моніторинг заходів безпеки та реагує на можливі інциденти. Співпраця з відділом ІТ дозволяє ефективно виявляти та реагувати на аномалії в роботі ІС.
• Реакція на інциденти. У разі інциденту важлива швидка та скоординована відповідь. Відділи ІТ та ІБ мають працювати разом, щоб виявити причини, взяти на контроль ситуацію та запобігти подібним інцидентам у майбутньому.

Загальна взаємодія цих відділів є важливим чинником в забезпеченні ефективної кібербезпеки. Окремо треба зауважити, що, нажаль, є непоодинокі випадки відсутності взаємодії між відділами інформаційних технологій та інформаційної безпеки. Це виникає через певні протиріччя у завданнях: головне для ІТ відділу якісно надавати інформаційні сервіси, а відділу ІБ робити так, щоб доступ був безпечний і контрольований, що фактично означає контроль дій ІТ з боку ІБ.

Наступним організаційним заходом, що може суттєво покращить захищеність ІС, є Security Awareness, або безпекова обізнаність користувачів ІС, співробітників відділів ІТ та керівництва. Проведення навчань та тренінгів з питань кібербезпеки допомагає збільшити свідомість користувачів щодо потенційних загроз. Регулярні оновлення інструкцій та політик інформаційної безпеки грають таку саму важливу роль у забезпеченні захисту ІС, як і керування оновленнями ПЗ.

Окремо треба зауважити, що навчання та тренінги треба проводити не тільки для рядових користувачів, а також і для технічних спеціалістів, що обслуговують інформаційну систему, та керівництва.

Тренінги для технічних користувачів мають включати в себе наступні розділи: 

• Відділ ІТ як ціль атаки зловмисників. Це навчання спрямоване на те, щоб показати, як зловмисники можуть полювати на сам відділ ІТ, включаючи внутрішні загрози та атаки, спрямовані на персонал ІТ. Усвідомлення правил адміністрування критично важливих систем для функціонування ІС, включаючи роботу з конфіденційною технічною  інформацією стосовно доступів та налаштування.
• Навчання стосовно небезпеки, фішингу та соціальної інженерії. Тренінг по виявленню та уникненню фішингових атак, а також розпізнаванню методів соціальної інженерії, які на даний момент існують. Незважаючи на сучасні методи протидії, цільовий фішинг досить часто досягає мети, оскільки користувач є самою слабкою ланкою інформаційної системи з точки зору інформаційної безпеки.
• Надання огляду сучасних трендів кіберзагроз, які можуть стосуватися ІС і відповідно безпосередньо стосуються відділу ІТ. Важливо розуміти сучасні методи атак та розвивати стратегії реагування. Наголос на основних принципах безпеки, таких як принцип найменшого доступу, шифрування, визначення безпеки програмного забезпечення та інші.
• Навчання спеціалістів ІТ тому, як створювати важкі та унікальні паролі, і там де можливо  використовувати мультифакторну автентифікацію, дотримуватися кращих практик управління паролями. 
• Пояснення важливості вчасного оновлення ПЗ та систем для запобігання використанню вразливостей зловмисниками.
• Навчання щодо безпеки використання мобільних пристроїв та впровадження заходів для захисту конфіденційної інформації на них.

Security Awareness для керівників має важливе значення для забезпечення ефективної безпеки в організації. Керівництво повинно бути повідомлено про загрози та брати активну участь у впровадженні стратегій безпеки. Ось деякі аспекти, які можна включити в Security Awareness для керівників:

• Розуміння керівником кіберзагроз. Сучасні кіберзагрози та їх можливі впливи на роботу організації.
• Стратегії керівництва. Наголошення на важливості активної ролі керівництва в створенні стратегії кібербезпеки та впровадження відповідних політик безпеки.
• Культура безпеки. Заохочення керівників створювати культуру безпеки в організації, де безпека інформації вважається важливою частиною підприємницького середовища.
• Важливість лідерства. Пояснення, як лідерство впливає на ставлення персоналу до кібербезпеки, та чому лідерам слід бути прикладом у дотриманні правил безпеки.
• Фінансові видатки на кібербезпеку. Розуміння того, як фінансові видатки на кібербезпеку можуть забезпечити довгостроковий захист організації.
• Управління ризиками. Навчання керівників ефективно управляти ризиками та приймати стратегічні рішення для забезпечення безпеки.
• Відповідальність за дані. Розуміння відповідальності керівництва за захист конфіденційної інформації та даних клієнтів.
• Захист важливих елементів ІС. Усвідомлення важливості захисту критичної інфраструктури та систем, що визначаються як першочергові для продовження роботи організації.
• Стратегії взаємодії з ІТ-відділом та ІБ. Виявлення стратегій ефективної взаємодії та комунікації між керівництвом, відділами ІТ та ІБ.

У наш час, коли кіберзагрози стають все більш вдосконаленими та розповсюдженими, Security Awareness стає критичним елементом для забезпечення ефективної кібербезпеки в організаціях. Зростання кількості атак, високий рівень маскування загроз та умови роботи, що постійно змінюються, створюють необхідність для постійного вдосконалення знань та навичок персоналу.

Security Awareness не обмежується лише отриманням навичок розпізнавання фішингових листів чи звички використовувати складні паролі. Він включає в себе розуміння комплексної природи кібербезпеки, важливості лідерства в створенні культури інформаційної безпеки та глибокої уваги до стратегічних рішень на рівні керівництва.

У висновку, Security Awareness є важливою ланкою у ланцюжку захисту ІС, яка визначає успіх або невдачу в захисті інформації та ІС. Розуміння ризиків, виявлення загроз та усвідомлення відповідальності кожного працівника є шляхом до створення культури інформаційної безпеки, яка стане опорою для відповіді на нинішні та майбутні кіберзагрози.

Ефективний захист інформаційних систем підприємства вимагає комплексного підходу та постійного вдосконалення. Лише узгоджена діяльність персоналу, використання сучасних технологій та своєчасні заходи безпеки можуть гарантувати стійкість підприємства до сучасних кіберзагроз.

Розглядаючи впровадження та використання процесів Security Awareness власне для будь-якого ІТ-бізнесу, можна виділити два напрямки:

• Перший напрямок є нативним – це впровадження методів Security Awareness у роботу: бізнесові, інформаційні та технологічні процеси компанії. Будь-яка більш-менш успішна ІТ-компанія вірогідно перебуває під прицілом ворожих кіберпідрозділів, метою яких є  отримання конфіденційної технічної інформацію про ІС замовників.  Для протидії цьому лише технічних заходів недостатньо, необхідно впроваджувати процеси підвищення обізнаності сучасним кіберзагрозам персоналом компанії. Приклад атаки на Київстар показав, що компанія може побудувати продуману та ефективну систему захисту від кіберзагроз та впливу хакерів, але діяльність інсайдера може звести нанівець всю роботу департаменту інформаційної безпеки та продуманість політики інформаційної безпеки. Методами підвищення безпекової обізнаності можуть стати постійні внутрішні семінари для користувачів корпоративної ІС, розсилка листів з попередженнями про активні кіберзагрози та окремі тренінги для технічних спеціалістів.
• Другий напрямок діяльності – це проведення власних семінарів та навчальних заходів по Security Awareness для зовнішніх замовників з метою підвищення обізнаності щодо кіберзагроз працівників замовників. Незважаючи на постійні атаки з використанням соціальної інженерії на користувачів корпоративних ІС, процесу навчання безпековій обізнаності відводиться незначна роль. Найчастіше за все вона полягає у підписанні двох документів – регламенті-інструкції роботи користувача ІС та договору про нерозголошення. Нажаль, як показує практика, цього недостатньо і необхідний постійний акцент на підтримання цифрової гігієни і певний високий рівень алертності до кіберзагроз не тільки на робочому місці, але і вдома. Процес має бути постійним, з періодичними тренінгами та семінарами. Це необхідно через зміну зловмисниками методів та інструментів, які вони застосовують. Навчальні заходи можуть проводитись паралельно з впровадженням рішень інформаційної безпеки або передувати цьому.

Додаткова література: 

2022. Звіт про роботу системи виявлення інцидентів і реагування на кіберінциденти та кібератаки. ДССЗЗІ 2023 р. https://cip.gov.ua/services/cm/api/attachment/download?id=50943

Російські кібероперації, аналітика за перше півріччя 2023 року. ДССЗЗІ 2023р. https://cip.gov.ua/services/cm/api/attachment/download?id=60201