Перші висновки з атаки на Київстар. «Компанія захищена так сильно, як її найслабший співробітник» — інтерв’ю з експертом з кібербезпеки
Читайте також: Вони відновлюють все з нуля. Що насправді з Київстаром, коли він стане на ноги й що зачепило найбільше — інтерв'ю з Чернишовим
Експерти вважають, що хакерська атака на Київстар — найбільша в історії українського телекому. Чи це так?
Наразі в експертному ком’юніті немає інсайтів про те, що насправді відбулось в Київстарі. Розуміємо, що велика кількість ресурсів досі не працює і це ускладнює життя пересічного громадянина. Найцікавіша і найважливіша робота ще попереду. Бо важливо не тільки те, як компанія може вистояти під час кібератак, а й те, що вона робить після їх завершення. Як вона комунікує, яку проводить роботу над помилками, якщо такі є.
Якщо це була дійсно хакерська атака, а так, напевне, і було, мають бути запрошені компетентні органи, відповідальні за об’єкти критичної інфраструктури в нашій країні. І на основі цієї інформації необхідно провести масові навчання для інших об’єктів критичної інфраструктури, поділитися цією інформацією з координатором у сфері кібербезпеки і бути готовим до наступних таких атак.
Це має бути постійний процес. Нещодавно, наприклад, росіяни в рамках ОДКБ, фактично російського військового союзу, домовились про обмін досвідом і даними для протистояння кіберагресії в кіберпросторі. Україна має співпрацювати з нашими західними партнерами. Якщо на нас зараз відпрацьовують певні атаки, то далі будуть атакувати європейські країни, Сполучені Штати та усіх інших, хто нас підтримує.
Вже зрозуміло, які хакерські групи можуть стояти за такими атаками?
Як правило, такі атаки готуються місяцями та цілими хакерськими угрупованнями. Спецслужби України кажуть, що в цій атаці є російський слід. Майже всі хакерські групування в цій країні підтримуються спецслужбами Росії — або ГРУ, або ФСБ, або приватні угрупування типу ЧВК. Вони часто атакують не тільки українські об’єкти, наприклад, були напади на лікарні в Сполучених Штатах. Досить часто це робиться, щоб посіяти паніку. Це частина психологічної атаки, дезінформації населення. Насправді вони між собою поєднані і більшість з них є терористичними організаціями.
Чи можлива такого рівня хакерська атака без залучення спецслужб?
Такі атаки проводяться і в тому числі за підтримки спецслужб, досить часто використовують інсайдера в організації.
Найпростіше, насправді, зламати будь-яку систему, використовуючи людський фактор. І у 8 з 10 хакерських атак ламають не системи, а людей. Людина може навіть не знати, що її використовують. Тобто, співробітник може надати доступ, навіть не розуміючи, що він щось передав. Можуть зламати його або навіть його родичів, і через них проникнути всередину системи.
Тобто, треба пам’ятати одну річ. Будь-яка компанія захищена так сильно, як її найслабкіший співробітник. Досить часто компанії вибудовують міцні периметри захисту в інфраструктурі, але люди не освічені, і вони там продовжують клікати на лінки, і стають вразливістю системи.
Читайте також: А що у Vodafone та Lifecell. Конкуренти постраждалого оператора розповіли про стан мереж після хакерської атаки на Київстар
Скільки така атака може коштувати?
Залежить від атаки. Мені б не хотілося наводити якісь цифри, не розуміючи контексту. Це не професійно. Але вартість залежить від того, власне, наскільки важко зламати людину. Її можна підкупити, зламати фейсбук, звідти потрапити у пошту та продовжувати атаку. Насправді, дуже великі атаки стаються через банальні речі.
Кібергігієну не витримують не тільки звичайні співробітники, а й керівництво компаній. Вони думають, що за все відповідають технічні спеціалісти, а це не так. Ми стикалися із ситуацією, коли наче від директора усім співробітникам надходить фейковий лінк з вимогою заповнити якісь документи.
Тобто вартість атаки може складати десятки, сотні тисяч доларів, а можуть бути мільйони.
Яка має бути тактика захисту бізнесу та держави в таких ситуаціях?
Кібербезпека — процес, якому постійно потрібно приділяти увагу. Кожні півроку чи рік різні компанії з кібербезпеки мають робити тести на проникнення. І це мають бути різні зовнішні компанії. Однак найважливіша річ — навчати співробітників компанії, як поводитись із технологіями, в цифровому просторі, щоб потім не було сюрпризів.
Майже половину життя ми проводимо в цифровому світі, в так званому кіберсвіті. У звичайному житті нас навчили, що треба кожен день приймати душ, відвідувати перукаря, займатися особистою гігієною. Так само, усі люди мають займатись й кібергігієною. Оскільки неможливо налаштувати безпечну систему в компанії, якщо співробітники компанії не розуміються на елементарних правилах цифрової безпеки.
Ви можете назвати топ-5 елементарних правил цифрової безпеки?
По-перше, це має бути постійний процес. Це має бути частиною бізнес-процесу. Має бути процес навчання співробітників поведінці з технологіями або кібергігієні. Людина забуває про те, чому вона навчилася, вже через 9−10 днів. Тому це має бути постійний процес, коли люди постійно навчаються. Це саме головне правило.
Людей треба навчити дбати про свою кібергігієну. Людині треба дати зрозуміти, що ось є password-менеджери, де зберігаються паролі. Таким чином треба пам’ятати лише один пароль від свого password-менеджера. Всі інші паролі мають бути різні, вони мають зберігатись в надійному місці. Це важливе правило.
Друге важливе правило — паролі мають змінюватись щопівроку, максимум щорік. Чим частіше, тим краще. Зламати можуть провайдера, чи доставку їжі якусь маленьку, а там у вас був такий самий пароль, як і на банкінгу. Цей пароль потім підбирається до ваших аккаунтів і використовується проти вас. Тобто паролі мають бути різні.
Наступне — паролі мають бути складні. Це не має бути просто ім’я, прізвище, зірочка і таке інше. Там має бути дійсно якийсь набір букв, цифр, і знаків, спецсимволів, які генеруються в цьому password manager. Якщо вам їх не треба запам’ятовувати, то вони можуть бути дійсно складні.
Також необхідно завжди використовувати двофакторну аутентифікацію. Це важливо для того, щоб навіть якщо зловмисник роздобув ваш пароль, він не зміг отримати доступ до ваших аккаунтів. Це треба робити обов’язково через певний застосунок, у якому генеруються коди.
Дуже важливо зрозуміти й пам’ятати, що не можна залишати резервні варіанти входу у вашу систему. Тобто, дівоче прізвище вашої матері. Його можна дізнатися за умовні 200 гривень. Ці всі відповіді знаходяться зловмисниками дуже легко. Також не можна вказувати резервні пошти, які не відповідають стандартам безпеки. Тобто не можна вказувати як резервну пошту якийсь умовний мейл.ру, до якого ви вже давно втратили доступ. Зловмисники знайдуть доступ до цієї пошти та відкриють вашу основну.
Тобто, ви рекомендуєте всім користувачам Київстару змінити всі свої паролі? В пошті, в банках?
Якщо щось відбувається, те, що ви не розумієте, не зайвим буде змінити паролі на тих ресурсах, якими ви користуєтесь. Регулярно відбуваються крадіжки даних. Ми знаходимось в стані війни, кібервійни, в тому числі. І будь-яка людина є ціллю, мішенню для зловмисників, для російських хакерів. Тому важливо це взагалі робити. Навіть не через те, що щось зламали, або вкрали якісь дані, а просто тому, що ви це не робили три місяці, то візьміть і поміняйте.
Тому що це ваша особиста безпека, безпека ваших рідних, безпека ваших друзів, родичів, військових, наприклад. Тому що вас можуть зламати, аби отримати доступ до військових, або соцмереж ваших, і зрозуміти, де знаходиться та чи інша людина. Тому кожна людина зараз є елементом національної кіберстійкості. Це важливо пам’ятати.
Читайте також: У чому різниця між кібератакою на Монобанк і Київстар — пояснює Гороховський
Ми знаємо, що monobank пережив атаку, і Гороховський [співзасновник банку], каже, що це була та сама група. Але monobank вистояв, а Київстар — ні. Чому це сталося?
Те, що я бачив у пана Гороховського, він писав, що це була велика DDoS-атака. Це тимчасова неможливість працювати. Тобто виведення з ладу. Там не можна зашифрувати, видалити інформацію. Це просто тимчасові неприємності. І, маючи правильно влаштовану систему, — з ними можна впоратися. Більше інформації я не знаю.
Я сподіваюся, що пан Гороховський з monobank, переживши таку атаку, зробить дослідження та вони поділяться цими результатами з іншими суб’єктами та об’єктами кібербезпеки, навчать одне одного.
Всі мають розуміти, що ми один дієвий механізм. Київстар зламали — це, значить, зламали кожного з нас. Навіть якщо ми не користуємося Київстаром. Зламали monobank — зламали елемент кіберстійкості країни. Ми всі маємо це розуміти й маємо допомагати один одному, ділитись знаннями та цим досвідом. Якщо зламали фінансовий сектор, треба поділитись інформацією з іншими представниками фінансового сектору. Провести серію тренінгів, роздивитись з різних векторів, що відбулося. Так має діяти справжня екосистема кібербезпеки в країні, в якій відбувається війна.