Атака NotPetya, больше года спустя. Ответы на стыдные вопросы о кибербезопасности страны.

Летом была аносирована статья о положении дел в украинском киберпространстве. Устраивайтесь поудобнее - вот же она. Я не буду повторять уже известные вещи о том, как была реализована та атака, как развивались события и что в это время происходило в Украине. Просто напомню, что прошло полтора года после крупнейшей в истории нашего государства кибератаки. NotPetya был запущен с целью вызвать массовый отказ в обслуживании в масштабах всей страны: остановилась работа многих банков, СМИ, государственных учреждений, магазинов, сервисов и бизнес-процессов самых разных компаний. Полтора года - солидный срок, можно рассуждать о сделанных выводах и принятых мерах. Что происходит? Сейчас расскажу.

Начнем с государственного сектора. Сделаны ли выводы?

Да, выводы сделаны, и чиновникам открылась новая статья расходов: на кибербезопасность. Под шумок пилятся тонны нефти, в то время как кругом полный разброд и шатание. Покупается специализированные софт и железо, при отсутствии квалифицированных людей и поставленных процессов. А еще есть попытки протолкнуть невероятные по своей глупости законы (пример #6688), которые якобы создаются для защиты от новых атак в киберпространстве, а на деле не имеют с этой защитой ничего общего. Между ответственными чиновниками в самых верхах, принимающими решения, и профильными специалистами, которые действительно разбираются в конкретных вопросах на практике - пропасть. Нет практически никакого взаимодействия или коммуникации. Под разными вывесками и мудреными названиями собираются дяденьки и тетеньки в костюмах, разговаривают о каких-то эфемерных и оторванных от жизни вещах, в основном - маразм и прочий ссср-съезд-собрание-style. Тем временем, госуху регулярно хекают, причем дефейс сайтов министерств это самое безобидное, что происходит. Куда интереснее присутствие заинтересованных хакерских групп в сетях наших государственных структур, мониторинг их служебной корреспонденции и документооборота.

Окей, но ведь есть те, кто пытается что-то делать?

Есть такие, видел лично, привожу примеры. Костя Корсун, хорошо зная, как всё у нас устроено и работает, разработал целую концепцию национальной системы кибербезопасности Украины и продвигает ее, собирает фидбеки и предложения от коллег. Концепция, как на мой взгляд, вполне рабочая и интересная, - challenging, как сейчас говорят. А бюджет его затеи, кстати, совершенно адекватный, особенно учитывая запланированный годовой бюджет ДССЗЗИ (Государственной службы специальной связи и защиты информации) - абсолютно импотентного ведомства, которое надо разогнать и не подпускать этих дармоедов к кибербезу на пушечный выстрел. Избавиться от всего этого *КЗИ, *КСЗІ, филькиных коррупционных сертификаций технических комплексов и софта и забыть: там сидят старые олени, которые уже не знают разницы между DoS, DDoS и MS-DOS, и штампуют бумажки-подтирашки за бабло. Вот объясните мне, нафига они нужны? Весь этот бесполезный движ должен быть выставлен на мороз. За точечным исключением: CERT-UA. Мне довелось вживую пообщаться с руководством этого подразделения, знаю о стоящих вызовах и проблемах. Как по мне, нужно их переформатировать, вывести куда угодно из дремучей структуры ДССЗЗИ, дать специалистам нормальную компенсацию и сделать так, чтобы набравшись опыта, люди не уходили. Со своей стороны, мы проявили инициативу: учитывая обстановку и грядущие события в стране, комьюнити DC8044, располагая большим ресурсом молодых специалистов, предложило ЦЕРТ-УА волонтерскую помощь, и это предложение было принято. И да, я за государственный CERT: он должен быть и я вижу хорошие, интересные перспективы такой структуры. Но нужно серьезно поработать: должен быть другой бюджет, другая юрисдикция и другие приоритеты, и по-другому выстроена коммуникация с общественностью. И под "поработать" речь идет, прежде всего, о том, что существующую систему нужно ломать, делать конкретное подразделение более самостоятельным, и ребята горы свернут. Поехали дальше: Назар Тимошик со своей командой начал проект взаимодействия с государственным сектором, и на фоне дефицита квалифицированных кадров в госухе, его ребята многократно усилят соответствующие компетенции тамошних безответственных лиц. Посему есть надежда на светлое будущее (если, конечно, разочарование не настигнет Назара раньше).

А правда, что в атаке NotPetya, летом 2017 года, виноват M.E.Doc?

Нет, друзья, не правда, и сейчас я объясню почему. Грубо говоря, программное обеспечение M.E.Doc было лишь удачным каналом доставки вируса, канал хорошо покрывал большой диапазон целей, как в государственных структурах, так и в коммерческих. Да, их сервера взломали, но они априори не претендовали на роль самого защищенного объекта в стране: это вполне обычная компания, разрабатывающая программное обеспечение. Вопрос "кто виноват" логично поставить со стороны нанесенного ущерба: откуда взялся настолько массивный урон? Почему встали банки, магазины, производство, полностью или частично остановилась деятельность компаний в самых разных отраслях? Простите за правду, но я отвечу. Потому что люди, которые отвечали там за безопасность, оказались некомпетентны. Они не защитили ввереные им ресурсы IT-инфраструктуры от этой атаки, они не делали резервирования, не создали или не реализовали business continuity plan. Они не внедряли лучших практик, они не в полном объеме выполняли рекомендации, которые пишут в умных книжках и набивших оскомину стандартах. И таких людей на местах оказалось очень много, ну либо вообще не оказалось: полно компаний, где и не чесались по поводу кибер-шмибер- вот этих вот штук. Извиняюсь конечно за не очень популярное мнение, но ведь никакого волшебства не произошло: к атаке просто не готовились, несмотря на многочисленные "звоночки" зимой и весной того же года. Да и сейчас, доложу я вам, многие сидят в расслабленном состоянии, в том числе в банках (серьезно пострадавших от НеПети) и ждут, когда их вжарят чуваки из Cobalt. И они вжарят, о да, не сомневайтесь! А теперь про M.E.Doc, а точнее - про компанию-разработчика продукта, Linkos Group: эти действительно взялись за ум, активно взаимодействуют с открытым недавно в СБУ центром реагирования на киберугрозы (о них я уже писал в начале года), заказывают необходимый консалтинг у состоявшихся специалистов и растят своих. На поверку оказывается, что они из тех представителей бизнеса, кто на протяжении всего времени после той злополучной атаки принимает эффективные меры, чтобы защитить себя и своих клиентов. Однако, в среднем по стране результат неутешительный. При общении с безопаснегами, работающими на банки и прочий бизнес, сплошь и рядом я натыкаюсь на профанство, имитацию бурной деятельности и теоретиков. Толковых исчезающе мало, а те, кто начинает хоть в чем-то шарить - бегут из тех же банков в компании, где платят деньги. Опять же, здоровые исключения есть, но мало - к ним я безусловно могу отнести, например, Приват. Кстати, сейчас вы понимаете, кто защищает ваши деньги? Поэтому лучше всегда иметь сумму наличкой, на случай, когда банк перестанет процессить ваши карты или POS-терминалы в магазинах не будут работать, как впрочем уже было и снова будет. Ведь совсем недавно, безопасник-буквоед одного из ТОП-банков, не сбледнув с лица, путал 3DES с 3-D secure. И ладно бы оговорился - так нет же, регулярно. Идем дальше. Был я недавно на одной "конференции по безопасности", где безопасность была общей темой, и помимо пресловутой "кибер" на повестке дня стояли и физическая, и экономическая. Послушал владельцев большого бизнеса, которые там выступали, и проникся их проблемами. Каждого из них попросили прокомментировать, мол, какие риски вы считаете самыми серьезными для безопасности своего бизнеса в Украине? Практически все ответили: рейдерство и отжим бизнеса, конфликты с силовыми структурами. Знаете, кто из них сказал, что его заботит кибербезопасность и соответствующие риски? Никто, ноль. Это здорово приземляет, на самом деле. У нашего бизнеса несколько другие заботы, об этом тоже следует помнить. Да, я знаю ряд крупных, известных компаний, разных отраслей деятельности, которые уделяют много (или достаточно) внимания проблематике, связанной с хакерскими атаками. Но их меньше, чем должно быть. Не чем хотелось бы, а чем должно быть. В связи с этим некоторые мои коллеги (сам слышал!) уповают на нового "НеПетю" как на манну небесную, ожидая, что новая атака сильнее подогреет рынок продуктов и услуг киббеза, и подстегнет спрос на них. Большинство устраивает такое положение дел, причем с обеих сторон (сделать на отьебись, бабки попилить). Это происходит на фоне грядущих выборов и очень ценных исследований от некоторых деятелей, например о "наличии отсутствия" SSL-сертификата на сайте уровня какой-нибудь сельской рады, отвлекающих и без того бегающий в мыле ресурс из безопасников, работающий на госуху. В моду также входят такие важные и в некоторых местах - practical лекции о том, как будучи человеком подневольным, насосиалить себе бюджет у CEO на какую-нибудь кибер-вундервафлю. Все это вызывает взрывы безудержного веселья у наших закадычных оппонентов по соседству (если вы понимаете, о ком я...).

Но ведь нас должны защищать силовые и прочие структуры? Вон сколько у нас кибербезопасностью занимается: СБУ, киберполиция.

Для начала следует разобраться вообще, кто и чем занимается. У СБУ есть свежеоткрытый центр с платформой MISP-UA, где консолидируются различне тревожные сигналы из разных источников и сенсоров. Этот центр выполняет вполне конкретные задачи и нацелен на защиту государственных органов, а сейчас концентрируется на обеспечении безопасности инфраструктуры и процессов ЦВК. Обладая довольно ограниченным ресурсом специалистов, прежде всего, они выполняют свои приоритетные задачи. Принимая во внимание ряд недавних кейсов, с этими задачами они скорее справляются, но объективная картина станет понятна после выборов. Киберполиция занимается расследованием преступлений в киберпространстве, и анализируя их деятельность за последний год, я готов поставить им твердое "хорошо". Стремиться всегда есть к чему, какие-то казусы вылазят в пресс-релизах, но с другой стороны я имел исключительно положительный опыт взаимодействия с ними в начале года, по "кейсу Новой Почты", а затем и по целому ряду других инцидентов. Я не пойму скептических настроений или написания гневных коментов в фейсбучиках, а ля "они нихрена не делают и не умеют", безо всякого объяснения. Специалисты среди киберкопов есть очень продвинутые и компетентные, и ИБешат они невпынно, днюют и ночуют на работе и всё это - при не вполне конкурентной с рынком компенсации труда. Я не хочу сеять ложных иллюзий, есть глобальная система и её глобальная проблема, однако конкретный департамент этой структуры вполне себе хорошо справляется с задачами в области своей ответственности. Если коротко: ДКИБ СБУ и Центр реагирования - лайк, ребятам из киберполиции - лайк. Говнарям из Фейсбуков и Твиттеров - если в деталях посмотреть ваши претензии к работе этих структур, то зачастую выясняется, что описываемая проблема лежит далеко вне зоне их ответственности, либо на самом деле выглядит иначе, нежели вы представляете. Яркий пример - маршрутизация траффика компании Киевстар, который порой проходит через "российские" BGP шлюзы и вызывает лютый вой в соцсетях из-за сообщений о блокировке Роскомнадзором, даже ваш покорный слуга имел место, как говорится. Шторм из соплей с тегами СБУ и Киберполиции в такие дни достигает девяти баллов.

Чего ждать, к чему готовиться?

В 2019 будут хекать ЦВК, будут хекать SCADA наших предприятий (похек скады одного из крупнейших заводов Украины занял у меня 20 минут), а Кобальты и прочие Фин7 будут потрошить наши банки, представляющие собой очень легкие и вкусные цели. Соответственно, нам следует готовиться к непростым выборам, нештатным ситуациям в промышленности и энергетике, и громким историям в банковском секторе. Понимаете, в чем дело: видя, как у нас всё классно, прогнозировать очень сложно, ведь "столько всего и всё такое вкусное...". Я сделал акцент на том, что выбирал бы сам. Кроме перечисленного, обычная активность шифровальщиков и стилеров в рамках проектов киберкриминала понятна и очевидна. Скучать будет некогда.