Федоров: слива данных из Дії не было, но Украина серьезно взялась за усиление кибербезопасности

Федоров рассказал, как власть отреагировала на хакерские атаки

Проснувшись утром 14 января, украинцы узнали, что ночью десятки сайтов органов власти, госструктур и учреждений подверглись мощной хакерской атаке. На главных страницах ряда государственных сайтов появились идентичные тексты с угрозами утечки персональных данных украинцев. Часть интернет-ресурсов перестала работать.

Через несколько дней – новое ЧП, которое уже успели окрестить "почти техногенной катастрофой": неизвестные хакеры заявили, что имеют в своем распоряжении персональные данные миллионов украинцев, полученные якобы из Дії. За базу с этими данными выставили цену – 15 тысяч долларов. В подтверждение злоумышленники выложили несколько сотен тысяч записей с данными ID-карт и загранпаспортов, низкого качества изображения паспортов, водительских удостоверений, военных билетов, дипломов и сертификатов, а также 200 тысяч записей с расширенной информацией и документами граждан Украины.

Действительно ли персональные данные украинцев были украдены и как государство их защищает? Почему стала возможной серия хакерских атак и можно ли было ее предотвратить? Какие новые детали атак хакеров удалось установить в ходе расследования и насколько серьезными стали их последствия? Об этом, а также о том, почему сейчас все больше говорят, что Украину в киберпространстве атакует Россия, OBOZREVATEL рассказал Вице-премьер-министр – Министр цифровой трансформации Михаил Федоров.

Михаил Федоров. Источник: Пресс-служба Министерства цифровой трансформации

– Не успели украинцы прийти в себя после кибератаки на десятки сайтов государственных органов и учреждений, которая состоялась 14 января, как на продажу выставили якобы полученные из Дії персональные данные граждан. Изучили ли уже фрагменты этой базы, обнародованные злоумышленниками? И какие выводы можно из них сделать? Может ли эта утечка быть связана с предыдущей серией атак, которая произошла 14 января?

– Да, как мы и предупреждали, после кибератаки злоумышленники будут расшатывать ситуацию сообщениями о якобы слитых данных украинцев. Мы этого ожидали и вместе с СБУ, полицией отслеживали это. В течение всей недели мы видели, как на разных форумах в интернете появлялись сообщения, где неизвестные продавали "базы данных" из Дії. Наибольший резонанс в обществе вызвал "слив базы", который появился на одном из форумов 22 января, – там утверждали, что продается база данных 2 миллионов украинцев якобы из Дії.

Наши киберспециалисты проанализировали эти данные и установили, что мошенники продавали старые данные, скомплектованные из многих источников. Мы сразу же успокоили всех украинцев и заявили, что Дія не имеет никакого отношения к этому сливу.

Также об этом заявили в Нацполиции, что информация о "сливе данных" из Дії не соответствует действительности. Министр внутренних дел Денис Монастырский лично подтвердил это.

По моему мнению, вся эта история стала продолжением кибератаки. Это очередные провокации и продолжение гибридной войны. Основная их цель – посеять панику среди украинцев и подорвать доверие к власти. Но благодаря скоординированным действиям многих структур, отвечающих за кибербезопасность в стране, им это сделать не удалось.

Что будет делать в этой ситуации государство и что делать гражданам, которые действительно имеют основания для беспокойства?

– Государство уже максимально мобилизовало все ресурсы для того, чтобы обеспечить защиту в киберпространстве. 24 января состоялось заседание СНБО, на котором был принят ряд решений по усилению киберустойчивости государства.

Во-первых, безотлагательное внесение законодательных изменений для нормирования процедуры BugBounty, она позволит привлекать к поиску уязвимостей и ошибок внешних специалистов и оперативно устранять все пробелы в безопасности.

Во-вторых, изменения в статьях 361 и 361-1 Уголовного кодекса Украины. Первая касается несанкционированного вмешательства в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи, вторая – создания вредоносных программных или технических средств, а также их распространение или сбыт.

В органах государственной власти и на объектах критической информационной инфраструктуры вводится должность офицеров по киберзащите. Будет усилена ответственность должностных лиц за невыполнение требований киберзащиты в органах государственной власти и на объектах критической информационной инфраструктуры.

Органы государственной власти получают полномочия внедрять требования по кибербезопасности в подрядные организации, с которыми они работают, требовать от партнеров устранения критических уязвимостей с последующей отчетностью, а также установления ответственности за нарушение или невыполнение указанных требований.

Будет закреплен комплекс мер по выявлению уязвимостей и недостатков в настройке информационных систем, в которых обрабатываются государственные информационные ресурсы, а также созданы инструменты финансового стимулирования сотрудников государственных органов, осуществляющих администрирование ІТ-систем.

Мы в свою очередь делаем все для того, чтобы миллионы украинцев, которые пользуются сервисами Минцифры, чувствовали себя в безопасности и не волновались, что с их данными может что-нибудь случиться. Хочу напомнить, что Дія вообще не хранит персональные данные.

Сейчас мы с командой приняли решение о запуске в приложении услуги єЗахист. Так каждый украинец сможет узнать, какие данные о нем есть в государственных реестрах, кто из чиновников и когда их пересматривал. Также там будут базовые правила киберзащиты.

После информации об утечке персональных данных, по словам министра, государство усилило правила киберзащиты, а в Дії появится новая услуга. Источник: Пресс-служба Министерства цифровой трансформации

– Предварительная масштабная атака на государственные сайты произошла 14 января. Что известно о том, как именно она была осуществлена и какую главную цель преследовала?

– Технический отчет о кибератаке обнародован на сайте правительственной команды реагирования на чрезвычайные компьютерные события CERT-UA. Она входит в структуру Госспецсвязи. Он в открытом доступе и с ним можно ознакомиться. Анализ данных и исследования обстоятельств киберинцидентов еще продолжаются.

Судя по результатам этой атаки, я думаю, первоочередной целью было посеять хаос, вызвать панику и поднять информационную волну для дестабилизации в обществе. Для этого, собственно, и была произведена подмена контента главных страниц государственных сайтов. Второй целью являлась дестабилизация работы определенных государственных органов. Это мы видим по попыткам зашифровать некоторые серверы или уничтожить данные.

Впрочем, окончательный ответ дадут СБУ и Нацполиция, которые сейчас проводят расследование. Учитывая, что на его проведение направлены максимальные усилия, думаю, результатов можем ожидать в ближайшее время.

Но хочу подчеркнуть: реестры, содержащие персональные данные граждан, от хакерских действий не пострадали. Никакой утечки персональных данных не произошло, они надежно защищены.

– Если расследование продолжается, откуда такая уверенность, что не было утечки данных? Как это удалось установить?

– Мы уже понимаем, какие инструменты были применены для совершения атаки. И знаем, что атаковались именно сайты, информационные системы, несвязанные с сохранением персональных данных украинцев. Персональные данные хранятся в реестрах. А они чаще всего не связаны с сайтами даже сетью, администрируются реестры, как правило, вообще другими командами. Это совсем другие инфраструктурные проекты.

А эта атака была ориентирована конкретно на информационные веб-сайты.

– Расскажите о хронологии той кибератаки. Началась она вечером 13 января еще, правильно?

– Скорее, 14-го, после полуночи. Сначала произошла замена стартовой страницы на некоторых сайтах. Все органы, отвечающие за кибербезопасность, оперативно включились. И наши специалисты максимально помогали противодействовать атаке. Мы начали общение с администраторами сайтов, присоединился Киберцентр UA30. 70 сайтов, включая портал Дія, были отключены администраторами, чтобы избежать возможности распространения атаки на другие ресурсы.

Реакция была очень быстрой и скоординированной. И уже утром 14 января мы вышли с понятной коммуникацией по поводу того, что происходит и что делать.

Эта атака была очень быстро остановлена. И возобновление работы сайтов началось в тот же день. За следующие несколько дней удалось возобновить работу 95% информационных ресурсов.

– Какие инструменты использовали хакеры? Насколько большой вред им удалось нанести?

– Пока известно, что наиболее вероятным вектором реализации кибератаки была компрометация цепи поставщиков (supply chain), что позволило использовать доверительные связи для выведения из строя связанных систем.

В то же время не исключаются еще два возможных вектора атаки, а именно – эксплуатация уязвимостей OctoberCMS и Log4j. Также в ходе исследования скомпрометированных систем специалисты CERT-UA проявили подозрительную активность с использованием легитимных аккаунтов.

Поэтому крайне важно, чтобы не только государственные органы и объекты критической инфраструктуры усиливали киберзащиту, но и партнеры всех этих учреждений.

Кроме того, сейчас мы еще раз убедились, насколько важно не пренебрегать правилами кибергигиены в любом учреждении. Вовремя обновлять программное обеспечение, учить сотрудников отличать фишинговые ресурсы от настоящих и т.д.

Краткие сроки реализации атаки свидетельствуют о координации действий хакеров и их многочисленности.

– Согласно сообщениям Госспецсвязи, часть данных на ресурсах ряда госструктур была уничтожена. Известно ли вам, какие именно государственные органы пострадали, какие данные были утрачены и можно ли исправить причиненный ущерб?

– Прежде всего, хочу снова подчеркнуть: персональные данные, базы данных не пострадали. Все работает. Уже возобновлена работа "автоцивилки".

Госспецсвязи сформировал политику так, что существуют определенные правила бекапов – создания копий информации с определенной периодичностью. Поэтому даже ту информацию, которая была уничтожена, удалось восстановить.

Всего атаковали около 90 информационных ресурсов, пострадали 22 сайта. Большая часть сайтов, не работавших по состоянию на утро 14 января, была отключена – на опережение, поскольку в их разработке участвовала компания-разработчик (речь идет об ІТ-компании Kitsoft, специализирующейся на создании IT-продуктов для государственных органов и бизнеса. Эта компания создавала интернет-ресурсы для почти 40 государственных органов, учреждений и организаций, большинство из которых были атакованы. – Ред.). Эта компания также подверглась атаке. Сайты, в разработке которых она участвовала, отключили, чтобы локализовать атаку, не допустить, чтобы они пострадали.

Например, именно поэтому мы вынуждены были отключить портал Дія, поскольку упомянутая компания участвовала в его разработке. Мобильное приложение Дія создано нашей инхаус-командой Diia Company. У нас есть тестовая среда, мы подключаем подрядчиков – и таким образом с ними сотрудничаем. Компания, которая также была атакована, в разработке мобильного приложения не участвовала. Поэтому мобильное приложение работало до атаки, во время атаки и после нее. Его эти события никак не затронули. Но портал мы вынуждены были отключить, как были отключены и многие другие сайты. Это было сделано по рекомендации СБУ и Госспецсвязи.

За время, пока портал не работал, мы поменяли среду, переехали на новую инфраструктуру и сейчас уже запускаем новые сервисы. Это нужно было для того, чтобы изучить логи, предупредить любые возможные проблемы и точно запустить проект, где нет никаких проблем.

Федоров объяснил, почему портал Дія после кибератаки 14 января так долго не работал. Источник: Пресс-служба Министерства цифровой трансформации

Возможно ли было теоретически использовать портал как точку доступа к реестрам?

– Нет, это невозможно технологически – попасть в реестры через портал. Самый большой ущерб, который могли бы нанести хакеры, – попытаться уничтожить какую-либо информацию на сайте или изменить контент. Доступ к реестрам осуществляется через специальную защищенную систему обмена данными между реестрами Трембита.

Вы говорите, что атаковать все реестры – очень трудно. Но возможно?

– Если реализовывать политику, которая сегодня сформирована – невозможно. Но всегда остается человеческий фактор. Именно поэтому Госспецсвязи – и в этом вопросе мы координируем их деятельность – системно и постоянно проводит аудит информационной безопасности всех базовых реестров, в частности, на предмет соблюдения установленных стандартов и требований защиты, прописанных в нормативных документах и, в том числе, приказами Госспецсвязи.

–​​​​​​​ Вы упомянули об уязвимости OctoberCMS как об одном из инструментов, который использовали злоумышленники, чтобы атаковать государственные сайты. Ряд киберэкспертов сразу после атаки заявил, что об этой уязвимости было известно еще с мая. И если бы министерства и учреждения вовремя обновляли программное обеспечение, атаку можно было предотвратить…

– Как я уже отмечал, это была комплексная атака. Уязвимость же OctoberCMS была одним из возможных элементов, но не ключевым. Расследование продолжается, и окончательные детали обнародуют СБУ и Киберполиция.

Эти события повлияют каким-либо образом на дальнейшее сотрудничество государственных органов и учреждений с компанией Kitsoft, о которой мы говорим?

– Правоохранительные органы выясняют, что произошло, по каким причинам, как злоумышленники получили доступ к государственным сайтам. Будут результаты расследования – тогда можно будет говорить и о дальнейших действиях.

У нас нет ни идеологической, ни моральной, ни еще какой-либо связи ни с одним из подрядчиков. Либо они работают, соблюдают правила и обеспечивают результат за лучшую цену (потому что речь идет о деньгах налогоплательщиков), либо мы с ними не работаем.

Что касается Минцифры, мы больше сфокусированы на развитии мобильного приложения. Потому что верим в государство Mobile First. Около 70% людей сейчас посещают популярные сайты с мобильного устройства. И мы верим в государство, где с помощью смартфона можно получать все услуги.

Вместе с тем мы еще в прошлом году начали аудит и формирование новой архитектуры для портала. Хотим перейти на open sourcing-технологии для того, чтобы не было зависимости от одного подрядчика и тех технологий, которые он использует.

С января начинаем разрабатывать эту новую архитектуру: у нас будет Master Team внутри, которая администрирует портал, и большое количество подрядчиков, которые на тестовой среде запускают услуги, а мы после этого принимаем работу, анализируем и запускаем.

Именно по такому принципу работает приложение Дія. И январские атаки показали, что это, наверное, лучший формат работы: когда у администрирующих компаний нет доступов к информационным ресурсам, они работают на тестовой среде или получают временные доступы, которые невозможно эксплуатировать для создания каких-либо проблем.

Сейчас многие информационные ресурсы уже администрируются именно таким образом. Но не все. И это вопрос не администраторов и ІТ-департаментов – это вопрос заработных плат, развития инфраструктуры, закупки оборудования, привлечения бизнеса. Например, для аудита инфраструктуры или сервисов информационного портала, аудита безопасности или проведения bug bounty, привлечения специалистов по обновлению технологического стека.

В некоторых случаях действительно нужно увеличивать финансирование. Ведь сегодня кибератаки – это главный вызов, который встает перед цифровым государством. Мы не можем инвестировать в развитие сервисов, не инвестируя в киберзащиту. В это направление необходимо максимально вовлекать частный сектор. У нас большое количество компаний, занимающихся кибербезопасностью, сегодня работают исключительно на частный сектор, они никак не задействованы в построении цифрового государства.

Такая же ситуация была и в случае развития публичных сервисов. Когда мы начинали работать над проектом Дія, украинские топкомпании совсем не держали в фокусе внимания, что там происходит в направлении создания цифрового государства, какие сервисы запускаются и как они могут помочь. Но сегодня мы активно сотрудничаем, заказываем консалтинговые услуги, аудиты у топовых украинских компаний. Топовыми я называю самые известные украинские ІТ-компании, где работает большое количество сотрудников, где построен системный менеджмент, внутренняя безопасность. И мы хотим простимулировать вовлечение таких компаний в развитие кибербезопасности в Украине.

Министр убежден: в развитие кибербезопасности необходимо инвестировать сотни миллионов гривен – но эти инвестиции позволят сэкономить значительно больше. Источник: Пресс-служба Министерства цифровой трансформации

Если говорить о необходимости инвестиций в кибербезопасностьо каких суммах может идти речь?

– Точную цифру я не назову. Речь идет о сотнях миллионов гривен. Впрочем, это действительно окупающиеся инвестиции. Могу привести пример с инвестициями в цифровизацию, которая экономит государству немало денег, благодаря мощному экономическому и антикоррупционному эффекту.

Сейчас мы вместе с USAID завершаем исследования по антикоррупционному эффекту от цифровизации в 2020-21 годах. И вот представьте: за год через Дію зарегистрировалось около 400 тысяч физических лиц-предпринимателей. Эти люди не должны были ехать в райцентр, тратить время на регистрацию – они спокойно работали и зарабатывали. Вот вам и экономический эффект. Или, скажем, когда мы запустили возможность задекларировать начало строительства без коммуникации с чиновниками, люди, воспользовавшиеся этой возможностью, точно не давали никому взяток. А это миллиарды гривен, которые остались у украинцев, которые не осели в карманах взяточников, а были инвестированы в экономику. Поэтому я глубоко убежден, что экономический эффект от запуска услуг значительно превышает эти инвестиции.

Так же – и с инвестициями в кибербезопасность: это то, что точно окупится государству. Тем более что продолжается война. И с 2014 года она ведется, в том числе, и в киберпространстве. И инвестировать в кибербезопасность необходимо уже хотя бы для того, чтобы оградить государство от поражений на этом фронте.

На самом деле, и СНБО, и НКЦК при СНБО являются адвокатами развития кибербезопасности в Украине. Когда происходит распределение оборонного бюджета, они поддерживают все инициативы. Однако в условиях гибридной войны мы должны инвестировать в киберзащиту еще больше.

Больше инвестировать в кадры, в их образование и мотивацию, скорее менять законодательство и усиливать ответственность за пренебрежение стандартами киберзащиты. Именно такой Action-план был принят на заседании СНБО.

– Практически сразу после атаки появилась информация, что за ее организацией может стоять Россия. О фактах, указывающих на российский след, говорили и вы. О чем шла речь?

– Имеющиеся данные свидетельствуют, что кибератака была предварительно тщательно подготовлена, осуществлялась скоординированной группой хакеров и была проведена на высоком уровне операционной безопасности. Полученная атрибуция указывает на причастность русских хакерских группировок. В частности, в течение 2021 года фиксировалась интенсификация кибератак российских спецслужб относительно значительной части ставших мишенью атаки учреждений. Информацию о причастности России сразу после атаки обнародовал Центр по противодействию дезинформации. И выходили из коммуникации, что эта хакерская атака может быть частью информационной войны.

Мы предсказывали следующий шаг и хотели его предупредить. Каким мог быть следующий шаг в дестабилизации, в сеянии хаоса, в информационной войне? Это угрозы украинцам, что данные обнародованы. Именно это мы видели на той картинке, которой были заменены стартовые страницы государственных сайтов. И, собственно, случилось, как мы и предупреждали. Это было сделано, чтобы создать в обществе напряжение: мол, теперь мы все о вас знаем, теперь вы уязвимы. И мы хотели донести до украинцев, что не следует вестись на эти фейки. Что пострадали сайты, а не реестры. Что атакуемые сайты лишь информируют граждан о том, что происходит в стране, и выполняют исключительно эту функцию. Персональные же данные размещены в реестрах.

Мы предполагали, что стоящие за атакой начнут дестабилизировать ситуацию именно путем нагнетания паники из-за вроде бы утечки и обнародования данных. И хотели успокоить и людей, и СМИ, являющихся нашими важными партнерами в информационной войне.

Сейчас мы мониторим ситуацию, отслеживаем происходящее на разных форумах, сайтах, в соцсетях, кто и какие сигналы запускает, – и передаем эту информацию в СБУ, общаемся с Центром дезинформации. То есть, мы включились максимально, помогаем всеми своими ресурсами.

При этом Минцифра – не субъект кибербезопасности в Украине. Направление кибербезопасности координируется НКЦК при СНБО, Госспецсвязи формирует и реализует политику в направлении киберзащиты. Киберпреступления расследует Киберполиция, контрразведкой в направлении кибербезопасности занимается СБУ. Мы как министерство отвечаем за администрирование и защиту тех информационных ресурсов, которые администрируем.

Мы очень быстро развиваемся. Дію используют уже более 13 миллионов пользователей. Мы быстро запускаем сервисы. Нам удалось сформировать профессиональную команду. У нас есть даже собственная Red Team – команда нравственных белых хакеров, которые в режиме нон-стоп 24/7 ищут уязвимости на ресурсах, которые мы запускаем. Эти специалисты были также привлечены в ходе расследования недавних хакерских атак и в возобновлении работы ресурсов.

Продолжение следует.