Федоров: зливу даних із Дії не було, але Україна серйозно взялася за посилення кібербезпеки

Федоров розповів, як влада відреагувала на атаки хакерів

Прокинувшись зранку 14 січня, українці дізналися, що вночі десятки сайтів органів влади, держструктур та установ зазнали потужної хакерської атаки. На головних сторінках низки державних сайтів з’явилися ідентичні тексти з погрозами щодо витоку персональних даних українців. Частина інтернет-ресурсів перестала працювати.

За кілька днів – нова НП, яку вже встигли охрестити "майже техногенною катастрофою": невідомі хакери заявили, що отримали персональні дані мільйонів українців начебто з Дії, за базу з цими даними виставили ціну – 15 тисяч доларів. На підтвердження вони виклали кількасот тисяч записів з даними ID-карток та закордонних паспортів, низької якості зображення паспортів, водійських посвідчень, військових квитків, дипломів та сертифікатів, а також 200 тисяч записів із розширеною інформацією та документами громадян України.

Чи дійсно персональні дані українців було вкрадено і як держава їх захищає? Чому стала можливою серія хакерських атак і чи можна було їй запобігти? Які нові деталі хакерських атак вдалося встановити під час розслідування і наскільки серйозними стали їхні наслідки? Про це, а також те, чому наразі дедалі більше говорять, що Україну в кіберпросторі атакує Росія, OBOZREVATEL розповів віцепрем’єр-міністр — міністр цифрової трансформації Михайло Федоров.

Михайло Федоров. Джерело: Пресслужба Міністерства цифрової трансформації

– Не встигли українці оговтатися після кібератаки на десятки сайтів державних органів та установ, яка відбулася 14 січня, як на продаж виставили начебто отримані з Дії персональні дані громадян. Чи аналізували вже фрагменти, які було оприлюднено зловмисниками? І які висновки щодо зливу можна з них зробити? Чи може цей витік бути пов’язаним з попередньою серією атак, яка відбулася 14 січня?

– Так, як ми і попереджали, після кібератаки зловмисники будуть "розхитувати" ситуацію повідомленнями про нібито злиті дані українців. Ми цього очікували і разом із СБУ і поліцією відстежували це. Протягом всього тижня ми бачили, як на різних форумах в інтернеті зʼявлялися повідомлення, де невідомі нібито продавали "бази даних" з Дії. Найбільший резонанс у суспільстві викликав "злив бази", яка зʼявилася на одному з форумів 22 січня, – там стверджували, що продається база даних 2 мільйонів українців нібито з Дії.

Наші кіберспеціалісти проаналізували ці дані та встановили, що шахраї продавали старі дані, що скомплектовані з багатьох джерел. Ми одразу заспокоїли всіх українців та заявили, що Дія не має ніякого стосунку до цього "зливу".

Також про це заявили в Нацполіції, що інформація про "злив даних" з Дії не відповідає дійсності. Міністр внутрішніх справ Денис Монастирський особисто підтвердив це.

На мою думку, вся ця історія стала продовженням кібератаки. Це чергові провокації та продовження гібридної війни. Основна їхня мета — посіяти паніку серед українців та підірвати довіру до влади. Але завдяки скоординованим діям багатьох структур, які відповідають за кібербезпеку в країні, їм цього зробити не вдалося.

Що робитиме в цій ситуації держава і що робити громадянам, які наразі дійсно мають підстави для занепокоєння?

– Держава вже максимально мобілізувала всі ресурси задля того, щоб забезпечити захист у кіберпросторі. 24 січня відбулось засідання РНБО, на якому була ухвалена низка рішень для підсилення кіберстійкості держави.

По-перше, невідкладне внесення законодавчих змін для унормування процедури BugBounty, вона дозволить залучати до пошуку вразливостей і помилок зовнішніх фахівців, й оперативно усувати всі прогалини в безпеці.

По-друге, зміни до статей 361 та 361-1 Кримінального кодексу України. Перша стосується несанкціонованого втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, друга – створення шкідливих програмних чи технічних засобів, а також їхнього розповсюдження або збут.

В органах державної влади та на об’єктах критичної інформаційної інфраструктури вводиться посада офіцерів із кіберзахисту. Буде посилена відповідальність посадових осіб за невиконання вимог із кіберзахисту в органах державної влади та на об’єктах критичної інформаційної інфраструктури.

Органи державної влади отримують повноваження впроваджувати вимоги з кібербезпеки до підрядних організацій, з якими вони працюють, а також вимагати від партнерів усунення критичних вразливостей із подальшим звітуванням, а також встановлення відповідальності за порушення або невиконання зазначених вимог.

Буде закріплений комплекс заходів із виявлення вразливостей і недоліків у налаштуванні інформаційних систем, у яких обробляються державні інформаційні ресурси, а також створені інструменти фінансового стимулювання співробітників державних органів, що здійснюють адміністрування ІТ-систем.

Ми зі свого боку робимо все для того, щоб мільйони українців, які користуються сервісами Мінцифри, почувалися в безпеці та не хвилювалися, що з їхніми даними може щось трапитися. Хочу нагадати, що Дія взагалі не зберігає персональні дані.

Зараз ми з командою ухвалили рішення про запуск у застосунку послуги єЗахист. Так кожен українець зможе дізнатися, які дані про нього є в державних реєстрах, хто з чиновників та коли їх переглядав. Також там будуть базові правила кіберзахисту.

Після інформації про витік персональних даних з Дії, за словами міністра, держава посилила правила кіберзахисту, а в Дії з'явиться нова послуга. Джерело: Пресслужба Міністерства цифрової трансформації

Попередня масштабна атака на державні сайти відбулася 14 січня. Що наразі відомо про те, як саме вона була здійснена і яку головну мету переслідувала?

– Технічний звіт про кібератаку оприлюднено на сайті урядової команди реагування на надзвичайні комп'ютерні події CERT-UA. Вона входить до структури Держспецзв'язку. Він у відкритому доступі й з ним можна ознайомитись. Аналіз даних та дослідження обставин кіберінцидентів ще тривають.

Як видно з результатів цієї атаки, вважаю, першочерговою метою було посіяти хаос, викликати паніку і підняти інформаційну хвилю задля дестабілізації в суспільстві. Для цього, власне, і було здійснено підміну контенту головних сторінок державних сайтів. Другою метою була дестабілізація роботи певних державних органів. Це ми бачимо зі спроб зашифрувати певні сервери або знищити дані.

Утім остаточну відповідь дадуть СБУ та Нацполіція, які зараз проводять розслідування. Зважаючи на те, що до його проведення спрямовані максимальні зусилля, гадаю, на результати можемо чекати найближчим часом.

Але хочу наголосити: реєстри, що містять персональні дані громадян, від дій хакерів не постраждали. Жодного витоку персональних даних не відбулося, вони надійно захищені.

Якщо розслідування триває, звідки така впевненість, що не було витоку даних? Як саме це вдалося встановити?

– Ми розуміємо вже, які інструменти було застосовано для здійснення атаки. І знаємо, що атакувалися саме сайти, інформаційні системи, які не пов’язані зі збереженням персональних даних українців. Персональні дані зберігаються в реєстрах. А вони найчастіше не пов’язані з сайтами навіть мережею, адмініструються реєстри зазвичай взагалі іншими командами. Це зовсім інші інфраструктурні проєкти.

А ця атака була спрямована саме на інформаційні сайти.

Розкажіть про хронологію тієї кібератаки. Почалася вона ввечері 13 січня ще, правильно?

– Швидше, 14-го, після опівночі. Спершу відбулася заміна стартової сторінки на деяких сайтах. Всі органи, що відповідають за кібербезпеку, оперативно включилися. І наші фахівці максимально допомагали протидіяти атаці. Ми розпочали комунікувати з адміністраторами сайтів, долучився Кіберцентр UA30. 70 сайтів, зокрема портал Дія, були відключені адміністраторами, щоб уникнути можливості поширення атаки на інші ресурси.

Реакція була дуже швидкою і скоординованою. І вже зранку 14 січня ми вийшли зі зрозумілою комунікацією щодо того, що відбувається і що робити.

Ця атака була дуже швидко зупинена. І відновлення роботи сайтів почалося в той самий день. За наступні кілька днів вдалося відновити роботу 95% інформаційних ресурсів.

– Які інструменти використовували хакери? Наскільки великої шкоди їм вдалося завдати?

– Наразі відомо, що найбільш вірогідним вектором реалізації кібератаки була компрометація ланцюга постачальників (supply chain), що дозволило використати довірчі зв’язки для виведення з ладу пов’язаних систем.

Водночас не відкидаються ще два можливих вектори атаки, а саме – експлуатація вразливостей OctoberCMS та Log4j. Також під час дослідження скомпрометованих систем фахівці CERT-UA виявили підозрілу активність із використанням легітимних облікових записів.

Саме тому вкрай важливо, щоб не тільки державні органи й об'єкти критичної інфраструктури посилювали кіберзахист, а й партнери усіх цих установ.

Крім того, зараз ми ще раз переконались, наскільки важливо не нехтувати правилами кібергігієни в будь-якій установі. Вчасно оновлювати програмне забезпечення, вчити співробітників відрізняти фішингові ресурси від справжніх тощо.

Стислі терміни реалізації атаки свідчать про координацію дій хакерів та їхню багаточисельність.

Згідно з повідомленнями Держспецзв’язку, частина даних на ресурсах низки держструктур таки була знищена. Чи відомо вам, які саме державні органи постраждали, які дані було втрачено і чи можна виправити завдану шкоду?

– Передусім хочу знову наголосити: персональні дані, бази даних не постраждали. Все працює. Вже поновлено роботу "автоцивілки".

Держспецзв’язку сформував політику так, що існують певні правила бекапів – створення копій інформації з певною періодичністю. Тому навіть ту інформацію, яку було знищено, вдалося відновити.

Загалом атакували близько 90 інформаційних ресурсів, постраждали 22 сайти. Більшу частину з сайтів, що не працювали станом на ранок 14 січня, було відключено – на випередження, оскільки в їхній розробці брала участь компанія-розробник (йдеться про ІТ-компанію Kitsoft, що спеціалізується на створенні IT-продуктів для державних органів і бізнесу. Ця компанія створювала інтернет-ресурси для майже 40 державних органів, установ і організацій, більшість з яких було атаковано. – Ред.). Ця компанія також зазнала атаки. Сайти, в розробці яких вона брала участь, відключили, аби локалізувати атаку, не допустити, щоб вони постраждали.

Наприклад, саме тому ми змушені були відключити портал Дія, оскільки згадана компанія брала участь у його розробці. Мобільний застосунок Дія створений нашою інхаус-командою Diia Company. У нас є тестове середовище, ми підключаємо підрядників – і в такий спосіб з ними співпрацюємо. Компанія, яка також була атакована, у розробці мобільного застосунку участі не брала. Тому мобільний застосунок працював до атаки, під час атаки і після неї. Його ці події ніяк не зачепили. Але портал ми змушені були відключити, як були відключені і багато інших сайтів. Це було зроблено за рекомендацією СБУ і Держспецзв’язку.

За час, поки портал не працював, ми змінили середовище, переїхали на нову інфраструктуру і зараз вже запускаємо нові сервіси. Це потрібно було для того, щоб вивчити логи, попередити будь-які можливі негаразди і точно запустити проєкт, де немає жодних проблем.

Федоров пояснив, чому портал Дія після кібератаки 14 січня так довго не працював. Джерело: Пресслужба Міністерства цифрової трансформації

Чи можливо було бодай теоретично використати портал як точку доступу до реєстрів?

– Ні, це неможливо технологічно – потрапити в реєстри через портал. Найбільша шкода, якої могли б завдати хакери, – спробувати знищити якусь інформацію на сайті або змінити контент. Доступ до реєстрів здійснюється через спеціальну захищену систему обміну даними між реєстрами Трембіта.

Ви кажете, атакувати всі реєстри – дуже важко. Але можливо?

– Якщо реалізовувати політику, яка сьогодні сформована, то неможливо. Але завжди залишається людський фактор. Саме тому Держспецзв’язку – і в цьому питанні ми координуємо їхню діяльність – системно й постійно проводить аудит інформаційної безпеки усіх базових реєстрів, зокрема, на предмет того, наскільки дотримуються встановлених стандартів та вимог захисту, що прописані в нормативних документах і, зокрема, наказами Держспецзв’язку.

Ви згадали про вразливість OctoberCMS як про один з інструментів, які використали зловмисники, щоб атакувати державні сайти. Низка кіберекспертів одразу після атаки заявила, що про цю вразливість було відомо ще з травня. І якби міністерства та установи вчасно оновлювали програмне забезпечення, атаці можна було запобігти…

– Як я вже зазначав, це була комплексна атака. А вразливість OctoberCMS була одним з можливих елементів, але не ключовим. Розслідування ще триває, і остаточні деталі оприлюднять СБУ та Кіберполіція.

Ці події вплинуть якимось чином на подальшу співпрацю державних органів та установ з компанією Kitsoft, про яку ми говоримо?

– Правоохоронні органи з’ясовують, що відбулося, з яких причин, як зловмисники отримали доступ до державних сайтів. Будуть результати розслідування – тоді можна буде говорити й про якісь подальші дії.

У нас немає ні ідеологічного, ні морального, ні ще якогось зв’язку з жодним з підрядників. Або вони працюють, дотримуються правил і забезпечують результат за найкращу ціну (бо йдеться про гроші платників податків), або ми з ними не працюємо.

Що стосується Мінцифри, ми більше сфокусовані на розвитку мобільного застосунку. Бо віримо в державу Mobile First. Близько 70% людей зараз відвідують популярні сайти саме з мобільного пристрою. І ми віримо в державу, де за допомогою смартфона можна буде отримувати всі послуги.

Водночас ми ще минулого року розпочали аудит і формування нової архітектури для порталу. Хочемо перейти на open sourcing-технології задля того, щоб не було залежності від одного підрядника і від тих технологій, які він використовує.

З січня починаємо розробляти цю нову архітектуру: у нас буде Master Team всередині, яка адмініструє портал, і велика кількість підрядників, які на тестовому середовищі запускають послуги, а ми після цього приймаємо роботу, аналізуємо і запускаємо.

Саме за таким принципом працює застосунок Дія. І січневі атаки показали, що це, певно, найкращий формат роботи: коли в компаній, які адмініструють, немає доступів до інформаційних ресурсів, вони працюють на тестовому середовищі або отримують тимчасові доступи, які неможливо експлуатувати для створення якихось проблем.

Нині багато інформаційних ресурсів вже адмініструються саме в такий спосіб. Але не всі. І це питання не адміністраторів та ІТ-департаментів – це питання заробітних плат, розвитку інфраструктури, закупівлі обладнання, залучення бізнесу. Наприклад, для аудиту інфраструктури або сервісів інформаційного порталу, аудиту безпеки чи проведення bug bounty, залучення спеціалістів для оновлення технологічного стеку.

У деяких випадках дійсно потрібно збільшувати фінансування. Бо на сьогодні кібератаки – це головний виклик, що постає перед цифровою державою. Ми не можемо інвестувати в розвиток сервісів, не інвестуючи в кіберзахист. У цей напрям необхідно максимально залучати приватний сектор. У нас дуже багато компаній, які займаються кібербезпекою, сьогодні працюють виключно на приватний сектор, вони ніяк не задіяні в побудові цифрової держави.

Така ж ситуація була і у випадку з розвитком публічних сервісів. Коли ми починали працювати над проєктом Дія, українські топкомпанії зовсім не тримали в фокусі уваги, що там відбувається в напрямі створення цифрової держави, які сервіси запускаються і як вони можуть допомогти. Але сьогодні ми активно співпрацюємо, замовляємо консалтингові послуги, аудити в топових українських компаній. Топовими я називаю найвідоміші українські ІТ-компанії, де працює велика кількість співробітників, де побудований системний менеджмент, внутрішня безпека. І ми хочемо простимулювати залучення таких компаній до розвитку кібербезпеки в Україні.

Міністр переконаний: у розвиток кібербезпеки необхідно інвестувати сотні мільйонів гривень – але ці інвестиції дозволять заощадити значно більше. Джерело: Пресслужба Міністерства цифрової трансформації

Якщо говорити про необхідність інвестицій у кібербезпеку про які суми може йтися?

– Точну цифру я не назву. Йдеться про сотні мільйонів гривень. Утім, це дійсно інвестиції, які окупляться. Можу навести приклад з інвестиціями в цифровізацію, яка заощаджує державі чимало грошей, завдяки потужному економічному та антикорупційному ефекту.

Наразі ми разом з USAID завершуємо дослідження щодо антикорупційного ефекту від цифровізації в 2020-21 роках. І от уявіть: за рік через Дію зареєструвалися близько 400 тисяч фізичних осіб-підприємців. Ці люди не мусили їхати в райцентр, витрачати час на реєстрацію – вони спокійно собі працювали і заробляли. От вам і економічний ефект. Чи, скажімо, коли ми запустили можливість задекларувати початок будівництва без комунікації з чиновниками, люди, які цією можливістю скористалися, точно не давали нікому хабарів. А це мільярди гривень, які залишилися в українців, які не осіли в кишенях хабарників, а були інвестовані в економіку. Тому я глибоко переконаний: економічний ефект від запуску послуг значно перевищує ці інвестиції.

Так само і з інвестиціями в кібербезпеку — це те, що точно окупиться державі. Тим більше, що триває війна. І з 2014 року вона ведеться, зокрема, і у кіберпросторі. І інвестувати в кібербезпеку необхідно вже хоча б для того, щоб захистити державу від уражень на цьому "фронті".

Насправді і РНБО, і НКЦК при РНБО є адвокатами розвитку кібербезпеки в Україні. Коли відбувається розподілення оборонного бюджету, вони підтримують усі ініціативи. Проте в умовах гібридної війни ми маємо інвестувати в кіберзахист ще більше.

Більше інвестувати в кадри, в їхню освіту та мотивацію, швидше змінювати законодавство і посилювати відповідальність за нехтування стандартами кіберзахисту. Саме такий Action-план було ухвалено на засіданні РНБО.

Практично одразу після атаки з’явилася інформація, що за її організацією може стояти Росія. Про факти, що вказують на російський слід, говорили і ви. Про що саме йшлося?

– Наявні дані свідчать, що кібератака була заздалегідь ретельно підготовлена, здійснювалась скоординовано групою хакерів та була проведена на високому рівні операційної безпеки. Отримана атрибуція вказує на причетність російських хакерських угруповань. Зокрема, протягом 2021 року фіксувалась інтенсифікація кібератак російських спецслужб щодо значної частини з уражених установ. Інформацію про причетність Росії одразу після атаки оприлюднив Центр з протидії дезінформації. І виходили з комунікацією, що ця хакерська атака може бути частиною інформаційної війни.

Ми прогнозували наступний крок і хотіли його попередити. Яким міг бути наступний крок у дестабілізації, в сіянні хаосу, в інформаційній війні? Це погрози українцям, що дані оприлюднені. Саме це ми бачили на тій картинці, якою було підмінено стартові сторінки державних сайтів. І власне, сталося, як ми і попереджали. Це було зроблено, щоб створити в суспільстві напруження: мовляв, тепер ми все про вас знаємо, тепер ви вразливі. І ми хотіли донести до українців, що не варто вестися на ці фейки. Що постраждали сайти, а не реєстри. Що сайти, які були атаковані, лише інформують громадян про те, що відбувається в країні, і виконують виключно цю функцію. Персональні ж дані розміщені в реєстрах.

Ми передбачали, що люди, які стоять за атакою, почнуть дестабілізувати ситуацію саме шляхом нагнітання паніки через начебто витік і оприлюднення даних. І хотіли заспокоїти і людей, і ЗМІ, які є нашими важливими партнерами в інформаційній війні.

Наразі ми моніторимо ситуацію, відстежуємо, що відбувається на різних форумах, сайтах, у соцмережах, хто й які сигнали запускає, – і передаємо цю інформацію в СБУ, спілкуємося з Центром дезінформації. Тобто ми включилися максимально, допомагаємо усіма своїми ресурсами.

Водночас Мінцифра не є суб’єктом кібербезпеки в Україні. Напрям кібербезпеки координують НКЦК при РНБО, Держспецзв’язку формує і реалізує політику в напрямі кіберзахисту. Кіберзлочини розслідує Кіберполіція, контррозвідкою в напрямі кібербезпеки займається СБУ. Ми ж як міністерство відповідаємо за адміністрування та захист тих інформаційних ресурсів, які адмініструємо.

Наразі ми дуже швидко розвиваємося. Застосунком Дія користуються вже понад 13 мільйонів користувачів. Ми дуже швидко запускаємо сервіси. Нам вдалося сформувати професійну команду. У нас є навіть власна Red Team – команда етичних білих хакерів, які в режимі нон-стоп 24/7 шукають вразливості на ресурсах, які ми запускаємо. Ці фахівці були залучені також під час розслідування нещодавніх хакерських атак та у відновленні роботи ресурсів.

Далі буде.