Оценка компетенций
КиберУкраина. Проект РСМД
Кибератаки на Украину и оценка компетенций национальной системы кибербезопасности
По оценкам провластных украинских и зарубежных наблюдателей, до 2014 г. на Украине картина киберпреступности ничем не отличалась от ситуации в остальных государствах Восточной Европы. Типичные виды киберпреступлений — фишинг-кампании, распространение вредоносных программ-вымогателей, промышленный шпионаж, а также хакерский и кибервандализм в форме DDoS-атак или дефейсов (подмена страницы веб-сайта) на ресурсах государственных институтов.

Со сменой власти на Украине в 2014 г. провластные наблюдатели связали радикальное изменение масштабов киберакций. Теперь они имели выраженный политический контекст и были нацелены на украинские госструктуры, что сочли свидетельством причастности к ним российских спецслужб. В частности, относительно кибератак, как считается, пророссийской группой «Киберберкут» (на сетевые ресурсы Центризберкома Украины в период президентских выборов в марте 2014 г.) отмечалось, что хакерами использованы так называемые «уязвимости нулевого дня», применение которых доступно только высококвалифицированным акторам, как правило, связанным с госструктурами и спецслужбами.

При этом независимые зарубежные и украинские эксперты отмечали, что масштабные последствия хакерских атак на информационные ресурсы украинских государственных организаций и частных компаний были в первую очередь связаны с высокой степенью уязвимости их IT-инфраструктуры. А по оценкам национальной команды реагирования на киберинциденты CERT-UA, к 2014 г. порядка 40% компьютеров украинских госучреждений были задействованы киберпреступниками в рассылке спама, проведении DDoS-атак, краже данных, либо же в них имелись уязвимости, позволяющие это сделать. Число украинских госведомств с выявленными уязвимостями тогда составило 605 организаций.

Первой масштабной кибератакой на Украину, повлекшей значительный политический резонанс и экономический ущерб, стал взлом 23 декабря 2015 г. информационных систем энергогенерирующей компании «Прикарпатьеоблэнерго». После получения удаленного доступа к центрам управления трех украинских распределительных электросетевых компаний были отключены 30 распределительных подстанций в Киеве и Ивано-Франковской области, в результате чего без энергоснабжения остались более 200 000 потребителей.

Украинские и американские правительственные чиновники все инциденты безапелляционно приписали хакерским группам, якобы связанным с российскими спецслужбами, ведущими «гибридную войну» против Украины. При этом указывалось, что атака на энергосети Украины идентична кибератакам предпринимавшимся контролируемыми российскими спецслужбами хакерами на Эстонию в 2007 г. и Грузию в 2008 г. При этом, по оценкам зарубежных специалистов по кибербезопасности, помогавших Украине в ликвидации последствий кибератаки на информационную сеть «Прикарпаттяоблэнерго», операцию такого уровня, проведенную с применением довольно простой фишинг-кампании и использованием имевшихся в сетевой инфраструктуре уязвимостей (в частности — отсутствия стандартного ПО для мониторинга безопасности IT-систем), могла провести обычная хакерская группа. В данной связи отмечалось, что эта атака выявила некомпетентность службы информационной защиты энергетической компании, которая оказалась неспособной обеспечить стандартный уровень защиты от несанкционированного доступа.

Следующим масштабным инцидентом стала серия кибератак, включавшая как минимум 25 эпизодов, в период 6–9 декабря 2016 г. на ряд украинских госучреждений и инфраструктурных организаций. В частности, была парализована работа информационных ресурсов Государственного казначейства Украины, Пенсионного фонда, Министерства финансов, Министерства обороны, НАК «Укрэнерго», «Украинские железные дороги», морского порта «Южный», нарушено функционирование платежных систем, железнодорожного сообщения и систем энергоснабжения. По оценке заместителя директора Национального института стратегических исследований при президенте Украины Александра Власюка, объем утерянных конфиденциальных данных составил порядка 3 Тб, хотя руководитель Киберполиции Украины Сергей Демедюк отрицал вероятность утечек информации.

Киберполиция Украины традиционно связывает организацию кибератаки декабря 2016 г. с российскими спецслужбами. Однако по оценкам независимых наблюдателей, косвенно подтверждаемых и правоохранительными органами, масштабное распространение вредоносного ПО стало следствием элементарной неграмотности сотрудников информационной безопасности атакованных госведомств и организаций. Украинская компания по кибербезопасности CYS-Centrum причиной заражения информационных сетей в ходе кибератак в декабре 2016 г. считает распространявшиеся рассылкой по электронной почте сообщения с прикрепленным файлом Microsoft Excel, который содержал макрос, скачивавший вредоносное ПО из сети. Как отмечалось, несмотря на примитивную тактику хакеров, службы кибербезопасности украинских госведомств не предприняли никаких мер по мониторингу и предотвращению угрозы.

В мае 2017 г. информационные системы десятков украинских государственных учреждений и коммерческих структур подверглись массированной атаке вируса вымогателя WannaCry, преимущественно распространявшегося через рассылки файлов Word и PDF с внедренным вредоносным ПО. При этом, по официальным данным Госспецсвязи Украины, благодаря своевременно предпринятым мерам, информационные ресурсы органов госвласти не пострадали. Об успешном отражении кибератак на информационные системы заявлялось и Национальным банком Украины.

Наиболее масштабной по охвату и последствиям кибератакой на Украину стало массовое падение 27 июня 2017 г. информационных ресурсов украинских государственных и частных компаний из-за компьютерного вируса-вымогателя Petya, получившего свое название по надписи на мониторах пораженных компьютеров. Вирус (вредоносное ПО mbr locker 256) проявлялся в блокировании доступа и отказе работы компьютеров на платформе Windows. Зараженные компьютеры перегружались, после чего базы данных оказывались зашифрованными, далее следовало требование выкупа в размере 300 долл. на адрес Bitcoin-кошелька. Распространение вируса происходило посредством рассылок по электронной почте, а также при обновлении распространенного на Украине программного обеспечения для отчетности и документооборота M.E.doc (разработчик — украинская компания Lіnkos Group).

В результате распространения вируса Petya (и его версии «NotPetya») пострадали информационные системы сотен украинских организаций — инфраструктурных, энергетических, медиа- и телекоммуникационных компаний, в том числе «Укрэнерго», Укрпочты, ПАО «Укрзализныця» (Украинские железные дороги), Киевского метрополитена, киевского аэропорта «Борисполь», 30 банков, а также ряда госведомств. По украинским и зарубежным оценкам, ущерб от распространения компьютерного вируса NotPetya, уничтожившего информацию на сотнях тысяч персональных и корпоративных компьютеров украинских пользователей, составил почти 2 млрд гривен. Решением СНБО Украины на усиление мер по противодействию кибератакам, в первую очередь защищенности информационной инфраструктуры госструктур, было выделено 250 млн грн.

Украинские спецслужбы традиционно обвиняли в причастности к распространению вируса NotPetya хакеров, связанных с российскими спецслужбами. Однако словацкая компания ESET, помогавшая ликвидировать последствия атаки вируса Petya.А, заметила, что, хотя на Украину и пришлось большинство атак (порядка 75%), пострадали пользователи десятков стран во всем мире, в том числе и в России, Германии, Польше, Индии, США, Великобритании, Испании, Сербии, Греции, Франции, Румынии, Чехии. При этом независимые наблюдатели и специалисты указывали на достаточно примитивную тактику и низкий уровень организации кибератак вирусом-вымогателем и ставили под сомнение причастность к ним госструктур какого-либо государства.

По экспертным оценкам, основными причинами масштабных сбоев в информационной инфраструктуре украинских госведомств и компаний было массовое использование нелицензионного программного обеспечения (операционных систем и офисных приложений Windows, антивирусов и прочего). Сбои также показали крайне низкий уровень защиты сетей Wi-Fi подавляющего большинства пользователей. Так, Агентство США по международному развитию (USAID) считает уровень киберзащищенности Украины недостаточным из-за массового использования устаревшего оборудования и нелицензионного программного обеспечения и низкой компетентности пользователей. Украинские и зарубежные эксперты в числе причин высокой уязвимости объектов информационной инфраструктуры Украины отмечают массовое использование (не только частными лицами и компаниями, но и госструктурами) пиратского программного обеспечения, не получающего стандартных обновлений систем безопасности. Эксперты оценивали как неудовлетворительную компетентность и ответственность пользователей даже в Вооруженных силах Украины, для которых обыденной являлась практика защиты IP-адресов серверов и коммутаторов систем управления и связи стандартными и примитивными логинами и паролями.

По оценке Начальника Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности СБУ Александра Климчука, несмотря на довольно разрушительные последствия кибератак 2016–2017 гг., их анализ позволил украинским специалистам получить необходимый опыт в выработке эффективных мер противодействия. Предпринятые Госспецсвязи Украины и СБУ после масштабной кибератаки с использованием вируса Petya, а в середине 2017 г. с использованием вируса Petya. A экстренные меры по повышению киберзащищенности, по оценкам украинских специалистов, дали зримые результаты уже во второй половине 2017 г. Как отмечал глава СБУ Василий Грицак, ее специалистами в 2017 г. было «зафиксировано и нейтрализовано более пятидесяти кибератак разной степени мощности, отдельные из которых по разрушительным последствиям могли быть намного хуже, чем знаменитый Petya.A».

Среди успешных операций СБУ и CERT-UA по противодействию кибератакам выделяют: предотвращение в октябре 2017 г. кибератаки, направленной на блокирование работы информационных систем ряда госструктур, крупных государственных и частных компаний, выявление и локализацию в апреле 2018 г. кибератаки на объекты оборонно-промышленного комплекса, а также кибератаки с использование вредоносного ПО Armagedon на информационные ресурсы СБУ, Минобороны, Госпогранслужбы и воинских подразделений, участвующих в АТО на востоке Украины, предотвращение в мае 2018 г. масштабной кибератаки с использованием вредоносного ПО VPNFilter на государственные структуры и частные компании с целью дестабилизации ситуации во время проведения в Киеве финала Лиги Чемпионов УЕФА, выявление в ноябре 2018 г. вредоносного программного обеспечения удаленного слежения и доступа типа Pterodo на компьютерах ряда госорганов Украины и предотвращение масштабной кибератаки.

Рост уровня киберзащищенности отмечали и зарубежные кураторы. В сентябре 2017 г. заместитель генерального секретаря НАТО по вопросам новых вызовов безопасности Сорин Дукару отмечал, что «Украина уже достигла значительного прогресса в деле укрепления собственной кибербезопасности, но должна приложить еще больше усилий для своей защиты».

В середине 2018 г. секретарь Совета национальной безопасности и обороны Александр Турчинов отмечал, что по киберзащищенности стратегической информационной инфраструктуры Украина достигла европейского уровня. Аналогичную оценку киберзащищенности украинских госструктур давал и министр цифровой трансформации Украины Михаил Федоров, отметив, что Украине «можно смело себя чувствовать нормально защищенной». Согласно «Глобальному индексу кибербезопасности» (Global Cybersecurity Index) Международного союза электросвязи (International Telecommunication Union — ITU), Украина в 2018 г. занимала 54 место из 180 стран, поднявшись с 2017 г. на 4 пункта. [На момент подготовки данного обзора (июнь 2020 г.), отчет «Global Cybersecurity Index - 2019» не опубликован].

Особую роль тема «российской информационной агрессии» для украинских политиков получила в период президентской кампании 2019 года, когда украинскими госструктурами и спецслужбами была инициирована массированная пропаганда о предстоящем российском вмешательстве в проведение президентских выборов и, соответственно, об организации массовых кибератак на украинские информационные ресурсы.

Глава Госпецсвязи Украины Валентин Петров на этот счет заявлял, что, если до 2018 г. група реагирования на киберинциденты CERT.UA обнаруживала порядка 100–200 случаев опасной киберактивности в национальном информационном пространстве, то к концу 2018 г., с приближением президентских выборов на Украине, группа выявляла и предотвращала уже десятки тысяч инцидентов. В декабре 2018 г. в связи с введением в стране военного положения в преддверии президентской кампании 2019 г. начальник Главного управления связи и информационных систем Генштаба Вооруженных сил Украины объявил о переходе подразделений кибербезопасности ВСУ на боевой режим работы.

Согласно опубликованным СБУ данным, за 2019 год ее специалисты нейтрализовали порядка 480 кибератак на информационные ресурсы украинских государственных органов и объекты критической информационной инфраструктуры. В числе конкретных примеров отмечалась нейтрализация СБУ в ноябре-декабре 2019 г. серии кибератак на официальный сайт президента Украины Владимира Зеленского и информационные ресурсы банковской системы.

Всего за 2019 г. СБУ заблокировало более 1000 веб-ресурсов, использовавшихся в преступных целях. За антиукраинскую пропаганду к ответственности было привлечено 34 администратора соцсетей и вынесен 21 судебный приговор. В связи с контрразведывательной защитой интересов государства в сфере информационной безопасности было открыто 339 уголовных производств: из них 158 — за преступления в сфере использования компьютерных систем, 34 — за преступления против основ национальной безопасности, 42 лица стали подозреваемыми, 16 человек были осуждены. Также, по обвинению в причастности к пропаганде сепаратизма в сети был запрещен въезд на Украину 280 иностранцам.

Согласно данным публикуемым СБУ, накал противостояния в киберпостранстве Украины не спадает и в 2020 г. За первый квартал по фактам выявленных правонарушений в киберпостранстве СБУ было заблокировано более 2000 веб-ресурсов, использовавшихся для проведения кибератак, удалось нейтрализовать в том числе 103 кибератаки на информационные ресурсы государственных органов власти. Было открыто 117 уголовных дел, из них 42 по фактам несанкционированного вмешательства в работу компьютерных сетей, разоблачен 301 интернет-агитатор, распространявший различные фейки об эпидемии COVID-19 на Украине.