КиберУкраина
Киберинфраструктура Украины
КиберУкраина. Проект РСМД
Инфраструктура национальной системы кибербезопасности Украины
Инфраструктура национальной системы кибербезопасности Украины включает инфраструктуру мониторинга киберугроз и киберзащиты ключевых госструктур — Госспецсвязи Украины, Службы безопасности Украины, Киберполиции Украины, Национального банка Украины, подразделений кибербезопасности государственных ведомств, а также Вооруженных сил Украины.
Инфраструктура кибербербезопасности Госспецсвязи Украины как ключевого органа госвласти в системе информационной и кибербезопасности обеспечивается возможностями Государственного центра киберзащиты и противодействия киберугрозам (Державний центр кіберзахисту та протидії кіберзагрозам Держспецзв'язку), Центра антивирусной защиты информации (Центр антивiрусного захисту інформації Держспецзв'язку України) и Центра реагирования на киберугрозы (Центр реагування на кіберзагрози / Cyber Threat Response Center — CRC). В 2017–2019 гг. была проведена модернизация инфраструктуры Государственного центра киберзащиты и ее подразделений, переоснащенной специальным оборудованием и сервисами информационной безопасности разработки американских компаний Cisco International Ltd., Arbor Networks Inc., Splunk Inc. и BitSight. Помимо мероприятий реализовавшихся в рамках различных программ помощи по линии Госдепартамента США и НАТО, объем проводившихся Госспецсвязи Украины с 2017 года тендерных закупок платформ и сервисов кибербезопасности, по данным украинских сайтов госзакупок, составил более 180 млн гривен (около 6,8 млн долл. по среднему курсу).
В частности, номенклатура закупленного и используемого специального оборудования и программных продуктов включала платформы мониторинга сетевого трафика и управления угрозами Arbor Peakflow SP и защиты от ботнетов и DDoS-атак ATLAS Intelligence Feed, системы управления сетевыми сервисами Cisco EPN Manager и Cisco Firepower Threat Defense Virtual Appliance, межсетевые экраны Cisco Firepower FPR2130-NGFW-K9 / FPR4110-NGFW-K9 и Cisco Firepower 9000 Series, аппаратуру управления межсетевыми экранами Cisco Firepower Management Center FMC2500 и FMC1000, платформы мониторинга, обнаружения и анализа угроз Cisco Stealthwatch Flow Rate и Cisco AMP Threat Grid, гиперконвергентные системы для центров обработки данных Cisco Hyperflex, серверы Cisco HX240c, Cisco UCS C220 M4 SFF/LFF, ПО контроля доступа к корпоративной сети Cisco ISE, аппаратно-программные комплексы контроля и защиты электронной почты (e-mail шлюзы) Cisco C190 ESA.
В системе киберзащиты объектов критической информационной инфраструктуры Государственным центром киберзащиты также используется платформа мониторинга и оценки рисков в инфраструктуре информационных сетей BitSight Sovereign Security Ratings разработки американской компании BitSight и система управления информационной безопасностью и событиями Splunk Enterprise Security (разработки американской компании Splunk Inc.), позволяющая осуществлять мониторинг и индексацию машинных данных IT-инфраструктуры для отслеживания инцидентов безопасности.
В декабре 2019 г. Госспецсвязи Украины анонсировала создание на базе Национального технического университета «Киевский политехнический институт имени Игоря Сикорского» принципиально нового элемента системы кибербезопасности — киберполигона — научно-исследовательского комплекса, предназначенного для подготовки и повышения компетенций персонала субъектов обеспечения кибербезопасности государственного сектора и объектов критической инфраструктуры, проведения киберучений, моделирования киберугроз.
В структуре Госспецсвязи Украины также находится инфраструктура национальной Команды реагирования на чрезвычайные ситуации в сфере кибербезопасности — CERT.UA (Команда реагування на комп'ютерні надзвичайні події України / Computer Emergency Response Team of Ukraine), обеспечивающая мониторинг и защиту государственных информационно-телекоммуникационных ресурсов и систем, а также взаимодействие и координацию с национальными CERT зарубежных государств.
Основу потенциала CERT-UA по противодействию киберугрозам составляют разработанные ее специалистами специальные аппаратно-программные системы, в том числе система активного мониторинга угроз IP Guard AMS 1.0 и система накопления и обработки информации об инцидентах и угрозах IP Guard FEEDs, которые позволяют выявлять киберугрозы в реальном времени. Система мониторинга IP Guard AMS 1.0, запущенная в августе 2013 г., посредством анализа информации, поступающей из более чем 30 источников (сетевые ловушки, результаты реагирования на инциденты, данные других национальных CERT, IT-компаний, зарубежных исследовательских институтов и прочее), обеспечивает обнаружение IP-адресов, которые использовались, либо имели уязвимости для несанкционированного доступа или проведения хакерских атак.
В конце 2019 г. для запуска нового программно-аппаратного комплекса мониторинга за вредоносным ПО, для CERT-UA был закуплен комплект специального оборудования на сумму 5,76 млн грн. Согласно техническим требованиям, комплекс, с единовременной поддержкой до 50 аппаратных систем, должен обеспечивать возможность выявления, идентификации и анализа не менее чем 40000 инцидентов внедрения вредоносного ПО в день, в том числе т.н. уязвимостей «нулевого дня» (zero-day, неидентифицированных уязвимостей). Также, в марте 2020 г., для повышения возможностей CERT-UA была инициирована закупка дополнительного специализированного программного обеспечения, в частности, комплектов ПО виртуализации ИТ-инфраструктуры VMware vSphere Essentials Kit и VMware Workstation 15.5 Pro (разработки американской компании VMware) и ПО сканирования жесткого диска (для компьютерной криминалистики) Forensic Toolkit 7.2 / FTK 7.2 (разработки американской компании Access Group Inc.).
В структуре Службы безопасности Украины основу технического потенциала составляет инфраструктура Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности (Департамент контррозвідувального захисту інтересів держави у сфері інформаційної безпеки) и Ситуационного центра обеспечения кибернетической безопасности СБУ (Ситуаційний центр забезпечення кібернетичної безпеки Служби безпеки України), обеспечивающего мониторинг и реагирование на вмешательство в работу объектов критической информационной инфраструктуры государственных служб. В составе Ситуационного центра имеется специальная лаборатория по компьютерной криминалистике. Для повышения оперативности реагирования на киберинциденты в рамках соглашения «О реализации Трастового фонда Украина-НАТО по вопросам кибербезопасности» ведется формирование региональных центров обеспечения кибербезопасности СБУ (в 2018–2019 гг. открыты в Днепре, Сумах и Одессе).
Ядром инфраструктуры киберзащиты структурных подразделений СБУ является разработанная ее специалистами на базе широко используемой в мире открытой платформы киберразведки MISP (Malware Information Sharing Platform) система для сбора и обработки информации об инцидентах кибернетической безопасности MISP-UA (Malware Information Sharing Platform «Ukrainian Advantage»). Система обеспечивает обмен между субъектами критической инфраструктуры техническими данными о реализованных и потенциальных кибератаках на информационные системы в режиме реального времени, а также позволяет прогнозировать возможные цели кибератак и вырабатывает решения по их локализации, анализирует образцы вредоносного программного обеспечения. Помимо Ситуационного и региональных центров обеспечения кибербезопасности СБУ, система MISP-UA также связывает украинские госструктуры, ключевые объекты критической инфраструктуры и организации, имеющие стратегическое значение для национальной безопасности, обороны и экономики. В частности, к ней уже подключено большинство крупнейших украинских компаний, в том числе «Укренерго», «Укргідроенерго», государственное авиапредприятие «Антонов».
Для модернизации ведомственной системы обеспечения информационной безопасности СБУ активно закупаются современные аппаратно-программные решения. В частности, закупавшаяся номенклатура оборудования и программного обеспечения включала системы управления, контроля и обеспечения информационной безопасности AlienVault 5.3.4 Threat Intelligence (разработки компании AT&T Cybersecurity — подразделение американской корпорации AT&T Inc.), межсетевые экраны FireEye4400 NX Platinum, платформы динамического анализа угроз Dynamic Threat Intelligence (DTI) и аппаратные комплексы унифицированного управления платформами Central Management System 4400CM/CMS), американской компании FireEye, а также специальное оборудование разработки американской компании Fortinet Inc. — межсетевые экраны для защищенных почтовых шлюзов FortiWeb 1000D и межсетевые экраны нового поколения FortiGate UTM, консолидированные платформы сетевой безопасности FortiGate, сервисы мониторинга скомпрометированных IP-адресов FortiGuard IP Reputation, шлюзы безопасности для электронной почты FortiMail (защита от входящих угроз типа анти-спам, анти-фишинг и техники предотвращения вредоносного ПО), решение по централизованному отслеживанию и анализу событий FortiAnalyzer, сетевые устройства безопасности (для обнаружения сложных целевых атак в изолированной защищенной среде) FortiSandbox, системы централизованного управления сетевой безопасностью FortiManager-VM-Base.
Для защиты данных в информационно-телекоммуникационных системах СБУ используется оборудование криптографической защиты информации украинской разработки, в частности ІР-шифраторы «Канал-101ДЕ»/«Канал-201Д» (компании AT «Інститут інформаційних технологій») и «О371-Е»/«Лавина-Е» (ТОВ «Трител»). Также, для повышения компетенций в проведении криминалистических исследований в сфере информационной и кибербезопасности, СБУ в 2019 – начале 2020 гг. закупались портативные аппаратно-программные комплексы извлечения паролей и данных из мобильных устройств Cellebrite UFED Touch2 производства израильской компании Cellebrite, а также лицензии на специализированные платформы программного обеспечения (в том числе ПО анализа данных, извлеченных из мобильных устройств Cellebrite Analytics Desktop и Cellebrite UFED Physical Analyzer, а также ПО Cellebrite UFED Cloud Analyzer, предназначенное для анализа данных пользователей в облачных источниках информации типа Facebook, Telegram, Gmail, eDrive, Twitter, Instagram, Yahoo и т.п.).
На основе разработанной украинским оператором мобильной связи Lifecell в 2017 г. системы экстренного информирования в условиях чрезвычайных ситуаций Emergency Notification System (ENS) киберполиция Украины также планировала сформировать систему экстренного оповещения о киберугрозах, объединяющую сотни государственных и частных компаний, имеющих стратегическое значение. Как отмечали украинские СМИ, в техническом оснащении инфраструктуры кибербезопасности Национальной полиции Украины значительную помощь оказали структуры ЕС и ОБСЕ в рамках проекта «Развитие потенциала киберполиции» (Development of cyber police capabilities). В июле 2017 г. получено 194 единицы специальной техники, а также программное обеспечение, а в августе 2018 г. сообщалось о передаче структурами ЕС нескольких сотен единиц компьютерного оборудования и оргтехники для оснащения информационной системы Департамента стратегических разработок Нацполиции Украины.
В банковско-финансовой сфере базисом системы информационной безопасности и киберзащиты, обеспечиваемой Национальным Банком Украины (НБУ), является инфраструктура подведомственных Центра киберзащиты и команды реагирования на киберинциденты CSIRT-NBU. В 2018 г. Национальным Банком Украины формировалась информационно-аналитическая система киберзащиты (тендерная стоимость разработки оценивалась в 1,4 млн гривен), которая должна была интегрироваться с аппаратно-программными системами гибридного анализа вредоносного ПО и угроз типа Cisco AMP Threat Grid / Cisco Cuckoo Sandbox либо FireEye AX. По оценкам специалистов НБУ, ведомственная система информационной безопасности и киберзащиты показала себя довольно устойчивой и эффективной при масштабных кибератаках в 2017–2018 гг. К примеру, только за 2018 г. в ее контуре было выявлено около одного миллиона кибер-инцидентов и попыток совершения кибератак и идентифицировано порядка 4 000 образцов вредоносного программного обеспечения, по которым были сформированы соответствующие индикаторы киберугроз.
Типовую номенклатуру аппаратно-программных решений используемых в системах киберзащиты прочих украинских госведомств, можно проиллюстрировать на примере модернизированной в 2018–2019 гг. системы киберзащиты Министерства юстиции Украины, для оснащения которой закупались платформы выявления угроз, выработки решений по их нейтрализации и интеграции имеющихся средств защиты McAfee Enterprise Security Manager, ПО управления событиями безопасности McAfee Global Threat Intelligence, платформы McAfee Virtual Advanced Threat Defense Appliance ATD-VM1008, обеспечивающие выявление кибератак повышенной сложности и выработку мер реагирования, антивирусное ПО McAfee Endpoint Threat Defense and Response (комплект на 500 рабочих мест) и McAfee Complete EndPoint Protection (комплект для 900 рабочих мест), ПО веб-защиты McAfee Web Security (комплект для 900 рабочих мест) и McAfee Web Anti-Malware (для 900 рабочих станций), программы защиты от вредоносного ПО для дата-центров McAfee Datacenter Security Suite for Database.
Большое внимание Украина уделяет инфраструктуре защиты телекоммуникационных систем государственных органов. Национальная система конфиденциальной связи, созданная ПАО «Укртелеком» в начале 2000-х гг. (также включающая телекоммуникационную систему специального назначения — ТМСП), в 2014 г. была модернизирована вводом в эксплуатацию магистральной сети пропускной способностью до 10 Гбит/с, обеспечившей информационно-телекоммуникационные системы органов государственной власти защищенным широкополосным доступом к сети Интернет. Техническую помощь в организации и конфигурировании ТМСП оказали американская компания Cisco и израильская ECI. Шифрование данных, передаваемых через телекоммуникационную систему специального назначения (ТМСП), проводится с использованием алгоритмов украинской разработки, обеспечивающих, даже в случае перехвата трафика, высокую степень защищенности данных от выделения из потока и расшифровки.
В 2017 г. сообщалось о закупке Государственным центром киберзащиты и противодействия киберугрозам Госспецсвязи Украины у компании ООО «ЭсАй БИС» оборудования для создания и внедрения системы межведомственной телефонной связи на общую сумму 34,2 млн грн.
Важным сегментом национальной киберинфраструктуры является внедрение госструктурами и организациями комплексных систем защиты информации (КСЗИ) — для обеспечения защиты информации с ограниченным доступом и создания защищенных узлов доступа к сети интернет, что предусматривается требованиями законов «Об информации» и «О защите информации в информационно-телекоммуникационных системах». В августе 2017 г. Указом президента Украины №254/2017 было введено в действие решение Совета национальной безопасности и обороны Украины, ужесточившее для государственных органов и организаций требования по закупке услуг по доступу к сети Интернет. Закупать их разрешалось только у операторов (провайдеров), имевших аттестаты соответствия систем защиты информации установленным требованиям. Регулирование вопросов, связанных с разработкой требований к КСЗИ, их внедрением и аттестацией, находится в ведении Госспецсвязи Украины.
В аппаратно-техническом плане КСЗИ от несанкционированного доступа представляет собой компьютерный многопользовательский комплекс в составе локальной сети серверов и персональных компьютеров, управляемых коммутаторов, аппаратного или программного firewall, комплекса дополнительного ПО (антивирус, средства разграничения доступа и т.д.), комплекса средств технической и/или криптографической защиты информации. На украинском рынке стоимость КСЗИ, в зависимости от архитектуры и уровня защищенности, в среднем оценивалась в пределах 60 000–10 0000 грн. Ориентировочная стоимость работ по построению комплексной системы защиты информации (КСЗИ) для создания защищенного узла доступа к сети Интернет в минимальной комплектации оценивалась в 300–400 тыс. грн, а подтверждение соответствия составляло порядка 10–15% стоимости системы.
Вооруженные силы Украины развивают собственную инфраструктуру кибербезопасности и защиты информационных систем, в первую очередь систем связи и управления. Войсками связи ВС Украины разработана и с 2017 г. эксплуатируется интеграционная платформа «Дельта» — защищенная система обеспечения ситуационной осведомленности посредством интеграции различных информационных систем по единому протоколу MIP4-IES стандарта НАТО. Украина стала одной из первых среди стран — членов и партнеров блока, кто обеспечил свои вооруженные силы системой обмена ситуационной информацией с использованием современного военного протокола.
Также для обеспечения взаимосовместимости систем управления ВС Украины с вооруженными силами государств — членов НАТО при содействии Агентства НАТО по связи и информации (NATO Communications and Information Agency — NCIA) из средств трастового фонда НАТО по модернизации систем командования, управления и связи Вооруженных сил Украины (NATO-Ukraine C4 Trust Fund) финансировалось внедрение в систему управления войсками стандартизированных программных средств обеспечения ситуационной осведомленности в телекоммуникационном пространстве JOCWatch, JCHAT и iGeoSIT.
В целях повышения потенциала Вооруженных сил Украины в информационной и кибербезопасности по линии курируемой Госдепом США программы содействия Украине в сфере информационной безопасности «Ukraine Security Assistance Initiative — Information Technology» (USAI — IT) к началу 2019 г. на базе Генштаба ВСУ развернута интегрированная информационно-командная система уровня C4I (Command, Control, Communicate, Compute, and Intelligence). Реализация программы финансировалась Исполнительным офисом Программы армии США по корпоративным информационным системам (US Army Program Executive Office for Enterprise Information Systems — PEO-EIS) в рамках инициированного в феврале 2017 г. тендера. Исполнителем работ по программе общей стоимостью 22,7 млн долл. стала американская корпорация Black Box Corporation.
В состав системы входят Центр операций по кибербезопасности Генштаба ВСУ, альтернативный стационарный командно-диспетчерский центр на базе штаба Воздушно-десантных войск для обеспечения бесперебойной работы системы, а также сопряженные медицинская и логистическая информационные системы. Переоснащение новым оборудованием проводится в Центре оперативного реагирования на инциденты кибербезопасности и Центре оперативного управления и контроля Объединенного оперативного штаба и Главного командного центра ВСУ. В рамках проекта была проведена модернизация существовавшей инфраструктуры и создано 11 площадок с необходимой IT-архитектурой, а также устройствами удалённого доступа, соответствующими стандартам НАТО на стратегическом и тактическом уровнях. Для повышения киберзащищенности информационной системы использованы оптоволоконные сверхзащищенные системы связи.
В рамках проводимой реорганизации системы кибербезопасности ВСУ и создания в феврале 2020 г. Командования войск связи и кибернетической безопасности планируется также реорганизация центров ИПсО Сил специальных операций ВСУ с созданием на их базе подразделений, идентичных киберцентрам НАТО. По комментариям наблюдателей, для технического оснащения информационных систем реорганизуемых структур в марте 2020 г. Командование войск связи и кибербезопасности ВСУ инициировало тендер на закупку 100 ноутбуков с установленным лицензионным ПО и 100 единиц 48-дюймовых панелей отображения информации. Как ожидается, техническое и консультационное содействие в вопросах оснащения киберцентров и обучения персонала окажет Литва, которая стала первой из постсоветских государств, на территории которой был создан подобный киберцентр НАТО.
Инфраструктура кибербербезопасности Госспецсвязи Украины как ключевого органа госвласти в системе информационной и кибербезопасности обеспечивается возможностями Государственного центра киберзащиты и противодействия киберугрозам (Державний центр кіберзахисту та протидії кіберзагрозам Держспецзв'язку), Центра антивирусной защиты информации (Центр антивiрусного захисту інформації Держспецзв'язку України) и Центра реагирования на киберугрозы (Центр реагування на кіберзагрози / Cyber Threat Response Center — CRC). В 2017–2019 гг. была проведена модернизация инфраструктуры Государственного центра киберзащиты и ее подразделений, переоснащенной специальным оборудованием и сервисами информационной безопасности разработки американских компаний Cisco International Ltd., Arbor Networks Inc., Splunk Inc. и BitSight. Помимо мероприятий реализовавшихся в рамках различных программ помощи по линии Госдепартамента США и НАТО, объем проводившихся Госспецсвязи Украины с 2017 года тендерных закупок платформ и сервисов кибербезопасности, по данным украинских сайтов госзакупок, составил более 180 млн гривен (около 6,8 млн долл. по среднему курсу).
В частности, номенклатура закупленного и используемого специального оборудования и программных продуктов включала платформы мониторинга сетевого трафика и управления угрозами Arbor Peakflow SP и защиты от ботнетов и DDoS-атак ATLAS Intelligence Feed, системы управления сетевыми сервисами Cisco EPN Manager и Cisco Firepower Threat Defense Virtual Appliance, межсетевые экраны Cisco Firepower FPR2130-NGFW-K9 / FPR4110-NGFW-K9 и Cisco Firepower 9000 Series, аппаратуру управления межсетевыми экранами Cisco Firepower Management Center FMC2500 и FMC1000, платформы мониторинга, обнаружения и анализа угроз Cisco Stealthwatch Flow Rate и Cisco AMP Threat Grid, гиперконвергентные системы для центров обработки данных Cisco Hyperflex, серверы Cisco HX240c, Cisco UCS C220 M4 SFF/LFF, ПО контроля доступа к корпоративной сети Cisco ISE, аппаратно-программные комплексы контроля и защиты электронной почты (e-mail шлюзы) Cisco C190 ESA.
В системе киберзащиты объектов критической информационной инфраструктуры Государственным центром киберзащиты также используется платформа мониторинга и оценки рисков в инфраструктуре информационных сетей BitSight Sovereign Security Ratings разработки американской компании BitSight и система управления информационной безопасностью и событиями Splunk Enterprise Security (разработки американской компании Splunk Inc.), позволяющая осуществлять мониторинг и индексацию машинных данных IT-инфраструктуры для отслеживания инцидентов безопасности.
В декабре 2019 г. Госспецсвязи Украины анонсировала создание на базе Национального технического университета «Киевский политехнический институт имени Игоря Сикорского» принципиально нового элемента системы кибербезопасности — киберполигона — научно-исследовательского комплекса, предназначенного для подготовки и повышения компетенций персонала субъектов обеспечения кибербезопасности государственного сектора и объектов критической инфраструктуры, проведения киберучений, моделирования киберугроз.
В структуре Госспецсвязи Украины также находится инфраструктура национальной Команды реагирования на чрезвычайные ситуации в сфере кибербезопасности — CERT.UA (Команда реагування на комп'ютерні надзвичайні події України / Computer Emergency Response Team of Ukraine), обеспечивающая мониторинг и защиту государственных информационно-телекоммуникационных ресурсов и систем, а также взаимодействие и координацию с национальными CERT зарубежных государств.
Основу потенциала CERT-UA по противодействию киберугрозам составляют разработанные ее специалистами специальные аппаратно-программные системы, в том числе система активного мониторинга угроз IP Guard AMS 1.0 и система накопления и обработки информации об инцидентах и угрозах IP Guard FEEDs, которые позволяют выявлять киберугрозы в реальном времени. Система мониторинга IP Guard AMS 1.0, запущенная в августе 2013 г., посредством анализа информации, поступающей из более чем 30 источников (сетевые ловушки, результаты реагирования на инциденты, данные других национальных CERT, IT-компаний, зарубежных исследовательских институтов и прочее), обеспечивает обнаружение IP-адресов, которые использовались, либо имели уязвимости для несанкционированного доступа или проведения хакерских атак.
В конце 2019 г. для запуска нового программно-аппаратного комплекса мониторинга за вредоносным ПО, для CERT-UA был закуплен комплект специального оборудования на сумму 5,76 млн грн. Согласно техническим требованиям, комплекс, с единовременной поддержкой до 50 аппаратных систем, должен обеспечивать возможность выявления, идентификации и анализа не менее чем 40000 инцидентов внедрения вредоносного ПО в день, в том числе т.н. уязвимостей «нулевого дня» (zero-day, неидентифицированных уязвимостей). Также, в марте 2020 г., для повышения возможностей CERT-UA была инициирована закупка дополнительного специализированного программного обеспечения, в частности, комплектов ПО виртуализации ИТ-инфраструктуры VMware vSphere Essentials Kit и VMware Workstation 15.5 Pro (разработки американской компании VMware) и ПО сканирования жесткого диска (для компьютерной криминалистики) Forensic Toolkit 7.2 / FTK 7.2 (разработки американской компании Access Group Inc.).
В структуре Службы безопасности Украины основу технического потенциала составляет инфраструктура Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности (Департамент контррозвідувального захисту інтересів держави у сфері інформаційної безпеки) и Ситуационного центра обеспечения кибернетической безопасности СБУ (Ситуаційний центр забезпечення кібернетичної безпеки Служби безпеки України), обеспечивающего мониторинг и реагирование на вмешательство в работу объектов критической информационной инфраструктуры государственных служб. В составе Ситуационного центра имеется специальная лаборатория по компьютерной криминалистике. Для повышения оперативности реагирования на киберинциденты в рамках соглашения «О реализации Трастового фонда Украина-НАТО по вопросам кибербезопасности» ведется формирование региональных центров обеспечения кибербезопасности СБУ (в 2018–2019 гг. открыты в Днепре, Сумах и Одессе).
Ядром инфраструктуры киберзащиты структурных подразделений СБУ является разработанная ее специалистами на базе широко используемой в мире открытой платформы киберразведки MISP (Malware Information Sharing Platform) система для сбора и обработки информации об инцидентах кибернетической безопасности MISP-UA (Malware Information Sharing Platform «Ukrainian Advantage»). Система обеспечивает обмен между субъектами критической инфраструктуры техническими данными о реализованных и потенциальных кибератаках на информационные системы в режиме реального времени, а также позволяет прогнозировать возможные цели кибератак и вырабатывает решения по их локализации, анализирует образцы вредоносного программного обеспечения. Помимо Ситуационного и региональных центров обеспечения кибербезопасности СБУ, система MISP-UA также связывает украинские госструктуры, ключевые объекты критической инфраструктуры и организации, имеющие стратегическое значение для национальной безопасности, обороны и экономики. В частности, к ней уже подключено большинство крупнейших украинских компаний, в том числе «Укренерго», «Укргідроенерго», государственное авиапредприятие «Антонов».
Для модернизации ведомственной системы обеспечения информационной безопасности СБУ активно закупаются современные аппаратно-программные решения. В частности, закупавшаяся номенклатура оборудования и программного обеспечения включала системы управления, контроля и обеспечения информационной безопасности AlienVault 5.3.4 Threat Intelligence (разработки компании AT&T Cybersecurity — подразделение американской корпорации AT&T Inc.), межсетевые экраны FireEye4400 NX Platinum, платформы динамического анализа угроз Dynamic Threat Intelligence (DTI) и аппаратные комплексы унифицированного управления платформами Central Management System 4400CM/CMS), американской компании FireEye, а также специальное оборудование разработки американской компании Fortinet Inc. — межсетевые экраны для защищенных почтовых шлюзов FortiWeb 1000D и межсетевые экраны нового поколения FortiGate UTM, консолидированные платформы сетевой безопасности FortiGate, сервисы мониторинга скомпрометированных IP-адресов FortiGuard IP Reputation, шлюзы безопасности для электронной почты FortiMail (защита от входящих угроз типа анти-спам, анти-фишинг и техники предотвращения вредоносного ПО), решение по централизованному отслеживанию и анализу событий FortiAnalyzer, сетевые устройства безопасности (для обнаружения сложных целевых атак в изолированной защищенной среде) FortiSandbox, системы централизованного управления сетевой безопасностью FortiManager-VM-Base.
Для защиты данных в информационно-телекоммуникационных системах СБУ используется оборудование криптографической защиты информации украинской разработки, в частности ІР-шифраторы «Канал-101ДЕ»/«Канал-201Д» (компании AT «Інститут інформаційних технологій») и «О371-Е»/«Лавина-Е» (ТОВ «Трител»). Также, для повышения компетенций в проведении криминалистических исследований в сфере информационной и кибербезопасности, СБУ в 2019 – начале 2020 гг. закупались портативные аппаратно-программные комплексы извлечения паролей и данных из мобильных устройств Cellebrite UFED Touch2 производства израильской компании Cellebrite, а также лицензии на специализированные платформы программного обеспечения (в том числе ПО анализа данных, извлеченных из мобильных устройств Cellebrite Analytics Desktop и Cellebrite UFED Physical Analyzer, а также ПО Cellebrite UFED Cloud Analyzer, предназначенное для анализа данных пользователей в облачных источниках информации типа Facebook, Telegram, Gmail, eDrive, Twitter, Instagram, Yahoo и т.п.).
На основе разработанной украинским оператором мобильной связи Lifecell в 2017 г. системы экстренного информирования в условиях чрезвычайных ситуаций Emergency Notification System (ENS) киберполиция Украины также планировала сформировать систему экстренного оповещения о киберугрозах, объединяющую сотни государственных и частных компаний, имеющих стратегическое значение. Как отмечали украинские СМИ, в техническом оснащении инфраструктуры кибербезопасности Национальной полиции Украины значительную помощь оказали структуры ЕС и ОБСЕ в рамках проекта «Развитие потенциала киберполиции» (Development of cyber police capabilities). В июле 2017 г. получено 194 единицы специальной техники, а также программное обеспечение, а в августе 2018 г. сообщалось о передаче структурами ЕС нескольких сотен единиц компьютерного оборудования и оргтехники для оснащения информационной системы Департамента стратегических разработок Нацполиции Украины.
В банковско-финансовой сфере базисом системы информационной безопасности и киберзащиты, обеспечиваемой Национальным Банком Украины (НБУ), является инфраструктура подведомственных Центра киберзащиты и команды реагирования на киберинциденты CSIRT-NBU. В 2018 г. Национальным Банком Украины формировалась информационно-аналитическая система киберзащиты (тендерная стоимость разработки оценивалась в 1,4 млн гривен), которая должна была интегрироваться с аппаратно-программными системами гибридного анализа вредоносного ПО и угроз типа Cisco AMP Threat Grid / Cisco Cuckoo Sandbox либо FireEye AX. По оценкам специалистов НБУ, ведомственная система информационной безопасности и киберзащиты показала себя довольно устойчивой и эффективной при масштабных кибератаках в 2017–2018 гг. К примеру, только за 2018 г. в ее контуре было выявлено около одного миллиона кибер-инцидентов и попыток совершения кибератак и идентифицировано порядка 4 000 образцов вредоносного программного обеспечения, по которым были сформированы соответствующие индикаторы киберугроз.
Типовую номенклатуру аппаратно-программных решений используемых в системах киберзащиты прочих украинских госведомств, можно проиллюстрировать на примере модернизированной в 2018–2019 гг. системы киберзащиты Министерства юстиции Украины, для оснащения которой закупались платформы выявления угроз, выработки решений по их нейтрализации и интеграции имеющихся средств защиты McAfee Enterprise Security Manager, ПО управления событиями безопасности McAfee Global Threat Intelligence, платформы McAfee Virtual Advanced Threat Defense Appliance ATD-VM1008, обеспечивающие выявление кибератак повышенной сложности и выработку мер реагирования, антивирусное ПО McAfee Endpoint Threat Defense and Response (комплект на 500 рабочих мест) и McAfee Complete EndPoint Protection (комплект для 900 рабочих мест), ПО веб-защиты McAfee Web Security (комплект для 900 рабочих мест) и McAfee Web Anti-Malware (для 900 рабочих станций), программы защиты от вредоносного ПО для дата-центров McAfee Datacenter Security Suite for Database.
Большое внимание Украина уделяет инфраструктуре защиты телекоммуникационных систем государственных органов. Национальная система конфиденциальной связи, созданная ПАО «Укртелеком» в начале 2000-х гг. (также включающая телекоммуникационную систему специального назначения — ТМСП), в 2014 г. была модернизирована вводом в эксплуатацию магистральной сети пропускной способностью до 10 Гбит/с, обеспечившей информационно-телекоммуникационные системы органов государственной власти защищенным широкополосным доступом к сети Интернет. Техническую помощь в организации и конфигурировании ТМСП оказали американская компания Cisco и израильская ECI. Шифрование данных, передаваемых через телекоммуникационную систему специального назначения (ТМСП), проводится с использованием алгоритмов украинской разработки, обеспечивающих, даже в случае перехвата трафика, высокую степень защищенности данных от выделения из потока и расшифровки.
В 2017 г. сообщалось о закупке Государственным центром киберзащиты и противодействия киберугрозам Госспецсвязи Украины у компании ООО «ЭсАй БИС» оборудования для создания и внедрения системы межведомственной телефонной связи на общую сумму 34,2 млн грн.
Важным сегментом национальной киберинфраструктуры является внедрение госструктурами и организациями комплексных систем защиты информации (КСЗИ) — для обеспечения защиты информации с ограниченным доступом и создания защищенных узлов доступа к сети интернет, что предусматривается требованиями законов «Об информации» и «О защите информации в информационно-телекоммуникационных системах». В августе 2017 г. Указом президента Украины №254/2017 было введено в действие решение Совета национальной безопасности и обороны Украины, ужесточившее для государственных органов и организаций требования по закупке услуг по доступу к сети Интернет. Закупать их разрешалось только у операторов (провайдеров), имевших аттестаты соответствия систем защиты информации установленным требованиям. Регулирование вопросов, связанных с разработкой требований к КСЗИ, их внедрением и аттестацией, находится в ведении Госспецсвязи Украины.
В аппаратно-техническом плане КСЗИ от несанкционированного доступа представляет собой компьютерный многопользовательский комплекс в составе локальной сети серверов и персональных компьютеров, управляемых коммутаторов, аппаратного или программного firewall, комплекса дополнительного ПО (антивирус, средства разграничения доступа и т.д.), комплекса средств технической и/или криптографической защиты информации. На украинском рынке стоимость КСЗИ, в зависимости от архитектуры и уровня защищенности, в среднем оценивалась в пределах 60 000–10 0000 грн. Ориентировочная стоимость работ по построению комплексной системы защиты информации (КСЗИ) для создания защищенного узла доступа к сети Интернет в минимальной комплектации оценивалась в 300–400 тыс. грн, а подтверждение соответствия составляло порядка 10–15% стоимости системы.
Вооруженные силы Украины развивают собственную инфраструктуру кибербезопасности и защиты информационных систем, в первую очередь систем связи и управления. Войсками связи ВС Украины разработана и с 2017 г. эксплуатируется интеграционная платформа «Дельта» — защищенная система обеспечения ситуационной осведомленности посредством интеграции различных информационных систем по единому протоколу MIP4-IES стандарта НАТО. Украина стала одной из первых среди стран — членов и партнеров блока, кто обеспечил свои вооруженные силы системой обмена ситуационной информацией с использованием современного военного протокола.
Также для обеспечения взаимосовместимости систем управления ВС Украины с вооруженными силами государств — членов НАТО при содействии Агентства НАТО по связи и информации (NATO Communications and Information Agency — NCIA) из средств трастового фонда НАТО по модернизации систем командования, управления и связи Вооруженных сил Украины (NATO-Ukraine C4 Trust Fund) финансировалось внедрение в систему управления войсками стандартизированных программных средств обеспечения ситуационной осведомленности в телекоммуникационном пространстве JOCWatch, JCHAT и iGeoSIT.
В целях повышения потенциала Вооруженных сил Украины в информационной и кибербезопасности по линии курируемой Госдепом США программы содействия Украине в сфере информационной безопасности «Ukraine Security Assistance Initiative — Information Technology» (USAI — IT) к началу 2019 г. на базе Генштаба ВСУ развернута интегрированная информационно-командная система уровня C4I (Command, Control, Communicate, Compute, and Intelligence). Реализация программы финансировалась Исполнительным офисом Программы армии США по корпоративным информационным системам (US Army Program Executive Office for Enterprise Information Systems — PEO-EIS) в рамках инициированного в феврале 2017 г. тендера. Исполнителем работ по программе общей стоимостью 22,7 млн долл. стала американская корпорация Black Box Corporation.
В состав системы входят Центр операций по кибербезопасности Генштаба ВСУ, альтернативный стационарный командно-диспетчерский центр на базе штаба Воздушно-десантных войск для обеспечения бесперебойной работы системы, а также сопряженные медицинская и логистическая информационные системы. Переоснащение новым оборудованием проводится в Центре оперативного реагирования на инциденты кибербезопасности и Центре оперативного управления и контроля Объединенного оперативного штаба и Главного командного центра ВСУ. В рамках проекта была проведена модернизация существовавшей инфраструктуры и создано 11 площадок с необходимой IT-архитектурой, а также устройствами удалённого доступа, соответствующими стандартам НАТО на стратегическом и тактическом уровнях. Для повышения киберзащищенности информационной системы использованы оптоволоконные сверхзащищенные системы связи.
В рамках проводимой реорганизации системы кибербезопасности ВСУ и создания в феврале 2020 г. Командования войск связи и кибернетической безопасности планируется также реорганизация центров ИПсО Сил специальных операций ВСУ с созданием на их базе подразделений, идентичных киберцентрам НАТО. По комментариям наблюдателей, для технического оснащения информационных систем реорганизуемых структур в марте 2020 г. Командование войск связи и кибербезопасности ВСУ инициировало тендер на закупку 100 ноутбуков с установленным лицензионным ПО и 100 единиц 48-дюймовых панелей отображения информации. Как ожидается, техническое и консультационное содействие в вопросах оснащения киберцентров и обучения персонала окажет Литва, которая стала первой из постсоветских государств, на территории которой был создан подобный киберцентр НАТО.
Автор: Артур Хетагуров.
Проект подготовлен редакцией сайта РСМД.
Проект подготовлен редакцией сайта РСМД.