Специалисты по кибербезопасности из киевской фирмы Information Systems Security Partners (ISSP) завершили предварительное расследование инцидента, в ходе которого в ночь на 18 декабря несколько кварталов на севере и северо-западе столицы Украины оказались без света. Об этом написала в четверг русская служба Би-би-си.
За прошедшие 25 лет и в Белоруссии, и в России несмотря ни на что сохранились собственные школы криптографии и математики. А на Украине занимались, мягко говоря, другими делами
Причиной блэкаута стала остановка работы подстанции «Северная» селе Новые Петровцы (Киевская гидроаккумулирующая электростанция). Специалисты из ISSP, работавшие по заказу Укрэнерго, сочли, что подстанцию вывели их строя неизвестные хакеры. Причем атака была аналогична совершенной в 2015 году на западе страны – в Ивано-Франковской области, в результате которой без света оказались 225 тысяч человек. Министерство внутренней безопасности США тогда возложило вину за блэкаут на хакеров, предположив, что следы атаки ведут в Россию.
По утверждению ISSP, нападения также связаны с аналогичными нападениями в том же месяце на другие объекты инфраструктуры, в том числе и на управление железных дорог, некоторые министерства и национальный пенсионный фонд.
Алексей Ясинский, директор по информационной безопасности ISSP, говорит, что кибератаки 2015 и 2016 годов мало отличались друг от друга. Единственная разница, по его словам, в том, что нападение 2016 года было более сложным и гораздо лучше организованным. По его словам, судя по всему, в данных случаях несколько преступных группировок сотрудничали друг с другом и тестировали методы, которые можно было бы применить в других странах мира.
Газете ВЗГЛЯД Ясинский заявил, что даже не пытался определить, из России или какой-то другой страны действовали злоумышленники. В самой системе, по его словам, не осталось конкретных следов. «Другим способом выяснить? Это будут всего лишь домыслы, а я оперирую только фактами», – сказал он.
По словам Ясинского, за минувший месяц власти частично укрепили защиту от новых атак. «Первоочередные меры, конечно, предприняты, как после обычных взломов. Возможно, их недостаточно. Многое зависит от результатов расследования, которое еще продолжается», – говорит украинский эксперт.
Ясинский признал, что защититься от подобных взломов нельзя, но есть возможность сократить незаметное нахождение злоумышленника в инфраструктуре. «Нужно четко изучить свою инфраструктуру, расставить систему мониторинга в нужных местах и отслеживать. Злоумышленники проникают в инфраструктуру и в первую очередь начинают ее изучать. Вот на этих этапах их видно, они еще «шумят». Но как только изучили, они стараются действовать под учетными записями администраторов, и тогда выявить их присутствие достаточно сложно. Тезис простой – защититься от подобных атак невозможно, но можно сократить незаметное время пребывания злоумышленников», – подытожил Ясинский.
«Контроль целостности контура»
Директор Российской ассоциации электронных коммуникаций Сергей Плуготаренко полагает, что путем взлома информационных систем вполне можно обесточить на Украине один или несколько объектов, и даже вывести из строя всю инфраструктуру. «Это уже ни для кого не секрет. Гипотетически это возможно. Но насколько заявление украинских специалистов соответствует действительности, не могу судить», – сообщил он газете ВЗГЛЯД. По его мнению, предстоит ответить на три вопроса: во-первых, был ли это взлом, во-вторых, откуда этот взлом производился, и наконец, стоит ли за этим Россия. «Установить факт взлома легко, отследить хакера сложно, а доказать связь взломщиков с российскими спецслужбами еще сложнее», – считает Плуготаренко.
Издатель журнала Information Security, эксперт в области информационной безопасности Александр Власов рассказал газете ВЗГЛЯД о том, что установить факт киберпроникновения в сеть того или иного предприятия легко, но только по горячим следам. «Существуют определенные алгоритмы контроля целостности информационной сети, контроля целостности контура, контроля прохождения пакетов связи по сетям. Поэтому, если в вашу информационную систему осуществлен несанкционированный вход, это тут же регистрируется в том случае, если сама система достаточно хорошо защищена», – пояснил он.
Власов не находит странным, что заключение о кибератаке прозвучало только через месяц. «В большинстве стран, где хорошо развиты системы информационной безопасности, на все процедуры внутренних расследований несанкционированных проникновений уходит от месяца до полугода. Надо установить факт вмешательства, во-вторых, было оно изнутри или снаружи, и наконец, установить цепочку – через какие серверы и IP проникли», – сообщил эксперт.
Однако, по мнению Власова, установить, откуда был совершен взлом, можно только в первые часы после атаки. «Впоследствии хакеры все стирают и удаляют. Поэтому, если кто-то хочет заявить о «русских хакерах», он должен предъявить всю цепочку доказательств, либо это будет расценено как очередной блеф и политическая пропаганда», – полагает он.
Московских окон негасимый свет
В целом же эксперт оценил уровень защиты от кибератак на Украине как достаточно слабый. «Традиционно лучшие школы информационной безопасности в СССР были в России и в Белоруссии. За прошедшие 25 лет и в Белоруссии, и в России несмотря ни на что сохранились собственные школы криптографии и математики. А на Украине занимались, мягко говоря, другими делами. А если нет школы, значит, и уровень кибербезопасности низок. Что-то наверняка делается, но, скорее всего, не хватает специалистов и технологий», – резюмировал Власов.
Марина Кротофил из Honeywell Industrial Cyber Security Lab, которая также участвовала в расследовании блэкаута в Киеве, говорит, что нападение 18 декабря не было нацелено на долгосрочный эффект или серьезный ущерб. «Они могли бы сделать больше, но, очевидно, это не входило в их замыслы. Это была скорее демонстрация того, на что они способны», – сказала она.
В декабре президент Петр Порошенко жаловался, что за последние два месяца 2016 года хакеры организовали 6500 кибератак на государственные ресурсы Украины. По словам украинского лидера, это свидетельствует о том, что Россия развязала кибервойну против его страны. «Расследование целого ряда инцидентов указывает на прямое или косвенное участие в них российских спецслужб», – говорил президент.
Примечательно, что сообщение Би-би-си киевская печать в большинстве своем обошла молчанием. Его растиражировали всего лишь несколько новостных ресурсов, телеканалы проигнорировали и упомянули мимоходом, хотя тема вездесущих «русских хакеров» сейчас, казалось бы, актуальна как никогда.
Украинский медиаэксперт Анатолий Шарий счел это странным. «Если даже украинские СМИ не распространяют эту новость, я могу найти этому только одно объяснение: это означает, что они сами не уверены в выводах», – рассказал он газете ВЗГЛЯД. По его словам, обычно украинские СМИ готовы распространять все что угодно – касательно российской агрессии. «А тут целая новость про хакерскую атаку на украинскую энергосистему, да еще и наверняка со стороны России. Странно», – недоумевает Шарий. Также эксперт находит странным, что новость о кибератаке на Киев не подхватили в правительстве и в Раде. «По своему характеру она вполне заслуживает того, чтобы стать главной темой для обсуждения как минимум на неделю», – полагает Шарий.