Хакерська атака на Київстар» зачепила всю країну, при цьому навіть через тиждень проблему стабільного та надійного звʼязку остаточно не вирішено.
Бізнес-портал Одеської області пропонує свій погляд на ситуацію, и почнемо з очікуваного: 19 грудня Уряд ухвалив розпорядження «Про затвердження плану заходів на 2023-2024 роки з реалізації Стратегії кібербезпеки України». Документ визначає завдання та заходи, спрямовані на досягнення цілей Стратегії, а також встановлює індикатори та строки їх виконання.
Ключовими напрямами роботи відповідно до зазначеного плану стануть:
- нормативно-правове забезпечення діяльності у сферах кібербезпеки, кіберзахисту та кібероборони;
- розвиток технологічної складової національної системи кібербезпеки;
- налагодження більш тісного співробітництва з міжнародними партнерами;
- розвиток організаційно-технічної моделі кіберзахисту;
- організація наукових досліджень у сфері кібербезпеки;
- посилення кіберзахисту об’єктів критичної інформаційної інфраструктури;
- налагодження процесу підготовки кадрів у сфері кібербезпеки.
Відповідно до цього розпорядження залучені до реалізації плану державні органи мають подати до 15 червня та 15 грудня 2024 року інформацію про хід виконання плану з метою інформування Апарату РНБО та Кабінету Міністрів України.
Повторимо: через потужну хакерську атаку на «Київстар» таке рішення очікуване.
Хоча бажано було б, щоб зʼявилось раніше.
… За словами народного депутата, членкині комітету Верховної Ради з питань енергетики та житлово-комунальних послуг Вікторії Гриб, збій у роботі оператора демонструє «тотальну вразливість» телекомунікаційної інфраструктури: у мобільній мережі почалися збої в банківських сервісах, терміналах та банкоматах, для роботи яких також використовується мобільна картка.
«Для бізнесу навіть година без зв’язку — це величезні збитки. Я вже мовчу про неможливість викликати швидку чи поліцію, чи рятувальників у прифронтових регіонах», — написала Гриб.
Наймасштабніша кібератака, яка будь-коли відбувалася в Україні (і, напевно, за рівнем руйнувань одна з найпотужніших атак у світі) без зв’язку кілька днів залишала понад 24 млн. абонентів, з яких принаймні 1,5 млн. стояли в системах сигналізації, безпеки, автомобілях, транспорті, газотранспорті, фінансових терміналах і так далі.
Таким чином атака пошкодила роботу багатьох українських бізнесів одночасно.
І ще невідомо, які збитки — внутрішні «Київстари» чи зовнішні (економічні) — зрештою виявляться суттєвішими.
Поки триває розслідування, ЗМІ пропонують свої можливі варіанти розвитку подій.
Як розповідав СЕО «Київстар» виданню Forbes, нетипова поведінка мережі розпочалася о 5.26.
Фахівці «Київстар» намагалися відновити її стандартну роботу.
О 6.30 прийшло розуміння, що це надпотужна хакерська атака на ядро мережі та інфраструктуру та що ситуація більше не контролюється.
Вже було подібне — наприклад, хакерська атака на Укртелеком навесні минулого року.
За даними «Української правди», цю атаку здійснювали з нещодавно тимчасово окупованою росіянами української території. Нетипову діяльність у системі з метою її промацування швидко помітила команда «Укртелекому». І керівництво компанії прийняло на той момент єдине вірне рішення самостійно відключити свою систему, залишивши лише кілька критичних акаунтів. А після того, як робота мережі знову стала безпечною, «Укртелеком» підняв ІТ-системи та телеком-мережі, фактично не отримавши збитків. Все запрацювало, як і раніше.
У «Київстарі» сценарій атаки був схожий лише напочатку: був скомпроментований обліковий запис когось із співробітників (просто недбалість співробітника, або навмисний злочин) – «і ворог зміг потрапити всередину інфраструктури компанії». А потім почав швидко знищувати сервери компанії.
Абонентів «Київстар» навіть не могли перевести на національний роумінг, бо для цього партнерським мережам потрібні були комутаційні дані про абонентів «Київстар» — а їх не було.
Рівень атаки, її швидкість та розгалуженість можуть говорити про те, що вона була, швидше за все, попередньо підготовлена.
Подібні заздалегідь підготовлені атаки в Україні відбувалися і раніше. Найкласніші випадки — це так званий вірус Petya (атака 2017 року на бухгалтерські системи багатьох українських підприємств), а також на енергетичні об’єкти Black Energy на Прикарпатті (2015 року 80 000 споживачів залишилися без світла на кілька годин).
Ці атаки поєднує одна загальна риса: зараження відбувається набагато раніше, ніж здійснюється безпосередньо поразка ІТ-ресурсів — вороже ПЗ могло проникнути в систему за роки до його активації під час самої атаки.
Відомо, що «Київстар» використав ще до війни російські програмні рішення, з 2014 року таких постачальників стали замінювати – але заміна ПЗ могла розтягуватися на роки.
Периметр компанії добре охоронявся, з початку війни компанія відбила близько 500 більш-менш серйозних атак.
Але ахіллесовою п’ятою міг бути не периметр, а саме внутрішні підрозділи.
Нам невідомо, як працювала система бекапів «Київстар». Але за непрямими ознаками (сервіс піднімався дуже довго і, як і раніше, піднімається) цілком можливо, що під час атаки могли постраждати і бекапи — зловмисник мав дуже добре знати внутрішню ІТ-кухню компанії.
Це наводить на ще кілька неосновних версій того, що могло статися, перша — державна зрада: у системі міг завестися кріт.
Але він міг би виконати лише просту функцію — натиснути спусковий гачок на заздалегідь налаштованому механізмі.
Є можливість ще кількох сценаріїв проникнення в систему.
Можливо, поразки не мали б такого масштабу, якби «Київстар» оперативно вимкнув систему ще вранці (адже вона продовжувала працювати ще якийсь час, коли зараження поширювалося).
З іншого боку, тоді топ-менеджменту довелося б узяти на себе повну відповідальність за відключення найбільшої телекоммережі країни. І хто знає, як би на це потім відреагували влада та правоохоронні органи.
Можливо тому «Київстар» одразу залучив до розслідування правоохоронні органи та українські спецслужби.
Те, що відбувається далі, може свідчити про те, що врешті-решт рішення про відключення систем приймали разом. Але таку координацію зусиль пішов зайвий час, що, можливо, дало зловмисникам більше можливостей для поразки.
Один із кіберекспертів стверджує, що це майже на 100% російський слід. Спочатку про свою причетність до атаки оголосив «Сонцепек», пізніше з’явилася версія, що за «Сонцепеком» стоять угруповання російського ГРУ Sandworm.
Sandworm — потужна група хакерів, що спеціалізується насамперед на атаках промислових об’єктів. Світло на Прикарпатті у 2015 році відключали саме вони.
Скільки ще в Україні таких «консервів» в інфраструктурі, які може в будь-який момент активізувати Sandworm?
На це питання вам зараз ніхто не відповість. Попереду великий ІТ-аудит, який слід провести державі.
Але історію не завершено.
Нагадаємо, що після масштабного збою 12 грудня ввечері 13 грудня «Київстар» розпочав включення голосового зв’язку по всій Україні, 18 грудня повернув можливість своїм абонентам надсилати SMS-повідомлення, в тому числі — в міжнародному роумінгу, а 19 грудня у «Київстар» повідомляли, що телеком-мережа компанії увійшла в період стабілізації, та 99% базових станцій на підконтрольній Україні території – у працездатному стані. Також клієнтам було відновлено всі основні базові сервіси: послуги зв’язку та мобільного інтернету, SMS, послуги міжнародного голосового роумінгу.
Але 20 грудня вранці користувачі мобільного оператора «Київстар» знову почали повідомляти про збої у роботі та відсутність деяких послуг, зокрема, відсутність зв’язку.
Згодом компанія все ж повідомила, що «…мережа наразі на етапі стабілізації після масштабної хакерської атаки, тому все ще можуть виникати короткочасні складнощі в роботі послуг. Так, зранку 20 грудня у ряді міст на заході і півдні України виникли складнощі із голосовим зв`язком і роботою мобільного застосунку «Мій Київстар». Спеціалісти компанії працюють над відновленням сервісів».
Далі буде.
Ірина Королькова