Ілюстративне зображення із сайту Pixabay
Докази російської атаки проти "Київстару" передадуть МКС
— Кібератака призвела до найбільшого збою серед усіх українських операторів за останні роки. Понад 24 мільйони абонентів залишилися поза мережею. Що насправді сталося і які наслідки такої масштабної атаки?
— Сталося те, що росіяни отримали несанкціонований доступ до транспортної системи (можна так назвати) "Київстару" й знищили налаштування маршрутизаторів, комутаторів. І це призвело до того, що наші абоненти взагалі не мали зв'язку. Після знищення правоохоронні органи почали це фіксувати та порушили кримінальні провадження стосовно цього. І по-друге, почалось відновлення тієї інформації з бекапів, які обов'язково зберігаються в кожній такій організації стосовно цих налаштувань.
— Як це відбувається технічно? Тобто спочатку, я так розумію, знешкоджується те все, що вражає і шкодить, тобто чи вірус, чи завдані пошкодження, а потім вже відновлюється робота? Чи це відбувається паралельно?
— Спочатку правоохоронці це все фіксують, щоб це було як доказ для передачі в Міжнародний кримінальний суд, аби встановити, хто це зробив і як це сталося. Тобто, причину і сам механізм. Далі вже спеціалісти починають відновлювати інформацію стосовно налаштувань. Тобто береться резервна копія і повторно встановлюється на цьому обладнанні. Після цього налаштування вже завершується і з'являється зв'язок.
"Такий ризик взагалі може статися на будь-якій компанії і в будь-який час"
— До початку повномасштабного вторгнення вже була інформація про те, що, зокрема, оператори мобільного зв'язку вживають заходів для посилення безпеки. І от зараз у дуже багатьох користувачів виникало питання, невже "Київстар" не був готовий? Чи тут йдеться про саме ті масштаби, до яких ніхто не міг бути готовим?
— Такий ризик взагалі може статися на будь-якій компанії і в будь-який час. Є багато методів, за допомогою яких зламують і отримують доступ до інформаційної інфраструктури. Стосовно тих ризиків, через які це робиться, перший ризик — це персонал. Тобто в будь-якій організації, навіть якщо вона максимально захищена, найслабша ланка — це персонал. Тобто це може бути або інсайдер, або скомпрометована особа, тобто засоби соціальної інженерії, або її вразливі місця, тобто її особиста електронна пошта та родичі, через яких можна здійснити атаку на всю інфраструктуру. Тобто тут треба враховувати всі параметри і далі уже стверджувати, що масштабність даної події виходить із тих наслідків, які сталися. І всі організації подібного типу, зокрема банківські установи та установи в соціальній сфері, вживають багато заходів, постійно здійснюється оновлення обладнання стосовно інформаційної безпеки. Але, на жаль, такі випадки можуть статися.
— Якщо можливо завдавати саме таких масштабних пошкоджень, то чому вороги не роблять цього, чи вони це намагаються робити, але не завжди це увінчується успіхом?
— Цей процес відбувається постійно, і наразі він дуже сильно збільшився порівняно з довоєнним періодом. Атак стало набагато більше. Дуже багато нових хакерських угруповань, які контрольовані Головним управлінням розвідки РФ та ФСБ, з'являються на полі кібервійни. І тому не можна говорити, що ніякий процес не відбувається.
Змінювати картки не потрібно
— Група російських хакерів "Солнцепек" заявила, що нібито отримала доступ до значної кількості особистих даних клієнтів компанії "Київстар". Зі свого боку, "Київстар" запевнив, що дані користувачів не втрачені. Тож що отримав ворог?
— Ворог не міг отримати ніякої інформації, а саме — персональних даних. Тому що атака здійснювалася на транспортні мережі, на комутатори, які просто здійснюють взаємозв'язок між користувачами та організацією потоку, де йде доступ до мережі інтернет. Бази даних є в іншому середовищі, на яке не були здійснені атаки. І в цьому випадку ми бачимо, що вони дійшли до певного етапу зламу — до транспорту, до телекомунікаційних мереж. Далі вони не змогли пройти. І вони просто взяли це і знищили. Тобто звичайному користувачеві немає за що переживати. І змінювати картки, я вважаю, теж не потрібно. Тому що все відновилося і працює в штатному режимі.
— А якщо говорити про кінцеву мету ворога, тут більше йдеться про те, щоб отримати щось чи більше емоційно-психологічно вплинути на українців і посіяти паніку?
— Я вважаю, що основною метою росіян було закріпитися в мережі й контролювати той трафік, який там проходить, зокрема його розшифрування. Тобто проводити певну розвідку стосовно абонентів мобільного оператора "Київстар". Це була основна мета. Якщо ця мета у них не вийшла і вони посипалися, то друге — це було повністю знищити мережу. Тобто те саме, що вони намагаються робити з нашою критичною інфраструктурою, коли направляють туди ракети. І як наслідок — посіяти паніку серед користувачів стосовно того, що хакери отримали бази даних, знищили всі бекапи й відновити зв'язок неможливо. Але ми бачимо іншу ситуацію, коли бази даних нікуди не пішли, мобільний зв'язок відновили, і все працює в штатному режимі.
Національний роумінг не працював, щоб зберегти зв‘язок для решти користувачів
— Чому не працював національний роумінг, коли стався збій? Наскільки це пов'язано?
— Я вважаю, що його просто взяли руками та й вимкнули. Тому що якби 22 мільйони користувачів перейшли на національний роумінг, то в нас весь зв'язок взагалі перестав би функціонувати. Тобто було б сильне перенавантаження на систему. Звісно, до цього ніхто не був готовий, що найбільший мобільний оператор перестане працювати, і відповідно роумінг вони теж зберегли, щоб хоч у деяких користувачів були можливості здійснювати зв'язок.
Загроза однакова для всіх операторів
— А ось щодо Vodafone та Lifecell, там повідомили, що працюють над посиленням захисту від кіберзагроз. Зараз для них загроза на тому ж рівні чи менша?
— Загроза однакова для всіх операторів. На мою думку, спроби нападу і на Vodafone, і на Lifecell теж були, але кіберзлочинці не змогли зробити те, що зробили з "Київстаром". До того, щоб нападати, вони в будь-якому випадку тренувалися. Тренування відбувалося не один, не два, не три місяці. Крім того, такі атаки потребують великих коштів. Тобто Росія вклала дуже багато коштів в діяльність цієї організації, зокрема, на кібератаки на мережу нашого оператора.
— Що відомо про кількість і про можливості російських кібергруп і чи є протидія, до якої ми можемо вдатися на цьому етапі, наскільки ми теж посилились?
— Стосовно цих груп, які проводять кібератаки на нашу державу, їх багато, але ми не всіх їх знаємо. З нашого боку, ми нічого їм зробити не можемо. Є випадки, коли учасників цих організацій ловлять на території інших країн. І тут дуже важливо зафіксувати і провести аналітику і встановити осіб, які за цим стоять. І після цього вже передається інформація в міжнародні правоохоронні органи, здійснюється їх пошук, встановлюється місце, звідки це було зроблено, і, відповідно, можливо, можна буде їх віднайти.
— Тут більше йдеться про людей, які вміють це робити, чи загалом про систему, яка вибудована? І якщо людину прибрати з цього ланцюжка, він все одно працюватиме?
— Система буде працювати в будь-якому випадку, кого б ви там не витягнули. Тому що в них налагоджена схема, що один займається розробкою вірусу, другий займається механізмом подолання елементів безпеки тощо. Це групи людей. Якщо з групи висмикнути одного, вона продовжить працювати, не посиплеться. Крім того, легше знайти та навіть навчити людину, яка буде займатися одним напрямком.
"Ми виросли у протидії досить сильно"
— Щодо посилення наших можливостей, наскільки ми виросли за останні два роки?
— Ми виросли досить сильно. Тому що у нас постійна практика, постійний процес боротьби. Як кажуть, в бою навчаються. І чим далі, тим кращою буде ситуація. Технології стосовно кіберзахисту та обладнання, яке для цього використовується, нам активно передають наші партнери з Європи та інших країн.
"КИЇВСТАР" МАЄ ЗМОГУ ВИСЛОВИТИ СВОЮ ДУМКУ З ПРИВОДУ ПРИЧИН І НАСЛІДКІВ ЗБОЮ В РОБОТІ ЦЬОГО ОПЕРАТОРА МОБІЛЬНОГО ЗВ'ЯЗКУ, ЯКИЙ СТАВСЯ 12 ГРУДНЯ 2023 РОКУ. ТАКОЖ "КИЇВСТАР" МАЄ ЗМОГУ ПРОКОМЕНТУВАТИ ТВЕРДЖЕННЯ У ЦЬОМУ ПРЯМОМУ ЕФІРІ ЕКСПЕРТА ЛАБОРАТОРІЇ КОМП'ЮТЕРНОЇ КРИМІНАЛІСТИКИ CYBERLAB СЕРГІЯ ДЕНИСЕНКА.
