Практично кожен житель України міг відчути на собі наслідки досі безпрецедентної російської кібератаки на державні реєстри міністерства юстиції України. Лише через місяць після нападу мін'юст прозвітував про відновлення роботи пошкодженої інфраструктури держреєстрів. Про те, які уроки слід витягти Україні після цієї хакерської атаки й на що слід зважати кожному, коли йдеться про захист даних, DW поспілкувалась з українським експертом з кібербезпеки Костянтином Корсуном.

DW: Пане Корсун, наприкінці грудня Україна пережила безпрецедентну, масштабну хакерську атаку, яка вивела з ладу реєстри мін'юсту. Як це стало можливим, адже українська влада запевняла, що всі реєстри під багаторівневим захистом?

Костянтин Корсун: Ця атака кваліфікується експертами з кібербезпеки, як загроза найвищого класу складності APT (Advanced Persistent Threat). Для атак такого високого класу складності частіше всього використовують інсайдера, тобто людину зсередини мережі. Є три основні вектори, які роблять атаки успішними. Це пошук вразливості системи, тобто технічними каналами, соціальний інженерінг, тобто фішинг, і значно сприяють успішності атаки наявність інсайдера, людини всередині, яка допомагає або надає певні доступи.

DW: Який з цих трьох елементів, які ви назвали, найчастіше використовується в Україні?

У світі в більшості успішних атак, хакери застосовують усі ці три елементи, в залежності від того, де яка ланка слабша й ту більше експлуатують, але зазвичай це комбінація всіх трьох основних елементів. Коли ми говоримо про інсайдера, то в більшості випадків це свідомий вибір за гроші, чи через шантаж, погрози. Це звичайні методи роботи спецслужб. Можливо обманули людину, переконали, що вона діє в інтересах своєї організації чи своєї країни. Якщо людина має доступ до реєстру, то її могли через фішинг, через соціальні мережі, через месенджери надіслати якийсь лінк, який зацікавить. Вона клікнула і завдяки ньому зловмисники потрапили всередину захищеного периметру. Тобто у стіні захищеного будинку відкрилася дверцята для хакерів. Але сказати, наскільки це достовірно, можна лише за результатами оприлюднення висновків розслідування. А це, на жаль, дуже вкрай рідко трапляється. Після початку повномасштабного вторгнення Росії в Україну, практично я не пам'ятаю жодного випадку, щоб державні установи оголосили про результати розслідування і назвали причини, та винних. 

Які наслідки кібератаки на державні реєстри мін'юсту для України?

Найгірший наслідок, всі ми його бачили, - це непрацездатність реєстрів цілий місяць. І це найтяжчий наслідок. Сама інформація була у резервних копіях, бекапах, і її поступово відновлюють.

Якщо резервні копії збереглися, чому для відновлення реєстрів знадобився цілий місяць?

Непрацездатність була спричинена переважно тим, що була знищена віртуальна інфраструктура. В принципі, робота реєстрів - це, власне, дані, до яких звертаються в автоматичному режимі різні користувачі й отримують відповіді. Ці дані розгорнуті, умовно кажучи, на такій величезній підставці, те, що називається віртуальна інфраструктура. Це віртуальні сервери, віртуальні машини, зв'язки між ними і так далі. Це складна дуже система. І от саме цей величезний фундамент, ця підставка була зруйнована. Ну, й власне знищені були ті дані, до яких хакери дотягнулися. А резервні копії зберігалися окремо, і вони фізично не могли з ними нічого вдіяти. Такі копії робляться щодня. Більшість часу мін'юст витратив на те, щоб відновити віртуальну інфраструктуру, власне цей фундамент на який можна розгортати вже дані з резервних копій. Це не катастрофічно, оскільки роботу більшості реєстрів уже відновлено в штатному режимі, але надзвичайно серйозно, тому що непрацездатність реєстрів впливає на дуже багатьох громадян, на економіку і на довіру до здатності влади захистити ці реєстри. Повторюсь, сама ж інформація, яку хакери видалили, в принципі, не зникла, вона є і була в резервних копіях. Можливо, якась дуже невелика частина її справді втрачена, але вона може бути відновлена знову, якщо у людини є документи, є записи у нотаріуса.

Хоч українська влада і стверджує, що витоку даних не сталося, яка ймовірність того, що дані, можливо, частково, можливо, повністю скопійовані й потім можуть бути використані хакерами?

Вірогідність, дуже висока. Якщо злодій приходить до тебе в квартиру, то важко повірити, що він нічого не взяв цінного з квартири. Хакери завжди так діють, особливо російські, це їхні методи. Вони спочатку проникають в систему, довго спостерігають, як вона влаштована, щоб ефективніше її зруйнувати. Потім вони викрадають усю цінну інформацію. Реєстри - це десятки терабайт і все їм точно не потрібно, але якусь найбільш цінну інформацію, якісь свіжі дані вони, швидше за все, скопіювали. І, звісно, це буде використано проти інтересів України, проти громадян. А ці дані, зокрема, для російських спецслужб можуть бути дуже корисні, щоб виявити, у кого яке майне майно, у кого які родинні зв'язки між собою. Це надзвичайно цінна інформація для будь-яких спецслужб. Тому я переконаний, що цю інформацію скопіювали.

Як убезпечити себе, аби не стати жертвою кіберзлочинців?

Я би порадив більше уваги приділяти кібергігієні:

• Не натискати на посилання, які надійшли від невідомих абонентів. Якщо посилання надійшло від відомого абонента, але виглядає дивно, незвично та підозріло - перетелефонувати своєму контакту голосом та переконатися, що саме він або вона надіслали цей лінк.
• Використовувати довгі, складні та унікальні паролі довжиною не менше 10 символів. Окремий пароль для кожного ресурсу: як окремий ключ від квартири, офісу, автомобіля чи гаража.
• Для конфіденційного спілкування використовувати так звані "шифровані" месенджери на кшталт Signal або Threema. Пам’ятати, що звичайний мобільний зв'язок не є захищеним каналом комунікацій.
• Використовувати двофакторну (або багатофакторну) автентифікацію (2FA/MFA) скрізь, де це можливо.
• Постійно використовувати засоби анонімізації на кшталт TOR або VPN.
• Регулярно робити резервні копії важливих даних. Бажано не рідше один раз на місяць. Регулярно оновлювати операційну систему та усі додатки. Налаштувати захист особистих та робочих лаптопів/смартфонів/комп’ютерів від ризиків несанкціонованого доступу.

На цьому я щоразу наголошую всім слухачам освітнього курсу.

Дотримуючись цих правил, можна бути спокійним за свої дані?

Як тільки людина передала свої дані в реєстри, погодилась на їхню передачу, вона вже їх не контролює, і вона не може знати, яким чином вживаються заходи з захисту цієї інформації. Тому єдине, що може суспільство - це вимагати від державних чиновників звітувати про те, чому сталася така атака, внаслідок яких проблем чи недоліків. Вимагати прозвітувати, як покращена ця система, чи справді застосовуються сучасні професійні практики захисту цієї інформації.

Про що свідчить те, що кіберзлочинцям вдалося провести таку масштабну кібератаку на держреєстри?

Очевидно, що в даному випадку було вжито недостатньо заходів. Можливо, мова йде про недостатній рівень професіоналізму. Можливо, мова йде про якийсь там брак фінансування чи якісь організаційні недоліки, неправильну побудову системи захисту чи ще щось. На жаль, черговий гучний кіберінцидент свідчить про те, що українські урядовці не вивчили попередні уроки кібервійни. Попри численні заяви про начебто важливість кібербезпеки та її роль, на практиці Україна регулярно стикається з недостатнім рівнем кваліфікації при організації надійної системи національної кібербезпеки та у протистоянні сучасним викликам, які нам кидає Росія.