«У межах кібератаки сталося знищення даних у низці держорганів». Це повідомлення на сайті Держспецзв’язку означає, що неоголошена кібервійна проти нашої держави триває. І хоча є періоди порівняного затишшя, загальної картини це не змінює. Ми бачимо постійне зростання кількості кібератак на 10–12% за квартал.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
«Атака-13»: слід з країни-агресора
Черговий потужний кіберудар було завдано у ніч з 13 на 14 січня 2022 р. (у соцмережах йому надали тег #attack13). Нічого подібного за наслідками не було вже багато років. Постраждали 70 сайтів, включаючи вебресурси міністерств, а 10 навіть зазнали безпосереднього втручання у бази даних. Зловмисники (скоріш за все, з країни-агресора) скористалися відомими вразливостями у системах адміністрування веб-сайтів (CMS), а також несанкціонованим доступом до ІТ-компанії, яка розробляє, підтримує та адмініструє переважну більшість сайтів державних органів. Атакували за давно відпрацьованою схемою — отримали несанкціонований доступ до постачальника послуги CMS (supply chain attack). Власне, все, як у 2014 р. з «візиткою Яроша», у 2015 р. в ситуації з «Прикарпаттяобленерго» та у 2017 — з вірусом NotPetya (тоді «зламали» компанію «Медок»).
Отже, тактика країни-агресора залишається незмінною: кібервійна як складова загальної війни проти України. Тож з зовнішнім фактором все начебто більш-менш зрозуміло та очікувано. Принаймні, в експертному середовищі.
Чому не захищаємось
Проте складається враження, що окремі державні органи живуть у іншій реальності. Адже про кібербезпеку вони кажуть одне, а роблять інше.
По-перше, після нещодавньої атаки занадто довго відновлювали сайт «Судова влада». У Державній судовій адміністрації України витрачають достатньо коштів і на захист системи, і на адміністрування, та протягом майже 2 діб не можна було не тільки переглянути файли у Реєстрі судових рішень, але й зайти на окремі субдомени судів. Сміх крізь сльози, але знайомим адвокатам телефонували клієнти й здивовано казали про те, що «суди зламались». На мій погляд, немає нічого гіршого для держави, аніж ці слова.
По-друге, не можна було не звернути увагу на оновлений сайт уповноваженого з прав людини. На його розробку було витрачено близько 3,5 млн грн (точну цифру дізнаємось після отримання відповіді на депутатський запит, який вже надіслано за призначенням). Можливо, воно б і вартувало витрачених коштів, якби, як це передбачалось у технічному завданні до тендеру, дійсно було реалізовано максимальний рівень захисту від кібератак. Тільки ж цього не було зроблено. Виявилося, що сайт побудований на CMS October, через вразливість системи якого, власне, й була проведена атака 13 січня. І ця моя думка підтверджується висновком команди з Центру розвідки загроз Microsoft (MSTIC), яка працює разом з Держспецзв’язку, СБУ та Мінцифри у рамках укладеної ще 2014 р. угоди про співробітництво Government Security Program. Виникає логічне запитання: про який захист персональних даних можна вести мову, якщо омбудсмен, у віданні якого поки що знаходиться ця сфера, не може захистити навіть власний сайт?
Втім, будемо об’єктивними — це проблема не тільки офісу уповноваженого, а й багатьох інших держорганів. Тож наразі Україна не має права просто чекати наступних атак, не замислюючись про оборону.
Коли запрацює цифровий архів
Кібератака — це не тільки втрата чи пошкодження, а часто й банальне викрадення важливих державних даних чи чутливої інформації простих громадян. У цьому аспекті найбільш актуальним питанням стає робота Національного центру резервування державних інформаційних ресурсів (НЦРДІР, далі — Центр). Він мав запрацювати ще 1 листопада 2021 р. (відповідна постанова КМУ була прийнята ще 8 лютого 2021 р.). Та незважаючи на наявність політичної волі, розробленої нормативної бази та порівняно невелику суму видатків (називають цифри від 100 до 318 млн грн), так званий цифровий архів держави досі не запрацював. А головна його функція була б дуже доречна під час «атаки-13», оскільки з резервного сховища даних державного значення можна було б відновити усі пошкоджені дані за лічені години. А так ми й досі не знаємо, що саме з даних втрачено у Моторно-транспортному бюро (єдиний сайт, який відновлювався на час написання статті). І вже були б зовсім катастрофічні наслідки, якби була пошкоджена, скажімо, та сама «Дія». Велике значення буде мати наявність захищених дата-серверів і у випадку подальшого розвитку електронного судочинства, адже «розгул хакерів» у судових рішеннях може призвести до непоправного.
Впевнений, що запуск Центру після подій 13 січня значно прискориться. Побічно про це свідчить і швидкість, з якою до другого читання був підготовлений законопроєкт № 4378 від 13.11.2020 р. Вже 14 січня на сайті ВРУ був узгоджений текст, згідно якого передбачається внести зміни до законів «Про Державну службу спеціального зв’язку та захисту інформації України» (ст. 1) та «Про основні засади забезпечення кібербезпеки України» (ст. 1 та 6). Відповідно до проєкту, органи держвлади, прокуратури, Нацполіції, СБУ, НАБУ, ДБР та інші, що здійснюють правозастосовні або правоохоронні функції, держпідприємства, установи та організації «створюють резервні копії державних електронних інформресурсів (відображені в електронному вигляді державні інформаційні ресурси), що перебувають у їх володінні або розпорядженні та безпосередньо впливають на їх стале функціонування, та передають їх на зберігання до Державної служби спеціального зв’язку та захисту інформації України».
Очевидно, система резервування даних буде існувати, а Центр — працювати. Питання лише в тому, як саме будуть передаватися дані для архівування і чи будуть співробітники Центру мати доступ до баз даних. Слід чітко прописати, що дані (тих самих реєстрів) будуть передаватись до архівів у зашифрованому вигляді, і Центр буде виконувати роль еталонного депозитарію цифрових даних — не більше, але й не менше. І коли у разі ушкодження чи втрати даних державний орган запросить їх відновлення, Центр зможе оперативно вирішити це питання щодо будь-якого реєстру. Тому у законопроєкті № 4378, як мінімум, не вистачає одного нюансу: визначити, на який час будуть передаватись персональні дані до архіву, хто буде мати до них доступ та як часто вони будуть оновлюватись. Іншими словами, якщо НЦРДІР буде сповідувати принципи захисту персональних даних, жодних зауважень не буде.
Врешті-решт, час на доопрацювання проєкту аж ніяк не впливає на строки приведення до ладу приміщення за адресою: Київ, вул. Дорогожицька,10, де буде знаходитись Єдиний центр обробки даних № 1 Центру, та закупівлі відповідного обладнання (серверів). Тим більше, що за словами представників спецслужб, і це місце вибране не дуже вдало, бо не відповідає вимогам щодо споруди такого центру, а також вимогам до серверного приміщення. Зокрема, один з моїх співрозмовників вказував на наступні недоліки: «Приміщення не може пройти експертизу на TIER3 (час зупинки 1,6 години на рік, коефіцієнт відказостійкості 99,982), не кажучи вже про TIER4 (робота ЦОД без зупинки, коефіцієнт відказостійкості 99,995)».
Кібербезпеці — найвищий пріоритет
Ще на зустрічі в Брюсселі у 2016 р. міністри оборони держав НАТО визнали кіберпростір оперативною зоною військових дій на рівні з суходолом, морем та повітрям. Тож маємо розуміти, що реформа кібербезпеки й захист персональних даних — речі невід’ємні.
Наостанок процитую слова одного з фахівців з питань кібербезпеки, який на моє прохання зробив важливе узагальнення на тему, чому Україна знову виявилася неготовою до цілком прогнозованих кібератак країни-агресора: «Чому попередній досвід не був врахований? І про які внутрішні проблеми це свідчить? А свідчить це про відсутність національної системи кібербезпеки саме як системи. У країні приблизно 9 чергових центрів з кіберзахисту, які відповідають за кібербезпеку кожен у своєму напрямку. Складається враження, що для деяких країн Україна виступає як полігон, з подій на якому вони можуть дізнаватися про нові технології кібервійни, кіберзброю та практики їх застосування. Нічого не маю проти бойової практики для кібервійськ в аспекті кібероборони та можливостей кібернападу, але ж чому виключно на потужностях України? І чи настільки вже випадково буквально 3 тижні тому США та Британія прислали в Україну своїх експертів нібито «допомогти захиститися від кібератак». Тільки не було ніяких заяв, інформації та прогнозів від цих експертів.
І ще один момент. Скільки коштів з Держбюджету передбачено на розбудову національного кіберзахисту згідно «Стратегії кібербезпеки України на 2021–2025 рр.»? Питання риторичне. А от Велика Британія, наприклад, під реалізацію своєї першої «Стратегії кібербезпеки» (на 2013–2015 рр.) заклала 1 млрд фунтів, а під імплементацію другої (на 2016–2021 рр.) — майже 2 млрд фунтів та створила повноцінний центр кібербезпеки з відповідним бюджетом на розвиток та утримання».
Висновки очевидні: враховуючи внутрішній-ІТ потенціал українських спеціалістів, головне — належно організувати їх роботу і залучати до неї кращих з кращих. Тож разом з колегами з МДО «Люди» будемо здійснювати парламентський контроль за належним розвитком електронних ресурсів і кібербезпеки в Україні, особливо в судовій гілці влади.