Почему аккаунты украинских политиков и органов власти остаются легкой добычей
Мир захлестнула волна хакерских атак на сайты и аккаунты органов государственной власти. Только за последние несколько дней злоумышленники взломали государственные сайты правительства Канады, США, Китая... Кибератаки не обошли стороной и Украину - вчера на официальной странице Совета национальной безопасности и обороны Украины в Twitter появилось сообщение, что аккаунт находится под контролем "Правого сектора". В микроблоге хакеры сообщили об увольнении по подозрению в государственной измене руководителя украинской стороны совместного центра по контролю и координации генерал-майора Андрея Тарана и выдвинули ряд требований к украинской власти. Сегодня хакеры взломали Twitter министра внутренних дел Украины Арсена Авакова и Администрации Президента и разместили там информацию о якобы подготовке МВД и Генпрокуратурой документов о снятии депутатской неприкосновенности с лидера "Правого сектора" Дмитрия Яроша.
Но если многие страны выстраивают мощную систему кибербезопасности и создают специализированные структуры для активных наступательных действий в киберсфере, Украина только пытается определить варианты построения системы киберзащиты. Закон о кибербезопасности пока не принят, только обсуждается необходимость создания единого государственного органа, который займется, в числе многих задач, вопросами кибербезопасности и технической защиты информации. О проблемах кибербезопасности страны "ДС" поговорила с руководителем проекта "Кибероборона", общественной инициативы по укреплению кибербезопасности Украины, Олегом Пилипенко:
О. П. Украина взяла курс на активное внедрение электронного правительства. Это подразумевает более активное развитие IT-инфраструктуры и развертывание различных электронных сервисов, что тем самым открывает широкий фронт для деятельности киберпреступников. В качестве примера можно привести мощные DDoS-атаки на Эстонию в 2007 и на Грузию 2008 году, ведь в этих странах намного более развито предоставление различных административных услуг населению через Интернет. У нашей страны тоже есть свой печальный опыт: в прошлом году украинские веб-ресурсы множество раз подвергались взлому. Так, были зафиксированы атаки на сайты мобильных операторов, правительственные веб-порталы, главные новостные ресурсы и веб-сайты систем онлайн-банкинга. Во всех случаях эксперты полагают, что атаки имеют российский след. Однако 100-процентных доказательств нет, все-таки Интернет довольно анонимный для тех, кто умеет заметать следы.
Поэтому угроза для кибербезопасности есть, и в перспективе будет расти, то есть, расслабляться нельзя. Как "вор тащит то, что плохо лежит", так и киберпреступник будет атаковать те ресурсы, которые слабо защищены.
"ДС". Вчера в СНБО заявили о взломе официального Twitter ведомства. Можно ли эффективно бороться со взломами и как?
О. П. Обычно взлом происходит из-за халатных или некомпетентных действий администратора сети госоргана или даже злонамеренного "слива" пароля злоумышленникам. Среди наиболее часто встречаемых проколов: слабый пароль на доступ к сервису, который легко поддается взлому; несоблюдение "компьютерной гигиены", в результате чего ПК администратора может быть инфицирован трояном, похищающим различную конфиденциальную информацию, в том числе и пароль к учетной записи в Twitter. Кроме того, злоумышленники могут использовать различные приемы социального инжиниринга для кражи личной информации и последующего взлома эккаунта. Например, это может быть одно из писем "счастья", отосланное системному администратору якобы от лица команды сервиса: "На вашем эккаунте в Twitter была замечена подозрительная активность. Просим сменить пароль на временный ***** (указывается пароль) для устранения последствий взлома. После завершения операции вы получите соответствующее уведомление и сможете еще раз сменить пароль на постоянный". Или же это может быть любой другой прием для выуживания ценной информации. Если пользователь клюнет на приманку, злоумышленники могут получить доступ к его учетной записи.
О. П. Практически все интернет-сервисы предлагают ответить на один или несколько секретных вопросов в случая утери пароля доступа к сервису. Однако киберпреступник порой может легко узнать ответ на секретный вопрос "Ваша любимая книга" или "Имя вашей первой учительницы", просто просмотрев записи пользователя на его стене в социальной сети или изучив его биографию. В результате злоумышленник выбирает опцию "Забыл пароль" и пытается восстановить доступ к сервису уже на свое имя. Стоит отметить, что истинному владельцу сервиса лучше вообще не указывать ответ на секретный вопрос, либо в качестве названия любимой книги или имени первой учительницы указать латиницей какое-либо сложное сочетание символов, вроде "R4%vb&6@xCc". Еще один хороший вариант - придумать свой собственный нестандартный "секретный" вопрос.
Для эффективной борьбы со взломами нужно как минимум не делать ошибки, указанные выше, и регулярно менять пароли, особенно если пред этим был уволен системный администратор.
О. П. Необходимо отметить, что взлом учетных записей соцсетей, принадлежащих правительству, не является чем-то из ряда вон выходящим. Например, в январе этого года британский хакер арабского происхождения взломал учетные записи Twitter и YouTube, принадлежащие Центральному военному командованию США. А за три года до этого события тот же хакер взломал личную почту премьера Британии Тони Блэра. Ряд взломов правительственных аккаунтов был отмечен в минувшие годы в нашей стране. При этом прослеживается четкий тренд - число взломов возрастает перед выборами или в период политических кризисов.
О. П. Как говорится, "спасение утопающих - дело рук...". Если политик самостоятельно ведет свой собственный блог, он должен позаботься о его безопасности, возможно даже привлечь внешнего консультанта в случае наблюдения каких-либо подозрительных действия вокруг его эккаунта. Если речь идет об учетной записи организации, ее защитой должна заняться либо служба IT, либо служба инфобезопасности, если последняя имеется в организации.
О. П. Если говорить о внешнем факторе, то основная угроза - хакеры соседней враждебно настроенной к нам страны. Что касается внутренних проблем, то очевидно, что государство и бизнес действуют недостаточно неэффективно против киберугроз. Практически отсутствует процесс обмена деталями кибератак, не проводится их глубокий анализ. Отмечается низкая скорость реагирования на киберугрозы, например, известны факты, когда киберпреступники неделями скачивали данные с серверов украинских компаний уже после обнародованной информации о нахождении уязвимости. Также нет массовой практики обмена шифрованными сообщениями электронной почты.
В государственном секторе существующая система стандартов в области безопасности морально устарела и оторвана от бизнес-практик. Во многих учреждениях используется пиратское программное обеспечение. Специалисты в госорганах, как правило, не имеют достаточно опыта и знаний для реализации мероприятий по кибербезопасности, отсутствует надлежащая координация действий между подразделениями ИБ в различных госучреждениях. Все эти проблемы надо решать.
О. П. В конце июня на рассмотрение Верховной Рады был вынесен законопроект №2126а "Об основных положениях обеспечения кибербезопасности Украины", в котором сделана попытка систематизировать деятельность госведомств по укреплению киберзащиты страны. В документе имеется множество правильных и нужных нововведений, в частности, отмечается необходимость адаптации законодательства Украины к нормам Євросоюза, разграничение и определение полномочий госорганов, которые обеспечивают киберзащиту, таких как СНБО, МВД, СБУ, МО, Генштаб ВСУ, Госспецсвязи. Кроме того, определяются принципы международного сотрудничества в сфере кибербезопасности, что тоже немаловажно.
В то же время, законопроект содержит множество общих и даже негативных положений. Например, "лица, виновные в нарушении законодательства в сфере кибербезопасности, несут ответственность в соответствии с законодательством". А действующие законы четко не определяют, что именно относится к нарушениям в сфере кибербезопасности. Кроме того, провайдеры и операторы, согласно законопроекту, будут обязаны предоставлять уполномоченным органам информацию о своих абонентах, в результате чего ведомство Госспецсвязи станет аналогом российского Роскомнадзора. Кстати, против этого пункта резко выступили украинские интернет-провайдеры.
Но даже положительные нормы законопроекта можно охарактеризовать как "рамочные", лишь задающие нужные направления развития. Для их полноценной реализации потребуется кропотливая работа на местах. И насколько качественной она будет - большой вопрос. Вообще, создается впечатление, что без реформы госсектора, которая давно назрела, вряд ли что-то существенно изменится и в области кибербезопасности госорганов.