Украинский КиберАльянс атакует. Что в это время происходит в тылу с государственными информационными системами? Способны ли силовики обеспечить их безопасность? Действены ли меры, которые вводит государство после атак NotPetya или FancyBear? Поможет ли законопроект 2126а?

Год назад я был уверен в том, что в Украине отсутствует политическая воля к тому, чтобы вести успешную оборону и наступление в “информационном пространстве”. Я ошибался. Воли у нас хоть отбавляй. Кроме воли и столкновения воль в украинской политике отсутствует какое-либо содержание в принципе. Примером тому могут служить указ Президента N133, который вводит помимо санкций так же и интернет-цензуру. Законы-близнецы N6676 и N6688, которые к счастью отклонены Парламентом, что вызвало крайнее неудовольствие секретаря СНБО Турчинова. И наконец-то недавно принятый законопроект N2126а (“Про основні засади забезпечення кібербезпеки України”)

В этот раз я не буду говорить о расширении цензуры или о дополнительных полномочиях для силового блока, а только о кибербезопасности. Закон построен на предположении, что какая-то безопасность у нас уже есть, и что достаточно только добавить финансирования, перевести пару западных методичек и пожестче её отрегулировать, чтобы достигнуть мировых стандартов. Не то чтобы это было совсем неверно, но я считаю, что это – попытка запрячь телегу в лошадь. Безопасность – это не “состояние защищенности”, так бывает только в гробу, а комплекс организационных и технических мер, направленный на достижение этого состояния. Бег за мечтой.

Субъектами кибербезопасности в законе названы МВД, СБУ, ДСТЗИ и МО. Силовым ведомствам поручено управлять тем, чего у них нет у самих. Мол сейчас силовики возьмут ещё денег, прочитают пару умных книжек и всем объяснят, как правильно, а кто не поймёт с первого раза, тех заставят. Но бизнес и так худо бедно справляется с угрозами, потому что любой бизнесмен понимает, что взлом ударит прежде всего по карману. А в государственном секторе об этом разговаривать просто не с кем. Потому что субъектом безопасности является системный администратор или инженер безопасности. Именно администратор настраивает, обучает, отчитывается, планирует, мониторит и обменивается с другими администраторами. Безопасность строится снизу. Из людей возникает сообщество, которое вырабатывает для себя правила, выбирает координаторов и посредников, и потом уже эту взаимную коммуникацию может упорядочить государство, создавая формальные правила.

Я решил проверить, как обеспечивается безопасность государственных ресурсов. Не так грубо, как мы это делаем на России, а как говорят наши полицейские “путём поиска в сети Интернет“. В течении десяти минут я нашел несколько десятков сайтов в доменной зоне gov.ua, которые либо уже были взломаны, либо которые хакер средней руки может взломать до завтрака и умывания, не приходя в себя. Особое внимание я уделял силовым ведомствам. Первая находка – ДНДЕКЦ (Державний Науково-Дослідний Експертно-Криміналістичний Центр) МВС. Эти ребята (и девчонки) занимаются экспертизой. Любая экспертиза в суде – их работа. На одной из страниц их сайта неизвестный хакер оставил надпись “здесь был Вася”:

В разделе контакты висит одинокий e-mail для всех вопросов с примечанием, что работают они с девяти до шести, с перерывом на обед, укороченой пятницей и выходными. Тогда я решил обратиться в CERT-UA (группа быстрого реагирования на угрозы при гос. спец. связи) и обнаружил, что сайт группы “быстрого” реагирования не отвечает. Я подождал сутки пока сайт поднимется и посмотрел, как у них дела обстоят с безопасностью. Никаких взломов, всё законно при помощи гугла. И нашел пароль для отправки почты прямо у них на сайте.

Фейсбук вскипел и обе уязвимости (НИЭКЦ тоже) были быстро исправлены. После шквала насмешек CERT на третий день опубликовал отчет об инциденте. Быстрая реакция, выработка рекомендаций и кризисные коммуникации – это их прямые обязанности. В МВД притворились ветошью и сделали вид, что ничего не произошло. Они не только не выяснили, кто их вломал, как и зачем, но и лишили другие гос. организации шанса чему-нибудь научиться на их опыте.

В ходе обсуждения пользователи показали ещё несколько примеров государственного головотяпства. В том числе крупное государственное предприятие, которое выложило всю свою информацию онлайн. Так как оно может послужить отправной точкой для supply chain атаки (такой же как NotPetya и М.E.Doc), то я сразу обратился в СБУ. Так же нашлось еще одно подразделение МВД, которое пошло ещё дальше и открыли в Интернет сетевой диск без пароля, и сервер был несколько раз взломан неизвестными хакерами с помощью эксплоита SambaCry. Люди, на которых государство возложило обязанность обеспечивать коллективную безопасность не могут защититься сами.

МО, СБУ и Кабмин тоже не исключение (но это другая история). Силовики могут выписать из-за границы дорогостоящих специалистов, советники от АП могут организовывать независимые CERT-ы, гос. организации могут заказывать на Prozorro тесты на проникновение у частных компаний. И учения можно провести . Еще больше модных хипстерских слов cyber, security, awareness, еще больше железок стоимостью в миллион, которые некому будет настраивать. Еще больше доктрин, манифестов, бессмысленных ограничений и безумных запретов. “Ударим автопробегом по бездорожью и разгильдяйству!”, “Совхоз им. Ильича берёт на себя обязательство догнать и перегнать Америку!”. Всё что угодно лишь бы не работать.

Краткая экскурсия в мир безопасности государственных информационных систем открыла мне секрет Полишинеля – кибербезопасность в нашей стране отсутствует. В случае полномасштабной скоординированной атаки со стороны России наша инфраструктура, в том числе критическая , не простоит и часа. Пока мы имели дело только с разрозненными атаками и русских сейчас сдерживает не мифическая киберзащита, а боязнь влипнуть в очередной хакерский скандал. Пока сдерживает. Так что же делать?

В каждой государственной информационной системе должен быть человек, который отвечает за её бесперебойную работу. И еще один человек, который отвечает на вопросы. И третий человек, который занимается неспосредственно работой с информацией. Если у нас есть паспортный стол, то один отвечает на вопросы: “Как оформить паспорт?”, второй делает заявления “К сожалению из-за хакерской атаки предприятие не будет работать сегодня и завтра”, а третий устраняет последствия и отсылает отчет в тот же CERT, чтобы другие паспортные столы могли воспользоваться наработанным опытом. Потом можно и закон написать. Чтобы чем-то управлять нужно это что-то иметь.

Сейчас любые разговоры о кибербезопасности со стороны чиновников – пустая трата времени. Начинать нужно с себя, а не с советов, как нам построить город-сад. Чтобы читать институтский учебгик нужно хотя бы школу закончить. И не пропускать занятия. К сожалению, желающих работать руками гораздо меньше, чем любителей руководить.