В результате кибератаки на Киевстар у миллионов человек исчезла связь и доступ к интернету. Почему защита мобильного оператора не справилась с угрозой, и какие выводы должны сделать другие компании, рассуждал эксперт по кибербезопасности Константин Корсун.
14 декабря 2023, 12:45
Читати українською
Чему нас научила атака на Киевстар и могут ли хакнуть других операторов
Хакнуть могут кого угодно
Спокойно, граждане, давайте разберемся, что произошло с Киевстаром, чего ждать в дальнейшем, и еще несколько неочевидных выводов.
Во-первых, как уже многие отметили, роль кибербезопасности не стоит приуменьшать. А то кибербезопасность приуменьшит тебя. Или еще кого-то.
Во-вторых, хакнуть могут кого угодно — вопрос только в количестве ресурсов, денег, специалистов и времени атакующего. Киберкоманда Киевстара — одна из самых мощных в Украине, но даже их смогли серьезно просадить. А ты до сих пор пользуешься рашистским Телеграммом, поставил примитивный одинаковый пароль на все аккаунты, и мультифактор не включил.
В-третьих, подобные кибероперации готовятся месяцами (иногда — годами), и включают социнженерию, ботнеты, дорогостоящих узкоспециализированных специалистов, еще более ценные эксплоиты, а бюджеты подобного класса операций могут исчисляться в миллионах долларов.
Поэтому подобные атаки — это дорогой искусственный товар, он априори не может быть массовым. Лично я не ожидаю аналогичных сценариев у других украинских операторов. Их атакуют сотни раз на день 24/7, просто это совершенно непубличная информация. Другую критическую инфраструктуру обязательно будут атаковать, вопросы только «когда» и «какие будут последствия».
Как подготовиться к атакам
В современном мире нельзя надеяться, что тебя не хакнут. Хакнут обязательно — если сильно захотят. Главное — готовиться к последствиям, точнее — к их минимизации. Иметь подготовленный план В, план С и план D. Disaster&Recovery Plan. Вот в чем состоит современный профессиональный подход.
Как все это было применено компанией Киевстар — увидим по скорости восстановления. Думаю, «голос» восстановят относительно быстро, передачу данных — позже, все остальное — потом. Восстановить можно практически всю инфраструктуру, даже если ракета прилетела в дата-центр — лишь бы люди не пострадали.
Кстати, ЙР очень сильно пыталась положить всех украинских операторов и провайдеров в феврале-марте 2022 года, но не смогла. И потому что к атакам готовились, и потому что ЙР пропилили все деньги, надеясь на «Киев за три дня». И еще потому, кстати, что украинская индустрия доступа к интернету почти полностью частная и до сих пор никак не регулируется государством, благодаря чему сохраняет удивительную восстановительную способность (resilience). И да, «национализация Киевстар» — плохая идея.
А руководителям и CISO крупных компаний я бы посоветовал прямо сейчас изменить пароли доступа к контроллеру доменов, к корпоративному VPN, пропатчить все, что патчится, а затем заказать аудит безопасности инфраструктуры. Это в первую очередь. А затем провести тренинги с персоналом и отдельно специализированный тренинг по кибербезу для IТ-специалистов. Потому что — о чудо! — довольно часто IТ-специалист вообще не шарит в кибербезопасности.
И немного позитива напоследок.
Год назад мы все вообще сидели не только без каких-либо мобильных операторов, но и в целом в темноте — от нескольких часов до нескольких суток. Я книги читал, например. И ниче, выжили как-то.
Читайте также: Как кибератака на «Киевстар» повлияла на работу НБУ и банковской инфраструктуры
Главное, чтобы ВСУ продолжали свою тяжелую героическую работу. Все остальное — менее важно. «И это тоже пройдет».
Автор:
Источник:
Минфин
Комментарии - 16
Не надо манипулировать понятиями -Есть частный сектор и есть государственный! И меня интересует ЗАЩЕЩОННОСТЬ гос сектора и обьектов критической инфраструктуры.
У вас есть предложения или, хотя бы свое мнение по этой проблеме? Если есть озвучьте, если нет — то соответственно …о чем дальше говорить!
В штатах функции нацбанка в частных руках, и ничего, как-то справляются.
А как же
Созданная еще в 60 годах
National Communications System — NCS
Может расскажите кого и как эта систем обслуживает, всегда интересно послушать умного человека! Но думаю ответа не услышу!!!
Вы (за мечу «ВЫ» а не «ты») как всегда хотели казаться умным, а вышло как обычно! ВЕДЬ знания приобретают не на форумах, а в другом месте!!!
1. Указ № 13618 вы читали? Нет?
Ты даже «погуглить» не можешь!!!
On July 6, 2012, President Barack Obama signed Executive Order 13618, which replaced Executive Order 12472, thus eliminating the NCS as a separate organization; it was merged into the Office of Emergency Communications (OEC) of DHS' National Preparedness and Programs Directorate (NPPD) which had been created in 2007. A ceremony to retire the colors of the NCS and to celebrate the legacy of the organization was held on August 30, 2012 in Arlington, VA. Upon establishment of the Cybersecurity and Infrastructure Security Agency (CISA) the OEC was renamed the Emergency Communications Division (ECD)
Перевод —
…6 июля 2012 года президент Барак Обама подписал Указ № 13618, которым заменил Указ № 12472, тем самым упразднил NCS как отдельную организацию; она была объединена с Управлением экстренной связи (OEC) Управления национальной готовности и программ DHS (NPPD), которое было создано в 2007 году. Церемония отказа от цветов NCS и чествования наследия организации состоялась 30 августа 2012 г., Арлингтон, штат Вирджиния. После создания Агентства по кибербезопасности и безопасности инфраструктуры (CISA) OEC было переименовано в Отдел экстренной связи (ECD).
Ну и сам текст Указа Обамы —
https://obamawhitehouse.archives.gov/the-press-office/2012/07/06/executive-order-assignment-national-security-and-emergency-preparedness-
Ключевая фраза —
Sec. 5.6. The Federal Communications Commission performs such functions as are required by law, including: (a) with respect to all entities licensed or regulated by the Federal Communications Commission: the extension, discontinuance, or reduction of common carrier facilities or services; the control of common carrier rates, charges, practices, and classifications; the construction, authorization, activation, deactivation, or closing of radio stations, services, and facilities; the assignment of radio frequencies to Federal Communications Commission licensees; the investigation of violations of pertinent law; and the assessment of communications service provider emergency needs and resources; and
(b) supporting the continuous operation and restoration of critical communications systems and services by assisting the Secretary of Homeland Security with infrastructure damage assessment and restoration, and by providing the Secretary of Homeland Security with information collected by the Federal Communications Commission on communications infrastructure, service outages, and restoration, as appropriate.
1. Ничему не научила.
2. Да могут, кого угодно, от Привата до местного ЖЕКа.
А ещё люди погибают в автокатастрофах.
Якби це було правдою ми б зараз не мали що обговорювати.
А ти досі користуєшся рашистським Телеграмом
Оце рівень експерта.
Коли прочитав фразу про потухну команду подумав чи є сенс далі читати. Але повернувся і продовжив. І зрозумів що перша думка була вірною.
предприятий Украины через вирус в обновлении ПО МЕдок,
достаточно всего одного продажного специалиста в конторе.
Обвал через МЕдок тестировали минимум два месяца, потому что
ещё в мае были массовые жалобы на вирус в обновлении, но в мае
вирус не выстрелил, а жалобы остались без ответа и анализа ситуации.
Сегодняшний обвал Киевстара тоже тестировался несколько лет назад,
когда один админ «случайно» запустил обновление прошивок всех базовых
станций производства huawei чем вызвал отключение мобильной связи
в нескольких западных регионах страны.
Киевстар сейчас работает почти на всём китайском — huawei и ZTE,
а о тесном сотрудничестве Китая с россией во многих отраслях
знают даже в Украине. Полная зависимость Киевстара от китайских
производителей озвучивалась ещё в апреле 2023 года и это признавалось
достаточно высокорисковым.
Але вклали не тільки мобільну мережу, а і сайт який працює окремо від китайського обладнання та і знання тут потрібні кардинально різні. Тож з безпекою у КС явно не найкраща ситуація.
всего-лишь админские права и пароли…
Для того, чтобы положить ядро — нужно всего-лишь
удалить все конфигурационные файлы и снести
встроенное ПО — и то и другое можно сделать
обычным набором команд при наличии
админского доступа и даже удалённо…
Но первоначально без утечки инсайдерской
информации не обошлось однозначно,
но кто же признается…
Гугліть, є купа сервісів, які за незначну плату, нададуть про будь кого будь яку інформацію від всих Ваших візитів до лікарів до вашого майна і всих транзакцій по рахункам.
Такі самі закладки стоять або можуть стояти абсолютно в усьому, тому почни з себе-викинь те з чого ти пишеш свої «геніальні» думки в мусорку.
котяра, де я щось писав про виробництво Україною обладнання? Крім Китаю обладнання для мобільних операторів виробляють декілька крупних компаній
І навіть якщо таке диво колись станеться, то 90% українців з радістю продадуть інформацію або встановлять чиї хоч закладки.
Ми почули твою думку про те що ти з радістю продаєш відомі тобі секрети
Гугліть, є купа сервісів, які за незначну плату, нададуть про будь кого будь яку інформацію від всих Ваших візитів до лікарів до вашого майна і всих транзакцій по рахункам.
ну давай, розпові вчителька про них — хочу подивитись на список твоїх транзакцій
Такі самі закладки стоять або можуть стояти абсолютно в усьому, тому почни з себе-викинь те з чого ти пишеш свої «геніальні» думки в мусорку.
подай приклад