Чому нас навчила атака на Київстар і чи можуть хакнути інших операторів

Хакнути можуть кого завгодно

Спокійно, громадяни, давайте розберемося, що сталося з Київстаром, чого чекати в подальшому, і ще декілька неочевидних висновків.

По-перше, як вже багато хто зазначив, роль кібербезпеки не варто применшувати. А то кібербезпека применшить тебе. Або когось ще.

По-друге, хакнути можуть кого завгодно — питання лише у кількості ресурсів, грошей, фахівців та часу атакувальника. Кіберкоманда Київстара є однією з найпотужніших в Україні, але навіть їх змогли серйозно просадити. А ти досі користуєшся рашистським Телеграмом, поставив примітивний однаковий пароль на всі акаунти, і мультифактор не включив.

По-третє, подібні кібероперації готуються місяцями (інколи — роками), і включають соцінженерію, ботнети, дорогезних вузькоспеціалізованих фахівців, ще коштовніші експлоїти, а бюджети подібного класу операцій можуть рахуватися у мільйонах доларів.

Тому подібні атаки — це дорогий штучний товар, він апріорі не може бути масовим. Особисто я не чекаю аналогічних сценаріїв у інших українських операторів. Їх атакують сотні раз на день 24/7, просто це геть непублічна інформація. Іншу критичну інфраструктуру неодмінно атакуватимуть, питання лише «коли» і «які будуть наслідки».

Як підготуватись до атак

У сучасному світі не можна сподіватися, що тебе не хакнуть. Хакнуть обов’язково — якщо сильно захочуть. Головне — готуватися до наслідків, точніше — до їх мінімізації. Мати підготовлений план В, план С і план D. Disaster&Recovery Plan. Ось у чому полягає сучасний професійний підхід.

Наскільки все це було застосовано компанією Київстар — побачимо зі швидкості відновлення. Думаю, «голос» відновлять відносно швидко, передачу даних — пізніше, все інше — потім. Відновити можна практично всю інфраструктуру, навіть якщо ракета прилетіла в дата-центр — аби люди не постраждали.

До речі, ЙР дуже сильно намагалася покласти усіх українських операторів та провайдерів у лютому-березні 2022 року — але не змогла. І тому що до атак готувалися, і тому що ЙР пропиляли усі гроші, сподіваючись на «Київ за три дні». І ще тому, до речі, що українська індустрія доступу до інтернету майже повністю приватна і досі ніяк не регулюється державою — завдяки чому зберігає дивовижну відновлювальну здатність (resilience). І так, «націоналізація Київстар» — погана ідея.

А керівникам та CISO великих компаній я б порадив просто зараз змінити паролі доступу до контроллера доменів, до корпоративного VPN, пропатчити усе, що патчиться, а потім замовити аудит безпеки інфраструктури. Це першочергово. А потім провести тренінги з персоналом та окремо спеціалізований тренінг із кібербезу — для ІТ-фахівців. Тому що — о диво! — досить часто ІТ-фахівець ніц не шарить у кібербезпеці.

І трохи позитиву наостанок.

Рік тому ми усі взагалі сиділи не тільки без будь-яких мобільних операторів, а взагалі у темряві — від декількох годин до декількох діб. Я книжки читав, наприклад. І нічо, вижили якось.

Читайте також: Як кібератака на «Київстар» вплинула на роботу НБУ та банківської інфраструктури

Головне, щоб ЗСУ продовжували свою тяжку героїчну роботу. Все інше — менш важливо. «І це також пройде».

Автор:

Експерт з кібербезпеки Корсун Костянтин