Нещодавня вірусна атака на мережі підприємств показала, що кібербезпека – це справа виживання країни. Як попередити такі події? У фахівців галузі є півтора десятки конкретних порад.
12 млрд грн втратила економіка України за три дні найбільшої в історії країни кібератаки. Таку оцінку дає спеціаліст з кібербезпеки Удовенко Олександр. Внаслідок цього кібератаки так чи інакше постраждали 60-80% підприємств країни.
Наслідки атаки є колосальними. Робочі станції та сервери багатьох підприємств були пошкоджені, а їхня господарська діяльність — паралізована. За словами інспектора департаменту кіберполіції Нацполіції В’ячеслава Марцинкевича, деякі підприємства досі відновлюються.
Як уникнути цього в майбутньому та убезпечити український кіберпростір? Декілька фахівців у цій сфері зібралися за круглим столом, щоб дати конкретні рекомендації.
Держсектор
Надія Литвинчук, державний експерт апарату РНБО:
1. Підготувати список об’єктів критичної інфраструктури.
Необхідно з’ясувати, які об’єкти належать до об’єктів критичної інфраструктури, щоб ми мали перелік їх телекомунікаційних систем. Тоді Державна служба спеціального зв’язку та захисту інформації зможе вирішувати завдання щодо забезпечення безпеки таких систем.
Ми вже бачили, як поразка цих об’єктів паралізує цілі сегменти економіки країни. Процес підготовки списку об’єктів ускладнюється тим, що багато об’єктів критичної інфраструктури належать приватним особам.
2. Привести до єдиного стандарту всі державні бази даних та реєстри.
Кожен держорган створював інформаційні бази з урахуванням різних технологічних рішень. Закрити їх уразливості неможливо.
3. Побудувати єдиний та резервний дата-центри.
Необхідно створити єдиний дата-центр обробки даних державних інформаційних ресурсів. Обов’язково потрібно створити резервний дата-центр, інакше існує ризик втрати інформації, що належить державі.
4. Підвищити зарплати фахівців у сфері кібербезпеки у держсекторі.
Фахівці, які обслуговують державні інформаційні ресурси, одержують мізерну зарплату. Особливо не витримує конкуренції із приватним сектором зарплати тих, хто безпосередньо забезпечує кіберзахист.
5. Залучити на умовах аутсорсингових договорів для забезпечення кібербезпеки державних інформаційних ресурсів приватні структури – фізичних та юридичних осіб.
Бізнес
В’ячеслав Марцинкевич, інспектор департаменту кіберполіції Нацполіції:
6. Налаштувати належним чином телекомунікаційну мережу підприємства.
Жодні збори, укази, цивільна кібероборона, закупівля дорогого обладнання не запобігатимуть кібератаці, якщо системний адміністратор не налаштує внутрішню мережу із застосуванням фаєрволів та політик доступу.
Найслабше місце мережі – системний адміністратор. Вже відомо, що атака здійснювалася з підприємств у всій їхній мережі. На підприємствах, де мережу було правильно налаштовано, відбулося зараження лише одного-трьох комп’ютерів бухгалтерії, на яких адміністратори перевстановили операційну систему.
7. Здобувати досвід.
Фахівці у сфері кібербезпеки мають відвідувати курси. Найголовніше — вони повинні розуміти, що може статися з їхньою мережею, якщо знову з’явиться вірус, і що потрібно зробити, щоб ця зараза не поширювалася.
Андрій Пастушенко, засновник RMRF Technology:
8. Забезпечити резервне копіювання даних у компаніях. Бухгалтер у компанії має бути впевненим, що є резервна копія всіх даних.
9. Підпорядкувати людей, які відповідають за кібербезпеку безпосередньо керівнику компанії. Бізнес повинен визначити для себе кібербезпеку як один із основних напрямків діяльності. Підпорядковувати спеціалістів, які відповідають за кібербезпеку, керівнику IT-відділу помилково.
Це довели організації, які досліджують кіберзагрози. Кіберпростір зараз — театр воєнних дій, а кіберзброя зазнає бізнесу збитків.
Володимир Кург, R&D-директор “ІТ-Інтегратор”:
10. Включити команду з кібербезпеки до загальної команди реагування на кризові події на підприємстві. Фахівці зі США вважають, що мінімізація наслідків кібератаки пов’язана із виживанням бізнесу.
Найчастіше на підприємствах відсутні департаменти кібербезпеки, цими питаннями займаються IT-департаменти. Вони не мають кризових регламентів, вони не знають, як діяти, вони дивляться на те, що відбувається, і втрачають час.
11. Надати повноваження швидкого реагування. Де є навички швидкого реагування, найчастіше немає повноважень.
Так, IT-підрозділ великого держпідприємства, розподіленого по всій Україні, побачив атаку, але не мав повноважень блокувати роботу критичних систем. Потрібно було швидко вирішувати, відключати уражений сегмент чи ні. У групі областей адміни зволікали, і частину систем було знищено.
12. Організувати систему спеціалізованих CERTів (Сomputer Еmergency Response Team — комп’ютерна група реагування на надзвичайне
У Європі існує ціла система спеціалізованих CERTів. У США працює CERT, який займається загальною кібербезпекою. ICS-CERT займається питаннями кібербезпеки об’єктів критичної інфраструктури.
Існує North American Electric Reliability Corporation, яка відповідає за кібербезпеку в електроенергетиці. У Німеччині є система із 18 CERTів, тому що телекомунікаційні системи зав’язані на галузеву специфіку.
13. Налаштувати обмін інформацією.
Поки Україна зациклена на відображенні атак та ліквідації наслідків, у США та Європі є організації, які регулярно випускають документи щодо запобігання атакам. У США це National Institute of Standards and Technology.
У цій структурі діє група з питань кібербезпеки. Вона випускає низку спеціальних публікацій на цю тему. Пакет містить готові рецепти щодо підвищення рівня кібербезпеки.
Удовенко Олександр:
14. Створити співтовариство громадянської кібероборони.
Наразі була атака на економічний потенціал України — на комерційні підприємства. Про їхню кібербезпеку також має хтось дбати. Не держава, бо держава має чим займатися.
Бізнес має створити кілька комерційних CERTів, які стануть точками обміну інформацією. Вони співпрацюватимуть один з одним та з держорганами, вироблятимуть методології загроз, інструкції на випадки “пожежі”.
Андрій Пастушенко, засновник RMRF Technology:
15. Підвищити рівень обізнаності населення.
Громадяни мають розуміти, що вони публікують свої персональні дані у незахищених мережах. Якщо вони використовують чутливі до шахрайства платіжні дані, вони повинні переконатися, що є механізми шифрування. Люди повинні знати, яку кнопку браузера натиснути, щоб це перевірити.