По 3-4 атаки госучреждений в день. Как на Волыни спасаются от российских кибератак

"У нас нечего воровать. Кому мы интересны?" – так мне отвечали в волынских госучреждениях, когда я предлагал установить облачную систему киберзащиты. Впрочем, по данным MISP (Malware Information Sharing Platform) Ситуационного центра обеспечения кибербезопасности СБУ и платформы для обмена индикаторами компрометаций MISP CERT-UA Госспецсвязи, за 2023 год Нововолынский горсовет атаковали 1286 раз. Это 3-4 разведывательные атаки каждый день.

Каждая община, имеющая ЦНАП, является потенциальной целью для России, ведь там хранят персональные данные украинцев, пароли входа в государственные реестры и т.д. В этой колонке я хочу рассказать, с какими вызовами безопасности сталкивалась Волынская область, как мы нашли уязвимости в системе киберзащиты и теперь предотвращаем последствия кибератак.

На охоту враг

В прошлом году мне позвонили из одной из общин Волынской области с жалобой на то, что роутер постоянно выходит из строя. Устройство зависало, перегревалось, а интернет пропадал каждые два часа. Купили новый роутер – и он сломался, как и предыдущий.

Проблема заключалась в том, что на компьютерах горсовета работало вредоносное программное обеспечение (ВПО) – оно ежеминутно делало сотни запросов на сторонние серверы. Как там оказалось ВПО? Государственный сектор является целью кибератак России, а главный инструмент ее достижения – ошибки человека. СБУ и Госспецсвязи констатируют, что чаще всего кибератаки осуществляют через электронную почту. Хакеры посылают письма, которые легко спутать с рутинной рассылкой. Например, в теме письма указывают "Счет-фактура", а вложенный файл называют "счет_от_12_07_2023_до_оплаты".

Именно так одну из волынских общин поразило ВПО SmokeLoader, за которым стоят российские спецслужбы. На официальный адрес пришли бухгалтерские акты, в финансовом отделе попытались их загрузить – документ не открылся. Но на самом деле в этот момент в сети уже начал разворачиваться SmokeLoader. Каждую минуту он делал около 10 тысяч запросов на российские серверы. Через несколько часов SmokeLoader полностью остановил работу двух отделов и управления.

Со времен вируса Petya алгоритмы российского ВПО значительно усложнились. Оно месяцами может работать незаметно. В то же время, каждую секунду на российские серверы будет поступать информация о финансовых операциях общины, паролях, сертификатах безопасности. Хакеры не украдут ваши фотографии из отпуска – они охотятся за информацией государственного значения.

Даже если мы всем установим антивирус, сотрудники так же, ничего не подозревая, будут заходить на потенциально опасные ресурсы. Ни один специалист не сможет "вручную" контролировать, какие сайты посещают пользователи. А инструмента, который автоматически отслеживал и очищал трафик, у нас не было. Особенно остро потребность в нем возникла с началом полномасштабной войны, когда количество кибератак выросло почти втрое.

Как мы обеспечиваем интернет-трафик

На третий день полномасштабного вторжения мы установили облачный сервис Cisco Umbrella, защищающий входящий и исходящий интернет-трафик. То есть как только с компьютера осуществляется запрос в сеть, сервис оценивает риски. Безопасные данные – пропускает, а вредоносные – блокирует для дальнейшего анализа. Компания предоставила бесплатные лицензии на сервис, и я начал его тестировать.

Результаты меня поразили – в течение месяца только в Нововолынском городском совете система отфильтровала около 1 млн DNS-запросов и 35% из них сочла опасными.

В 2023 году мы подключили к сервису более 1,5 тыс. рабочих компьютеров, а в 2024-м он уже работал во всех общинах. Компания Cisco предоставила бесплатную годовую лицензию в рамках программы Country Digital Accellation (CDA). В рамках инициативы CDA Connected & Protected Communities ("Безопасные общины") срок действия лицензии продлен до конца февраля 2025 года.

Однако настоящий прорыв в усилении кибербезопасности произошел, когда к сотрудничеству присоединились специалисты Госспецсвязи – они расследуют инциденты в соответствии с их критичностью. Если сработало блокирование двух-трех сайтов в сутки – это не приоритетный индикатор. Но если система производит сотни или тысячи блокировок – обязательно проводится расследование.

У нас есть областной аккаунт Umbrella с дашбордом, который показывает активность всех общин. Когда ВПО пытается подключиться к сторонним серверам, я сразу вижу, где это происходит и с какого компьютера пытаются украсть данные. Но, конечно, я не могу следить за дашбордом весь день. Чтобы не упустить сообщения об опасности, мы вместе с коллегами из компании SocPrime интегрировали сервис в SOC (Security Operation Center) регионального уровня при Госспецсвязи Волынской области. Это система мониторинга, в которую поступают уведомления о киберугрозе: она сообщает, что произошло, когда, по какому IP-адресу.

Кибербезопасность перестала быть голливудским мифом

Изменилось и поведение людей в интернете – количество вредоносных запросов значительно снизилось. Сравним: в течение июля в Нововолынском горсовете система отфильтровала 7,6 млн запросов и заблокировала 94,9 тыс. опасных, это 1,2% от всего количества – в 30 раз меньше, чем в начале внедрения системы кибербезопасности. В первой пятерке по частоте блокировок: анонимайзеры, которые используют для посещения запрещенных сайтов, ВПО, криптомайнинг и российские ресурсы.

Этот облачный сервис киберзащиты изменил сам подход к кибербезопасности. Есть общины, которые развернули ее максимально широко и увидели слабые места в киберзащите ЦНАПов и компьютеров сотрудников. И теперь, когда им следует описать потребности безопасности и сети, они обосновывают это аналитикой. За последний год на Волыни кибербезопасность перестала быть голливудским мифом.

У нас есть общины, которые установили этот облачный сервис в больницах, университетах, школах. Границ для масштабирования практически нет. Такую систему киберзащиты как на Волыни может развернуть любая область Украины.