Информационная и кибербезопасность в современном мире: опыт СБУ
Информационные спецоперации, хакерские атаки, боевое использование соцсетей и интернет-сервисов: что делает государство для противодействия этим угрозам, какие риски возникают для гражданских прав и общественной безопасности во время кибервойны? Каковы первые уроки гибридной войны? Об этом в колонке Александра Климчука - начальника Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности СБУ
Гибридная война против Украины: какой фактор является доминирующим
Гибридная агрессия Российской Федерации относительно Украины является разноуровневым сочетанием различных комбинаций форм и методов негативного воздействия, среди которых доминирующим направлением является информационный и кибернетический.
Важным аспектом негативного информационного воздействия, которое пытаются осуществлять российские спецслужбы, является его направленность на разрушение украинской государственности начиная с базового уровня - исторической памяти и самосознания нации как таковой.
С этой целью российскими спецслужбами используются подконтрольные им СМИ, интернет-ресурсы, группы в соцсетях, блоггеры, тролли и даже почтовые сервисы. Именно по этой разветвленной сети не только собирается разведывательная информация об украинских гражданах, но и проводятся деструктивные пропагандистские информационные операции.
Другим направлением является истощение финансовых и материальных ресурсов Украины, создание предпосылок к потере ею энергетической независимости, ослабление транзитного потенциала и дискредитация нашего государства на международной арене с последующим созданием негативного информационного воздействия. При этом деструктивное информационное воздействие и манипулирование общественным сознанием российские спецслужбы сочетают с проведением циничных по замыслу и катастрофических по результатам кибератак на объекты критической инфраструктуры.
Ряд мощных и сложных кибератак на компьютерные сети энергетического, банковского, транспортного секторов, отрасли связи, которые произошли с начала 2014 года, в очередной раз показали, что агрессор продолжает использовать кибератаки как инструмент геополитического влияния. Противодействие этому требует не только усилий на национальном уровне, но и выработки действенных механизмов международного сотрудничества.
В качестве примеров активных информационных мероприятий российских спецслужб за последние несколько месяцев можно привести следующие:
- Попытка дестабилизировать ситуацию в Одессе из-за использования запрещенных соцсетей и распространения антиукраинского контента, направленного на раскол украинского общества и расшатывание общественно-политической ситуации накануне годовщины трагедии 2 мая;
- Попытки осуществить ряд объединенных единым замыслом провокаций во время празднования 9 мая. При этом во исполнение указаний российских кураторов антиукраинские сообщества в запрещенной сети «Вконтакте» активно распространяли призывы к участию в так называемом «Марше бессмертного полка» в разных городах Украины, а также методички так называемого «Министерства информации ДНР»;
- Развертывание целой агентурной сети российских спецслужб в Днепре, целью которой были инспирации массовых беспорядков и провокаций в отношении патриотических сил путем изготовления и развешивания в публичных местах флагов с запрещенной символикой тоталитарных режимов;
- Трансляции военных парадов на оккупированных территориях отдельных районов Донецкой и Луганской областей с целью популяризации террористов и «милитаристского угара», что, к сожалению, окутал нашего северного соседа;
- Неудачная попытка физически уничтожить российского журналиста Аркадия Бабченко и сделать его гибель информационным поводом для дискредитационной кампании против Украины. Почти одновременно с появлением информации о его "убийстве" в российских, сепаратистских и, к сожалению, отдельных украинских ресурсах началась массированная атака на украинские правоохранительные органы и государство в целом.
Нашими специалистами было выявлено явные признаки скоординированной информационной операции против Украины.
Как противодействует СБУ: 7 реальных примеров кибервойны
В течение пяти месяцев 2018-го осуществлен комплекс мероприятий в сфере информационного противоборства, выявлено и задокументировано использование российскими спецслужбами 181 интернет-ресурса с целью дестабилизации социально-политической ситуации в нашей стране и манипулирования общественным сознанием граждан. По результатам указанные ресурсы внесены в санкционный список СНБО, что существенно ограничило возможности российских спецслужб в осуществлении подрывной деятельности в информационной сфере.
Кроме того, усилиями Службы в тесном взаимодействии с другими государственными органами и общественностью удалось избежать запланированные российскими спецслужбами провокации накануне годовщины трагедии 2 мая в Одессе и празднования Дня победы над нацизмом во Второй мировой войне.
В ходе многоходовой операции обнаружена и обезврежена сеть российской агентуры, которая готовила провокации в Киеве, Одессе, Днепре и других городах Украины.
В целом сотрудники Службы безопасности Украины в течение 1-го полугодия обнаружили и предотвратили 19 попыток российских спецслужб использовать администраторов групп социальных сетей для организации провокаций с помощью использования запрещенных онлайн-ресурсов.
Не менее активно противодействие кибернетическим угрозам. Благодаря подготовленной в предыдущие годы почве, в том числе и при содействии трастового фонда Украина-НАТО по вопросам кибербезопасности, обеспечено инновационное развитие Ситуационного центра обеспечения кибербезопасности в СБУ. Техническое оборудование и программное обеспечение для работы Центра СБ Украины получила в рамках выполнения первого этапа Соглашения о реализации трастового фонда Украина-НАТО по вопросам кибербезопасности.
Ключевыми возможностями Ситуационного Центра СБУ являются автоматизированная система обнаружения, анализа и реагирования на киберинциденты и профессиональная компьютерная криминалистика. Кстати, наша криминалистическая лаборатория, как и ситуационный центр в целом, построен не только при ресурсном содействии НАТО, но и с учетом опыта и передовых практик Альянса. СБУ быстрее среди нескольких трастовых фондов реализовала полный цикл работ трастового фонда от построения стратегии до настройки оборудования. Учитывая значимость данного проекта для государства, открыл Ситуационный центр обеспечения кибернетической безопасности лично председатель СБ Украины генерал армии Украины Василий Сергеевич Грицак. На торжественном открытии Председатель СБУ отметил: «Мы с иностранными партнерами четко осознаем, что без сотрудничества и обмена опытом, невозможно эффективно противодействовать российской агрессии в киберпространстве».
Специалисты Центра уже зафиксировали и отбили более пятидесяти кибератак различной степени мощности, некоторые из которых по разрушительным последствиям могли быть гораздо хуже, чем знаменитый «Petya-A».
С 2014 года одними из первых разрушительным кибератакам подверглись компьютерные сети Центральной избирательной комиссии. Мало кому известно, что за неделю до выборов в мае 2014 состоялось разрушение технологической инфраструктуры, которая должна была обеспечивать это чрезвычайно важное событие. Несмотря на отсутствие времени, знаний и ресурсов работа серверного и телекоммуникационного оборудования была восстановлена, а все подготовительные мероприятия по дискредитации результатов голосования, которые российские спецслужбы готовили несколько месяцев, вовремя нейтрализованы.
В ходе расследования подтверждена версия политического заказа со стороны российских спецслужб с целью дискредитации действующей власти по несостоятельности организовать проведение выборов, а также поставить под сомнение существование демократических институтов в Украине.
В декабря 2016 года в результате мощных кибератак на государственные органы и транспортные предприятия Украины Государственным казначейством было временно приостановлено казначейское обслуживание клиентов. Был заблокирован доступ к веб-порталу Министерства финансов, а также нарушена работа некоторых объектов энергетики и транспорта. Именно тогда или впервые в мире было зафиксировано несанкционированное вмешательство в работу технологических систем управления в энергетике, совершенное только с помощью хакерского инструментария, который получил название Blackenergy3 и который можно считать кибероружием.
27 июня 2017 атака с использованием вредоносного программного средства "Petya / NotPetya", который использовал малоизвестные уязвимости системного ПО Windows, привела к временной блокировке работы вычислительных систем отдельных объектов критической инфраструктуры Украины. Но в количественном исчислении больше всех пострадал от атаки малый и средний бизнес, это вызвало мощный резонанс в обществе из-за прекращения предоставления банковских, административных и других услуг.
Вместе с тем полученный опыт позволил нам сформировать четкий механизм действий, направленный на скоростное реагирования на кибератаки такого уровня, а также на эффективную нейтрализацию субъекта атаки и недопущение наступления негативных последствий, стало непосредственной и приоритетной задачей для наших специалистов.
Сейчас мы ожидаем практической реализации второго этапа трастового фонда Украина-НАТО по вопросам кибербезопасности, который мы согласовали с представителями Альянса в начале года. Мы надеемся расширить сеть ситуационных центров и существенно увеличить количество объектов критической инфраструктуры, которые получат киберзащиту.
Хочу отметить открытость нашего ситуационного центра для сотрудничества со всеми субъектами обеспечения кибербезопасности: учреждениями, организациями, предприятиями и профильными специалистами. Кстати, важность такого сотрудничества отметил лично председатель Службы: «Любой представитель крупного, среднего и даже малого бизнеса может обратиться в центр за консультациями и помощью».
При этом у нас есть несколько инновационных проектов, которые предназначены именно для налаживания прямого взаимодействия с бизнесом в режиме онлайн в вопросах повышения уровня кибербезопасности и общей культуры киберзащиты. Одним из таких является система MISP-UA, которая является платформой обмена технологической информацией о кибератаках.
Приобретенный специалистами СБУ опыт позволил предотвратить в октябре 2017 проведение организованной российскими спецслужбами кибероперации, направленной на блокирование работы компьютерных органов государственной власти Украины, крупных государственных и частных компаний и предприятий Украины, реализацию которой планировали с использованием обновлений распространенного программного обеспечения.
В апреле 2018 обнаружена и локализована кибератака на объекты оборонно-промышленного комплекса страны, направленная на дискредитацию Украины на международной арене и распространение в информационном пространстве недостоверной информации по ряду объектов критической инфраструктуры, в частности ненадежности украинской стороны в сотрудничестве в научной и инженерной сферах.
Кроме того, Ситуационный центр кибербезопасности СБУ обнаружил и своевременно отреагировал на кибератаки, направленный на информационные системы сектора безопасности и обороны Украины, прежде всего СБУ, Минобороны, Госпогранслужбы, а также подразделений, привлеченных к выполнению задач Операции объединенных сил.
Целью этой кибератаки было поражение как компьютерных сетей этих ведомств, так и персональных компьютеров сотрудников для получения удаленного доступа и похищения служебной информации.
Установлено, что указанная кибератака осуществлена хакерской группировкой, которая территориально находится в аннексированном Крыму, с применением вредоносного программного обеспечения известного как «Armagedon», ранее применявшегося спецслужбами РФ.
В мае текущего года Службой безопасности Украины во взаимодействии с представителями международных ИТ-компаний предотвращено проведение масштабной кибератаки с использованием вредоносного программного обеспечения VPNFilter на государственные структуры и частные компании с целью дестабилизации ситуации во время проведения в Киеве финала Лиги Чемпионов УЕФА.
По заключению специалистов по кибербезопасности, эта кибератака была направлена на поражение сетевых устройств и фиксировалась по всему миру начиная с 2016 года. Однако на этот раз географически кибератака была направлена исключительно на украинский сегмент интернета.
Результаты проведенных нами исследований, в том числе во взаимодействии с ведущими ИТ компаниями, указывают на общие черты всех кибератак, о которых я говорил, и причастность к их проведению известных СБУ хакерских групп, действующих под контролем спецслужб РФ.
Механизм кибератаки VPNFilter, запланированной накануне проведения финала Лиги Чемпионов, является идентичным кибератакам, которые произошли в 2015-2016 годах с использованием вредоносного программного обеспечения BlackEnergy и Petya / NotPetya.
Киберсанкции: почему и против кого
В условиях проведения Россией гибридной войны против Украины одним из самых распространенных и опасных механизмов кибервлияния стали комплексные AРТ-атаки, которые предусматривают использование вредоносного программного обеспечения, методы социальной инженерии, а также задействование скрытых возможностей удаленного доступа через недокументированные функции в программном обеспечении российского производства.
В частности, методами работы антивирусных пакетов «DoctorWeb» и «Касперский» не предусмотрено обнаружение вредоносных программных продуктов, разработанных спецслужбами РФ, а также содержатся недокументированные функции по сбору конфиденциальной и чувствительной информации пользователей. Отмечу, что «Лаборатория Касперского» была прямо обвинена компетентными органами США в содействии утечки новейших разработок кибернетического оружия АНБ США.
Поэтому, внесение этого вредоносного программного обеспечения, а также подобных продуктов и информационных ресурсов в санкционный список СНБО является важной превентивной мерой по предотвращению кибератак российских спецслужб против Украины.
Законопроект №6688 и блокировка сайтов: есть ли угроза бизнесу и свободе слова
Прежде всего, стоит отметить, что проект Закона Украины «О внесении изменений в некоторые законодательные акты Украины относительно противодействия угрозам национальной безопасности в информационной сфере», разработан с целью создания действенных механизмов, направленных исключительно на оперативное выявление, реагирование, предотвращение, нейтрализацию киберугроз, кибератак и киберпреступлений, ликвидацию их последствий и восстановления устойчивости и надежности функционирования коммуникационных, технологических систем.
Законопроект также направлен на совершенствование системы борьбы с терроризмом в киберпространстве. А кроме этого, он позволит ввести механизм реализации Указа Президента Украины «О решении Совета национальной безопасности и обороны Украины от 28 апреля 2017 «О применении персональных специальных экономических и других ограничительных мер (санкций) »в отношении субъектов государства-агрессора, функционирующих в телекоммуникационной сфере Украины.
Заявления отдельных журналистов и политиков о том, что этот закон направлен против свободы слова в онлайн-медиа в Украине являются манипуляцией.
Законопроект направлен исключительно на противодействие использования преступниками и иностранными спецслужбами ресурсов и сервисов для осуществления кибератак и киберпреступлений. О информационном наполнении указанных ресурсов речь не идет.
Никакой следователь и прокурор не сможет использовать нормы этого закона для политического давления. Именно четкое определение кибертерроризма и установления рамок деятельности правоохранительных органов в сфере информационной безопасности, предусмотренных законопроектом, позволит исключить давление на свободу слова в интернете.
Выше было перечислено достаточно значительное количество киберинцидентов. Достаточно часто владельцы и администраторы ресурсов, через которые осуществлялись указанные атаки, не знали, либо не могли противодействовать использованию враждебными хакерами своих сайтов или сервисов.
В то же время, во время кибернетических атак отсчет времени для реагирования идет на минуты, поэтому ставя на чашу весов с одной стороны - блокирование веб-ресурса на 48 часов, а с другой, например, безопасное функционирование атомной станции или системы управления «Укрзализныци», мы, как СБУ, выбираем безопасность граждан.
За 48 часов сблокированный ресурс не потеряет значительных средств от рекламы и от него не уйдет аудитория. Одновременно Служба получит реальный инструмент быстрой и эффективной борьбы с киберугрозами.
Хочу подчеркнуть, что мы очень благодарны гражданскому обществу, которое активно включилось в обсуждение этого законопроекта. Уверен, после обсуждения мы выйдем на сбалансированный и эффективный нормативно-правовой акт. Это следующий шаг в нашем общем противостоянии российской пропаганде, выявлении фейков и OSINT. Наши совместные действия позволяют достигать синергетического эффекта и уже более четырех лет эффективно противостоять одной из самых мощных спецслужб мира.
Каким опытом может поделиться Украины
Мир меняет свое отношение к проблемам кибербезопасности, и на примере Украины растет осознание того, что самыми опасными являются не хакеры-одиночки, а кибернетические и информационные угрозы, исходящие от агрессивно настроенных стран и их спецслужб.
В данном контексте, очень важно, что Украина через своих представителей с трибуны Организации Объединенных Наций может донести свою позицию и видение. Ценным с этой точки зрения стало выступление заместителя Председателя Службы безопасности Украины А. Фролова в зале заседаний Генассамблеи ООН на первой Конференции высокого уровня руководителей антитеррористических ведомств.
Очень продуктивной была и работа украинской делегации в кулуарах. Должен отметить, что встречи на уровне руководителей, которые одновременно являются и экспертами в области противодействия кибернетическим и информационным воздействиям крайне эффективными и позволяют продолжить уже двустороннее сотрудничество между странами и спецслужбами.
Что дальше
Сейчас в Службе безопасности Украины создана мощная, креативная и патриотическая команда профессионалов, которые обеспечивают кибернетическую и информационную безопасность Украины. Необходимо отметить, что формирование такой команды произошло, прежде всего, благодаря Председателю СБ Украины генералу армии Украины Василию Сергеевичу Грицаку. Еще находясь на передовой и управляя антитеррористической операцией, он понял важность именно информационного противоборства с агрессором. Поэтому мы чувствуем мощную и мотивирующую поддержку руководства Службы.
Нашими специалистами ежедневно нивелируются российские информационные воздействия и отражаются кибернетические атаки.
Для того, чтобы эта слаженная команда работала еще более эффективно и росла в своем профессионализме нужны две вещи:
- получение новых законодательно-определенных инструментов противодействия российским кибернетическим и информационными воздействиям;
- увеличение финансирования подразделений информационной и кибернетической безопасности для закупки новейшего программного обеспечения и оборудования, а также материального стимулирования специалистов высокого уровня.
Также Служба безопасности Украины рассчитывает на гражданскую сознательность и медийную грамотность наших граждан, которые являются непосредственными потребителями информации. Об этом неоднократно говорил и председатель Службы. Только совместными усилиями общественности и правоохранительных органов можно успешно и эффективно противостоять пропаганде и информационной агрессии против Украины.