По 3-4 атаки держустанов на день. Як на Волині рятуються від російських кібернападів
"У нас нема чого красти. Кому ми цікаві?" – так мені відповідали у волинських держустановах, коли я пропонував їм встановити хмарну систему кіберзахисту. Втім за даними MISP (Malware Information Sharing Platform) Ситуаційного центру забезпечення кібербезпеки СБУ та платформи для обміну індикаторами компрометацій MISP CERT-UA Держспецзв'язку, за 2023 рік Нововолинську міськраду атакували 1286 разів. Це 3-4 розвідувальні атаки щодня.
Кожна громада, яка має ЦНАП, є потенційною ціллю для Росії, адже там зберігають персональні дані українців, паролі входу в державні реєстри тощо. У цій колонці я хочу розповісти, з якими безпековими викликами стикалася Волинська область, як ми знайшли вразливості в системі кіберзахисту й тепер запобігаємо наслідкам кібератак.
На що полює ворог
Минулого року мені зателефонували з однієї з громад Волинської області зі скаргою на те, що роутер постійно виходить з ладу. Пристрій зависав, перегрівався, а інтернет пропадав кожні дві години. Купили новий роутер – та він зламався, як і попередній.
Проблема була в тому, що на комп'ютерах міськради працювало шкідливе програмне забезпечення (ШПЗ) – воно щохвилини робило сотні запитів на сторонні сервери. Як там опинилося ШПЗ? Державний сектор є ціллю кібератак Росії, а головним інструментом її досягнення є людські помилки. СБУ і Держспецзв'язку констатують, що найчастіше кібератаки здійснюють через електронну пошту. Хакери надсилають листи, які легко сплутати з рутинною розсилкою. Наприклад, в темі листа зазначають "Рахунок-фактура", а вкладений файл називають "рахунок_вiд_12_07_2023_до_оплати".
Саме так одну з волинських громад уразило ШПЗ SmokeLoader, за яким стоять російські спецслужби. На офіційну адресу прийшли бухгалтерські акти, у фінансовому відділі спробували їх завантажити – документ не відкрився. Але насправді в цей момент у мережі вже почав розгортатися SmokeLoader. Кожну хвилину він робив близько 10 тис. запитів на російські сервери. За декілька годин SmokeLoader повністю зупинив роботу двох відділів і управління.
З часів вірусу Petya алгоритми російського ШПЗ значно ускладнились. Воно місяцями може працювати непомітно. Та водночас, кожну секунду на російські сервери надходитиме інформація про фінансові операції громади, паролі, сертифікати безпеки. Хакери не вкрадуть ваші фотографії з відпустки – вони полюють на інформацію державного значення.
Навіть якщо ми всім встановимо антивірус, співробітники так само, нічого не підозрюючи, заходитимуть на потенційно небезпечні ресурси. Жоден фахівець не зможе "вручну" контролювати, які сайти відвідують користувачі. А інструмента, який би автоматично відстежував та очищував трафік, у нас не було. Особливо гостро потреба в ньому постала з початком повномасштабної війни, коли кількість кібератак зросла майже втричі.
Як ми убезпечуємо інтернет-трафік
На третій день повномасштабного вторгнення ми встановили хмарний сервіс Cisco Umbrella, який захищає вхідний і вихідний інтернет-трафік. Тобто щойно з комп'ютера здійснюється запит в мережу, сервіс оцінює ризики. Безпечні дані – пропускає, а шкідливі – блокує для подальшого аналізу. Компанія надала безплатні ліцензії на сервіс, і я почав його тестувати.
Результати мене вразили – протягом місяця тільки у Нововолинській міській раді система відфільтрувала близько 1 млн DNS-запитів та 35% з них визнала небезпечними.
Протягом 2023 року ми під'єднали до сервісу більш як 1,5 тис. робочих комп'ютерів, а у 2024-му він вже працював в усіх громадах. Компанія Cisco надала безплатну річну ліцензію у рамках програми Country Digital Accellation (CDA). В межах ініціативи CDA Connected & Protected Communities ("Безпечні громади") термін дії ліцензії подовжено до кінця лютого 2025 року.
Та справжній прорив у підсиленні кібербезпеки стався, коли до співпраці долучилися фахівці Держспецзв'язку – вони розслідують інциденти відповідно до їх критичності. Якщо спрацювало блокування двох-трьох сайтів за добу – це не є пріоритетним індикатором. Але якщо система робить сотні чи тисячі блокувань – обов'язково проводиться розслідування.
У нас є обласний акаунт Umbrella з дашбордом, який показує активність всіх громад. Коли ШПЗ намагається під'єднатися до сторонніх серверів, я одразу бачу, де це відбувається та з якого комп'ютера намагаються викрасти дані. Але, звичайно, я не можу слідкувати за дашбордом увесь день. Щоб не пропустити повідомлення про небезпеку, ми разом з колегами з компанії SocPrime інтегрували сервіс в SOC (Security Operation Center) регіонального рівня при Держспецзв'язку Волинської області. Це система моніторингу, в яку надходять сповіщення про кіберзагрозу: вона повідомляє, що сталося, коли, за якою ІР-адресою.
Кібербезпека перестала бути голлівудським міфом
Змінилася й поведінка людей в інтернеті – кількість шкідливих запитів значно знизилася. Порівняймо: протягом липня у Нововолинській міськраді система відфільтрувала 7,6 млн запитів та заблокувала 94,9 тис. небезпечних, це 1,2% від усієї кількості – в 30 разів менше, ніж на початку впровадження системи кібербезпеки. У першій п'ятірці за частотою блокувань: анонімайзери, які використовують, щоб відвідувати заборонені сайти, ШПЗ, криптомайнинг та російські ресурси.
Цей хмарний сервіс кіберзахисту змінив сам підхід до кібербезпеки. Є громади, які розгорнули її максимально широко і побачили слабкі місця в кіберзахисті ЦНАПів й комп'ютерів співробітників. І тепер, коли їм потрібно описати потреби безпеки та мережі, вони обґрунтовують це аналітикою. За останній рік на Волині кібербезпека перестала бути голлівудським міфом.
У нас є громади, які встановили цей хмарний сервіс у лікарнях, університетах, школах. Меж для масштабування практично немає. Таку систему кіберзахисту, як на Волині, може розгорнути будь-яка область України.
Хочете стати колумністом LIGA.net – пишіть нам на пошту. Але спершу, будь ласка, ознайомтесь із нашими вимогами до колонок.