Ніхто не застрахований. Лідери «Київстар», «Укрзалізниці», ПУМБ і не тільки про кіберзагрози

«Великі державні та приватні підприємства як елемент кіберстійкості держави» – тема однієї з панельних дискусій у межах Київського міжнародного форуму з кібербезпеки 2024, який проходить у столиці 7-8 лютого. Своїм досвідом поділились лідери «Київстар», «Укрзалізниці», Cyber Unit Technologies, Dell Technology Group та ПУМБ. Дискусійну панель модерував головний редактор Forbes Ukraine Борис Давиденко. Редакція MC.today переповідає головне.

Огляд панельної дискусії «Великі державні та приватні підприємства як елемент кіберстійкості держави», що відбулась у межах Київського міжнародного форума з кібербезпеки 2024. Фото: Facebook / Cyber Unit Technologies, Alexander Komarov, Минфин&Finance.ua Conference

Спікерами виступили:

• генеральна директорка Dell Technology Group в Україні, країнах Західного СНД та Балтії Ірина Волк;
Онлайн-курс "Проджект-менеджер в ІТ" від Laba.
Навчіться запускати, контролювати й успішно реалізовувати ІТ-проєкти. Пройти весь шлях проєктного управління на реальному кейсі вам допоможе PMD із 19-річним досвідом в ІТ.
Детальніше про курс
• президент компанії «Київстар» Олександр Комаров;
• виконавчий директор компанії Cyber Unit Technologies Єгор Аушев;
• голова правління АТ «Укрзалізниця» Євген Лященко;


• голова правління ПУМБ Сергій Черненко.

Масована атака на Київстар та висновки, які зробила компанія – Олександр Комаров

Наприкінці минулого року внаслідок атаки на «Київстар» усі усвідомили важливість кібербезпеки. Президент компанії Олександр Комаров розповів, що саме трапилось та про розслідування, яке досі триває. Він нагадав, що компанія зазнала масованої хакерської атаки внаслідок компрометації облікового запису.

Розслідування опрацьовує дві основні версії. Одна з них – злам облікового запису та з’єднання між «Київстар» та одним із постачальників послуг. Внаслідок цього зловмисникам вдалося зібрати чимало акаунтів. Як тільки вони отримали доступ до облікового запису з адміністративними правами, то запустили зловмисний протокол, який не розпізнали системи компанії. Атакували віртуальну та фізичну інфраструктуру. Перший вектор спрацював приблизно на 90%, другий – не спрацював через конфлікт двох атак та низку інших чинників.

За словами Комарова, якби зловмисники досягли цілей із руйнування фізичної інфраструктури, під загрозою опинилися б приблизно 100 тисяч об’єктів, що розташовуються по всій території України.

«У нас був би дуже важкий вибір: що пріоритезувати, що відновлювати, яка армія людей потрібна для того, щоб фізично з якоюсь продуктивністю відвідувати 10, 20, 30 сайтів на день. Навіть із найвищою продуктивністю відновлення тривало б місяці», – розповів Комаров.

Другий вектор роботи правоохоронців – це розслідування кримінального злочину, внаслідок якого «Київстар» стала жертвою кібертероризму, що мав вплив на роботу телекомунікаційних систем України.

«Через війну ми перейшли на зовсім інший рівень кіберзлочинності. Це не кіберзлочинність якихось окремих угруповань. Це кіберзлочинність держави, у якої є неймовірні ресурси, час, натхнення та насправді немає відповідальності перед законом», – пояснив Комаров.

Він схарактеризував атаку на «Київстар» як ретельно спрямовану військову кібероперацію. За даними СБУ, за нею стояв один із підрозділів російського гру. Комаров додав, що це може статися з будь-якою організацією, яка є цікавою ціллю для подібних зловмисників.

За словами президента компанії, підвищувати захист можна. Хоча з погляду підготовки до такої атаки «Київстар» вживала необхідних заходів: інвестувала мільйони доларів у безпеку, цими питаннями опікувалась команда приблизно з 50 фахівців. Та попри це захист вдалося «пробити».

Один із висновків, які зробила компанія, це важливість перебудови архітектури. Поки основні зусилля спрямовували на захист периметра, людина, яка завдала шкоди, перебувала всередині цього периметру. Відтак від загальної інфраструктури потрібно переходити на мікросегментацію. Комаров також наголосив, що дані користувачів не постраждали, адже перебували не в загальній інфраструктурі, на яку націлились хакери.

Компанії не розуміють цінності своїх даних – Ірина Волк

Dell Technology Group постачає обладнання та кібербезпекові рішення провідним компаніям країн Західного СНД та Балтії. За словами Ірини Волк, попри те, що вона та її команда докладають зусиль для того, аби захищати своїх клієнтів, проблем уникнути ще не вдається.

Вона наголосила, що безпека – це не тільки про купівлю обладнання, здатного захистити інфраструктуру. Важливо приділяти достатню увагу рішенням, які дозволять відновитися після ймовірної атаки.

«Від того, що трапилось з “Київстар”, ніхто не застрахований. Це може бути класним меседжем для скептиків, які скажуть: “ну й добре, для чого інвестувати, якщо це однаково не допомагає”. Але це не так. Ми бачимо, що прогрес рухається в сторону цифрових моделей для використання і створення цінностей. Та водночас руйнівні сили також швидко рухаються для того, щоб заволодіти даними, знищити їх або здійснити, як ми бачимо, військовий напад на країну», – пояснила вона.

Підхід до захисту в компаній різний. Одні вважають, що їхні дані нікому не цікаві, а отже, не варто й інвестувати в кібербезпеку. За словами Ірини, часто компанії не розуміють цінність своїх даних. Другий поширений сценарій – впевненість у тому, що безпекові заходи вжито на найвищому рівні. Проте експертка наголосила: трапитись може що завгодно.

«Нерозуміння того, що потрібно інвестувати не тільки в захист, а й у сценарії швидкого відновлення, – це зараз патерн. Дуже невелика кількість компаній це розуміє, на жаль, навіть IT», – зауважила Волк.

На запитання про те, чи пропорційні інвестиції бізнесу в зростання рівня кібербезпеки, експертка відповіла, що ні. Вона вважає, що потрібно збільшувати обізнаність у цьому питанні. Кіберзахист, за її словами, потрібно розглядати на тому ж рівні, що й бізнес-цінності.

Не тільки monobank: Сергій Черненко про атаки на ПУМБ

Сергій Черненко розповів, що DDoS-атаки здійснюють на всі банки. За його словами, їхня інтенсивність збільшилась після початку повномасштабного вторгнення з боку рф, але й до війни це був суттєвий виклик.

«У 2021 році відбулась найпотужніша за масштабами атака (на ПУМБ – ред.) інтенсивністю 400 гігабітів. Вона була настільки інтенсивною, що європейський провайдер відключив Україну. Вони не могли впоратись із таким обсягом. Але ж під час війни конфігурація атак змінилась. Якщо раніше вони просто “навалювали”, то зараз це відбувається більш тонко й детально», – пояснив Черненко.

Сучасні хакери тестують нові сервіси, добре імітують клієнтські операції тощо. Якщо говорити про інтенсивність, то потужну атаку на ПУМБ здійснюють щоквартально. Проте фінустанова не припиняє інвестиції в захист. Черненко зауважив, що це стосується не тільки рішень суто для кіберзахисту.

«Якщо брати загальну суму за минулий рік, ми інвестували приблизно 400 мільйонів. Це й новий ЦОД який ми побудували – для мене це теж захист – це прямий захист, і сервіси, які ми купуємо. І це стосується не тільки DDoS», – пояснив він.

Також голова правління ПУМБ розповів, що раніше відбиття атаки могло тривати до чотирьох годин. Останнім часом напади такої ж інтенсивності відбивають менш як за 20 хвилин, тобто клієнти цього можуть навіть не помітити.

«Але ж із того боку вони постійно щось нове вигадують. Це процес безперервний», – наголосив Черненко.

Він також поділився історією про те, що коли банк тільки почав розбудовувати безпекову інфраструктуру, перевірити її надійність запросили спеціаліста, який провів пентест (аналіз захищеності). Він дістався клієнтських даних за 20 хвилин – «це був шок». Саме тоді всі зрозуміли, що така ситуація не теоретична, а навіть дуже практична. Відтоді банк постійно зміцнює свою безпекову інфраструктуру. Це технологічна складова, зовнішній периметр тощо. За словами Черненка, щокварталу фінустанова отримує в середньому 12 тисяч фішингових листів, а впродовж минулого року фахівці виявили та відбили 46 підготованих атак.

«Деякі з них супроводжуються не тільки фішинговими листами, а тим, що вони знають, кому вони надійшли», – пояснив він.

Тому в ПУМБ приділяють увагу також соціальному захисту, тобто навчанню людей. Також останнім часом фінустанова розробляє моделі машинного навчання, які виявляють нетипову поведінку всередині мережі. Внаслідок війни з’явився ще новий напрям діяльності – кіберконтррозвідка. Це низка сервісів, які дозволяють працювати в даркнеті та отримувати інформацію про компрометацію або нові методи атак.

Також у банку постійно проводять penetration tests, адже немає такої системи, яку не можна зламати.

Що змінили «під капотом» IT-системи «Укрзалізниці» – Євген Лященко

Євген Лященко наголосив, що «Укрзалізниця» – не просто логістичний оператор, а й енергетична та комунікаційна компанія, яку атакують постійно. Так, за два роки зафіксували 19 тисяч інцидентів, з них 200 кваліфікували як критичне втручання і 400 – як реальні атаки.

«Чому в нас не було таких великих збоїв? Мабуть, тому, що у 2021 році, коли ми оновили команду, то зрозуміли, із чим ми працюємо. Система була повністю хаотична. Наш ЦОД розташовувався на верхньому поверсі будівлі, у нас не було іншого, резервного ЦОДа. У нас не була прописана більшість процесів, ніхто не знав навіть кількість систем та кількість входів до системи», – розповів Лященко.

За його словами, архітектура надважлива, проте змінити абсолютно все швидко неможливо. Водночас критичну інфраструктуру можна оновити з використанням наявних технологій. Втім, важливо розуміти, що побудувати невразливу систему теж навряд вийде.

Коли в березні 2022 року «Укрзалізниця» запускала застосунок із продажу квитків, його додатково тестували для покращення системи. Завдяки цьому вразливості вдалося усунути до запуску програми.

«Зараз наш застосунок доволі стійкий, думаю, його багато хто хотів зламати. Але не це важливо. Важливо, що є команда, яка робить зміни, люди, які користуються системою – ми розуміємо, що це завжди буде вузьким місцем», – пояснив Лященко.

Він зауважив, що доступ до системи мають десятки тисяч людей різного рівня, а хакерські атаки готувались заздалегідь. Ще до початку повномасштабної війни підприємство відпрацювало взаємодію між кібербезпекою і IT, відбудувало критичні процеси та захистило найбільш ризиковані зони й навіть розробило план дій на випадок, якщо ляже все і працювати доведеться з паперовими документами.

«Ми знали, що не можемо зупинитись, і ми були готові до цього», – розповів Лященко.

З початком вторгнення багато процесів відпрацьовували в тих умовах, що склалися. У той період велику роль зіграла кооперація з партнерами, як-от пентести та білий хакінг, тому що «Укрзалізницю» ламають постійно. Лященко наголосив на потребі вносити зміни в законодавство та бути більш відкритими з партнерами – СБУ, Держспецзв’язку, волонтерськими хакерськими компаніями тощо. Зараз підприємство імплементує нові технології, навчає програмістів працювати з ними.

Щодо основних змін, Лященко пояснив, що до них не вдаються без чіткого розуміння кінцевої мети. Систему «Укрзалізниці» роблять більш прозорою – постійно оптимізують та покращують. Ще один важливий момент – бажання команди, яка впроваджує зміни, хотіти їх та пишатися ними.

Як CyberUnit Technology допомагає бізнесам покращувати кіберзахист – Єгор Аушев

Як зазначив Єгор Аушев, кібербезпека – невіддільна складова будь-якого бізнесу. На його думку, керівники великих корпорацій мають відкрито говорити на цю тему та ділитися інформацією, адже саме в такий спосіб можна стати сильнішими.

«Вісім із десяти атак відбуваються через людський фактор у компанії. Тобто людина – найслабша ланка будь-якої системи. Тому в питаннях кібербезпеки необхідно мати софтверне й хардверне обладнання і вчасно його оновлювати. Для цього потрібні фахівці. Але не менш важливі саме люди, які працюють у нас в організації. Зараз ми спостерігаємо величезних геп між диджиталізацією, що відбулась, і людьми, що не зовсім розуміють, як із нею взаємодіяти», – пояснив він.

Аушев вважає важливим навчати людей працювати зі спеціалізованим обладнанням. За його словами, погано, коли це розуміння є тільки в деяких фахівців. Цю парадигму, на думку спікера, потрібно змінювати – починати перехід від цивільного суспільства до кіберсуспільства та на постійній основі навчати працівників кібербезпеки. І йдеться не тільки про співробітників компаній, а взагалі про всіх.

«Кіберзахист – це постійний процес, кіберстратегія – невід’ємна складова бізнес-стратегії. Якщо ваша компанія розвивається, диджиталізується, але у вас не закладений бюджет, час або просто увага до питання кібербезпеки, це означає тільки одне – ви будете неконкурентні за кілька місяців, років, коли відбудеться перша атака», – пояснив Аушев.

Експерт також висловив сподівання на те, що після цієї дискусійної панелі кількість компаній, які зрозуміють сенс інвестицій у кібербезпеку, збільшиться. Це має бути постійним процесом. На мінімальному рівні це може бути розв’язання критичних проблем компанії. За його словами, є механізми, які дозволяють зробити це адміністративним шляхом. Наприклад, залучення етичних хакерів до пошуку вразливостей у системах.

Нагадаємо, тема цьогорічного Київського міжнародного форуму з кібербезпеки 2024 – «Стійкість під час кібервійни». З деталями можна ознайомитись тут.