15 шагов, без которых Украине не выжить в кибервойне
10 млрд грн потеряла экономика Украины за три дня крупнейшей в истории страны кибератаки. Такую оценку дает IT-бизнесмен и глава наблюдательного совета компании "Октава капитал" Александр Кардаков. В результате кибератаки так или иначе пострадали 60-80% предприятий страны.
Последствия атаки колоссальны. Рабочие станции и серверы многих предприятий были повреждены, а их хозяйственная деятельность — парализована. По словам инспектора департамента киберполиции Нацполиции Вячеслава Марцинкевича, некоторые предприятия до сих пор восстанавливаются.
Как избежать этого в буудущем и обезопасить украинское киберпространство? Несколько специалистов в этой сфере собрались за круглым столом, чтобы дать конкретные рекомендации.
Госсектор
Надежда Литвинчук, государственный эксперт аппарата СНБО:
1. Подготовить перечень объектов критической инфраструктуры.
Необходимо выяснить, какие объекты относятся к объектам критической инфраструктуры, чтобы у нас был перечень их телекоммуникационных систем. Тогда Государственная служба специальной связи и защиты информации сможет решать задачи по обеспечению безопасности таких систем.
Мы уже видели, как поражение этих объектов парализует целые сегменты экономики страны. Процесс подготовки списка объектов осложняется тем, что многие объекты критической инфраструктуры принадлежат частным лицам.
2. Привести к единому стандарту все государственные базы данных и реестры.
Каждый госорган создавал информационные базы на основе разных технологических решений. Закрыть их уязвимости невозможно.
3. Построить единый и резервный дата-центры.
Необходимо создать единый дата-центр для обработки данных государственных информационных ресурсов. Обязательно нужно создать и резервный дата-центр, иначе существует риск потери информации, которая принадлежит государству.
4. Повысить зарплаты специалистов в сфере кибербезопасности в госсекторе.
Специалисты, обслуживающие государственные информационные ресурсы, получают мизерную зарплату. Особенно не выдерживает конкуренции с частным сектором зарплаты тех, кто непосредственно обеспечивает киберзащиту.
5. Привлечь на условиях аутсорсинговых договоров для обеспечения кибербезопасности государственных информационных ресурсов частные структуры — физических и юридических лиц.
Бизнес
Вячеслав Марцинкевич, инспектор департамента киберполиции Нацполиции:
6. Настроить должным образом телекоммуникационную сеть предприятия.
Никакие собрания, указы, гражданская кибероборона, закупка дорогого оборудования не предотвратят кибератаку, если системный администратор не настроит внутреннюю сеть с применением файерволов и политик доступа.
Самое слабое место сети — системный администратор. Уже известно, что атака осуществлялась из предприятий по всей их сети. На предприятиях, где сеть была правильно настроена, произошло заражение только одного-трех компьютеров бухгалтерии, на которых администраторы переустановили операционную систему.
7. Получать опыт.
Специалисты в сфере кибербезопасности должны посещать курсы. Самое главное — они должны понимать, что может произойти с их сетью, если опять появится вирус, и что нужно сделать, чтобы эта зараза не распространялась.
Андрей Пастушенко, основатель RMRF Technology:
8. Обеспечить резервное копирование данных в компаниях. Бухгалтер в компании должен быть уверен, что есть резервная копия всех данных.
9. Подчинить людей, отвечающих за кибербезопасность непосредственно руководителю компании. Бизнес должен определить для себя кибербезопасность как одно из основных направлений деятельности. Подчинять специалистов, отвечающих за кибербезопасность, руководителю IT-отдела ошибочно.
Это доказали организации, которые исследуют киберугрозы. Киберпространство сейчас — театр военных действий, а кибероружие несет бизнесу убытки.
Владимир Кург, R&D-директор "ИТ-Интегратор":
10. Включить команду по кибербезопасности в общую команду реагирования на кризисные события на предприятии. Специалисты из США полагают, что минимизация последствий кибератаки связана с вопросом выживания бизнеса.
Зачастую на предприятиях отсутствуют департаменты кибербезопасности, этими вопросами занимаются IT-департаменты. У них нет кризисных регламентов, они не знают, как действовать, они смотрят на то, что происходит, и теряют время.
11. Предоставить полномочия для быстрого реагирования. Где есть навыки быстрого реагирования, зачастую нет полномочий.
Так, IT-подразделение большого госпредприятия, распределенного по всей Украине, увидело атаку, но у него не было полномочий блокировать работу критических систем. Надо было быстро решать, отключать пораженный сегмент или нет. В группе областей админы промедлили, и часть систем была уничтожена.
12. Организовать систему специализированных CERTов (Сomputer Еmergency Response Team — компьютерная группа реагирования на чрезвычайные события).
В Европе существует целая система специализированных CERTов. В США работает CERT, который занимается общей кибербезопасностью. ICS-CERT занимается вопросами кибербезопасности объектов критической инфраструктуры.
Существует North American Electric Reliability Corporation, который отвечает за кибербезопасность в электроэнергетике. В Германии есть система из 18 CERTов, потому что телекоммуникационные системы завязаны на отраслевую специфику.
13. Настроить обмен информацией.
Пока Украина зациклена на отражении атак и ликвидации последствий, в США и Европе есть организации, регулярно выпускающие документы по предотвращению атак. В США — это National Institute of Standards and Technology.
В этой структуре действует группа по вопросам кибербезопасности. Она выпускает пакет специальных публикаций на эту тему. Пакет содержит готовые рецепты относительно повышения уровня кибербезопасности.
Страна
Александр Кардаков, IT-бизнесмен:
14. Создать сообщество гражданской киберобороны.
Сейчас была атака на экономический потенциал Украины — на коммерческие предприятия. Об их кибербезопасности также должен кто-то заботиться. Не государство, потому что государству есть чем заниматься.
Бизнес должен создать несколько коммерческих CERTов, которые станут точками обмена информацией. Они будут сотрудничать друг с другом и с госорганами, вырабатывать методологии угроз, инструкции на случаи "пожара".
Андрей Пастушенко, основатель RMRF Technology:
15. Повысить уровень осведомленности населения.
Граждане должны понимать, что они публикуют свои персональные данные в незащищенных сетях. Если они используют чувствительные к мошенничеству платежные данные, то они должны убедиться, что есть механизмы шифрования. Люди должны знать, на какую кнопку браузера нажать, чтобы это проверить.