презентація - IGF-UA

Report
Кібер-атаки в Україні
Аналіз за грудень 2013 – вересень 2014
Гліб Пахаренко
gpaharenko (at) gmail.com
2014-10-01
Unifying the
Global Response
to Cybercrime
Звідна інформація для учасників IGF-UA
Найважливіші проблеми. Досвід революції , окупації Криму, війни РФ проти України показав, що найбільшими та невирішеними
проблемами у галузі кібер-безпеки є:

Незахищеність критичної інфраструктури, особливо від фізичних атак;

Широкі можливості РФ щодо збору конфіденційних даних, що обробляються в інформаційних системах;

Висока залежність від програмного забезпечення виробництва РФ;

Висока кількість заражених вірусами та неправильно сконфігурованих систем в українському сегменті Інтернет, що
використовуються для кібер-атак;

Неспроможність протидіяти зловмисному використанню інформаційних технологій спецслужбами РФ, особливо для
пропаганди екстремізму, найму терористів та їх спілкуванню;

Економічна неефективність існуючої системи захисту інформації в державі.
Наслідки зловмисних дій. Найбільше від атак на інформаційну інфраструктуру постраждали медіа, фінансові та державні
установи:

Атаки на кабельні мережі запобігали мовленню ТБ та радіо, нормальній роботі СЄП НБУ.

Ддос-атаки запобігали публікації новин і важливої інформації на медіа та державних сайтах.

Витік конфіденційної інформації, особливо через мобільні технології заважав бойовим діям сил АТО.

Безперешкодне використання терористами Інтернету значно підсилює їх ефективність.
Кількість кібер-атак значно зросла з початком революції. Перехід на хмарні технології дозволив ефективно протидіяти Ддосатакам.
Мобілізація суспільства. Українське суспільство активно підтримує державу у розбудові системи кібер-безпеки:

Волонтери надають ІТ-обладнання та консультації силам АТО;

ГО «ІСАКА Київ» співпрацює з державними органами задля створення ефективних норм у галузі кібер-безпеки.
Першочергові заходи. Державні та бізнес організації повинні зробити наступні першочергові кроки:
1. Відстежувати атаки та обмінюватись інформацією про їх деталі;
2. Підтримати проекти по зменшенню кількості заражених систем і неправильно сконфігурованих серверів в Україні;
3. Ініціювати фільтрацію іноземних інтернет-адрес, що постійно беруть участь в атаках.
4. Зменшити ризики використання програмного забезпечення з РФ.
5. Запровадити плани безперервної діяльності медіа, фінансових та державних ІТ-ресурсів в зонах бойових дій.
Unifying the
Global Response
to Cybercrime
2
Найбільш небезпечні – фізичні атаки
Фізичні атаки. Найбільших негативних наслідків завдали атаки на кабельну інфраструктуру, центри обробки даних та
користувачів ІТ-систем. Приклади:

Практика вилучення державними органами обладнання з офісу «Батьківщини», газети «Вісті», дата-центру «Парковий»
блокувала роботу установ.

Підпал колодязі біля ТБ центру в Києві завадив мовленню та Інтернет зв»язку.

Атаки терористів на кабелі, ТБ вежі, рахункову палату НБУ в зоні АТО завадили мовленню, блокували роботу СЄП.

Вилучення мобільних пристроїв правоохоронцями під час революції та терористами призвели до небезпеки для їх
власників.

Підпал офісу «Русского радио».

Атаки російських спецслужб на кабелі «Укртелекому» в Криму.

Захоплення будівлі міненергетики під час революції могло призвести до інцидентів в електромережі держави, на атомних
станціях (згідно заяви міністра енергетики).

Збій у комп'ютерній системі в КГГА призвів до її знеструмлення(згідно заявим Попова).

Атаки на банкомати «Приват-банку».
ДДОС-атаки. ДДОС-атаки були дієвими тільки впродовж короткого часу, потім ресурси навчились захищатись від них.

Атаки на сайт ВР, що не давали змогу своєчасної публікації законів.

Атаки на головні ресурси новин країни.

Атаки на інтерфейси клієнт-банків, для їх блокування та відволікання від атак на клієнт-банки.
Злам інформаційних ресурсів. Кількість публічної інформації про злами дуже обмежена:

Повідомлення про троянську програму «Уроборос» в державних установах;

Атака на сайт ЦВК;

Злами поштових скриньок та облікових записів представників політичних партій , чиновників та військових.
Атаки на мобільні технології. Новий тренд – атаки за допомогою мобільних технологій:

Зміна маршрутизації речового трафіку МТС, щоб він проходив через РФ;

Флуд дзвінків та СМС-повідомлень на трубки політиків;

Флуд СМС на трубки протестувальників на вул. Грушевського.

Розповсюдження вірусів через мобільні СМС-повідомлення.

Збір даних про перемовини та позицію сил АТО для планування артобстрілів та атак.
Unifying the
Global Response
to Cybercrime
3
Спецслужби РФ ефективно використовують Інтернет
Спецслужби РФ та їх найманці ефективно використовують мережу Інтернет та інформаційні технології за наступними
напрямками:

Пропаганда. Спецслужби РФ проводять активну пропаганду в Інтернеті:
•
Спеціальні сайти розповсюджують відверту брехню та викривлену інформацію про стан подій в Україні;
•
На головних світових медіа-ресурсах кожну новину про Україну супроводжують тисячі антиукраїнських коментарів;

Безпечний зв'язок. Терористи використовують програми на смартфонах для зв»язку, котрий не можуть перехопити АТО.

Кібер-беркут. Регулярно приходять повідомлення про атаки кібер-беркуту на інформаційні ресурси України та
публікуються вкрадені дані.

Цензура. На окупованих територіях спецслужби РФ вимагають від провайдерів блокувати про-українські ресурси.

Криміналістика. Терористи аналізують дані в комп'ютерах та мобільних пристроях українських активістів та використовують
ці дані для їх переслідування. Були захоплені пристрої та ключі спеціального зв»язку державних органів України.

Злочини. На окупованих територіях збільшується кількість шахрайства проти мобільних операторів.

Збір даних. Спецслужби РФ активно збирають інформацію в російських соціальних мережах, платіжних системах,
поштових сервісах.
Нерозкритий потенціал . РФ має великий та досі незадіяний потенціал для проведення ефективних кібер-операцій:

В Україні широко розповсюджене ПЗ виробництва РФ, для якого немає гарантій від програмних закладок Антивіруси
Касперського та Др. Веба, Бухгалтерія 1С, Словники та розпізнавання тексту від Аббі, інтернет-банкінг БІФІТ та ін.

Російські компанії інтегратори працюють на ринку в Україні: Інфорсистеми Джет, БПС та ін.

Українські сайти використовують лічильники та статистку з російських пошукових сервісів, автоматично завантажуючи їх
програмний код своїм користувачам;

Поштова система Вебмані встановлює у користувача свій цифровий сертифікат, що дозволяє розшифровувати
перехоплені дані;

Мобільні оператори підконтрольні РФ;

Масовані атаки накшталт Грузії та Естонії не відбувалися;

Атаки на критичну інфраструктуру накшталт Стакснет не відбувалися;

Методика вибору параметрів державного шифру ДСТУ знаходиться в РФ;

Дистрибуція ІТ-обладнная проходить через РФ.
Unifying the
Global Response
to Cybercrime
4
Держава та бізнес діють неефективно проти кібер-загроз
Нижче наводяться головні проблеми українського суспільства, що не дозволяють протидіяти кібер-загрозам.
В приватному секторі. Великі ФПГ, фінансові установи приділяють увагу захисту даних та виділяють певні ресурси на ці потреби.
Але існує низка проблем:

Практично відсутній процес обміну деталями кібер-атак та більш глибокого їх дослідження;

Існує велика кількість заражених та неправильно сконфігурованих систем, що беруть участь в Ддос-атаках;

Через дії правоохоронних органів сервераи виносяться за кордон;

Швидкість реагування на кібер-загрози низька (кібер-злочинці тижнями зкачували дані із неоновлених серверів українських
компаній після виходу інформації про вразливість в програмі шифрування);

Відсутнє масове використання методів обміну шифрованими повідомленнями електронної пошти.
В державному секторі. Державні органи не можуть організувати належного захисту від кібер-загроз:

Існуюча система стандартів та процес їх реалізації у галузі безпеки морально застаріла, відірвана від бізнес-практик, не
гарантує фінансово обґрунтованих та надійних мір захисту.

Запровадження адекватного рівня захисту в державних органах не виконується.

Процес розслідування кібер-злочинів має великий ризик порушення прав громадян, шкодить бізнесу та не дозволяє
ефективно розслідувати злочини в правовому полі України та за її межами.

В державному секторі використовується програмне забезпечення та сервіси РФ, чи нелегальне ПЗ виробництва російських
хакерських груп.

Спеціалісти в державних органах не мають достатніх компетенцій для реалізації заходів із кібер-безпеки.

Відсутня належна координація дій між різними державними підрозділами у галузі кібер-безпеки.

Використання інформаційних технологій для підсилення ефективності АТО мінімальне.
Співробітництво на рівні держав, приватного, громадського та академічного секторів. Наразі мінімальний обсяг
співробітництва між різними установами ринку кібер-безпеки.

Відсутній процес ефективного громадського обговорення державних ініціатив у галузі захисту інформації;

Відсутні спільні державні та громадські ініціативи з підвищення культури кібер-безпеки;

Міжнародний рівень підтримки України у розслідувані кібер-злочинів проти неї низький;

Участь українських ВНЗ в міжнародних проектах з кібер-безпеки мінімальна;

Україна не бере участь в програмах ЄС та не залучає донорську технічну допомогу на проекти з кібер-безпеки
Unifying the
Global Response
to Cybercrime
5
Державні ініціативи у галузі кібер-безпеки не достатні
Державою запроваджена низка ініціатив у галузі кібер-безпеки, але вони недостатні.
Нормативні акти. Державними структурами розроблені нормативні акти, але надзвичайно низької якості.

Законопроект «Про засади інформаційної безпеки України»

Законопроект «Про основні засади забезпечення кібернетичної безпеки України»

Законопроект «Про боротьбу з кіберзлочинністю»

Проект указу Президента України «Про стратегію забезпечення кібернетичної безпеки України»

Проект указу Президента України «Про доктрину інформаційної безпеки України»

Про затвердження Стратегії розвитку інформаційної простору України»

Указ Президента України №449/2014

Указ Президента України №744/2014
Недоліки нормативних актів. Вищезгадані нормативні акти не вирішують задачу кібер-безпеки країни та мають спільні недоліки:

Відсутній належний рівень обговорення з громадськістю та в експертному середовищі

Не наводяться належні фінансові розрахунки для аналізу поточного стану кібер-безпеки, та запланованого після
запровадження нормативного акту

Відсутній ризик орієнтований підхід, при якому видатки на заходи безпеки порівнюються із потенційним негативним впливом
та цінністю інформації, що захищається

Не гармонізується модель відносин між державними органами у галузі безпеки: ДССЗЗІ, СБУ, МВС, РНБО,ЗСУ,ДАЕПУ, НБУ,
та ін.

Не запроваджені заходи заради підвищення ефективності АТО

Привноситься високий рівень порушення прав та свобод громадян

Не стимулюється внутрішній ринок товарів та послуг у галузі кібер-безпеки

Не вирішується проблема десятків застарілих та неактуальних документів НД ТЗІ
Unifying the
Global Response
to Cybercrime
6
Першочергові заходи у галузі кібер-безпеки
Державні та бізнес організації повинні зробити наступні першочергові кроки:
У громадському секторі.
1. Відстеження атак та обмін інформацією про їх деталі;
2. Проекти по зменшенню кількості заражених систем і неправильно сконфігурованих серверів в Україні;
3. Фільтрація іноземних Інтернет-адрес, що постійно беруть участь в атаках.
4. Обмеження використання програмного забезпечення з РФ.
5. Мережа галузевих команд реагування на інциденти кібер-безпеки.
У державному секторі.
1. Запровадження зручних для використання в приватному секторі стандартів кібер-безпеки (особливо для захисту критичної
інфраструктури) на основі визнаних світових стандартів;
2. Створення незалежної урядової комісії з метою контролю дотримання прав громадян під час реалізації заходів кібер-безпеки
(наприклад, комісія з контролю прослуховування та перехоплення даних);
3. Розробка плану легалізації програмного забезпечення в органах державної влади, надання звіту суспільству щодо
програмного забезпечення, що використовується в кожному органі державної влади та ступеню його ліцензування;
4. Обмеження використання іноземних веб-додатків співробітниками українських державних органів (поштових скриньок,
соціальних мереж, використання лічильників, банерів);
5. Уникнення дублювання функцій кібер-безпеки та кібер-операцій в військових, правоохоронних та інших державних органах
за рахунок створення центру компетенцій у галузі кібер-безпеки та кібер-операцій.
6. Механізм відключення абонентів від мережі Інтернет, що беруть участь в кібер-атаках. Механізм повинен враховувати шкоду
для абонента у разі відключення, порядок погодження відключення з галузевими командами реагування, ризик зловживання
механізмом з боку правоохоронних органів.
Спільні ініціативи.
1. Партнерство та плани безперервної діяльності в медіа-секторі України з метою гарантування:
• безперервного мовлення у зоні дій терористів та стихійних лих;
• донесення інформаційних повідомлень державних органів аудиторії в постраждалих районах;
2.
Можливість доступу приватних дослідників до деталей кібер-атак та очищенню мереж заражених комп’ютерів.
Unifying the
Global Response
to Cybercrime
7
Про доповідача та подяки
Гліб Пахаренко – спеціаліст з кібер-безпеки та захисту даних. Має міжнародні сертифікації CISA, CISSP. Учасник
правління київських відділень асоціації аудиту інформаційних систем (ISACA Kyiv Chapter) та відкритого проекту з
безпеки веб-додатків (OWASP Ukraine). Модератор форуму та організатор перших редакцій конференції
Українського суспільства спеціалістів з інформаційної безпеки (Ukrainian Information Security Group). Учасник
команди зі змагань з інформаційної безпеки DCUA.
Я - НЕЗАЛЕЖНИЙ КОНСУЛЬТАНТ, ШУКАЮ ЗАМОВЛЕННЯ НА АУДИТИ БЕЗПЕКИ 
Надаю подяку наступним організаціям:

APWG EU chapter (Anti-phishing working group European Union chapter)

ISACA Kyiv Chapter, www.isaca.org.ua

OWASP Ukraine, www.owasp.org/index.php/Ukraine

DefCon.org.ua

Команді СЕРТ ДССЗЗІ, cert.gov.ua

Учасникам Українського суспільства спеціалістів з інформаційної безпеки
Unifying the
Global Response
to Cybercrime
8

similar documents