кибер атаки

Наймасштабніша кібер-атака на Україну – які уроки та дії?

Червень 2017 увійде в історію, як поворотний момент в історії кібер-безпеки країни. Принаймні, хочеться дуже вірити в це. Дві події, що відбулись в цьому місяці мали остаточно розбудити як державний та військовий істеблішмент, так й експертні спільноти. Огляд АППАУ проливає більше деталей на аспекти реакції останніх.


GCS-2017 – як рушій процесів активації

Global Cybersecurity Summit 2017 (GCS-2017), що пройшов в Києві, 14-15 червня, явно відрізнявся від всіх подібних TechEvent, що проходять в Україні. 100% орієнтація на західних лідерів думок, великий десант експертів США, присутність всіх головних чільників експертних спільнот та інституцій, професійні модератори з провідних хай-тек медіа-ресурсів США, чудова організація – все разом це сприяло дійсно високому рівню професійних дискусій, що були головною родзинкою цього саміту. Але не менш вартісне, заради чого було варто йти на цю конференцію – це послухати відповіді наших чільників на найчастіше запитання, що задавали американці нам: «Які уроки ви винесли з наймасштабніших атак на Обленерго 2015-16 рр?». Навіть не дуже компетентним особам в питаннях кібер-безпеки було зрозуміло, що ніяких особливих уроків ми не винесли – ні державні органи, ні професійні спільноти, ні самі перші жертви кібер-атак. Водночас, усвідомленню цього факту дуже добре сприяє саме публічне обговорення й тим більше в рамках міжнародного саміту. В цьому сенсі головний організатор Дмитро Шувал, керівник фонду Globee вже створив прецедент, де-факто, активуючи ряд важливих процесів в питаннях національної безпеки. Варто відмітити також ґрунтовну підготовку саміту для цілей лікнепу. Відмітимо тут той факт, що всі головні дебати доступні в відео-запису – можна переглянути тут.
Зокрема, саміт запустив ці процеси і в нашій спільноті. Ось декілька важливих маркерів в рамках цього саміту:

  • Короткий аналіз АППАУ, зроблений напередодні саміту робить огляд розвитку ситуації за останні 2 роки й чітко сигналізує про повільні темпи розвитку в цій області й пасивність більшості учасників ринку, за виключенням окремих ІТ-представників. Водночас в дебатах на групі Фейсбук вперше активізуються наші експерти – ми спільно виходимо на розуміння, що «ми повинні значно прискорити роботи по спільній роботі з ринком – як в напрямку впровадження стандартів МЕК 62443 (ISA99) та фреймворку NIST (базові), а також спільно почати просвіту-освіту ринку, починаючи з об’єктів критичної інфраструктури».
  • Певним культурним шоком для автора цих рядків було відкриття, що американських публікацій та кейсів по атакам на наші обленерго в публічному доступі набагато більше, ніж в українських джерелах. Так само як і російських – матеріалів та корисного контенту з групи Facebook «Кибер-безопасность в АСУТП» в рази більше, ніж аналогічного в Україні. Точніше кажучи, – українських експертних публікацій на цю тему (кібер-безпеки АСУТП), релевантних тому що відбувається в країні, де-факто немає. При цьому обговорення кібер-атак в російській групі йде активно, професійно, постійно та з модерацією фахівців від KasperskyLab.
  • Це відчуття важливості та терміновості частково проявилось і в реакції деяких гравців відвідати саміт по квоті АППАУ. Саміт відвідали представники кафедри АТЕП-КПІ, Центренерго, НАНУ, УкрГазВидобування, Фармак та деякі інші колеги. Саме завдяки їм ми змогли разом визначити опції та напрямки справжньої мобілізації в рядах АППАУ – про це далі.

група фахівців США

Американська команда на форумі GCS-2017, 16 червня, Київ

 

Головні підсумки- висновки по відвіданню саміту та про реакцію української сторони на атаки 2015-16 рр відображені цією оцінкою, де зокрема виділимо цю цитату

Ніщо з того, що прийнято в розвинутих країнах – [інцидент -> розслідування -> звіт-рекомендації -> масштабування на інші об’єкти критичної інфраструктури -> доведення до всіх експертів та спільнот -> широке інформування ринків -> зміни до технічних регламентів та стандартів-> масштабна та обовязкова імплементація на всіх рівнях...] – я не побачив. Єдине, що сказали мені наші інсайдери (з енергетичних структур) – “про кібербезпеку керівництво почало більше говорити”

До питань імплементації ми ще вернемось далі.

 

PetyaA – чергова вакцинація. Чи справжня?

З вищесказаного прямо та ясно слідує, що країна – і зокрема об’єкти критичної інфраструктури, – не готові до нових атак. Буквально через 12 днів, якраз на День конституції 27 червня хакери це знову доказали – нова атака була наймасштабнішою за всю історію кібер-атак в Україні, була саме на нас зконцентрована (див. заставку на цю статтю) і, відповідно, завдала найсильніших економічних втрат.
Про цю атаку написано вже десятки статей, а розмір збитків до цього часу експерти не можуть встановити. На поверхні, ми знаємо просто той факт, що «лягли» – і не на один день, – тисячі підприємств, – як державних, так і комерційних структур.
Відзначимо серед аналітичних оглядів статтю IT-Integrator – «Полигон Украина. Цифровая война на пороге». Тут є цілий ряд нових та важливих деталей про стан в Україні, але все в тому ж руслі – «ми не готові». Автори закликають до прискорення та інвестицій в область кібер-безпеки. Водночас, стаття сигналізує про перші проблиски: «Но есть и первые проблески света в украинской системе кибербезопасности. Пожалуй, самая главная хорошая новость, это появление первых отраслевых CERT… Экосистема CERT –очень важна. Ведь угрозы и риски зачастую специфические в каждой сфере и отрасли, будь то военные риски, экономические или финансовые, будь то системы транспорта, телекоммуникаций или энергетики. Поэтому международная практика предполагает наличие в стране нескольких отраслевых CERT». Поява СЕRТ (центрів реагування на надзвичайні ситуації) – важливий момент прогресу, – також зафіксуємо його в переліку позитивних змін.

 

Перші дії по напрямку кібер-безпека АСУТП

І в той час, які підприємства мовчали – очевидно зализуючи рани після атаки, – з’явились ознаки першої реакції в спільнотах АСУТП. «Шнейдер Електрик Україна» робить переклад одного з кращих західних аналітичних кейсів на українську тему, де вперше стандарт МЕК 62443 використаний для розбіру ситуації з кібер-атакою на наші Обленерго як чек-лист. Експерти проходять одне положення (рівень безпеки) за іншим, аналізуючи що ж використовується в українських мережах. Висновок французьких фахівців, що представляють локальний комітет ISA 99 (МЕК 62443) – “…більшість рівнів (фундаментального рівня) FR безпеки були нульовими, і щонайменше один з SR (досягнутих рівнів безпеки), був взагалі не розглянутий.” І якщо це оцінка на момент кібер-атаки (тобто 2015-16 рр), то зі слів наших інсайдерів з обленерго ми знаємо, що ситуація в 2017 насправді не змінилась – більшість подібних ситуацій й досі рятує низький рівень автоматизації та «дядя Вася», – тобто саме завдяки дублюванню з ручним управлінням + ще працюючим процедурам реакції на аварійні ситуації, вдається убезпечувати підприємства від аварійних ситуацій та швидко відновлювати роботу.
Разом ці події стимулювали активність в спільноті АППАУ – перш за все, на рівні створення під-групи в ТК 185 «кібер-безпека», куди ввійшли інтегратори, вендори та ВНЗ. Також симптоматично, що очолив групу старший викладач кафедри АТЕП-ТЕФ-КПІ, Юліан Грудзинський. Як і в випадку з ISA 88 (МЕК 61512) лідерство беруть на себе ВНЗ. І це добра новина.

Учасники 1-го засідання ТК 185 в КПІ 18 липня, Київ

 

Головні висновки по ситуації

Отже – що маємо в сухому залишку

  1. Загальний стан та тенденції
    a. Темпи розвитку та реакції держ. органів та бізнесу – явно відстають від динаміки розвитку загроз. Перші «проблиски» ще не є «світлом в кінці тунелю» – кожна наступна атака є більш збитковою.
    b. Значно кращий професійний рівень щодо аналізу ситуації та заходів протидії на рівні АСУТП демонструють американські або російські, – але не українські фахівці. До речі, в світовому рейтингу кібер-безпеки GCI-2017, США йдуть на 2-му місці, РФ – на 10-му, Україна – на 59-му. Тобто, маємо “те саме що й всюди”.
  2. Найбільш вразливі зони в кібер-безпеці АСУ ТП

a. «початковий рівень зрілості в питаннях кібер-безпеки АСУТП» автоматично означає наступне

i. В керівників рівня С/С-1 немає розуміння різниці між ІТ та ОТ – і перш за все, щодо наслідків атак, й щодо різниці в підходах та в управлінні.
ii. Спеціалісти по ІТ-безпеці є малочисельними, їх недостатньо, а керівники АСУТП як правило не відповідають за ці питання й не мають відповідних регламентів
iii. Відповідно, реакція на загрози є спорадичною й залежить від різних факторів,- в тому числі випадковостей. 

b. В цілому в країні поки немає єдиного центру координації, здатного видавати чи регламентувати технічні стандарти протидії по кібер-безпеці по всьому комплексу ІТ-ОТ
c. Навіть коли правильні регламенти в цій сфері існують – вони далеко не завжди виконуються. Дві головні причини – 1) недостатні відповідальність керівників та виконавча дисципліна, 2) недостатні інвестиції для імплементації необхідних заходів

3. Прогрес, що вже пішов

a. Створення СЕRT та мобілізація різних органів державної влади (особливо, після GCS-2017 та PetyA)
b. Швидка реакція ІТ-сектору, – спроба взяти лідерство, заклики до дій та інвестицій (IT-Integrator)
c. Є реакція спільноти АСУТП – створення робочої групи «кібер-безпека» в ТК 185, що створений при АППАУ. Тут є ясне розуміння ключових міжнародних регламентів, які потребують швидшої імплементації в нас – як фреймворк NIST та МЕК 62443.

 

Виклики для керівників підприємств та спільноти АППАУ

Висновки вище формулюють виклики – ключові проблеми, вирішення яких веде до найдійного щита кібер-захисту промислових, енергетичних та інфраструктурних об’єктів. І, відповідно, –

не вирішення та ігнорування веде до можливих нових збитків, – і  значно більшого масштабу, включно з людськими жертвами та техногенними катастрофами

чекати залишилось недовго – ряд фахівців прогнозують наступну атаку вже через декілька місяців, – начастіше називають грудень

1.Усвідомлення кібер-загроз та того, що Україна є одним з епіцентрів світової кібер-війни

Ми бачимо це усвідомлення на рівні керівництва держави, окремих активістів та бізнес-асоціацій. Водночас, його не видно – масового та адекватного – на рівні директорів та технічних директорів підприємств. Зокрема, в розумінні того, що ІТ та АСУТП – це різні речі, що департаменти ІТ-АСУТП сьогодні погано взаємодіють (власне як і всі інші – проблема крос-функціональної взаємодії та співпраці (хуторянства) є глибоко національною) і що налагодження спільної роботи – відповідно до технічних регламентів та стандартів, – є прямою відповідальністю керівників підприємств.

cyber security

подібні документи терміново потрібні українською мовою для наших СЕО-CFO-CTO

 

2. Усвідомлення свої ролі та можливостей ключових гравців АСУ ТП

Так само не видно цього усвідомлення й в ключових брендів та інжинірингових компаній. З червня, коли АППАУ вперше високо підняла прапор кібер-безпеки АСУТП й заявила про себе на національному рівні (участь в дискусіях на GCS-2017) ми не побачили жодного звертання чи пропозиції  від керівників як –  «Ми розуміємо що наша роль в кібер-безпеці АСУ ТП є головною. Давайте кооперуватись в діях А,В,С  – ось наші відповідні продукти, рішення, ресурси…». Рівно нічого за винятком 3-5 добровольців рівня інженерів, що вступили в групу кібер-безпеки в ТК 185. І це все на фоні того, що просвітнього контенту як не було, так і немає, й наші спеціалісти з підприємств ходять за контентом (=консультаціями) до російських груп.

3. Мобілізація та посилення ресурсів в ТК 185. Вивід на арену справжніх експертів.

Відповідно, в ТК 185 ми бачимо перший склад з 3-х чоловік (Грудзинський Ю. (КПІ), Вольтерс А. (КНУБА), Степанюк С. (Шнейдер Електрик Україна)), є ще декілька волонтерів – але цього вкрай мало для того, щоб виконувати величезний фронт робіт по перекладу та популяризації необхідних технічних стандартів.

Окремо ми говоримо про тих експертів та консультантів, хто вже здатен консультувати підприємства в питаннях кібер-безпеки в АСУТП – сьогодні ми просто їх не знаємо. Чи є вони взагалі в Україні?

4. Спільний та ефективний план дій

Спільний план дій має включати акції на декількох рівнях

  • Організацію взаємодії та інтеграції з національними CERT
  • Початок відвертої розмови з керівниками підприємств (потужна пропагандистська робота в полях + семінари, статті тощо) – дуже важливо при цьому опиратись на спільні рекомендації, що мають бути найближчим чином розроблені в ТК
  • Підготовка великої кількості просвітніх матеріалів – наш рівень зрілості в цих питаннях близький до нуля, саме тому роль просвіти-освіти ринку та керівників є ключовою

5. Підготовка персоналу та фахівців

Це окреме й болюче питання, позаяк (та на відміну від ІТ), в Україні немає жодного курсу де б готували фахівців по цій темі на рівні АСУТП.

 

Від імені виконавчої дирекції АППАУ та Технічного комітету 185 я хочу запросити до співпраці як наших членів асоціації, так і фахівців, волонтерів з інших бізнес- та професійних спільнот. Вступайте до нашого комітету, приєднуйтесь до обговорень, генеруйте свої ідеї та пропозиції. Роботи – море, й перш за все, по просвіті ринку. Перший великий захід – обговорення по цій темі ми плануємо на вересень.

Ми ніколи не побудуємо сильну державу, якщо не зможемо себе захищати.

Юрчак О.В. ген. директор АППАУ, голова ТК 185

Editor
Нет Комментариев

Коментувати

Коментар
ім’я
Email
Web-cайт:

Підпишіться на новини руху 4.0