Якщо досі хакери намагалися «зламати» переважно сайти та сервіси державних органів влади, то кібератака на «Київстар» цього тижня показала мобільним операторам потребу в захисті даних та готовності до позаштатних ситуацій.

І поки «Київстар» поступово відновлює свої послуги, AIN.UA проаналізував ситуацію з фахівцями — експертом телекомунікаційного ринку Романом Хімічем та заступником Дніпропетровської ОДА з питань цифрових технологій (CDTO) Іваном Начовним.


Події розвиваються доволі стрімко, і вже стало відомо про те, що хакерам вдалося отримати доступ до системи за допомогою облікового запису одного зі співробітників. Про це заявив президент «Київстар» Олександр Комаров. Він визнав, що хакерам вдалося пробити захист і потрапити в середину інфраструктури компанії.

Чому хакерам вдалося «покласти» «Київстар» і чи можна було цього уникнути?

Начовний вважає, що цю кібератаку чітко спланували та готували заздалегідь. За його словами, немає жодної системи безпеки, яка би захищала зв’язок на 100%. Захист можна хіба що посилити, але й це буде коштувати значно більше, ніж будь-яка попередня робота із заходів безпеки. Тому завжди можна досягти якогось значного рівня в кіберзахисті, у залежності від його профілю та безпекових вимог.

«Наприклад, якщо на забезпечення 80% захисту зв’язку необхідно витратити $1 млн, то для того, щоб забезпечити 81% вже потрібні $3 млн. Тобто кожен наступний відсоток обійдеться вам вдвічі дорожче, ніж усе, що ви зробили до цього».

Експерт назвав три головних фактори будь-якої загрози: антропогенний, техногенний і стихійний. У випадку першого фактора всі загрози спричинені людьми, наприклад, диверсантами чи коригувальниками вогню. Другий фактор обумовлює технічні несправності обладнання — наприклад, коли воно виходить з ладу через обмежений термін працездатності. Стихійний фактор важко спрогнозувати. Він пов’язаний із погодними умовами чи природними катаклізмами.

«Слідство повинно встановити, який саме із цих трьох факторів став причиною великого збою в системі «Київстару». Я думаю, що це антропогенно-техногенний фактор. Неможливо виключати якусь складову. Це можливо тільки після проведення розслідування, і відповідні органи повинні зробити свої висновки для того, щоб надалі запобігти такій шкоді», — заявив Начовний.

Чи готуються мобільні оператори до кібератак, яким чином?

Роман Хіміч відзначив, що це перший випадок серйозної атаки на мобільну мережу за майже 10 років війни з росією. Але, на його думку, українські оператори серйозно ставляться до цього питання, інвестуючи достатньо часу, сил і коштів. Саме тому цей випадок поки що єдиний, хоча й масштабний.

«Можна порівняти з тим, що коїться в державному секторі. На жаль, великі серйозні злами там відбуваються щороку. Пошкоджуються десятки IT-систем різних державних установ. І раз у раз стається дійсно масштабний витік даних», — звертає увагу експерт.

На думку Хіміча, держава не вкладається в кібербезпеку на належному рівні — не наймає достатньо компетентних і, відповідно, достатньо високооплачуваних фахівців.

«Якщо називати речі своїми іменами, органи влади досі ставляться до питання кібербезпеки так, ніби вона суттєво перебільшена, зокрема так вважає пан Федоров (міністр цифрової трансформації — прим. ред.)», — каже фахівець.

На думку Начовного, кожен мобільний оператор постійно перебуває під прицілом загрози кібератак на інформаційні ресурси, тому постійно готуються до цього.

Експерт зазначив ефективність команди «Київстар», адже вже ввечері оператор відновив домашній інтернет і поновив деякі внутрішні сервіси. Втім, проблема кібератаки полягає і у тому, що оператор втрачає час на відновлення, адже з погляду на бізнесову складову, «Київстар» втрачає клієнтів, адже люди втратили зв’язок і шукають альтернативу серед інших операторів.

«Таким чином будь-яка система має забезпечувати саморезервування, зберігати так звані холодні копії», — каже Начовний.

За словами фахівця, цей метод роботи полягає в періодичному копіюванні системи — наприклад, щодня. В разі позаштатної ситуації «холодні» копії можна розгорнути на новому обладнанні й у такий спосіб підняти систему. Максимум, що можна втратити — це оперативні дані за одну добу.

Окрім «холодного», є «гаряче» резервування, коли дані копіюються постійно. У такий спосіб оператор не втрачає нічого.

Інший запобіжний захід — віддзеркалення ресурсів, коли паралельно з дата-центром працює його «дзеркало», на яке перемикається робота у випадку його ураження.

Начовний також зауважив, що вже другий рік поспіль ведеться боротьба з кібератаками на різні інформаційні ресурси державних органів. Але в цьому випадку хакери віднайшли лазівку, за допомогою якої зробили те, що зробили.

Чи можливий витік даних?

У компанії вже заявили, що інформації про витік даних у них немає. Втім Начовний зауважив, що під час витоку даних унаслідок кібератаки на мобільного оператора хакер може отримати лише номер телефону і SIM-картки, без прив’язки до абонента ці дані нічого не дають. Більш чутлива інформація має обмежений доступ.

«Коли говорять про витік даних, йдеться про чутливі дані. Тобто це персональна інформація про людей: паспортні дані, податкові номери, номери банківських рахунків, прив’язаних до особи. Якщо телефон прив’язаний до особи, це чутливі дані. Але доступ до них дуже-дуже обмежений».

Чому були проблеми з іншою інфраструктурою (банки, система оповіщення населення)?

Роман Хіміч відповів, що на послугах «Київстар» зав’язана частина банкоматної мережі в Україні, оскільки цей оператор мобільної мережі є найбільшим у країні та має свою велику фіксовану мережу. Те, що почалися проблеми з рештою інфраструктури через хакерську атаку «Київстара», на думку Хіміча, сталося через відсутність резервних каналів і зв’язку.

«На жаль, організації в Україні часто не вважають за потрібне інвестувати у свою стійкість, зокрема – у резервні канали зв’язку», — сказав фахівець.

Іван Начовний навів приклад: у магазинах термінали для оплати картками під’єднуються через мобільну мережу. І якщо це «Київстар», то працювати він не буде. Але що стосується системи оповіщення про тривогу, то фахівець підкреслив, що вона дротова і працює без мобільного зв’язку. Чому в деяких містах України вона певний час не функціонувала — йому сказати важко. Але Начовний припускає, що на цю ситуацію можуть вплинути погодні умови, адже лінії обмерзають. Тому, ймовірно, злам «Київстар» і збої в роботі системи повітряної тривоги — це збіг обставин.

Яка мета кібератаки?

На думку Івана Начовного, хакери робили це для дестабілізації зв’язку в державі.

«Існує така теорія змови:, що необхідно зробити — забрати в людей зв’язок. Це і є принцип тероризму, який активно втілюється нашим ворогом. Тобто, вимкнути зв’язок людям, щоб вони не могли додзвонитися. Це розповсюджує паніку. І людям треба просто розуміти, що існують альтернативні засоби зв’язку», — сказав Начовний.

Але фахівець звертає увагу на те, що ворог прогадав. По-перше, в Україні працює не один, а декілька операторів. По-друге, багато людей уже давно спілкуються переважно через месенджери.

Роман Хіміч не розуміє доцільність атаки без поєднання з іншими діями, наприклад, наступом на фронті чи масованою повітряною атакою. На його думку, цей саботаж ні з чим не пов’язаний.

«І це, звичайно, незрозуміло, адже рано чи пізно ці вразливості знайдуть та закриють — і все. Тобто треба розуміти: у росіян навряд чи є можливість робити такі великі «злами» часто, і навіть не те, що раз на місяць — не факт, що вони це можуть щороку робити», — зауважує експерт.

Як кібератака на «Київстар» вплине на телеком-ринок?

На думку Начовного, кібератака на «Київстар» показала залежність від одного мобільного оператора. Втім, він здивований ажіотажем пересічних громадян у магазинах інших операторів, адже людей не перший рік попереджають про потребу в другій SIM-картці або її електронному варіанті.

«Всі, хто має альтернативних операторів, не відчули на собі цього колапсу. І навпаки, — люди, які мали виключно «Київстар», перші години хапалися за голови. Тому що не знали, що робити. А потім згадали, що є інші оператори. І вчора було дивно спостерігати черги в магазинах інших операторів, коли люди скуповували SIM-карти».

Що стосується подальшої ситуації на телеком-ринку, то на думку Начовного, баланс поновиться. Спочатку частина клієнтів усе ж піде від «Київстару» до інших операторів. Їм, своєю чергою, доведеться посилити можливості своїх сайтів, адже навантаження зростає в рази. Але експерт прогнозує, що після відновлення «Київстар» більшість абонентів повернеться до компанії, а оператор вживатиме заходів і посилить підготовку до можливих атак.