У вівторок 12 грудня стався масштабний збій у роботі найбільшого мобільного оператора України «Київстар». Мільйони абонентів по всій країні відчули складнощі в роботі оператора, не могли користуватися звʼязком та інтернетом. З труднощами зіткнулися також і бізнеси, робота яких повʼязана із послугами «Київстар». Зокрема, про це заявляли компанії ДТЕК, «ПриватБанк», «Шериф», EasyPay, Glovo, «Нова Пошта» та інші.
Олег Рівтін, CEO Сityhost.ua, розповів AIN.UA про кібератаки на хостинг-провайдерів та дає поради, як мінімізувати можливі наслідки подібних загроз.
Так чи інакше збій у роботі «Київстар» торкнувся багатьох компаній в Україні, оскільки велика кількість електронних сервісів привʼязані до мобільного зв’язку. Користувачі «Київстар» не могли реєструватися на сайтах, замовляти їжу, таксі та використовувати інші сервіси, де потрібна авторизація/верифікація за номером телефону. Також повідомлялося, що внаслідок атаки була порушена робота систем оповіщення про повітряну тривогу на Київщині, Черкащині, Сумщині тощо.
Згодом представники «Київстар» заявили про масштабну хакерську атаку, унаслідок якої було суттєво пошкоджено IT-інфраструктуру компанії. На допомогу у відновленні сервісу прийшли міжнародні партнери з компаній Microsoft, Cisco та Ericsson, на момент написання цього тексту вдалося відновити частину сервісів.
Атака на «Київстар» — вершина айсберга, подібних ситуацій дуже багато, але не всі вони піддаються широкому розголосу
Атака на оператора звʼязку «Київстар» — лише вершина айсберга, про яку широкому загалу стало відомо через велику кількість постраждалих абонентів. Компанія обслуговує 24 млн клієнтів, яких торкнувся збій. Насправді ж атаки відбуваються постійно. Від них страждають не тільки великі, а й менші бізнеси.
Першої масштабної атаки на сервіси компанії Cityhost.ua ми зазнали 28 лютого 2022 року, одразу після блокування всіх російських користувачів. Тоді ми першими з українських хостинг-провайдерів заявили про припинення будь-яких відносин із росіянами. В один момент ми заблокували акаунти понад 1500 користувачів із країни-агресора. На початку березня я у своїй соціальній мережі Facebook звернувся до колег по ринку, інших хостинг-провайдерів та реєстраторів доменів та закликав їх долучатися до санкцій. Колеги ідею підтримали, зокрема про блокування росіян заявили компанії HOSTIQ, Ukraine, Hostpro, Ukrnames, Hvosting та інші. Разом нам вдалося «покласти» десятки, а може й сотні тисяч російських сайтів.
За таку ініціативу нас внесли до списку компаній, які «крадуть гроші росіян», а пост одного із заблокованих користувачів зібрав на російському сайті «Пікабу» понад 500 гнівних коментарів та 70 000 переглядів.
За цим пішли DDоS-атаки на інфраструктуру Cityhost. Нас засипали мільйонами запитів, намагалися покласти сервери, зламати систему, але нам вдалося відбитися.
За день до початку повномасштабного вторгнення атаки зазнали наші колеги — хостинг-провайдер FreeHost. Ввечері 23 лютого 2022 року була здійснена масштабна хакерська атака на сервіси компанії. Зловмисники атакували сервери хостингу, віртуальні сервери, локальні комп’ютери та навіть сервери, де зберігалися резервні копії. Відновити роботу вдалося лише на початку березня.
26 лютого 2023 року атаку було здійснено на інших наших колег — хостинг-провайдера Ukraine. За інформацією з їхнього телеграм-каналу зловмисники намагалися «покласти» інфраструктуру за допомогою відправки значної кількості запитів до систем — 5 млн пакетів за секунду, але від атаки вдалося відбитися за допомогою систем фільтрації трафіку.
Це відомі мені випадки кібератак на компанії, які працюють із нами на одному ринку, лише за один місяць. Насправді ж таких випадків дуже багато в усіх галузях. Упродовж майже двох років повномасштабної війни українська ІТ-інфраструктура зазнає постійних атак. Напади із різною силою здійснюються на інфраструктуру різних компаній — банків, мобільних операторів, інтернет-провайдерів, органів державної влади, місцевого самоврядування та інших.
Реакція людей на кібератаку на «Київстар»
Я із сумом спостерігав за тисячами мемів про ситуацію з «Київстар», які розносили інтернетом із шаленою швидкістю. Були також і публікації з образами та негативом у бік компанії.
Розумію, що меми та жарти — частина нашого сьогодення, тільки дай привід. Але варто розуміти, що глузування та злобні пости — явно не те, що допомагає бізнесу впоратися із такими надскладними проблемами.
Коли на компанію здійснюється атака, весь персонал залучений у вирішення цього питання. Десятки, іноді сотні, а у випадку із «Київстар», напевно, тисячі людей буквально не сплять ночами та працюють над відновленням сервісу. Про моральний стан цих людей у такий складний час можна тільки здогадуватися, але явно їх не підбадьорюють усі ці жарти та стьоб.
Куди більше мені сподобалися публікації зі словами підтримки на адресу «Київстар». Це були пости як від публічних осіб, так і від пересічних громадян. Люди писали про те, скільки років вони вже користуються послугами компанії, зичили якнайшвидше вирішити проблеми та запевняли, що й надалі будуть користуватися послугами оператора після відновлення сервісу. Саме цей підхід я вважаю свідомим та таким, що дійсно може підтримати бізнес у складний час.
Кібератаки — частина війни, це треба враховувати
Війна росії проти України ведеться не тільки в окопах та на лінії фронту. Один із напрямів цієї війни — саме кіберпростір, і зіткнення із ворогом тут відбуваються щоденно. Компанії, які мають хоча б якусь ІТ-інфраструктуру, мають потурбуватися про захист.
Ось декілька порад, які допоможуть бізнесу мінімізувати ризики від кібератак:
- Обговоріть із командою базові речі щодо кібербезпеки. До цього пункту можна віднести ази — не переходити за невідомими посиланнями, не відкривати файли з листів, що прийшли від невідомих відправників, використовувати надійні паролі, не передавати даних третім особам тощо.
- Використовуйте антивірусні програми. На власному та робочих компʼютерах має бути встановлене актуальне антивірусне програмне забезпечення. Його також потрібно використовувати й на серверній інфраструктурі компанії. Це допоможе захистити ваші пристрої від можливих атак на програмному рівні.
- Не пожалкуйте грошей на аудит безпеки ваших систем. У галузі кібербезпеки працює десятки компаній, які можуть провести аудит систем на наявність вразливостей та потенційних загроз. За результатами такого аудиту треба розробити план з виправлення знайдених проблем та впровадити оновлення.
- Візьміть за правило — раз на три-шість місяців перевіряти захист від кіберзагроз. Оскільки технології розвиваються дуже швидко, потрібно проводити мініаудити постійно. Робити це можна силами працівників вашої команди або залучених спеціалістів із безпеки. Такі дії допоможуть «тримати руку на пульсі», оновлювати безпекове програмне забезпечення, перевіряти новий код, системи тощо.
- Проведіть тренінги з кібербезпеки для співробітників. Іноді навіть працівники галузі ІТ не приділяють достатньої уваги питанням кібербезпеки. За допомогою тренінгу можна навчити людей правильній роботі із системами, програмним забезпеченням та звернути їхню увагу на потенційні загрози.
- Розробіть регламент дій на випадок атаки. За допомогою регламенту можна розподілити ролі співробітників та описати їхні дії на випадок, якщо атака таки станеться. Після написання такого регламенту можна провести симуляцію атаки, відпрацювати все написане на папері. Це допоможе співробітникам у випадку справжньої загрози.
- Подбайте про резервне копіювання даних. Впровадження систем резервного копіювання — це «мастхев» для кожної компанії, що має ІТ-інфраструктуру. Для цього можна використовувати віддалені сервери, що знаходяться поза межами внутрішньої мережі. Ще одним із варіантів є періодичне вивантаження даних на фізичний носій. Наприклад, можна раз на тиждень чи на місяць у залежності від частоти оновлень вивантажувати дані на зовнішній диск, який буде зберігатися в безпечному місці. Таким чином ви не зможете гарантувати збереження повністю всіх даних, але принаймні у вас буде копія системи на конкретний день тижневої/місячної давності.
Описане вище допоможе мінімізувати ризики можливих атак. Хочу зазначити, що отримати 100 % захищену систему навряд вийде. Гіркий досвід такої величезної компанії як «Київстар» тому приклад. Технології розвиваються дуже стрімко, разом із тим також розвиваються і навички людей. Ці навички можна використовувати як із доброю метою, так і з ні.
Ще один меседж, який я хочу донести — людям треба бути терпимішими, проявляти емпатію. У період війни кожна компанія може стати мішенню для атаки. Ми як користувачі маємо із розумінням ставитися до цього з огляду на контекст, у якому ми зараз живемо.
Автор: Олег Рівтін, CEO Cityhost.ua