Кто взломал госреестры: почему украинцы не получат ответа и как жить дальше

Несколько тезисов о взломе реестров ГП НАИС.

====Disclaimer===

1) Каждый из тезисов цепляет до полудесятка различных объемных вопросов и может быть расширен до отдельного сообщения. Эксперты могут писать книги. Поэтому формулировки здесь с упрощениями и без описания корнер-кейсов.

2) Лично не был привлечен к робот систем ГП НАИС, а информация только из открытых источников.

==========

Мы не узнаем причин (и это хорошо):

• все, что мы знаем сейчас — это комбинация официальных заявлений, слухов разного уровня достоверности и наших предположений;
• реальный сценарий взлома будут знать только Incident Response Team, соответствующие службы и, возможно, партнеры.

Да это и хорошо: подобная информация не должна попадать в публичное пространство.

Предположение.

Из того, что сейчас выглядит справедливой догадкой:

• удалены базы (потому что восстановление обещают за две недели);
• удалены те бэкапы, что делаются оперативно (ежедневно, еженедельно);
• остались "холодные" копии (ленты или другие архивные решения);
• такой масштаб требует глубокого проникновения в инфраструктуру и длительной подготовки (речь о месяцах);
• все удаленные данные, скорее всего, предварительно были скопированы (хотя можно представить сценарий, при котором этого не произошло);
• атака должна была быть комплексной и длительной: я не верю, что это "просто украли пароль админа". Взломы такого уровня — это прохождение лабиринта из большого количества комнат. Один украденный пароль — лишь ключ к одной двери;
• соответственно, решение проблемы — гораздо труднее, чем "надавать по рукам идиотам" и "нанимать нормальных людей" (хотя это тоже входит в необходимые, но не достаточные условия);
• все остальные данные о векторах атак и их реальной эффективности пока для меня выглядят не более чем предположения — надо было бы слушать профессионалов в поле, но, надеюсь, п.п. (1)

Последствия информационные:

• восстановление, скорее всего, не восстановит всех данных. RPO — Recovery Point Objective — точка времени, до которой можно восстановить данные, измеряется значительными периодами. Если потеряны только недели данных, это уже неплохо;
• из трех характеристик информационной безопасности — целостность, конфиденциальность, доступность — конфиденциальность сейчас волнует меньше всего (хотя не везде);
• ЕГР — один из самых "интегрированных" реестров. Первая интеграция в Prozorro была именно с ним. Многие бизнес-процессы могут быть заблокированы или приостановлены в зависимости от официальной коммуникации;
• ЕГР — реестр "предыдущей эпохи". Он был разработан одним из самых первых и имеет кастомную архитектуру, что ограничивает привлечение других вендоров к его восстановлению;
• с другой стороны, я не считаю, что сам факт взлома реестров увеличивает риск взлома других, интегрированных систем (отчасти потому, что этот риск и так высок, все находятся под атакой сейчас).

Последствия социальные:

• зависят от того, будут ли восстановлены данные и с каким RPO;
• больше всего волнует реестр имущественных прав и риск рейдерских схем;
• реестры и сервисы, интегрированные с поврежденными реестрами, также пострадали. Например, бронирование через "Дію";
• разработчики и владельцы будут решать: ждать восстановления или создавать временные обходные решения. Это решение зависит от затрат времени и денег.

Последствия для ІТ в государстве:

• доверие к ИТ-услугам, как по мне, останется неизменным. В борьбе между удобством и безопасностью пользователи выбирают первое;
• осознание киберугроз немного повысится, но ненадолго. Через год уже забудут эмоциональные последствия;
• программы усиления кибербезопасности продолжатся. Надеюсь, вырастут инвестиции в эту отрасль (особенно при поддержке партнеров).

Что делать и какие сделал я выводы:

• реакция с каждым разом становится лучше. Важно, что была официальная коммуникация от профильного министра;
• информационная безопасность — как спорт. Нельзя "натренироваться" на всю жизнь. Нужны регулярные проверки и практики для ключевых систем. Критически важно, как по мне, иметь набор базовых практических рекомендаций для тех, кто не способен сейчас инвестировать достаточно;
• важно найти баланс между централизованным внедрением и децентрализацией. Централизованные реестры потребуют большего внимания и, очевидно, больше инвестиций;
• МСП сложнее всего: кибербезопасность требует значительных инвестиций. Здесь самое место для нативного упоминания проекта https://cyber.business.gov.ua;
• парадигма мышления: очень откликнулась мысль Влада Стирана, о том, что в нашем случае надо думать не как отразить очередную атаку, а над тем, как выявить тех, кто вас УЖЕ СЛОМАЛ.

И хотя это и весьма параноидальный способ мышления, в текущих условиях, вероятно, лучше всего описывает ситуацию.

Опять же: как с обстрелами, которые делают не "в ответ на что-то" а "просто потому, что могут".

Автор выражает личное мнение, которое может не совпадать с позицией редакции. Ответственность за опубликованные данные в рубрике "Мнения" несет автор.

Источник

Важно Ни брака, ни субсидий. Какой кризис вызвала хакерская атака на реестры Минюста