Кібератака на держреєстри: що потрібно виправити, аби підготуватися до можливих нових атак

У грудні росіяни завдали масштабної кібератаки на базові реєстри Мін’юсту, зокрема Державний реєстр актів цивільного стану, Єдиний державний реєстр юридичних осіб і Державний реєстр речових прав. Усі вони мають статус так званих базових реєстрів в Україні. Тож умить зупинилися будь-які дії у сфері нерухомості та бізнесу, державні програми «єОселя» та «єВідновлення», торги на біржі, призначення людей на державну службу, державні закупівлі, оформлення відстрочок, розгляд частини судових справ, робота нотаріусів та ще купа е-послуг у Дії та інших державних застосунках. Що треба зробити, аби підготуватися до наступних можливих атак розповів Роман Ланський у статті «Гарячі атаки та холодні копії даних: як розгребти наслідки грудневого реєстропаду?».

«Час атаки ворог обрав невипадково... Традиційно кінець грудня — це час, коли різноманітні державні інституції здійснюють багато важливих закупівель, іноді на двозначні відсотки своїх річних бюджетів. 30 грудня роботу кількох систем уже відновили. Тож саме час на холодну голову трохи краще оцінити ситуацію, що склалася», – пише автор.

За його словами, у складній структурі держорганів важко зрозуміти, хто відповідальний за безпеку реєстру. І хоча ця роль нібито як належить Міністерству юстиції, однак там зараз нова команда, а проблеми з ДП «Національні інформаційні системи» дісталася їй у спадок, переходячи з рук у руки кожному наступному очільнику відомства. Тому, зазначив Ланський, набагато конструктивнішим за розмови, кого варто було б звільнити, краще поговорити про те, на яких етапах і як підготуватися до наступних подібних атак. І першим кроком автор називає конкурентні закупівлі IT-послуг. 

«В українському GovTech є стара традиція вендорлоку або звичайною мовою — монополії постачальника. Багато українських відомств працюють із певними підрядниками, які зловживають ексклюзивним становищем. Вони навмисно монополізують доступ до систем», – пише автор.

Зокрема, це робиться через розробку сервісів на унікальних та рідкісних технологіях. Іноді це малопоширені мови програмування, як-от Elixir, якими володіють максимум кількасот спеціалістів. Іноді використовують інші трюки, приміром, роблять свою «кастомізацію» мови програмування, якою володіє тільки ця компанія. Часто спосіб ще банальніший — уникають написання документації, передачі прав на продукт або просто саботують передачу паролів / доступів іншим підрядникам. Нерідко в цьому замішані корупційні домовленості із самими замовниками, підкреслює Ланський.

«Ця монополія руйнує системи ізсередини. Бо, з одного боку, розробники не мають мотивації працювати над якісними сервісами та їх захистом… А з іншого боку, сам замовник навіть за наявності політичної волі не має важелів впливу на підрядника, коли хоче продукт кращої якості», – пояснює автор.

За словами Ланського, потрібно активно боротися з монополією. Зокрема, важливо дати змогу працювати над системою іншим або змінити компанію, якщо вона не виконує вимог щодо якості.

Другий крок, як зазначає автор, це встановлення нормальних строків розроблення. Українські реалії запуску електронних систем такі, що продукти замовляють «на вчора». Натомість коротке вікно можливостей, телефонний запит із вищої інстанції чи офісу президента, раптова зміна кадрів і прихід реформаторів на керівні посади спричиняють запит на швидкі релізи. 

«За таких умов розробники, навіть якщо вони є професіоналами, в кращому разі урізають етап тестування. А в гіршому — і функціонал системи. Відповідно, в реліз часто йдуть сирі продукти, зокрема поверхово відтестовані з безпекового погляду», – йдеться у статті.

У комбінації з недоброчесним вендором, який не мотивований до якісної роботи і його неможливо до неї змусити, цей технічний борг приречений нескінченно накопичуватися.

Третім кроком Ланський називає належну перевірку державних ІТ-систем. За словами автора, усі уражені реєстри, вочевидь, пройшли експертизу комплексної системи захисту інформації та мають атестати відповідності. Але між атестатом і реальною безпекою — якщо не прірва, то точно дуже велика відстань. Основні документи, такі як Закон України «Про захист інформації в інформаційно-комунікаційних системах», ухвалили ще в 1990-х і 2000-х роках. При цьому оновлювали їх лише частково.

«Здебільшого всі норми були вигадані в той час, коли ще не було ні хмарних технологій, ні розподілених баз даних. Ця законодавча база орієнтована на традиційні фізичні та програмні методи захисту. Які все ще необхідні, але їх недостатньо. Простіше кажучи, правила з кібербезпеки відстають від сучасних тенденцій і здебільшого сфокусовані на тому, щоби «видати папірець». Вони потребують помітного оновлення як стандартів безпеки, так і підходів до її оцінки», – додає автор.

І четвертим кроком Ланський називає безпекові політики щодо кадрів та їхніх інструментів. Адже захищати треба не лише продукт, а й робочі місця, внутрішній периметр. Автор додав, що багато відомств не приділяють достатньо уваги захисту комп’ютерів, пошти, програм та інших інструментів, із якими працюють люди. 

«Умовно кажучи, у вас може бути надзвичайно захищена система, але якщо хакер отримав доступ до комп’ютера адміністратора, все це марно. Часто навіть із комп’ютера простого працівника, який має дуже скромні права доступу, можна отримати багато всього. Наприклад, «злити» всі дані, внести недостовірні. Це додаткове вікно проникнення до системи», – пише Ланський.

Він також підкреслив, що кібербезпека має людський вимір. У випадку з Мін’юстом вже звучали заяви про те, що атака на його реєстри відбулася з облікового запису найвищого рівня. Завжди залишається ризик, що люди можуть бути завербовані через підкуп або погрози. Також людина може бути не тією, за кого себе видає, й мати небажані зв’язки. Для цього є поліграф та інші перевірки. Вони мають бути запроваджені не тільки в оборонній сфері.

Підсумовуючи все вищенаписане, автор зазначив, що, по-перше, вендорлок — це зло. Лише здорова конкуренція між потенційними вендорами державних органів породить здорову пропозицію та функціональні продукти. Замовникам, за совами Ланського, давно час позбутися залежності від компаній, розібратися в ринку GovTech та урізноманітнити списки підрядників через конкурентні тендери. Після залучення найкращих вендорів для створення продукту потрібне краще планування: запланований час на повноцінне тестування та безпекові налаштування.

По-друге, додає автор, реформа Держспецзв’язку перезріла. Наразі прогрес у цій темі є, але він занадто повільний.

По-третє, навіть найкраща система не застрахована від людського чинника. Перевіряти людей і мати чіткі політики щодо засобів їхньої роботи (техніки, програм тощо) — це не просто порада з особистої інформаційної безпеки, це про національну безпеку в умовах війни.

Нагадаємо, 19 грудня Росія здійснила одну з наймасштабніших кібератак на державні реєстри України. У результаті тимчасово призупинили роботу Єдині та Державні реєстри, які перебувають у компетенції Міністерства юстиції України.

Лише 30 грудня Мін’юст повідомив про відновлення роботи перших трьох реєстрів. Зокрема, тоді запрацювали Єдиний реєстр довіреностей, Спадковий реєстр та Єдиний реєстр спеціальних бланків нотаріальних документів.