Висновки після атаки на Київстар: Чого чекати далі?

13 декабря, 2023 Нет комментариев

Давайте спокійно розберемося що сталося з Київстаром і чого чекати надалі.

По-перше, як вже багато хто зазначив, роль кібербезпеки не слід применшувати. А то кібербезпека применшить тебе. Або когось ще.

По-друге, хакнути можуть кого завгодно — питання лише у кількості ресурсів, грошей, фахівців та часу атакувальника. Кіберкоманда Київстара є однією з найпотужніших в Україні, але навіть їх змогли серйозно просадити. А ти досі користуєшся рашистським Телеграмом, поставив примітивний однаковий пароль на всі акаунти, і мультифактор не включив.

По-третє, подібні кібероперації готуються місяцями (інколи — роками), і включають соцінженерію, ботнети, дорогезних вузькоспеціалізованих фахівців, ще більш коштовні експлоїти, а бюджети подібного класу операцій можуть рахуватися у мільйонах доларів.

Подібні атаки — це дорогий штучний товар, він апріорі не може бути масовим. Особисто я не чекаю аналогічних сценаріїв у інших українських операторів. Їх атакують сотні раз на день 24/7, просто це геть не публічна інформація. Іншу критичну інфраструктуру неодмінно будуть атакувати, питання лише «коли» і «які будуть наслідки».

У сучасному світі не можна сподіватися, що тебе не хакнуть. Хакнуть обов’язково, якщо сильно захочуть. Головне — готуватися до наслідків, точніше до їх мінімізації. Мати підготовлений план В, план С і план D. Disaster&Recovery Plan. Ось у чому полягає сучасний професійний підхід.

Наскільки все це було застосовано компанією Київстар — побачимо по швидкості відновлення. Думаю, «голос» відновлять відносно швидко, передачу даних — пізніше, все інше — потім. Відновити можна практично всю інфраструктуру, навіть якщо ракета прилетіла в дата-центр — аби люди не постраждали.

Хакнути можуть кого завгодно — питання лише у кількості ресурсів, грошей, фахівців та часу атакувальника

До речі, росіяни сильно намагалися покласти усіх українських операторів та провайдерів у лютому-березні 2022 — але не змогли. І тому, що до атак готувалися, і тому, що русня пропиляла усі гроші, сподіваючись на «Київ за три дні». І ще тому, до речі, що українська індустрія доступу до інтернету майже повністю приватна і досі ніяк не регулюється державою — завдяки чому зберігає дивовижну відновлювальноздатність (resilience). І так, «націоналізація Київстар» — погана ідея.

А керівникам та CISO великих компаній я б порадив прямо зараз змінити паролі доступу до контролера доменів, до корпоративного VPN, пропатчити усе, що патчиться, а потім замовити аудит безпеки інфраструктури. Це першочергово. А потім провести тренінги з персоналом та окремо спеціалізований тренінг з кібербезпеки — для ІТ-фахівців. Тому що, як не дивно, досить часто ІТ-фахівець не розуміється на кібербезпеці.

Читайте також: Надпотужна атака на ядро мережі. У Київстарі розповіли, як посипалася інфраструктура найбільшого оператора України

І трохи позитиву наостанок. Рік тому ми усі взагалі сиділи не тільки без будь-яких мобільних операторів, а взагалі у темряві — від кількох годин до кількох діб. Я книжки читав, наприклад. І нічого, вижили якось. Головне, щоб ЗСУ продовжували свою тяжку героїчну роботу.

Все інше — менш важливо. «І це також пройде».