Кибернетический фронт CERT-UA

12 Сентября, 2014 11:52
Олег Пилипенко
В свете последних перебоев в работе государственных веб-порталов, слухов о взломах информационных систем ЦИК и Кабмина, а также прослушивания телефонных линий иностранными спецслужбами о кибервойнах сегодня не говорит разве что ленивый. Многие эксперты и не совсем эксперты заявляют о необходимости организации украинских кибервойск, пользователи отвечают созданием в Facebook различных сообществ с приставкой «кибер-». При этом мало кто знает, что в Украине уже свыше 5 лет существует подразделение, круглосуточно отвечающее за кибербезопасность государства — CERT-UA. Команда не тяготеет к публичности, потому редко попадает в поле зрения народных масс. Тем не менее, нам удалось задать ее сотрудникам ряд вопросов.

 

C4IT: Когда появилась подразделение CERT-UA? Какие задачи на нее возложены?

CERT-UA: Аббревиатура CERT-UA обозначает Computer Emergency Response Team of Ukraine — это команда реагирования на компьютерные чрезвычайные события Украины. Команда представляет собой подразделение Государственного центра защиты информационно-телекоммуникационных систем (ГЦЗ ИТС) Государственной службы специальной связи и защиты информации Украины (Госспецсвязи).

Подразделение было создано в 2007 году и с 2009-го имеет статус CERT. Данный статус является фактически международной сертификацией  согласно стандартам группы FIRST (Forum of Incident Response and Security Teams), объединяющей различные группы CERT в странах Европы. На момент написания статьи подобный статус имеют 305 команд в 66 странах. Для информации — в США действует 72 команды CERT, в Японии и Германии — по 23 команды, в Литве — пять, в России, Мексике, Польше — по две.

Чтобы получить статус CERT,  требуется пройти аккредитацию на соответствие документу RFC-2350, содержащему стандарты Интернета по реагированию на инциденты в области компьютерной безопасности. А также получить рекомендации двух уже аккредитованных команд.

Основная задача CERT-UA — защита украинских государственных информационных ресурсов от несанкционированного доступа и неправомерного использования. Но отражая атаки на сети госорганов, CERT-UA часто приходится «спасать» от заражения троянами и ботами  ресурсы коммерческих структур, интернет-провайдеров и частных лиц. Причем как в Украине, так и за рубежом.

Именно в этом и состоит идея сети команд CERT: мы можем по заранее отработанному протоколу взаимодействия обратиться за поддержкой в любую из 305 команд в 66 странах. Которая, в свою очередь, может быстро решить вопросы с местными провайдерами и правоохранительными органами. Точно так же, любая из этих команд может обратиться к нам, если нужно выяснить источник вредоносной активности в украинском сегменте Интернета. Часто для разрешения какого-либо инцидента подключаются не только команда CERT, но и другие специалисты центра: программисты, системные администраторы, специалисты по ИБ, аналитики и т.д. В целом, у нас довольно мощный коллектив.

Личный состав – около дюжины специалистов, но мы рассматриваем вопрос его увеличения. Во-первых, растет количество инцидентов. Во-вторых, в ходе их разбора приходится по факту защищать не только государственные ресурсы, но и оказывать помощь широким кругам коммерческих структур и граждан.

Коллектив у нас молодой, средний возраст — до 30 лет. В основном это выпускники Института специальной связи и защиты информации при НТУ КПИ.

C4IT: Можно ли назвать команду CERT-UA «украинскими кибервойсками»?

CERT-UA: Это не совсем так. Кибервойска предназначены для того, чтобы атаковать. CERT же занимается только защитой и устранением последствий чужих атак. Скорее CERT ближе к «кибердокторам», скорой помощи и профилактике. Хотя кибервойска Украине, несомненно, нужны. Но их логичнее создавать в составе Минобороны или Службы внешней разведки.

C4IT: Если произошел взлом корпоративной сети приватного или государственного предприятия, куда обращаться потерпевшим: в киберкоманду, СБУ или в МВД?

CERT-UA: Согласно нормативно-правовым актам, все госорганы, обнаружив несанкционированное вмешательство в систему, должны обратиться в CERT-UA и зарегистрировать инцидент. Сделать это  всегда можно на сайте CERT-UA http://cert.gov.ua/?page_id=295 с минимальными сложностями.

Частные компании тоже могут регистрировать свои инциденты. Мы стараемся помогать и им по той простой причине, что зараженный или взломанный приватный сервер представляет опасность для всех остальных пользователей, не важно, государственные они или нет. Единственное, что негосударственному сектору мы помогаем в меру свободных ресурсов, но совершенно бесплатно. На нашем сайте мы приводили статистику отработанных нами инцидентов по секторам (http://cert.gov.ua/?p=316).

Что касается правоохранительных органов, то CERT-UA ни в коем случае не подменяет их. Мы, скорее, исследователи, чем следователи. Если совершено киберпреступление, то, отработав все вопросы по нашей зоне ответственности, мы передаем информацию в СБУ и МВД. И уже они ведут расследование данного инцидента в своём правовом поле. Материалы исследований  CERT-UA могут послужить в этом случае доказательствами для следствия.

C4IT: В мае был обнаружен взлом информационных систем ЦИК, что в результате привело к публикации пресловутой картинки Яроша перед подсчетом результатов на президентских выборах. Что на самом деле там произошло, почему стал возможным взлом сети?

CERT-UA: Мы квалифицировали это атаку как Advanced Persistent Threat, или целенаправленную кибероперацию. Все признаки говорят о том, что эта операция отличалась от тривиальных атак, нацеленных на хищение денежных средств, банковских счетов и т.д. Такие атаки всегда индивидуальны. Например, могут использоваться специально написанные вирусы, или уязвимости нулевого дня, то есть, еще не обнаруженные производителями оборудования или программного обеспечения. Изучаются также индивидуальные психологические особенности администраторов сети, которую собираются взломать, после чего к ним применяются методы социнженерии. Специфика атаки указывает на то, что к этому могли быть причастны спецслужбы других стран. Однако на этот вопрос должно ответить следствие.

Вообще, «спасибо» псевдоколлегам, которые через эту атаку открыли уязвимости систем в ЦИК. Чтобы дать точную информацию, все же  необходимо подождать окончания следствия. На сегодня правоохранительными органами расследуются два уголовных дела по этой кибератаке. Наше мнение касательно происшедшего читатели смогут узнать на сайте  cert.gov.ua.

C4IT: В чем заключаются главные риски для кибербезопасности страны?

CERT-UA: Основная угроза для информационной безопасности любой страны: неграмотность, низкий уровень компьютерного образования рядовых пользователей. Подавляющее большинство инцидентов вызваны не сверхпрофессионализмом мифических хакеров, а тем, что пользователи информационных систем сами широко открывают им двери.

Переломить ситуацию можно только тотальным, обязательным ликбезом в области кибербезопасности. Под угрозой невозможности занимать какие-либо ответственные должности без его прохождения. А также «страхом господним» в виде предметной ответственности пользователей за последствия взломов по их вине. Или за невыполнение наших рекомендаций по информационной безопасности.

C4IT: Возможно следует регулярно проверять безопасность компьютерных систем госорганов?

CERT-UA: Мы проводили такие аудиты, однако, в последнее время государство не выделяет на них достаточно средств. Если в 2012 году мы провели семнадцать аудитов, то в 2013-м — одиннадцать, а в 2014-м — всего четыре. Один только аудит, безусловно, не решит проблему фактической информационной безопасности органов государственной власти. Важно, чтобы его результаты приводили к системным изменениям в степени защиты объекта аудита. А это происходит не всегда.

C4IT: С вашей точки зрения, когда в Украине будет принята современная стратегия по укреплению кибербезопасности?

CERT-UA: Задачи по защите информации госорганов ставятся с 2000 года, с принятия Закона Украины «О защите информации в информационно-телекоммуникационных системах». Сейчас Госспецсвязи разрабатываются проекты Национальной стратегии обеспечения кибербезопасности Украины, а также Закона Украины «Об основах кибернетической безопасности». Эти документы призваны дать определения таким понятиям, как кибератака, кибервойна, объект критической инфраструктуры, и т.д.

Но самое главное, что мы от них ждем — это распределение полномочий  между органами, ответственными за кибербезопасность. За что отвечает Управление по борьбе с киберпреступностью МВД, за что — Департамент контразведывательной защиты интересов государства в сфере информационной безопасности СБУ, за что — соответствующие структуры ГШ ВС Украины и СВР, за что — CERT-UA, и как они взаимодействуют друг с другом. Ждем также повышения ответственности за невыполнение требований по кибербезопасности.

В идеале в каждом государственном органе хотелось бы иметь офицера, или администратора по информационной безопасности, который бы доводил требования ИБ администраторам компьютерных сетей, и контролировал их выполнение. Давно обсуждается идея постоянного присутствия офицеров ДКИБа и УБК в офисе CERT-UA, чтобы они могли оперативно реагировать на инциденты в рамках своих полномочий.

Необходимы и точечные обучения, которые мы проводим по обращению госструктур, чтобы повысить квалификацию их специалистов. Основная проблема — в финансовом обеспечении, возникает много знаков вопросов по уровню оплаты. Потому что аналогичные специалисты за рубежом имеют зарплату намного выше, чем в Украине.

Комментарии: