PCWeek/UE: Расскажите более подробно о команде CERT-UA? Что она собой представляет, каковы ее задачи?
CERT-UA: Аббревиатура CERT-UA обозначает Computer Emergency Response Team of Ukraine — это команда реагирования на компьютерные чрезвычайные события Украины. Команда представляет собой подразделение Государственного центра защиты информационно-телекоммуникационных систем (ГЦЗ ИТС) Государственной службы специальной связи и защиты информации Украины (Госспецсвязи).
Подразделение было создано в 2007-ом году и с 2009-го года имеет статус CERT. Данный статус является фактически международной сертификацией согласно стандартам группы FIRST (Forum of Incident Response and Security Teams), объединяющей различные группы CERT в странах Европы. На момент написания статьи, подобный статус имеют 305 команд в 66 странах. Для информации: в США действует 72 команды CERT, в Японии и Германии — по 23 команды, в Литве — 5 команд, в России, Мексике, Польше — по 2 команды.
Чтобы получить статус CERT — требуется пройти аккредитацию на соответствие документу RFC-2350, содержащему стандарты Интернета по реагированию на инциденты в области компьютерной безопасности, а также, получить рекомендации двух уже аккредитованных команд.
В 2012-ом году CERT-UA также присоединилась к Международному многостороннему партнерству против кибернетических угроз (IMPACT — International Multilateral Partnership Against Cyber Threats). Сейчас команда работает над интеграцией в проект HoneyNet Project (www.honeynet.org) — международной сети защищенных ресурсов, служащих «ловушками для хакеров», и расследующих кибератаки в их естественной среде. Всего мы осуществляем взаимодействие с более чем 200 различными организациями в сфере кибербезопасности.
Основная задача CERT-UA — защита украинских государственных информационных ресурсов от несанкционированного доступа и неправомерного использования. Но отражая атаки на сети госорганов, CERT-UA часто приходится «спасать» от заражения троянами и ботами ресурсы коммерческих структур, интернет-провайдеров и частных лиц. Причем, как в Украине, так и за рубежом.
Именно в этом и состоит идея сети команд CERT: мы можем по заранее отработанному протоколу взаимодействия обратиться за поддержкой в любую из 305 команд в 66 странах, которая, в свою очередь, может быстро решить вопросы с местными провайдерами и правоохранительными органами. Точно так же, любая из этих команд может обратиться к нам, если нужно выяснить источник вредоносной активности в украинском сегменте Интернета. Часто, для разрешения какого-либо инцидента, подключаются не только команда CERT, но и другие специалисты центра: программисты, системные администраторы, специалисты по ИБ, аналитики и т.д. В целом, у нас довольно мощный коллектив.
Кроме того, команда выполняет оценку защищенности информационных систем. Это помогает специалистам набить руку в проблематике тех вопросов, которые связаны с безопасностью и уязвимостью компьютерных сетей, а также правильно реагировать на инциденты в ИБ.
PCWeek/UE: Команду CERT-UA иногда называют «кибервойсками Украины». Есть ли для этого основания?
CERT-UA: Это журналистское преувеличение. Кибервойска предназначены для того, чтобы атаковать. CERT же занимается только ликвидацией последствий чужих атак.
CERT-UA также не имеет полномочий следственного органа. Мы не можем совершать следственные действия и привлекать к ответственности киберпреступников.
Если проводить аналогию, то CERT ближе всего к «кибердокторам», скорой помощи и профилактике. Тем не менее, кибервойска Украине, несомненно, нужны. Но их логичнее создавать в составе Минобороны или Службы внешней разведки.
К тому же, сотрудники нашего ведомства — пока не военнослужащие, они носят специальные звания Госспецсвязи. Правда, с ноября вступят в силу изменения в законодательстве, которые предоставят нам статус военнослужащих.
PCWeek/UE: Сколько человек сегодня входит в состав CERT-UA? Какой средний возраст ваших сотрудников? Как специалисту по информационной безопасности попасть в CERT-UA?
CERT-UA: Личный состав команды сегодня — около дюжины специалистов, но мы рассматриваем вопрос его увеличения. Во-первых, растет количество инцидентов. Во-вторых, в ходе их разбора приходится по факту защищать не только государственные ресурсы, но и оказывать помощь широким кругам коммерческих структур и граждан.
Коллектив у нас молодой, средний возраст — до 30 лет. В основном, это выпускники Института специальной связи и защиты информации при НТУ КПИ. Однако, приходят и из других вузов. Обычно, мы начинаем отбирать претендентов еще с третьего курса. В CERT-UA они проходят практику, получают те знания и навыки, которые необходимы в последующей работе.
Работа в государственной службе обладает определенной спецификой. Зарплаты у нас меньше, чем в коммерческом секторе. Поэтому, тем, кто здесь работает, требуются, помимо профессионализма, здоровый энтузиазм и легкий трудоголизм.
PCWeek/UE: Как вы оцениваете компетенции специалистов CERT-UA в сравнении с рыночным уровнем? Отличаются ли они от компетенций хакеров?
CERT-UA: Киберзащита часто отстает от кибернападения, поскольку у хакеров, чисто психологически, меньше ограничений для разрушительных действий. Тем не менее, наши специалисты знают и умеют все то, что и хакеры. Более того, мы можем противопоставить хакерам более высокий уровень системности в образовании и в работе.
Стоит отметить, что экспертиза CERT-UA могла быть востребована в коммерческом секторе. Время от времени обсуждается вопрос о том, чтобы разрешить команде проводить коммерческие аудиты информационной безопасности, и, таким образом, зарабатывать деньги для Государственного центра. Но пока не удается преодолеть бюрократические и законодательные трудности для реализации этой идеи. Нашим конкурентным преимуществом могла бы стать огромная аналитическая база по уязвимостям и степени их ликвидации за семь лет работы.
С другой стороны, в CERT-UA нет места многим негативным влияниям коммерции на профессиональное развитие. И это тоже наш плюс.
PCWeek/UE: Если некая приватная или государственная организация обнаружила взлом своей сети, куда она должна обращаться: к вам, в СБУ или в МВД?
CERT-UA: Согласно нормативно-правовым актам, все госорганы, обнаружив несанкционированное вмешательство в систему, должны обратиться в CERT-UA и зарегистрировать инцидент. Сделать это всегда можно на сайте CERT-UA http://cert.gov.ua/?page_id=295 с минимальными сложностями.
Частные компании тоже могут регистрировать свои инциденты. Мы стараемся помогать и им по той простой причине, что зараженный или взломанный приватный сервер представляет опасность для всех остальных пользователей, не важно, государственные они или нет. Единственное, что негосударственному сектору мы помогаем в меру свободных ресурсов, но совершенно бесплатно. На нашем сайте мы приводили статистику, отработанных нами, инцидентов по секторам (http://cert.gov.ua/?p=316).
Что касается правоохранительных органов, то CERT-UA ни в коем случае не подменяет их. Мы, скорее, исследователи, чем следователи. Если совершено киберпреступление, то, отработав все вопросы по нашей зоне ответственности, мы передаем информацию в СБУ и МВД. И уже они ведут расследование данного инцидента в своём правовом поле. Материалы исследований CERT-UA могут послужить, в этом случае, доказательствами для следствия.
PCWeek/UE: Каков регламент отработки инцидентов?
CERT-UA: Регламент представляет собой адаптированный для украинских нужд стандарт RFC-2350 https://www.ietf.org/rfc/rfc2350.txt. Кроме того, наша деятельность регламентирована приказом Администрации Госспецсвязи № 94 от 10 июня 2008 года, зарегистрированного в Минюсте под № 603/15294 от 7 июля 2008 года. Им утвержден документ с длинным названием «Порядок координации деятельности органов государственной власти, органов местного самоуправления, воинских формирований, предприятий, учреждений и организаций независимо от форм собственности в вопросах предотвращения, обнаружения и ликвидации последствий несанкционированных действий по отношению к государственным информационным ресурсам в информационных, телекоммуникационных и информационно-телекоммуникационных системах».
Согласно этому приказу, CERT-UA отводится роль координатора реагирования на угрозы всех субъектов информационного обмена — провайдеров, владельцев сетей, частных лиц и предприятий, госорганов и спецслужб. Мы должны реагировать абсолютно на все инциденты в области информационной безопасности в украинском сегменте сети Интернет.
Если вкратце: первым делом в случае кибератаки необходимо сообщить об инциденте в CERT-UA. Конфиденциальность мы гарантируем. Второе — сохранить данные. То есть, если компьютер взломан, или на нем обнаружен вирус, то ни в коем случае не надо переустанавливать систему и переформатировать диск. Компьютер нужно просто отключить от питания, пока мы не сделаем образ его дисков. И, третье — после исследования инцидента мы сами порекомендуем, в какой именно правоохранительный орган необходимо обратиться согласно подследственности и какие доказательства туда предоставить.
PCWeek/UE: Как происходит взаимодействие в области информационной безопасности с российской стороной: их командой CERT, спецслужбами, провайдерами?
CERT-UA: С российским CERT мы взаимодействуем по общему, для этих команд, регламенту. Именно соблюдение общего порядка и правил взаимодействия даёт нам возможность понимать и быть понятными сотням других таких же команд по всему миру.
У нас нет проблем во взаимодействии с российскими провайдерами, банками и другими коммерческими организациями. Спецслужбы Российской Федерации, в лице ФСБ, так же являются одной из организаций, с которой у нас есть совместные договорённости на уровне министров. Имеется также непосредственный канал взаимодействия. Несмотря на политическую ситуацию, этот канал работает, и пока что мы не видим причин его разрывать.
PCWeek/UE: С камими киберпреступниками приходится бороться CERT-UA? Это российские хакеры или же след ведет в другую страну?
CERT-UA: Главная угроза для информационной безопасности любой страны — неграмотность, низкий уровень компьютерного образования рядовых пользователей. Подавляющее большинство инцидентов вызваны не сверхпрофессионализмом мифических хакеров, а тем, что пользователи информационных систем сами широко открывают им двери.
Переломить ситуацию можно только тотальным, обязательным ликбезом в области кибербезопасности. Под угрозой невозможности занимать какие-либо ответственные должности без его прохождения. А также, «страхом господним» в виде предметной ответственности пользователей за последствия взломов по их вине. Или за невыполнение наших рекомендаций по информационной безопасности.
Об атаке на ЦИК и АП
PCWeek/UE: Одна из самых громких кибератак последних месяцев — взлом информационных систем ЦИК перед президентскими выборами. Сейчас, когда прошло уже несколько месяцев, можно ли подвести итоги этой истории?
CERT-UA: «Спасибо» псевдоколлегам, которые через эту атаку открыли уязвимости систем в ЦИК. Чтобы дать точную информацию, все же необходимо подождать окончания следствия. На сегодня правоохранительными органами расследуются два уголовных дела по этой кибератаке. Наше мнение, касательно происшедшего, читатели смогут узнать на сайте cert.gov.ua. Там детально описано то, что уже тщательно проверено и можно рассказать без ущерба для следствия. Рассказывать больше — значит мешать ведению расследования, а этого делать нельзя.
PCWeek/UE: Почему сайт CERT-UA некоторое время был недоступен, кроме того, там на некоторое время исчезли все публикации?
CERT-UA: Действительно, мы убрали с сайта команды часть информации по просьбе следствия. Сейчас мы пересматриваем свои же публикации и вносим уточнения. Кроме того, мы решили излагать информацию на нашем сайте более простым и популярным языком. Чтобы им могли пользоваться не только технические специалисты, но и все, кто хочет начать повышение кибербезопасности государства с самого себя.
PCWeek/UE: Почему вообще была возможна атака? ЦИК уделяла недостаточно внимания безопасности?
CERT-UA: Мы квалифицировали это атаку как Advanced Persistent Threat, или целенаправленную кибероперацию. Все признаки говорят о том, что эта операция отличалась от тривиальных атак, нацеленных на хищение денежных средств, банковских счетов и т.д. Такие атаки всегда индивидуальны. Например, могут использоваться специально написанные вирусы, или уязвимости нулевого дня, то есть, еще не обнаруженные производителями оборудования или программного обеспечения. Изучаются также индивидуальные психологические особенности администраторов сети, которую собираются взломать, после чего к ним применяются методы социнженерии. Специфика атаки указывает на то, что к этому могли быть причастны спецслужбы других стран. Однако, на этот вопрос должно ответить следствие.
PCWeek/UE: Какие системные пробелы в безопасности госорганов выявила данная кибератака?
CERT-UA: Было бы некорректно рассказывать о системных проблемах в компьютерной безопасности госорганов. Это все равно, что приглашать хакеров к их взлому.
На сайте CERT-UA мы регулярно публикуем рекомендации по повышению безопасности, например, «Рекомендації щодо підвищення рівня захищеності інформаційно-телекомунікаційних систем та інформаційних ресурсів державних органів і установ від несанкціонованих дій зі сторони мережі Інтернет» и «Рекомендації щодо підвищення рівня захищеності інформаційно-телекомунікаційних систем та інформаційних ресурсів державних органів і установ» (http://cert.gov.ua/pdf/18042012.pdf). Эти рекомендации как раз и основаны на многолетнем анализе существующих проблем. К сожалению, мы пока не видим системных сдвигов в их решении.
В целом, меры по обеспечению безопасности можно разделить на организационные и технические. Разобщённость работы органов государственной власти по направлениям кибербезопасности, неосведомлённость чиновников в элементарных вопросах защиты информации, невыполнение требований ИБ ответственными лицами, отсутствие достаточных технических мощностей для обеспечения потребностей в телекоммуникациях — это основные, на наш взгляд, проблемы.
Например, Государственным центром защиты информационно-телекоммуникационных систем в рамках Национальной системы конфиденциальной связи поддерживается оборудование СЗДИ — Система защищенного доступа в Интернет. Это система с широким спектром возможностей: от защиты интернет-трафика рабочих мест госслужащих до хостинга сайтов государственных учреждений и защиты их от взлома и DDoS-атак. К сожалению, далеко не все государственные органы горят желанием ею пользоваться. Многие по-прежнему покупают доступ в интернет и хостинг у коммерческих провайдеров. Оставим за скобками мотивацию таких решений. Отметим лишь то, что в таких случаях мы имеем возможность лишь реагировать на инциденты, но не предотвращать их. А претензии все равно высказывают нам. Впрочем, есть надежда, что после инцидентов в ЦИК и «легкого испуга» с троянами в Кабмине, новое руководство страны лучше осознает необходимость использования такой системы.
Кроме того, законодательством не предусмотрена суровая ответственность за выявленные нарушения в сфере защиты информации.
Наказание халатных и бездействующих чиновников, как правило, либо ограничивается выговором, либо вообще ничем. Поэтому, сдвигов в состоянии дел с защитой информации не наблюдается. Нет действенных механизмов для мотивации к выполнению рекомендаций CERT-UA, выданных после инцидентов. Все это приводит к повторению ситуаций и угрозе более тяжелого ущерба. Те люди, которые ставят свою подпись под документом, удостоверяющим надежную защиту, должны нести ответственность вплоть до уголовной. Важным остается и вопрос зарплат ИТ-специалистов госорганов.
PCWeek/UE: Может ли решить проблему аудит безопасности компьютерных систем госорганов?
CERT-UA: Мы проводили такие аудиты, однако, в последнее время государство не выделяет на них достаточно средств. Если в 2012-ом году мы провели семнадцать аудитов, то в 2013-ом— одиннадцать, а в 2014-ом — всего четыре. Один только аудит, безусловно, не решит проблему фактической информационной безопасности органов государственной власти. Важно, чтобы его результаты приводили к системным изменениям в степени защиты объекта аудита. А это происходит не всегда.
О стратегии кибербезопасности страны
PCWeek/UE: Как вы полагаете, есть ли в Украине адекватная стратегия по укреплению кибербезопасности?
CERT-UA: Задачи по защите информации госорганов ставятся с 2000-го года, с принятия Закона Украины «О защите информации в информационно-телекоммуникационных системах». Сейчас в Госспецсвязи разрабатываются проекты Национальной стратегии обеспечения кибербезопасности Украины, а также Закона Украины «Об основах кибернетической безопасности». Эти документы призваны дать определения таким понятиям, как кибератака, кибервойна, объект критической инфраструктуры, и т.д.
Но самое главное, что мы от них ждем — это распределение полномочий между органами, ответственными за кибербезопасность. За что отвечает Управление по борьбе с киберпреступностью МВД, за что — Департамент контрразведывательной защиты интересов государства в сфере информационной безопасности СБУ, за что — соответствующие структуры ГШ ВС Украины и СВР, за что — CERT-UA, и как они взаимодействуют друг с другом. Ждем также повышения ответственности за невыполнение требований по кибербезопасности.
В идеале, в каждом государственном органе хотелось бы иметь офицера, или администратора по информационной безопасности, который бы доводил требования ИБ администраторам компьютерных сетей и контролировал их выполнение. Давно обсуждается идея постоянного присутствия офицеров ДКИБа и УБК в офисе CERT-UA, чтобы они могли оперативно реагировать на инциденты в рамках своих полномочий.
Необходимы и точечные обучения, которые мы проводим по обращению госструктур, чтобы повысить квалификацию их специалистов. Основная проблема — в финансовом обеспечении, возникает много знаков вопросов по уровню оплаты. Потому как, аналогичные специалисты за рубежом имеют зарплату намного выше, чем в Украине.
PCWeek/UE: Нужен ли отдельный орган, который координирует безопасность?
CERT-UA: Проектом закона такой орган предусмотрен. Учитывая, что задачи CERT-UA, во-первых, как раз и лежат в области координации и, во-вторых — наша команда не имеет, и не хочет иметь статус правоохранительного органа, ответственности перед которым все боятся. Мы можем взять на себя роль такого координатора, что будет логично. Подобный координатор накапливает и анализирует информацию, передает данные об инцидентах от одних органов другим.
Мы бы хотели избежать ситуации, когда каждый орган хочет быть главным в обеспечении кибербезопасности и тянет одеяло на себя. Ведь это, в свою очередь, тянет Украину ко дну. Есть любопытный отчет (http://ruleaks.net/304) о том, как эстонская команда CERT-ЕЕ отражала мощнейшую российскую кибератаку на всю информационную инфраструктуру страны. Один из выводов документа — успех отражения атаки во многом связан с тем, что CERT-ЕЕ имел неформальные контакты с большинством ответственных лиц госорганов, провайдеров, банков и представителей ИТ-общественности, а также пользовался большим доверием с их стороны. Поэтому, многие проблемы удалось решить в кратчайшие сроки, без бумажной волокиты и чрезвычайно эффективно. А у нас большинство проблем погрязают в ржавых шестеренках бюрократии.
PCWeek/UE: В последнее время появился ряд общественных инициатив, касающихся кибербезопасности: Кибероборона, кибервойска «белого хакера» Евгения Докукина. Их инициаторы часто говорят, что государство не уделяет должное внимание обеспечению кибербезопасности. Каково ваше к ним отношение?
CERT-UA: На самом деле, чем больше в стране таких инициатив и групп, тем лучше. И мы готовы сотрудничать с любыми из них. Мы читаем форумы по информационной безопасности и иногда исправляем кое-какие неточности в, опубликованной там, информации. И понимаем, что государственные органы есть за что критиковать. Но хотелось бы, чтобы эта критика была конструктивной, то есть, не переходила на обвинения.
PCWeek/UE: Нет ли рисков в применении российского антивирусного ПО?
CERT-UA: В свое время достаточно широко известный в кругах специалистов по кибербезопасности мастер Инь Фу Во на вопрос о «закладках» спецслужб в защитном ПО рассказал следующую притчу: «У северных варваров есть такая легенда. Грозный и мудрый Тигр — царь зверей, повелел Лису построить утиную ферму. Глупый Лис при строительстве сделал для себя тайный ход, чтобы воровать государственных уток. И, конечно же, сразу попался. Тигр велел казнить обманщика и, таким образом, сэкономил деньги на строительство. Не думай..., что спецслужбы подобны глупому Лису. Но и ты, отнюдь, не мудрый Тигр — царь зверей».
Поэтому, в вопросе использования российского ПО нужно разделять техническую, маркетинговую и политическую составляющие.
Последнюю оставим на откуп политикам. С технической точки зрения понятно, что любой антивирус постоянно передает данные о вашем компьютере своему производителю. И что он может иметь в своем составе средства, которые позволят получить контроль над компьютером. Поэтому, в сложившейся ситуации, у некоторых пользователей могут появиться основания учитывать этот фактор.
С маркетинговой точки зрения, любой подтвержденный факт наличия закладок в антивирусном ПО будет означать немедленную кончину огромного и прибыльного бизнеса на очень конкурентном рынке. На что, естественно, ни один производитель не пойдет. Кстати, многие заявления о закладках в том или ином антивирусе надо воспринимать именно с точки зрения конкуренции.
PCWeek/UE: Как вы прокомментируете решение СНБО о создании национального защищенного антивируса и операционной системы?
CERT-UA: Такие вопросы поднимаются уже лет десять. В 2004-ом году государство совместно с приватной компанией принимало участие в разработке украинского национального антивируса, который, впоследствии, неплохо себя зарекомендовал. Кроме того, в свое время мы работали над созданием защищенных операционных систем на базе открытого кода семейства Linux. Эти системы прошли апробацию и получили экспертное заключение.
С другой стороны, есть понимание, что сами по себе антивирус украинского производства и операционная система, собранная из исходников на территории Украины, проблемы информационной безопасности не решат. Поскольку, на 98% эти проблемы зависят от человеческого фактора. Какая разница, на какой операционной системе пользователи будут открывать вирусные ссылки, и какой антивирус они хронически не будут обновлять.
