Хто ж виходить переможцем у кібервійні між Росією та Україною, і чи можуть відбутися вибори через платформу "Дія"? Інтерв'ю з експертом у сфері кібербезпеки.

Про кібервійну між Росією та Україною говорять рідко. Найчастіше в медіа з'являються тільки згадки про атаковані структури та ймовірних виконавців. За останні три роки жертв у цій війні з українського боку не надто побільшало, але вражають розміри цілей: злам реєстрів Мін'юсту, руйнування цифрової інфраструктури "Київстару", недавня атака на "Укрзалізницю".

Проблема кібербезпеки почала отримувати належну увагу з боку держави та приватних структур лише приблизно десять років тому. "До 2015 року в Україні не було жодного ринку кібербезпеки", - зазначає Сергій Харюк, експерт у цій галузі, засновник компанії AmonSul та співзасновник найбільшої української спільноти, що займається питаннями кібербезпеки.

Приблизно до того ж року в країнах колишнього СРСР діяла негласна домовленість: "не чіпати своїх". "Коли ми вивчали віруси, то знаходили в їх коді спеціальні інструкції. Якщо на пристрої вказані українська, російська, білоруська мови чи таймзони на зразок "Київ", "Москва" або "Астана", то вірус просто не запускався. Це виглядало як неформальна домовленість. Думаю, вона походила від спецслужб РФ: цей регіон - поза ціллю", - розповідає герой інтерв'ю.

Проте, з моментом анексії Криму та початком збройного конфлікту на Донбасі, Росія не лише зневажила міжнародні норми, але й порушила цю неформальну "джентльменську угоду".

Сьогодні кібератаки набули форми справжніх військових кампаній. Кремль створив свою власну ієрархію у кіберсфері, що охоплює як окремих хакерів і приватні фірми, так і спеціальні підрозділи Міністерства оборони. Всі ці елементи діють з однією спільною метою: проникнення в державні системи, ведення розвідки, викрадення інформації та створення дестабілізації.

Харюк опинився серед тих, хто став свідком початку російсько-української війни в кібернетичній сфері. Все розпочалося з кібератаки на енергетичну компанію "Прикарпаттяобленерго" у 2015 році, коли він брав участь у реагуванні на цей інцидент.

Що насправді означають наймасштабніші кібератаки в Україні? Хто за ними стоїть? Як функціонують російські хакерські угруповання? Чому вони так часто досягають результату та як усе це впливає на цифрову безпеку України?

Яка ж основна мета кібератак?

Все визначається стимулом осіб, які реалізують ці дії. Якщо проаналізувати ситуацію через призму моделювання загроз, можна виокремити чотири категорії учасників.

Перші — це молоді захисники нових ідей, старшокласники та студенти, які прагнуть здобути досвід і підвищити свою самооцінку, щоб похвалитися друзям: "Я створив сайт для Apple".

Другими є хактивісти, які здійснюють зломи веб-сайтів з метою привернення уваги до політичних чи соціальних питань. Наприклад, вони можуть зламати сайт Російських залізниць і розмістити там інформацію про події в Сумах.

Треті - фінансово мотивовані кіберзлочинці, вони найчисленніші. Для них це бізнес: вони розробляють віруси, атакують компанії, щоб потім вимагати викуп.

Четверті - це державні фінансовані структури. Їхнє основне завдання рідко полягає у знищенні інфраструктури. Зазвичай вони займаються розвідкою та збором інформації.

-- За останні три роки в нас відбулося кілька гучних інцидентів ("Київстар", Мін'юст, "Укрзалізниця", дата‑центр "Парковий"). Чи є в них щось спільне?

-- Усі вони були деструктивними. У випадку з "Київстаром" та Мін'юстом є ще одна спільна риса: інциденти відбулися в грудні. Чим особливий грудень? Це останній місяць року. Виглядає так, що умовний російський генерал захотів собі ще одну "зірочку" чи премію. Вони довгий час мали доступ до системи, а потім отримали відповідний наказ, тому що комусь треба було подати звітність.

Це лише версія, але, враховуючи методи роботи російських спецслужб, можна стверджувати, що це їхня стандартна схема. Насправді подібних випадків набагато більше, проте на поверхні опиняються лише ті, що мають значний руйнівний вплив.

Існує точка зору, що кіберінциденти стали руйнівними не через те, що це було заплановано ворогом, а через те, що їхні ключові цілі були або досягнуті, або виявилися нездійсненними, чи ж просто втратили свою значущість.

-- Думаю, ідеться не про один мотив. Повернімося до прикладу з "Київстаром": якщо всі потрібні дані вже витягли, а ризики бути виявленими в системі зросли, то на завершення зловмисники можуть влаштувати такий собі "акорд на прощання".

Натомість є випадок з УЗ. Атака відбулася не в грудні, а 23 березня. Чому тоді? Що пішло не так? Якщо подивитися на ширший контекст, то саме в цей період у Джидді відбувалися перемовини про припинення ударів по енергетичній інфраструктурі та режим тиші на морі. Атака могла бути сигналом: "Якщо не будете домовлятися, ми можемо зламати не лише залізницю, а й енергетику". Це могла бути демонстрація сили. Збіг у часі може бути випадковим, проте він дуже показовий.

Мета атак може полягати в паралізації функціонування системи та розповсюдженні паніки, або ж це може бути побічним ефектом більш складних намірів. Це особливо актуально, враховуючи, що зловмисники могли залишатися в системі протягом тривалого часу, як у випадку з "Київстаром", який інвестував у заходи кібербезпеки.

Висновки робити складно, адже ми не підтримуємо дії тих, хто був причетний до цього. Компанія "Київстар" вклала кошти в кібербезпеку, але витрати не завжди свідчать про ефективність.

Під час проведення тендерів на тестування безпеки (penetration testing) одним із ключових факторів стала приваблива ціна. Наша компанія не брала участі в цих тендерах, але оскільки ринок кібербезпеки в Україні є досить обмеженим, ми активно обмінюємося інформацією між собою. Зокрема, з бесід з колегами стало відомо, що навіть найвідоміші компанії, які пропонували найнижчі ціни, не змогли виграти тендери.

Окрім того, розгалужена інфраструктура завжди створює більше можливостей для атак. Чим більше технологій, систем і співробітників, тим більше потенційних точок доступу і вразливостей.

Ще одним ключовим елементом у діяльності російських сил є узгодження кібератак з фізичними військовими діями. Часто ворожі кібероперації супроводжують ракетні удари. Наприклад, перед атакою на важливі об'єкти інфраструктури можуть одночасно реалізовуватися спроби зламів або виведення систем з ладу.

Успішна кібератака - це така, що залишилася поза увагою всіх.

Все визначається метою. Якщо мова йде про розвідувальні дії, то атака вважається успішною, якщо її наслідки залишаються непоміченими до моменту виконання завдання. Яскравим прикладом є ситуація, коли кілька країн об'єднали свої технології для здійснення удару по ядерній програмі Ірану. Інформація про цю операцію стала відомою лише після того, як вона була реалізована.

-- Якщо кібератаки порівнювати з бойовими діями у фізичному світі, то коли, на вашу думку, почалася російсько-українська війна?

У 2015 році сталася атака на "Прикарпаттяобленерго". Я згадую відео, яке лише кілька людей бачили, на якому оператор контролюючого пульта знімав на свій телефон, як його комп'ютер зазнає блокування: миша не реагує, він не може виконати жодної дії, а вимкнути систему не має змоги, адже це важливе обладнання.

Отже, кібератаки часто здійснюються паралельно з фактичними військовими діями та політичними подіями?

Так, це правда, але у кіберпросторі існують певні труднощі. На відміну від реального світу, тут важко точно визначити, звідки походить атака.

Ілон Маск недавно заявив, що його соцмережу атакували з IP-адреси з України. Однак це нічого не доводить, адже сервер міг бути орендований. Ідентифікувати особу, яка стоїть за атакою, складо, потрібна серйозна доказова база.

-- Хто стоїть за російськими кібератаками? Держава, приватні компанії чи якесь централізоване угруповання?

-- Це екосистема. Там є держслужби і приватні компанії, які з ними співпрацюють. У Росії неможливо розвивати кібербізнес, не взаємодіючи з державою.

З відносно недавнього можна згадати компанію Group-IB, відому за межами РФ, яка аналізує кіберзагрози. Її засновника Іллю Сачкова у 2023 році засудили до 14 років за держзраду. Як пізніше стало відомо з медіа, Сачков передав американцям дані про Fancy Bear (хакерське угруповання, намагалося вплинути на президентські вибори в США у 2016 році - ЕП), яке допомогло виявити частину російських спецслужбістів. Імовірно, діяв неузгоджено і за це поплатився.

Чи існує у них централізований орган, який встановлює цілі для нападів?

-- Думаю, усе працює за принципом "непрямого управління". Керівник не наказує, що потрібно робити, а каже: "Треба, щоб не працювала енергетика" або "Транспорт має зупинитися". Після цього виконавці самі вирішують, як це реалізувати.

Отже, встановлюється лишь курс.

-- Так. Це схоже на східну культуру управління, коли ти отримуєш сигнали чи натяки. Я спілкувався з багатьма людьми і ніхто не згадував про конкретну особу, яка "курує" російську кібербезпеку. Такої фігури, принаймні публічної, немає.

Ось нова версія вашого тексту: -- Нещодавно з'явилися розповіді про ГРУ та військові підрозділи. Чи є це елементом більш широкої системи?

-- Так, це структури, які виконують фінальну фазу атак. Однак є й інші гравці, ті, хто створюють інструменти.

Отже, деякі групи займаються розробкою інструментів для проведення атак?

Звісно. Деякі приватні або напівлегальні фірми розробляють технології, які згодом використовують спецслужби чи різноманітні угруповання для виконання специфічних завдань. Це є складною системою, де жодна особа не виконує все сама, але кожен займається своєю частиною роботи.

Чи мають російські хакери якісь унікальні риси?

Їх характеризує шовіністичне та імперське ставлення: "Ми на чолі, ми все розуміємо". Незважаючи на те, що ці сучасні спеціалісти виросли в епоху інтернету і мали доступ до великої кількості інформації, більшість з них залишилася в рамках парадигми "мать Россия". Багато з них могли б виїхати за кордон і заробляти значні кошти, але за ідеологічними переконаннями їм не вдалося вирватися з цього кола.

-- Я читав, що російська хакерська спільнота не дуже інтегрована зі світом.

Звісно. Поділюсь власним досвідом. Кілька років тому я разом із другом створював спільноту, присвячену реверс-інжинірингу. Мій товариш – українець, народився тут і закінчив Національний авіаційний університет. Проте в 2014 році, під впливом пропаганди, він вирішив, що є "великим росіянином". Він залишив свою роботу в Samsung і поїхав до Росії, щоб знайти нові можливості.

Спочатку він мріяв про роботу в "Лабораторії Касперського", але, на жаль, його не прийняли. Можливо, ФСБ вважала його "засланим козачком". Його знання англійської мови обмежувалися лише читанням, і це не є рідкістю. Багато людей у цій сфері не володіють розмовною англійською, не беруть участі в міжнародних дискусіях, хоч і здатні знаходити та накопичувати інформацію. Вона нагадує закриту екосистему, що активно поглинає, але мало що віддає в обмін.

Яким чином вони визначають об'єкти для своїх нападів? Це випадкові акти насильства чи ретельно організовані операції?

Вони діють зосереджено та застосовують різноманітні методи. Наприклад, можуть використовувати фішинг або атаки на суміжні елементи, відомі як supply chain-атаки. Якщо їм не вдається безпосередньо проникнути в Мін'юст, вони намагаються атакувати більш вразливу ланку – податкову службу. Через неї надсилають виглядаючий легітимно лист із шкідливим додатком.

Вони чітко усвідомлюють свої цілі, що дозволяє їм успішно вторгатися у військові системи, збирати інформацію або, як у даному випадку, атакувати Signal, оскільки усвідомлюють його важливість.

Яка вартість виконання кібератаки?

Ціна операції визначається її метою. Наприклад, атака на високо захищене підприємство, таке як завод, що виготовляє зброю і оснащений новітніми технологіями та програмним забезпеченням, може обійтися в десятки мільйонів доларів.

На що витрачаються ці кошти?

-- Оплата праці, проведення досліджень, створення інструментів, реалізація атак. Будь-яке програмне забезпечення має свої недоліки, навіть найсучасніше, але виявлення їх є справжнім науковим викликом. Ми виходимо з того, що вразливість існує, але її місцезнаходження залишається невідомим.

Іноді трапляється, що витрачаєш свої зусилля, але не досягаєш бажаного результату?

Абсолютно вірно. Можна вкласти величезні кошти і залишитися ні з чим. Це і є основна проблема: не всі готові ризикувати, адже результат може бути відсутнім.

Хочу поділитися цікавою історією. Існує ринок так званих zero-day-експлойтів — це вразливості, про які виробники ще не знають і які не були усунені. Вважається, що продукти Apple, зокрема iPhone, є одними з найскладніших для злому. Один мій знайомий працював у команді, що займалася дослідженням таких вразливостей. За його словами, ціна одного експлойту для iPhone могла досягати кількох мільйонів доларів.

Одного разу він був залучений до розслідування справжньої атаки, що сталася на Близькому Сході. У цьому випадку журналіст, який висвітлював питання, що викликали занепокоєння у місцевої влади, отримав текстове повідомлення, що містило шкідливий код. Цей код мав активуватися при відкритті повідомлення, але журналіст вирішив не відкривати його і передав його команді, в якій працював мій знайомий.

Фахівці витягли експлойт з повідомлення, проаналізували його, а згодом опублікували результати. Таким чином, хакери "спалили" інструмент, який, за оцінками, коштував близько чотирьох мільйонів доларів.

-- Чи можна сказати, що росіяни не шкодують грошей на кібератаки?

Так, вони протягом багатьох років послідовно вкладають кошти в цю сферу. Такі компанії, як Positive Technologies, Digital Security або Kaspersky, володіють потужними центрами досліджень і розробок, які виявляють вразливості в широко використовуваному програмному забезпеченні та в системах критичної інфраструктури.

Яка нині ситуація з кібербезпекою в Україні, зокрема в державному секторі?

-- У 2015 році ми були на початковому етапі. Зараз ситуація значно змінилася. Повністю запобігти кібератакам неможливо, але якщо постійно моніторити й впроваджувати правильні контролі, то можна зменшити шкоду.

У кіберпросторі багато залежить від фінансування. Це гонка бюджетів: у кого він більший, той перемагає. Якщо у ворога є десять мільйонів доларів, а в нас на захист - пʼять, то перевага буде на боці нападника. До того ж захищатися важче і дорожче.

-- Хто задає тенденції: нападники чи оборонці?

Все залежить від винахідливості. Якщо захисник зможе виявити економне та дієве рішення, він здобуде перемогу. У випадку, якщо нападник реалізує недорогу та успішну атаку, то перемога буде на його боці.

Чи виникає все це в умовних відділах наукових досліджень та розробок?

-- Так, але в Україні з цим складно. У нас R&D - це радше побічний ефект основної роботи, коли хтось у процесі щось придумав і реалізував. Повноцінних R&D в наших компаніях майже немає.

Яким чином ви б охарактеризували рівень кібербезпеки у державному секторі?

-- Найбільша проблема - формальне ставлення. Це стосується і приватних компаній. Так, у нас є великі регулятори, наприклад, Держспецзв'язку, але часто вони неповороткі і довго адаптуються до змін. Хоча війна дала поштовх до змін.

Багато фахівців з бізнесу перейшли в армію, СБУ та Держспецзв'язку і принесли туди більш гнучке мислення, фокус на результат. З'явився ефективний менеджмент, як у бізнесі: є ціль, є KPI, є адаптація. Це вже помітно.

У березні в Києві відбувся форум, присвячений кіберстійкості, на якому також проходили змагання CTF. Команди з державних структур зайняли перші місця. Десятирічної давності перемога або навіть потрапляння до десятки з будь-якої державної команди було б великою новиною. Нині ж державний сектор випереджає комерційний, адже в ньому працюють мотивовані фахівці з бойовим досвідом і реальними досягненнями.

Однак іноді виникають ситуації, подібні до випадку з ДП "Національні інформаційні системи".

Так, таке трапляється. Згідно з інформацією, яку я отримав з неофіційних джерел, НАІС тривалий час не інтегрувалися в систему моніторингу Держспецзв'язку, хоча саме це могло б допомогти зафіксувати підозрілу активність.

Коли ж в Росії стануть свідками того, що відбувається у нас?

Такі ініціативи вже існують, однак, в основному, вони мають характер хактивізму. Українські експерти, які працюють на основній посаді, часто в державних установах, у вільний час займаються цими питаннями. Офіційно ж у нашій країні не створено чітко визначених кіберпідрозділів для атак. Навіть якщо подібні операції здійснює якась служба безпеки, все це проходить у неформальному руслі.

Проте на самому початку конфлікту була сформована ІТ-армія.

На основі спільнот були організовані чати, в яких волонтери надавали підтримку державі: консультували щодо закриття вразливостей і надавали фізичну допомогу. ІТ-армія, в свою чергу, являє собою скоріше проєкт хактивізму. Її діяльність зосереджена на проведенні DoS-атак, які є простим інструментом із обмеженим впливом. Це більше символічний жест, ніж реальна шкода.

— Чи можемо ми порівняти щось із російськими кібервійськами, як структурою ГРУ?

Ні, в Україні немає офіційних структур, які б займалися такими справами. Існує тільки оборонна складова. Формально ми не маємо права на ведення атак. Можливо, наші спецслужби володіють подібними можливостями, але це не розголошується, і, ймовірно, вони функціонують під іншим статусом.

— Чи хтось наважиться про це висловитися публічно?

Абсолютно вірно. Існує декілька факторів. По-перше, це питання міжнародного права. По-друге, коли офіційно визнається участь у нападі, виникає прецедент. Навіть Сполучені Штати, які володіють підрозділами для проведення кібероперацій, практично ніколи не визнають свою причетність.

Чи виникають у нас часті серйозні кібератаки, про які замовчують?

Важко дати однозначну відповідь. За моїми спостереженнями, на кожен публічно обговорюваний випадок припадає принаймні чотири, про які не говорять. Це особливо стосується приватного сектора. Наприклад, нещодавно в ботах, що збирають інформацію про людей, з'явилися дані, які вказують на те, що частина відомостей була "викрадена" з мереж аптек. Це чіткий сигнал про можливе "витікання", але офіційного підтвердження цьому досі немає.

Чи повинна держава в подібних ситуаціях відкрито обговорювати інциденти, чи краще їх замовчувати?

У період війни складно сформулювати чітку відповідь, оскільки я не є військовим експертом. Варто зробити розмежування: якщо мова йде про загальні питання, що стосуються Сил оборони, ймовірно, не слід їх публікувати. Однак, якщо ми торкаємося теми цивільних компаній, то відкритість у висвітленні ситуації може бути корисною, адже це дає можливість іншим вчитися на чужих помилках.

Наприклад, "Київстар" визнав тільки те, що їх зламали, але справжня співпраця почалася лише після зламу УЗ. Тоді фахівці оператора приїхали допомогти з відновленням. Однак це вже як допомога після того, як людина зламала ногу.

Чи є у нас платформи для обговорення подібних інцидентів?

Ні, подібного механізму у нас не існує. Наприклад, у Сполучених Штатах деякі компанії мають обов'язок відкрито інформувати про випадки зламу. Це робиться у формі детального звіту, доступного для всіх бажаючих. У нашій країні ж така інформація часто поширюється "через знайомих". Хтось дізнається щось нове, передає це далі, і, можливо, це стане корисним для когось іншого.

Також ми нечасто спостерігаємо, щоб винні з’являлися після подібних ситуацій.

Так, це також є серйозною проблемою. Навіть якщо компанія стає жертвою хакерської атаки, вона звертається до спеціалістів для відновлення систем. Після цього всі просто замовкають. Відсутня відповідальність, а інвестиції в кіберзахист з’являються лише після інциденту. Яскравим прикладом є вірус Petya, що вразив багато організацій у 2017 році через бухгалтерську програму M.E.Doc. Яку відповідальність понесла ця компанія? Лише вибачилася перед своїми клієнтами.

Чому ринки кібербезпеки в Європейському Союзі та США мають більший розвиток, ніж у нашій країні? Однією з ключових причин є наявність чітких регуляторних норм. Якщо компанія порушує встановлені вимоги, їй загрожують значні штрафи або навіть заборона на ведення діяльності в цьому секторі. Саме з цієї причини ми в AmonSul приділяємо особливу увагу західним ринкам.

Чому це відбувається?

-- У нас немає лідерства в цьому за державною вертикаллю. Є ухвалена і навіть підписана президентом доктрина про кібервійська, був і відповідний законопроєкт. Проте цього недостатньо, оскільки будь-який закон має хтось реалізовувати. Потрібна конкретна людина, яка піде і почне все це робити.

В Україні активно реалізується процес цифровізації. Які ризики в цій сфері можуть виникнути з точки зору кібербезпеки?

Будь-яка цифрова трансформація на початку супроводжується ризиками, і це абсолютно нормально. Найголовніше — не ігнорувати питання безпеки та ефективно управляти ризиками. Наприклад, при створенні програмного забезпечення аспекти кібербезпеки повинні враховуватися вже на етапі проектування, а не лише після його впровадження.

В Україні активно впроваджують нові технології. Наприклад, проєкти "Дія", "Мрія", "Армія+" та "Резерв+" є яскравими прикладами цього процесу. Коли ці платформи запускали, питання кібербезпеки не було в пріоритеті. Наразі ж почали залучати фахівців, переглядати архітектуру системи та здійснювати вдосконалення.

В Україні час від часу виникає дискусія щодо виборів. Одним з можливих варіантів їх організації є електронне голосування, зокрема через платформу "Дія". Які ж ризики можуть бути пов'язані з цим підходом?

Найбільша загроза полягає у валідації виборців. У традиційних виборах ви входите в кабінку, де вас ніхто не спостерігає, і ваш вибір залишається конфіденційним. Проте в цифровому форматі важко забезпечити, що рішення натиснути на кнопку за Зеленського, Порошенка чи будь-кого іншого прийняв саме Іван, Сергій чи Петро, без стороннього впливу.

Зі зростанням технологій штучного інтелекту ці виклики стають ще більш актуальними. Якщо зловмисники здатні імітувати ваше обличчя та голос, хто може запевнити, що хтось не проголосував від вашого імені? Навіть цифрові підписи не застраховані від технічних помилок.

-- Чи можуть росіяни заблокувати таке голосування?

Це цілком справжня небезпека. Російські війська можуть націлитися як на інфраструктуру, так і на процес голосування. Уявімо собі, що система верифікації у "Дії" має певні обмеження. Наприклад, може бути встановлено ліміт на кількість запитів на підтвердження, щоб запобігти атакам типу DoS.

Якщо система не здійснює перевірку відправників запитів, зловмисники можуть в широких масштабах підробляти їх, використовуючи справжні ідентифікаційні дані. Як наслідок, реальний користувач, намагаючись проголосувати, може отримати блокування на, скажімо, 30 хвилин. Якщо це станеться ближче до кінця виборів, йому може не вистачити часу, щоб виконати свій голос.