Атака на Київстар: хто винен та як захистити український кіберпростір?

Атака на Київстар — відновити все одразу неможливо

За словами хакера HackYourMom Микити Книша, Україна перша у світі зіштовхнулася с такою проблемою.

«До нас у світі подібних атак не було. Чи є фахівці з досвідом для відбиття таких атак на глобальні GSM мережі? Ні, немає. Ми перші у світі. Головний директор Київстар підтвердив, що це кібератака», СБУ відкрила кримінальне провадження. Фахівці Київстару займаються відновленням. За даними ІТ фахівців, для повного відновлення роботи оператору знадобиться 2−3 дні", — каже М. Книш.

На думку експерта з кібербезпеки Костянтина Корсуна, відновити всю систему буде не можливо.

«З інформації, яка є, можна зробити висновки, що була серйозна атака, яка готується місяцями. До речі, вона схожа на вірус Petya 2017 року. Однак для остаточних висновків потрібні технічні подробиці від самої компанії Київстар та СБУ, яка може надати докази причетності до цього рф. Навряд чи — це збій системи. Поломка не може спричинити вихід з ладу ядра системи, адже до неї ще треба достукатися. Щоб достукатися до ядра системи, потрібна робота безлічі фахівців, ресурсів, грошей та часу. Такі операції можуть тривати місяцями або роками. Що насправді знищили та чи всі бекапи знайшли, буде залежати від того, коли мережа відновить роботу. Якщо за кілька днів, то значить, що все більш — менш нормально. Значить подібні сценарії були передбачені. Крім того, відновити можна все. В крайньому разі — поміняти обладнання. Однак одразу відновити все буде неможливо», — каже К. Корсун.

Хто винен?

За словами хакера HackYourMom Микити Книша, атака такого рівня на Київстар не могла пройти без інсайдерів або людей зсередини, які б передали необхідні ключі.

Саме тому фахівець з кібер-безпеки Іван Пєтухов вважає, що збій у роботі Київстару є потужним сигналом для початку його націоналізації.

«На події з Київстаром дивлюся з іншого боку. Тобто, ми як суспільство, та влада в цілому повинні перестати бути толерантними до активів ворога. Ні для кого не є таємницею, що за Київстаром стоїть VEON — груп. А це 100% російський капітал. Якщо ми хочемо, щоб до нас нічого не прилітало на кіберфронті, то повинні спиратися на національні компанії чи компанії з прозорим міжнародним капіталом. Тоді все буде знаходитися під контролем. Коли ж нам — „А какая разница“ та ми сплачуємо Київстару (російськму бізнесу) за мобільний інтернет та зв’язок, то можемо в будь-який час залишитися без них. Не хочу розвивати конспірологію, але варіанти можуть бути різними. Однозначно — Київстар має бути націоналізовано. За визначенням в Україні не може бути з капіталом рф — компанія національного масштабу. А сьогоднішня атака — привід, щоб здійснити цей шлях», — каже І. Пєтухов.

За його словами, в першу чергу треба вирішити технічні проблеми та питання.

«Нагадаю, що в шахеді була знайдена карточка саме „Київстару“. Звідки ми знаємо, що те що відбувається сьогодні не наступний крок нашого ворога, щоб завдавати потужного удари зсередини?», — каже І. Пєтухов.

Однак К. Корсун вважає, що в Київстарі працює кваліфікована команда з правильним розумінням кібербезпеки. А націоналізація вкрай рідко призводить до покращення. Адже приватний бізнес виконує свою функцію краще. Адже є мотивація заробляти гроші.

Також він підкреслив, що не бачить прямого зв’язку між атакою на Київстар 12 грудня та знаходження картки цього оператора в російському шахеді кілька тижнів тому.

«Картку цього оператору можна купити в будь- якому магазині. Наразі ж відбулася атака на ядро системи. однак, навіть якщо і є певні проблеми, то навряд чи націоналізація компанії призведе до покращення ситуації», — каже К. Корсун.

Як захиститися?

Експерт з кіберзахисту К. Корсун нагадав, що росіяни намагалися атакувати операторів мобільного зв’язку та інтернет провайдерів ще наприкінці 2022 року, перед повномаштабним вторгенням. Однак тоді система витримала, бо більшість ключових гравців до цього готувалися.

«Кібератаки проти України тривають з 2014 року безперервно. Сайти Кабміна, Ради, СБУ, атакують по кілька разів день. Наші фахівці локалізують атаки. Однак, кожну систему можна хакнути. Зокрема, були випадки, коли хакали Пентагон на уряди країн ЄС… Для цього лише потрібні ресурси, час та люди», — каже К. Корсун.

На думку, К. Корсуна, для захисту від кібератак, кожна компанія має виділяти на це кошти. Зокрема, наймати фахівців та закупати необхідне обладнання, ліцензії.

«На жаль, багато організацій цього не роблять, бо не розуміють наскільки це важливо. Однак ще раз підкреслю, від кібератак неможливо убезпечитися. Можна хакнути абсолютно всіх, але до атак треба готуватися. Мають бути резервні копії та резервні канали. Це щоденна рутина команди кіберзахисту. Адже постійно трапляються якість інциденти. Більшість з них абоненти просто не бачать, бо наслідки були локалізовано», — каже К. Корсун.

Він підкреслив, що деякі організації понесли збитки внаслідок атаки на Київстар, однак є способи альтернативного зв’язку, тому не варто драматизувати ситуацію.

«Збій в роботі Київстар, не варто драматизувати. Є інші оператори та провайдери фіксованого інтернету зв’язку, супутниковий інтернет. Однак компанії, які побудували свою роботу на мобільному трафіку однієї компанії постачальника — постраждали. Там можуть бути серйозні збитки — не працювали банкомати та термінали. Однак це не трагедія національного масштабу», — резюмує експерт.

Своєю чергою, хакер М. Книш вважає, що поки рано робити висновки, чи можна було відбити цю атаку.

«Поки немає необхідної інформації, щодо вектора атаки. Тому не можна сказати, чи можна було захиститися. на мою особисту думку від цього не можна було захиститися, бо там були інсайдери», — каже М. Книш.

А ось за словами І. Пєтухова, для вирішення цієї проблеми, треба починати з арешту всіх активів та зміни менеджементу, який сьогодні знаходиться в Київстарі. Також треба перевірити всі технічні взаємоз'єднання та дії менеджменту і фахівців Київстару за останні роки.

Удар у відповідь

Чи готують українські фахівці потужну відповідь хакерам, які спричинили масштабний збій в системі Київстар, поки не відомо. Однак за словами, М. Книша, українські хакери вже давно знаходяться у російських мережах.

«Атака на відмову в обслуговуванні є простішою. А ось атака на захоплення системи з метою викачування інформації — трохи складніший рівень. На мою особисту думку, українські кіберфахівці вже знаходяться в мережах так званої рф та не „палять“ свою присутність з метою отримання корисної інформації», — резюмує М. Книш.