Грозят ли Украине в 2018 году кибератаки по типу вируса Petya.А

Волна кибератак поразила и парализовала в этом году и государство, и частный сектор. Украина впервые всерьез задумалась над необходимостью усиления кибербезопасности госорганов. Что сделало государство для предотвращения новых угроз, сколько на это потратило и что делать нам, обычным пользователям, чтобы чувствовать себя защищенным в цифровом мире?

Вирус Petya.А: что потеряли и чему научились?

На протяжении 2017 года Украину накрывали несколько массовых кибервирусов. Они проникали не только на частные компьютеры, но и ставили под угрозу деятельность госорганов и стратегических объектов страны. Самым нашумевшим был вирус-вымогатель под названием Petya.A. 27 июня под его удар попали многие госструктуры и частные компании. Кибератаке подверглись Кабинет Министров, Ощадбанк, Укрэнерго, Новая почта, аэропорт Борисполь, Чернобыльская АЭС, ряд сетей супермаркетов, тысячи частных предприятий. Вирус распространился по стране буквально за несколько часов. После атаковал и ряд других стран. Возобновить работу пораженных компьютеров удалось лишь через три дня.

Ущерб, нанесенный вирусом, в мире составил 8 млрд долл. По оценкам главы набсовета «Октава Капитал», создателя общественной инициативы «Гражданская кибероборона» Александра Кардакова, вирус Petya.A так или иначе коснулся 78% украинских организаций. Из них треть была парализовано. Если грубо подсчитать потери в процентах от ВВП, то они составят 10 млрд грн, то есть - 0,4 ВВП страны. По неофициальным данным, страховые компании выплатили своим клиентам, пострадавшим от Petya.А, около 1,5 млрд грн. После такой серьезной атаки в госорганах заговорили о необходимости усилить киберзащиту.

Затраты на безопасность

В 2017 году на усиление киберзащиты в госсекторе из бюджета выделено 505 млн грн. На начало декабря из них потрачено 71 млн грн.

«Во всех компаниях сейчас сумасшедшая гонка – надо что-то делать «на вчера», потому что «горит бюджет», - рассказывает Олег Боднар, директор представительства Cisco в Украине. И это касается не только госструктур, но и частного бизнеса. По словам эксперта, главное достижение 2017 года в вопросе киберзащиты – в стране наконец поняли, что этим действительно нужно заниматься. Но пока процесс идет довольно неуверенно».

Еще одна проблема с направлением денег на киберзащиту – в государстве нет единой стратегии и единого понимания, что именно необходимо делать.

«Вопрос в том, как все запустить, чтобы хватило финансирования. Финансирования много и много концепций. Поэтому никто ничего не делает и все ожидают – как эти деньги будут использоваться», - говорит Максим Литвинов, руководитель ситуационного центра обеспечения кибербезопасности СБУ.

Несмотря на это, за год в стране были созданы ряд структур и подразделений в государственных органах, которые целенаправленно занимаются кибербезопасностью. По словам экспертов, это один из главных позитивных выводов года в этом вопросе – там, где раньше был всего один-два айтишника, сегодня работают целые подразделения специалистов именно в вопросе безопасности.

«Самый главный эффект – реакция на те угрозы, которые могут быть, - говорит Павел Булавин, директор компании «Евротелеком», член Комитета по Кибербезопасности АПКБУ. - Если берем госсектор, то видим, что на данный момент - кто как хочет, тот так и придумывает, как он будет заниматься этим вопросом. Тем, кто этим занимается в госсектаре - не хватает компетенции, опыта и масштаба мысли. А те, кто реально может это делать – за такую зарплату не будут работать».

Где никак без кибербезопасности

В первую очередь, в стране занялись критическими объектами – энергетической сферой, оборонной, транспортной.

По словам R&D директора компании «IT Интегратор», члена Комитета по Кибербезопасности АПКБУ Владимира Курга, к сожалению, не все ориентируются на западные стандарты по кибербезопасности.

«Критическая инфраструктура - это еще и воздушный транспорт. Укррух в этом направление работает и вроде неплохо. Морской транспорт работает, но есть проблемы с финансированием. Укрзализниця работает, были проведены тендера на систему кибербезопасности, но есть проблемы, и графики пока неизвестны. В Мининфраструктуры был создан специальный орган, который должен выполнять роль координирующей структуры. Но он только создан и пока результатов нет», - рассказал Кург.

Лучшие результаты в усилении кибербезопасности, по словам специалистов, показали в сфере оборонки. В ВСУ был создан центр по кибербезопасности, который уже работает. Как в сфере защиты, так и в сфере информирования по правилам безопасности в сети. Что касается Укборонпрома, то там, по информации Курга, также работает специальный орган, но это – коммерческая структура, которая сотрудничает только с отдельными его направлениями.

Кадровый голод

Главной проблемой создания эффективной киберзащиты в государстве эксперты называют отсутствие надлежащего уровня специалистов.

«Госпредприятия боятся вкладывать в обучение специалистов. Потому что – обучил, подготовил и потерял», - поясняет Кург.

Другие эксперты также согласны, что с кадрами в стране возникают проблемы, потому что беспрерывно идет «вымывание мозгов» заграницу. В госорганах работать специалисты не хотят из-за низких зарплат. При этом, тех профессионалов, которые уже там работали, переманивают к себе частные предприятия с большими окладами. Как например, это сделали мобильные операторы, которые, кстати, благодаря этому выстояли во время атаки Petya.А.

«Недавно был флешмоб, который показал, как с помощью Google можно найти огромные дыры в кибербезопасности госорганов и открытости персональных данных. И это может сделать любой, кто хоть немного умеет пользоваться интернетом, - рассказывает Виталий Якушев, операционный директор компании 10Guards. - В наших госорганах не просто халатное, а наплевательское отношение к кибербезопасности. Вопрос не в том, что нет специалистов, а в том, что в госорганах они не хотят работать. Там самый низкий уровень специалистов которые никак не занимается этим».

Законодательный аспект

Первые шаги по кибербезопасности в масштабах страны были сделаны и на законодательном уровне. 7 ноября президент Петр Порошенко подписал закон «Об основных принципах обеспечения кибербезопасности Украины», принятый за месяц до этого. Согласно закону, президент координирует деятельность в сфере кибербезопасности через возглавляемый им Совет национальной безопасности и обороны. Документ определяет основные объекты киберзащиты, которые составляют критическую инфраструктуру страны, принципы ее обеспечения и национальную систему кибербезопасности.

По словам специалистов, этот закон – путь в правильном направлении. Но в своей сути он не прописывает главных правил по кибербезопасности. Это поверхностный первоочередной документ, который только называет дефиниции. Задача на 2018 год – принять законопроекты, которые по факту уже регулировали бы вопросы киберзащиты.

«В этом законе нет конкретики. Закон о кибербезопасности как таковой будет принят в ближайшее время. Надеемся, что в течении полугода должны принять дополнительные более глубокие документы, которые раскрывают и дополняют то, что указано в «основных засадах», - говорит Якушев.

Накануне на заседании Кабмина было оговорено то, что в ближайшее время правительство будет более глубоко заниматься вопросами кибербезопасности. Однако сроков выполнения этих планов озвучено не было. Речь идет о более длительной перспективе.

«Все ждут нормального закона. Где будут приняты регуляторы в этой сфере. Нужен жесткий регулятор», - добавил Булавин.

Что же касается результатов, то все же принятие этого закона – шаг вперед. «Однозначно за год-полтора в законодательной сфере намного больше сделано, чем за 20 лет. Да, далеко от идеал, но это только начало пути», - подчеркнул Боднар.

Однако, сетуют эксперты, пока речь идет о регулировках киберзащиты только в государственном секторе. Частный бизнес остается один на один в борьбе с киберпреступностью и хакерскими атаками.

С чем идем в 2018 год. Главные выводы

Главные выводы 2017 года: к государству и частному сектору пришло осознание того, что мы живем в цифровом мире, где кибергигиена и киберзащита также важны, как и любой другой вид жизнедеятельности современного человека. По оценкам специалистов, за этот год впервые предприятия всерьез озаботились своей цифровой защитой. Государство же начало выделять средства на борьбу с киберпреступностью.

Сколько понадобится времени, чтобы мы хотя бы приблизились к международному уровню защиты – не берется сказать никто. И это при том, что даже самые защищенные сферы жизни мировых стран регулярно подвергаются атакам хакеров. По всему миру каждую секунду происходит тысячи таких атак, и обезопаситься от них все сложнее.

Задача государства - сделать так, чтобы мы не были зависимы от безумных мыслей понимающего в компьютерах школьника. Пока же уровень защиты даже стратегических объектов страны очень низок.

«События этого года доказали утверждение - безопасность это не продукт, это – процесс», - говорит Бондар.

С ним соглашается и Якушев: «Кибербезопасность выходит из уровня андеграунда на уровень менеджмента. Бизнес начал с нами говорить и понимать, что это нужно».

Собственно, еще одна особенность 2017 года, которая перенесется и на следующий, 2018 – довольно опасный характер атак. Целью таких вирусов как Petya.А, было нанесения ущерба без приобретения дохода. И это тренд этого года не только в Украине, но и во всем мире. Поэтому делать прогнозы – чего ждать, специалисты не берутся. Но вот защищать себя в цифровом мире советуют каждому.

Олеся Дубовик