Рік почався з кібератаки: що вже відбулося і що чекати у майбутньому?
18.01.2022
Зранку 14 січня українці прокинулися під набат новин: офіційні сторінки державних структур піддалися хакерському нападу. Загалом паралізувало понад 70 сайтів та сервісів, передусім державних. На певний час «зліг» також сервіс «Дія». Офіційні повідомлення від кіберполіції, СБУ та інших урядових структур заспокоюють громадян, мовляв, витоку інформації із баз даних не сталося, а розслідування триває. Втім, все більше в мережі з’являється цитувань та коментарів від експертів високого рівня, які запевняють – не так все просто в діджитал-світі і подібні хакерські напади слугують не лише для попередження чи демонстрації сили. Закономірність тут проста: чим більше «оцифрованим» стає світ, тим більше вразливий він до кібератак, а відповідно і до витоку даних, реєстрів та приватних відомостей.
14 січня хакери, які видавали себе за поляків, атакували сайти низки міністерств, Кабміну, Нацбанку та сайт «Дії». На стартовій сторінці Міносвіти і МЗС було розміщено повідомлення українською, російською та польською мовами про те, що особисті дані українців будуть у загальному доступі в мережі. СБУ разом з Держкомзв’язку заявили, що витоку персональних даних внаслідок атаки не відбулося. Міністерство цифрової трансформації оприлюднило офіційну заяву у зв’язку з хакерською атакою на урядові сайти.
За інформацією Центру інформаційної безпеки, за кібератакою проти України стоїть Росія. А версію про причетність до атак Польщі спростовує те, що польський текст писав не носій мови.
Україна переживає вже не першу кібератаку на своєму шляху. Варто згадати хоча б те, як у 2017 році вірус “Petya.A” заразив комп’ютери кількох міністерств, енергетичних компаній, банків, ЗМІ, мобільних операторів, мереж заправок, київського аеропорту Бориспіль і київського метро. У 2015 році кілька українських обласних енергорозподільчих компаній стали жертвами кібератаки, яка призвела до відімкнення світла у десятків тисяч споживачів.
Таких нападів регулярно зазнає кожна країна і від цього ніхто не застрахований. Втім, здатність держави подбати про безпеку персональних даних своїх громадян, це вже предмет для обговорення.
Єгор Аушев, засновник і керівник Information Security Group, радник керівництва Державної фірми “Укрінмаш“, в інтерв’ю ВВС Україна, сказав:
«Раніше експерти говорили, що всі компанії діляться на тих, кого “вже зламали” і тих, кого ще “зламають”, зараз ситуація змінилась і компанії умовно можна поділяти на тих кого вже “зламали”, і тих, кого “зламали”, але вони про це ще не знають. Я боюсь, що в Україні дуже велика кількість компаній і держустанов, які навіть не здогадуються про проникнення до них хакерів.
Експерти порахували, що сучасні професійні атаки залишаються непоміченими в інфраструктурі компанії в середньому впродовж 8 місяців, а якщо не приділяти цьому уваги, то і значно довше. Не виключено, що в комп’ютерних мережах деяких державних відомств та підприємств вже сьогодні живе хакерський вірус, який просто ще не дав про себе знати, але збирає потрібну йому інформацію і очікує на подальші вказівки свого замовника».
Цифрові технології спрощують життя чи наражають на небезпеку?
Загальна діджиталізація та сам безпосередньо застосунок «Дія» дещо спростив життя українців. Тепер не треба носити з собою паперові документи, стояти в довгих чергах – багато справ можна робити через смартфон. А оплата штрафів і комуналки, запис до сімейного лікаря чи сервісного центру МВС, багато інших операцій через гаджети уже настільки стали звичними, що ми навіть забули, як можна жити по-іншому.
Разом з тим, Андрій Баранович (відомий як Шон Таунсенд), ІТ-експерт в інтерв’ю для The Times розповів, що влада приховує вразливість кіберсистеми України: «Влада боїться того, наскільки незахищеними є наші інформаційні системи, але хоче приховати це від суспільства». У 2018-му хакерська група Барановича RUH8 почала тестувати інформаційну безпеку українського уряду. «Не використовуючи спеціальні пристрої, ми отримали доступ до комп’ютерів міністерств юстиції та охорони здоров’я. Ми виявили, що навіть атомні електростанції є вразливими», – говорить ІТ-експерт в інтерв’ю.
Ще один вражаючий коментар зробив Богдан Буткевич, журналіст, медіа-експерт, політичний аналітик. На своїй сторінці в фейсбук він написав:
«Отже, вже кілька джерел з влади та знайомі ITшники високого рівня стверджують, що в результаті хакерської атаки рашки в ніч на п’ятницю була зламана і приложуха “Дії”. Те, що вона у вас відкривається, ні про що не свідчить. Мова про те, що її архітектуру і безпеку зламано. Крім того, серйозно постраждали бази даних багатьох реєстрів. Наприклад – автоцивілка.
За великим рахунком, розмір шкоди ще досі не прорахований. Натомість, Мінцифри намагається загасити скандал. І не говорить про реальний масштаб того, що сталося. Тоді як ситуація насправді дуже серйозна. І рівень цієї атаки такий, що за ступенем шкоди його можна прирівняти до бомбардування».
Через «Дію» – на органи
Станом на кінець 2021 року застосунком «Дія» користуються понад 12 мільйонів українців. За рік кількість користувачів зросла у 5 разів. Основною причиною такої популярності застосунку стали в тому числі сертифікати вакцинації. Втім, всезагальної радості не розділяє адвокат, резидент Кабінету експертів Анжела Василевська. Вона проаналізувала законодавство України і знайшла загрозу здоров’ю та життю українців. Зокрема, експерт говорить:
«В зв’язку з хакерською атакою на сайти державних органів, зокрема на сайт «Дію», я змушена попередити українців про небезпеку безпосередньо їхньому життю та здоров’ю і їхнім родичам. Небезпека пов’язана із тим, що відповідно до Закону від 16 грудня 2021 року, яким вносилися зміни до Закону «Про застосування трансплантації анатомічних матеріалів людині», який набрав чинності 7 січня, може надаватися згода на посмертну трансплантацію через застосунок «Дію» в електронній формі без засвідчення нотаріального підпису особи.
В зв’язку з тим, що держава не контролює надійність «Дії», не контролює виток інформації, про що свідчить остання хакерська атака, може статися так, що в «Дії» з’явиться якась згода, яку ви не надавали насправді, наприклад, на трансплантацію ваших органів чи органів ваших близьких.
Не можна це робити через якісь електронні сервіси! В зв’язку з тим, що підтвердилася неспроможність держави захистити наші персональні дані і захистити «Дію» від хакерських атак, негайно потрібно внести зміни до цього закону і повернути ту редакцію, яка була раніше, де вимагалася нотаріально засвідчена згода людини на її посмертну трансплантацію».
Онлайн-вибори в Україні
У листопаді 2021 року Олексій Віскуб, перший заступник голови Мінцифри заявив, що Україна готова до впровадження системи онлайн-голосування на виборах. Але для реалізації цього треба відповідні рішення Верховної Ради та Центрвиборчкому.
Михайло Федоров, віце-прем’єр-міністр, міністр цифрової трансформації України, сказав, що українці зможуть на чергових виборах президента у 2024 році проголосувати через інтернет. А також він пообіцяв зробити все можливе, щоб пілотний проект електронного голосування запрацював уже на наступних місцевих виборах. Щоправда його колега по уряду, міністр юстиції Денис Малюська прокоментував ідею онлайн-голосування обережніше: «Наскільки я розумію, ніде повноцінних повних виборів через мережу інтернет, в світі немає. Якісь елементи дистанційного волевиявлення є багато де, але це якась частина, у вигляді експерименту, в одному окрузі. Там є ж питання щодо свободи волевиявлення, щодо відсутності підкупу – все це врахувати, щоб воно запрацювало, це мегаскладне завдання».
І тут постає риторичне запитання: як бути впевненим, що після кібератаки на застосунок «Дія», сайти і реєстри стратегічних державних органів персональні дані українців не були зчитані і не використовуватимуться для фальсифікації виборів?
«Використання цифрових технологій створює ризики для національної безпеки та цифрового суверенітету»
Це констатував Сергій Чаплигін, філософ, історик, резидент Кабінету експертів в ексклюзивному коментарі руху «Всі разом!». Він пояснив, що це не тільки хакерські атаки, стеження за громадянами, кібершахрайство, нерівний доступ до технологій, а й залежність держави від іноземних технологій та обладнання.
«Тут ризик полягає у втраті державою довіри громадян. Адже держава — представник громадян, яка захищає їхні інтереси, права та свободи, забезпечує охорону життя та здоров’я, підтримує слабких, керується цінностями тощо. А довіра громадян є запорукою успішного існування держави. Використання цифрових технологій для обмежень і стеження, впровадження цифрових рішень «про всяк випадок» завдає шкоди, тягне за собою фінансові втрати, породжує страхи. Зростання такої недовіри означатиме лише одне – посилення опору цифровим рішенням», – пише Чаплигін у своїй статті на сайті Кабінету експертів.
На думку експерта, найактуальнішими проблемами найближчого часу будуть проблеми техноетики.
Як застрахувати себе від кібератак?
Щоб гарантовано – ніяк. І це не лише про недосконалу українську систему, це про всесвітню діджиталізацію, якою охоплені усі країни. Кілька місяців тому, у вересні 2021 кілька годин були недоступні Facebook, Instagram та WhatsApp. Ширилася інформація про витік персональних даних користувачів Facebook. Масштаби цієї «поломки» всесвітні.
В Україні існує кіберполіція. Де-юре її діяльність повинна бути на попередження кіберзагроз національного характеру. Де-факто – це моніторинг та блокування сайтів з певними словами, які нібито несуть загрозу.
Магістр комп’ютерної інженерії Олександр Дяков розповідає в ексклюзивному коментарі руху «Всі разом!»: «Хакерські атаки спрямовані здебільшого на захоплення інформаційних даних. Це насторожує, оскільки все, що знаходиться в загальному доступі Інтернет, може бути зламане. Сьогодні людство все більше вносить свої дані на різні сайти, в тому числі й державні. Але це серйозний ризик передачі даних третім особам, при чому можна так і не дізнатись, хто саме зламав систему або кому ця інформація знадобилася. Я вважаю, що доки ймовірність злому дуже велика і по сьогоднішній день, максимально не передавати свої дані на будь-які сайти, навіть і державні».
Таким чином, крайня кібератака на українські сайти на сервіси показала недоліки та ризики тотальної цифровізації. Спрощуючи собі життя за допомогою технологій, ми самі себе наражаємо на небезпеку викрадення персональних даних. А тому доцільно з обережністю і необхідним рівнем здорового сумніву користуватися новітніми цифровими благами, які пропонує держава чи окремі люди.
Ольга Дацька, аналітик Кабінету експертів.