Дія, злив даних про вакцинацію і російські соцмережі, – в РНБО розповіли, хто атакує Україну

Хакери яких країн, навіщо і яким чином атакують нашу країну, і як таблиця з особистими даними вакцинованих українців опинилася на сайті Міністерства охорони здоров'я – 24 каналу на першому щорічному форумі з кібербезпеки CS2 DAY розповів провідний інспектор Національного координаційного центру кібербезпеки (НКЦК) при Раді національної безпеки і оборони (РНБО) Олександр Галущенко.

Зверніть увагу! 24 канал додатково отримав коментарі у керівника управління забезпечення діяльності НКЦК при РНБО України Сергія Прокопенка.

Хакерські атаки та кібергігієна

З 2016 року працює НКЦК при РНБО. Як змінювався підхід до роботи в координаційному центрі за останні п'ять років?

З 2016 по 2019 роки НКЦК займався документальними та аналітичними речами. Зараз же додалася робота з технічними даними, і ми повною мірою виконуємо покладені на нас обов'язки.

Цікаво Рейдерські захоплення, скандал з Huawei і кібератаки: як Держспецзв'язок захищає Україну

У липні 2020-го ви розповідали, що на території окупованого Сходу знаходиться найбільше пристроїв, за допомогою яких атакують інфраструктурні об'єкти в Україні. Чи змінилася ця тенденція?

Найчастіше за останній тиждень Україну атакували з Південної Америки, Китаю, Росії і, як не дивно, Болгарії. Там просто дуже доступна оренда серверів.

За словами керівника управління забезпечення діяльності НКЦК РНБО України Сергія Прокопенка, раніше для атак використовувалися просто зламані пристрої чи проміжні точки – проксі, зараз же для атак створюються цілі мережі.

Експерт пояснив, що мережі мають одну точку включення в сірій зоні, на окупованих територіях України, а іншу – в тій чи іншій країні світу. Кількість таких організованих мереж постійно зростає.

За більшістю кібератак на критичну інфраструктуру України та державні установи стоїть РФ, Північна Корея, Іран, додав він. Їх цілі – шпигунство, контроль інфраструктури або захоплення управління тими чи іншими об'єктами критичної інфраструктури.

Чому ви не назвали КНДР? Наприклад, у Держспецзв'язку вважають, що північнокорейські хакери атакують Україну нарівні з росіянами.

Відстежити щоcь неможливо. У КНДР є свої хакерські групи, які базуються в інших країнах. Тому їх не можна ідентифікувати в Північній Кореї. Отримати інформацію можна тільки по модифікованих експлойтах (підвид шкідливих програм – 24 канал) в pdf-файлах.

А визначити КНДР можна за простим ланцюжком: китайські хакери крадуть у Північної Кореї цей експлойт. Американські – віджимають його у китайських, і тільки потім наші діячі віджимають у них. Зрештою експлойт потрапляє в мережу даркнету, і через якийсь час стає доступним для досліджень.

Найчастіше Україну атакують хакери з Росії, Ірану і КНДР / Фото Валентини Поліщук, 24 канал

Які відомства найчастіше атакують кіберзлочинці з Китаю, Росії та Північної Кореї?

На сьогодні найосновніший вид атак – це розсилка "шкідників" з компрометованих поштових адрес державних органів. Наведу живий приклад. 16 і 17 вересня з компрометованих ящиків за добу розіслали 450 – 350 тисяч заражених листів.

Фішинг – це один з найпопулярніших видів кібератак. Сам користувач запускає шкідливу програму, клікаючи на вкладення або посилання в e-mail або месенджері. Далі кіберзлочинці отримують доступ до паролів і логінів, або комп'ютер заражається вірусом", – пояснив Сергій Прокопенко.

Можете сказати, скільки чиновників їх відкрили?

Дуже багато. Точно сказати не можу.

За словами Сергія Прокопенка, середній відсоток відкриття таких вкладень коливається від 5 до 30% – все залежить від органу державної влади та рівня знань держслужбовців.

"Зараз запущено кілька програм з кібергігієни в багатьох організаціях, і всі співробітники, які мають доступ до комп'ютера, зобов'язані пройти тренінг", – розповів фахівці.

Що потрібно зробити, щоб поліпшити обізнаність громадян у питаннях кібербезпеки?

В першу чергу потрібно всім пояснити певні правила поведінки в мережі. Співробітникам держорганів важливо зрозуміти, як працювати з їх системами. Ну, і бізнесу необхідно прислухатися до рекомендацій фахівців з кібербезпеки.

Основним видом атак в Україні є розсилка "шкідників" / Фото Валентини Поліщук, 24 канал

Дія, злив даних і російські соцмережі

На форумі Ви чимало говорили про довіру до держави. Однак чи можна їй довіряти? Багато хто скаржиться на роботу програми Дія, в тому числі на злив даних…

Насправді, ніким не підтверджено, що з Діі зливаються дані. Це лише здогадки та припущення.

Підтверджено. Цієї весни особисті дані вакцинованих з'явилися на сайті МОЗ у вигляді таблиці в Excel. Протягом двох днів всі бажаючі могли її завантажити. Цю інформацію люди надавали при реєстрації в Дії. Таблицю прибрали тільки після того, як виник суспільний резонанс...

На цю таблицю на сайті МОЗ нам вказав небайдужий громадянин, і через два дні її закрили. Не можна сказати, що це проблема системи. Швидше, це проблема недбалого ставлення працівників до виконання своїх обов'язків.

Ще раз кажу. Людей потрібно навчати. Техніка робить тільки те, що говорять їй люди. Якщо люди дають неправильні команди, то техніка виконує неправильні дії.

Медичні інформсистеми на постійній основі мають доступ до реєстрів, у тому числі щодо вакцинації, акцентував Сергій Прокопенко.

"Електронна система охорони здоров'я всього лиш звертається до цих даних і запитує їх в той момент, коли ви запитуєте свій COVID-сертифікат. Некоректно говорити, що та інформація стала доступною в результаті витоку з Діі", – запевнив він.

У такому випадку чи може громадянин отримати матеріальну компенсацію у держави? Особисті дані людей все ж оприлюднили.

Я не знаю.

Ваші дані теж були в цій таблиці?

Я не буду ні підтверджувати, ні спростовувати цю інформацію.

Читайте Скільки коштують дані українців і чи безпечно завантажувати Дію, – інтерв'ю з "білим" хакером

В Україні під забороною робота російських соціальних мереж "ВКонтакте" й "Однокласники". Але українці і далі користуються ними. Поясніть людям, чому це небезпечно.

Дані українців з російської соціальної мережі збирають і використовують російські спецслужби. Уподобання, інтереси, марка телефону, реклама... коли всі ці речі збираються разом, то можна створити профіль користувача і знайти про нього багато цікавих речей.

У Сергія Прокопенка ми запитали, чому листування нардепів нерідко з'являлися в Telegram-каналах "Джокер" і "Темний лицар", та як це впливає на кібербезпеку країни.

"Це питання не пов'язане з кібербезпекою безпосередньо. Ми фактично говоримо про гібридні загрози. Насправді, депутати проходять курс "Основи кібербезпеки", і їх рівень кібергігієни вищий, ніж в середньому по країні", – сказав фахівець.

За його словами, Telegram-канали "Джокер" і "Темний лицар" – частина інформаційних операцій Росії, спрямованих проти України.

Як захиститися від кібернападів

На вашу думку, яка операційна система краще захищає від кібератак і вірусів? Windows, macOS, Linux…

Для кожного завдання – своя операційна система. Windows, macOS, Linux за правильного підходу забезпечують достатній рівень безпеки. Основна проблема полягає в тому, що ми запускаємо все це з коробки і ніколи не читаємо інструкцію. Наведу приклад.

Коли купується пральна машинка, то ти відкриваєш інструкцію і дивишся, які кнопки натискати, як нею користуватися. Але все одно є деякі індивідууми, які відразу щось прикручують, включають. Потім через тиждень вони дивуються, чому вона вийшла з ладу. Те ж саме і тут.

Використання неліцензійного програмного забезпечення несе в собі ризики бути інфікованим з моменту встановлення операційної системи. Коли ви завантажуєте якусь "крякалку", якийсь механізм, то будьте готові до всього. Наприклад, операційну систему можуть інфікувати і злити всі дані.

Дайте основні поради українцям, як себе захистити.

Включайте мозок і читайте інструкцію!