Повернення вірусу Petya.A: чи готова Україна та куди можуть вдарити хакери

За інформацією "24", незабаром європейці передадуть до Києва варіант закону, який у парламенті має пройти адаптацію під українське закодавство. Поки що у Брюсселі вважають, що Україна не рухається у цьому напрямку.

Куди може вдарити черговий Petya.A

Розповсюдження вірусу Petya.A влітку цього року був першим справді масовим кіберударом в історії України. За кілька годин він паралізував роботу фондового ринку України, Ощадбанку та низки інших банків, Нової пошти, вразив АЗС та Укрзалізницю. Також зловмисники змогли проникнути у підприємства енергетичної сфери. Вірус швидко заблокував використання пластикових карток і зашифрував жорсткі диски на комп'ютерах.

Читайте також: Закон про кібербезпеку: кого і як захищатимуть

Десятки урядових установ припинили роботу, аби не підчепити вірус. Поки Petya.A ширився – кіберполіція мовчала і лише рахувала кількість звернень.

Ось таку картинку в червні мали нагоду побачити багато українців

Як з'ясувалося, вірус проник на комп'ютери українських компаній через програму M.E.Doс. Ще одним джерелом поширення шкідливого програмного забезпечення були листи з вірусом, які відправлялись у відділи кадрів фірм під виглядом резюме.

Кіберполіція відкрила 23 кримінальних провадження, але розслідувати такі атаки для українських кіберполіцейських є непосильним завданням.

За даними Служби безпеки України, масштабна кібератака була спланована заздалегідь. Головною ціллю кібератаки були об’єкти критичної інформаційної інфраструктури енергогенеруючих та енергопостачальних компаній.

M.E.Doс – не єдина програма масового використання в нашій країні. Деякі експерти з цифрової безпеки вважають вразливими юридичні програми, що використовуються в Україні.

Для всіх правоохоронних органів такою програмою є "Єдиний реєстр досудового розслідувань", де ведеться облік кримінальних проваджень. Використання цієї програми – це вимога закону.

Ще однією програмою є також програма, що використовується прокуратурами по всій країні для обліку та статистики ІАС ОСОП – інформаційно-аналітична система обліку та статистики. Існує третя програма, що замикає цей блок програм – "Єдиний реєстр судових рішень".

Реагування на атаки

Весь захист в Україні здійснюється окремою державною організацією CERT-UA, що підпорядкована Держспецзв'язку. На практиці CERT-UA – це єдиний в Україні кіберцентр і група швидкого реагування на перші вірусні атаки. Подібних кіберцентрів у світі 385. Вони між собою обмінюються інформацією, тому кожна країна може попередити масове зараження.

За словами експерта з цифрової безпеки Дмитра Снопченка, одного центру в Україні замало, аби обробляти всі масиви інформації, вчасно запобігати розповсюдженню вірусу. Його колега, керівник проекту "Кібергвардія" Єгор Аушев додає, що таких центрів потрібно десь 20.

Читайте також: До питань національного кіберзахисту необхідно залучати бізнес, – експерт

Півроку триває в Україні створення нового другого центру, схожого на CERT-UA, на засадах державно-приватного партнерства, але досі продовжується етап паперової роботи. Усе впирається у відсутність нормативних документів, які б зобов'язували відомства надавати інформацію у кіберцентр – у чиновників немає інструкцій.

Державні відомства не поспішають йти на зустріч кібербезпеці, бо ніхто з них не несе відповідальності за втрату даних чи нанесену шкоду від кібератак.

Вони можуть втратити базу даних, але їм байдуже,
– наголошує фахівець Єгор Аушев.

За чотири місяці ситуація у секторі кібербезпеки не змінилася, констатує Аушев. Є лише одна помітна зміна – тепер компанії та державні структури переконалися у серйозності кібератак. Зрештою, всі компанії, які зазнали атаки Petya.A, про це оголосили, бо законодавство нікого не зобов'язує це робити.

Закон про кібербезпеку, прийнятий напередодні Аушев назвав рефератом. На його думку, документ повинен бути не про засади кібербезпеки, а про кібербезпеку по суті. Україні варто використати адаптоване європейське законодавство по кібербезпеці. За інформацією сайту 24, незабаром до профільного комітету Верховної Ради надійдуть зразки такого закону з Європейського союзу.

Чи стане європейське законодавство панацеєю для українського кіберпростору?

Європейський союз зацікавлений у підвищенні кібербезпеки в Україні ще й тому, що країни ЄС у наступному році вводять нові стандарти захисту персональних даних GDPR (Загальне регулювання захисту персональних даних). Якщо українські підприємства, які мають стосунок до зберігання даних користувачів, хочуть працювати на території ЄС, вони мають їх запровадити ці стандарти.

Більшість компаній навіть не чули про це, що є найбільшою проблемою для них,
– говорить Аушев.

Експерти прогнозують, що закон з'явиться у Верховній Раді не раніше наступного року. Він має визначити суть кібербезпеки. Основою мають стати європейські пропозиції та кібестратегія, ухвалена РНБО у 2016 році. Вже згодом це сформує запит на послуги з кібербезпеки для держави та компаній.

Читайте також: Навчання кібербезпечників: застарілі програми і проблеми зі спеціалізацією

Реально цей закон з'явиться хіба що в наступному році. Одним із ключових моментів має стати перенесення відповідальності, щоб крайнім був не штатний айтішник, а саме керівник підприємства, який не зміг забезпечити достатній рівень безпеки.

Крім того, користувачі українського сегменту інтернету мають навчитися розумного використання мережі та не потрапляти на хакерські гачки. За статистикою, 80% масових заражень програмного забезпечення стались через людський фактор, коли користувачі відкривають сумнівні файли.

Опубліковано в рамках спецпроекту "Вільний Інтернет" від редакції сайту 24 та ГО "Інтерньюз-Україна", в рамках проекту "Інтернет-Свобода" на кошти уряду Королівства Нідерланди.