Покушение на информационную безопасность государства представляет собой угрозу большую, чем наступление войск противника. Одной из наиболее громких кибератак на украинские ресурсы можно назвать попытки взлома системы «Выборы» во время президентской и парламентской кампаний в прошлом году. О развитии системы киберзащиты, сотрудничестве с представителями бизнеса и создании новых отрядов реагирования на киберугрозы в интервью А' рассказал глава Государственной службы специальной связи и защиты информации Владимир Зверев (часть первая).
— Как в Украине сейчас с готовностью к киберугрозами? Есть ли возможность успешно отбивать кибератаки?
— Для борьбы с киберугрозами Украине необходимы не только современное оборудование и кибервойска. Главное – это координация усилий всех, кто за это отвечает. Для этого, в свою очередь, необходимо взаимное доверие. Ведь что обеспечивает функционирование того же украинского CERT’а? (Компьютерная группа реагирования на чрезвычайные ситуации, в Украине пока по стандарту CERT сертифицировано только одно из подразделений Госспецсвязи.– А'). Доверие между провайдерами и государственными структурами, доверие между другими командами CERT, когда они обмениваются информацией и выполняют просьбы друг друга для того, чтобы отреагировать на те или иные угрозы. Выборы президента в мае и парламента в октябре как раз показали, что такое доверие возможно. Что провайдеры готовы помогать государству. Причем, что немаловажно, бесплатно. Но без современного оборудования и квалифицированных специалистов систему кибербезопасности тоже не построить. Этот вопрос сейчас один из самых актуальных. Надеюсь, что люди, принимающие решения на уровне государства, тоже начинают это осознавать. В Верховной раде комитет по информатизации и связи и комитет по вопросам национальной безопасности и обороны отстаивали вопросы, связанные с кибербезопасностью при защите бюджета на 2015 год, и очень внимательно подошли к их рассмотрению. Это на самом деле хороший показатель. К сожалению, не все наши пожелания были приняты. Мы надеемся, что при внесении изменений в госбюджет расходы на обеспечение кибербезопасности будут учтены.
— На сколько может быть увеличено финансирование?
— Мы просили около 100 млн грн в ценах ноября прошлого года – в основном для модернизации существующего оборудования. Например, мы эксплуатируем систему, которая сейчас более-менее справляется с DDoS-атаками на те правительственные сайты, которые находятся на технической площадке Госспецсвязи. Но мы должны работать на опережение. Интенсивность атак растет, их сложность увеличивается, и мы должны быть готовы к этому. В 2014 году мы зафиксировали мощность DDoS-атаки на сайт президента – около 19 Гбит/с. Это была серьезная атака, но мы с ней справились. Технологическая платформа, которую мы развернули, позволяет отразить атаку и более высокой интенсивности. Но это мы сделали буквально в последние полгода. Если бы такая атака случилась раньше, мы бы ничего с ней сделать не смогли. В связи с ростом курса доллара этих денег, конечно, может уже не хватить. Но мы планируем, что с этим финансированием мы сможем хотя бы поддерживать тот уровень, который нужен для того, чтобы адекватно реагировать на угрозы.
— Насколько точно можно установить источники кибератак, и можно ли определить, граждане каких государств несут за них ответственность?
— Можно установить, но только совместными усилиями многих сторон. Мы видим первый уровень атак, т. е. IP-адреса, откуда идет воздействие. Но эти атаки могут быть организованы из центра, который расположен совсем в другой стране. Следы остаются, но чтобы их распутать, нужны полномочия правоохранительных органов, которых у нас нет. Поэтому мы передаем имеющиеся у нас лог-файлы в СБУ и МВД, а они уже разбираются. Согласно нашему анализу, 70% атак идет со стороны бот-сетей, находящихся на территории Украины, но командно-контрольные сервера чаще всего, находятся вне ее. Если говорить о DDoS-атаках с усилением, то их непосредственными источниками являются страны, которые более всего насыщены компьютерами: США, Китай. Но стоят за этими атаками третьи лица. Для выяснения источников кибератак CERT’ы и взаимодействуют между собой. Увидели мы угрозу, допустим, со стороны Венесуэлы. Мы общаемся с другими CERT’ами в оперативном режиме и обмениваемся с ними видением этой ситуации. Дальше ситуация анализируется: откуда «льется» трафик, как он идет и так далее. С помощью других CERT’ов можно определить первичный источник, локализовать его и после этого действовать различными способами. Это уже тактика, боевое искусство киберопераций. Например, можем закрыть именно этот IP-адрес, можем закрыть физический канал доступа.
«Специалисты Службы безопасности Украины, в том числе и по нашей информации, выявляют источники киберугроз и имеют возможность выяснить, откуда идут эти атаки. Даже в официальных сводках у них есть конкретные результаты».
— Вы говорите о том, что после первого уровня в дело вступают уже правоохранительные органы. Насколько эффективно удается с ними сотрудничать сейчас, и были ли прецеденты, когда правоохранительные органы устанавливали «заказчиков» кибератак?
— Поскольку Госспецсвязи не имеет статуса правоохранительного органа, по закону мы не имеем доступа к этой информации. Это и минус и плюс. Минус – потому что это ограничивает нашу оперативность в борьбе с киберпреступлениями. Плюс – если бы мы были сотрудниками правоохранительных органов, труднее было бы устанавливать доверительные отношения с провайдерами. Специалисты Службы безопасности Украины, в том числе и по нашей информации, выявляют источники киберугроз и имеют возможность выяснить, откуда идут эти атаки. Даже в официальных сводках у них есть конкретные результаты. Я знаю, что было несколько уголовных дел, которые СБУ инициировала. Доведены они до конца или нет, я не могу сказать.
— Есть ли помощь из-за рубежа?
— Да, взаимодействие есть, и, я считаю, что оно будет развиваться. Во-первых, помощь Европы по вопросам кибербезопасности заключается в том, что сейчас созданы трастовые фонды, через которые со стороны НАТО будет осуществляться как методическая, так и финансовая помощь. В частности, знаю точно, что нам будут помогать техникой – оснащать лаборатории по исследованию киберинцидентов. Почему трастовый фонд? Потому что в Украине коррупция – угроза номер один. А средства трастовых фондов можно легко проконтролировать, чтобы уменьшить риски. И это правильно. Это, к тому же, и соревновательная в какой-то мере процедура. Мы подаем свое видение, кто-то другой – свое, и компетентная комиссия принимает взвешенное решение. Всего существует пять таких трастовых фондов. Они работают по разным направлениям. Конкретно по кибербезопасности – только один из них. Его модератором является Румыния. Почему именно она, не знаю, это было их решение. И мы начинаем работать с ними совместно с СБУ, которая является координатором трастового фонда от Украины. И мы считаем, что здесь есть перспективы как минимум с учетом требований указа президента о создании национального центра киберзащиты. Этот проект будет реализован поэтапно. Государственный центр защиты информационно-телекоммуникационных систем, который работает в составе Госспецсвязи, мы переименовываем в Государственный центр киберзащиты. Следующий этап – нам нужно не только содержать ядро – киевский центр, но еще и иметь представительства в регионах, иметь офицеров киберзащиты, которые находились бы хотя бы в каждом областном центре, а лучше еще ниже, то тогда можно будет говорить и о Национальном центре киберзащиты.
— Так какая общая сумма, которая может на это потребоваться?
— Сейчас мы не претендуем на сумму больше, чем 100 млн грн. Если мы докажем наши планы и перспективы по созданию Национального центра с нуля, а старый оставим в качестве резервной системы, то сможем привлекать все структуры, задействованные в киберзащите. Согласно законопроекту «О киберзащите», который мы сейчас разрабатываем, это так называемые «субъекты киберзащиты постоянной готовности». И мы бы приветствовали наличие в центре представителей от всех этих субъектов для оперативного взаимодействия – представителей от правоохранительных органов, крупных провайдеров и операторов. Это была бы оперативная группа реагирования, состоящая от «офицеров по направлениям», то есть некий «мозг» кибербезопасности страны. На такой проект нам потребуется максимум 0,5 млрд грн – деньги не такие уж и большие для бюджета страны, и в основном они пойдут на оборудование.
— Но ведь еще нужно обучить специалистов?
— Да, специалисты – это самое сложное. На самом деле, с теми зарплатами, которые сейчас есть, могут возникнуть проблемы.
— А сколько времени потребуется для реализации такого проекта?
— Три года. Это та идеальная модель, которую мы можем построить. С отработкой взаимодействия, с созданием нормативной базы, с интеграцией в европейскую систему кибербезопасности. Это, учитывая и то, что подведомственный нам Институт специальной связи и защиты информации при НТУУ «КПИ» готовит нужных специалистов, и мы в программе их подготовки акцентируем внимание на этих вопросах в большей степени. Как раз к моменту сдачи такого центра в эксплуатацию закончат обучение ребята, которые сейчас учатся на 2-3 курсах и будут фактически готовы прийти и сразу влиться в работу.
— Ведутся ли сейчас переговоры о создании такого центра вместе с частными компаниями? Ведь есть, например, ряд не в полном объеме загруженных дата-центров. Почему бы не использовать их мощности?
— Мы уже общались с руководителями таких дата-центров и просили у них дать часть простаивающего ресурса. При чем не бесплатно. Мы готовы платить за электроэнергию, охлаждение, коммунальные услуги по рыночной цене.
«У нас не хватает средств построить так называемый «гараж» для дата-центра – совокупность оснастки, стоек и так далее. Для нас это львиная доля стоимости».
— Но не полную цену за услуги?
— Да, для нас это дорого. У нас не хватает средств построить так называемый «гараж» для дата-центра – совокупность оснастки, стоек и так далее. Для нас это львиная доля стоимости. А вот какие-то полки, блейд-сервера, которые у них можно установить, не исключено, что можем закупить. То есть мы будем арендовать только места, с учетом некоторых особенностей по безопасности, которые к нам предъявляются. Они готовы и на такой вариант – с размещением нашего оборудования у себя, и даже с предоставлением выделенного канала. И при этом мы будем платить определенную сумму за его пользование. Даже амортизационные расходы они готовы по-другому пересчитать.
— А с кем уже вели переговоры по этим вопросам?
— Пока не готов конкретно называть компании. У нас было где-то пять или шесть встреч. И практически никто нам не сказал: «Нет».
— В каком направлении идет работа по развитию CERT’а, и планируется ли создание новых подобных групп?
— Сегодня несколько частных компаний выступают с инициативами создания своих команд CERT. Они берут пример в данном вопросе с Америки, где существует больше 60 CERT’ов. Там, к примеру, безопасностью атомных электростанций занимается единый CERT, гидроэлектростанциями – другой, химическими комбинатами – третий. Но активно действующих там порядка полутора десятков. Остальные свои задачи отрабатывают, но в контексте реагирования на все инциденты они не сильно участвуют. Я считаю, что наше общество созрело до того, чтобы противостоять киберугрозам, и понимает, что вместе это сделать проще.
У ряда крупных провайдеров, обслуживающих госорганы, есть системы очистки трафика. Но по отдельности ни одна из них не справится с мощной DDоS-атакой. Кроме того, у нас есть возможность решать более комплексные задачи, как, например, модифицированные атаки – одна в одной, как матрешки. А у них более утилитарные, и они их отрабатывают на групповом уровне. Поэтому вот такая коллективная система защиты была бы оптимальной: когда гражданские CERT’ы отвечают за внешний трафик, за внешние каналы связи, а мы уже за сердцевину, но только для госструктур. Мы можем на себя взять и банковские CERT’ы, но, как правило, в других странах это выделяют в отдельную закрытую структуру. Но, тем не менее, взаимодействие с ними все равно будет однозначно, потому что вопросы пересекаются.
— То есть в ближайшее время новые государственные и частные CERT’ы могут появиться?
— Да. В системе Минобороны уже такая команда фактически существует, но она пока не сертифицирована как CERT. Вопрос сертификации является достаточно сложным. Это занимает порядка двух лет, необходимо также уплатить определенные взносы. Кроме того, нужно получить рекомендации от других CERT’ов, а для этого должен быть, в том числе, неформальный контакт.