Чотири найпотужніші американські кібер-спецслужби випустили спільну заяву про проміжні результати розслідування інцидентів кібератак на державні установи США

Чотири найпотужніші американські кібер-спецслужби випустили спільну заяву про проміжні результати розслідування інцидентів кібератак на державні установи США

Вчора чотири найпотужніші американські кібер-спецслужби: FBI (ФБР), CISA (Агенція з кібербезпеки та безпеки інфраструктури, $3 млрд річного бюджету), ODNI (Офіс директора національної розвідки) та NSA (АНБ, найпотужніша у Світі технічна розвідка) – випустили спільну заяву про проміжні результати розслідування інцидентів кібератак на державні установи США, пов’язані зі зламом SolarWinds.

https://bit.ly/3omUK9D

У чому полягав головні меседжі?
По-перше, однозначно стверджується, що це є атака типу APT (Advanced Persistent Threat) – найскладніший, найдорожчий та найнебезпечніший тип атак, який здатні провести або потужні кібер-банди, або спецслужби.
По-друге: за усі нещодавно виявлені компрометації американських урядових та неурядових мереж (а також ті, які ще тривають), несе відповідальність одна людина, найвірогідніше – росіянин за походженням.
По-третє: категорично заявлено, що усе це є розвідувальної операцією.
Тобто слово «Кремль» прямо не сказано, але сказано «ось вам букви К. Р. Е. М. Л. Ь., складіть з нього слово».
Загалом від зламу SolarWinds постраждало близько 18 тисяч користувачів продуктів цієї компанії, у тому числі до 10 урядових структур США.
Власне, нічого неочікуваного не трапилося, хоча дехто з українських кібер-фахівців (здебільшого проросійських поглядів або працевлаштованих у компаніях з російським корінням) вимагав доказів «росіянського сліду».
Заява чотирьох спецслужб США – достатній вам доказ, панове?
На цій переможній ноті можна було б і закінчити, але для України у цій заяві є ще один важливий момент: як було організовано спільний фронт протистояння залісській кібер-агресії, – найбільшої (як на мене) після втручання у вибори 2016.
Звісно, була налагоджена тісна співпраця з приватним сектором.
Звісно, це стало можливим через наявність певної довіри до державних кібер-органів та наявність у них достатньої кваліфікації.
Розслідування ФБР було сконцентровано на чотирьох основних напрямках: ідентифікація жертв, збір доказів, аналіз доказів для визначення подальшої атрибуції та обмін інформацією про результати між урядом та партнерами з приватного сектору.
CISA розробила безкоштовний інструмент для детектування незвичайної та потенційно шкідливої активності, яка має стосунок до цих інцидентів. А ще підготувала для захисників мереж документ з технічними деталями та стратегіями усунення та мінімізації шкідливих наслідків.
Національна розвідка скоординувала усі американські розвідки на збір інформації щодо засобів реагування та локалізації наслідків.
NSA, звісно, включила усі свої потужності та забезпечило національну критичну інфраструктуру дієвою інструкцією. Окремо зверну увагу, що вираз actionable guidance точніше буде означати «покрокова інструкція, яку можна виконати». І оцей момент «яку можна виконати» – він дуже важливий.
Для порівняння давайте пригадаємо безпорадні метання та безглузді заяви вітчизняних типу-кібер-органів у червні-липні 2017 під час атаки NotPetya, результатом яких було гучне та яскраве Нічого. Окрім колосальних бюджетів для ДЦКЗ Держспецзв’язку через РНБО, по розкраданню яких ще тривають слідчі дії. Ну як «тривають» – фігуранти в основному все порішали «за долю малую», але формально розслідування ще не закрито.
А як було налагоджено приватно-державне партнерство тоді, влітку 2017?
А ніяк. Пихаті невігласи у нас в країні завжди вважають себе найрозумнішими, і понти для них завжди значно важливіші за інтереси країни. «Не втратити обличчя» – ось їхня супер-задача, а країна нехай накривається мідним тазом, головне – аби начальник не зняв з теплої посади.
А які інструкції випускали кібер-борцуни, пам’ятаєте?
За два чи три тижня після початку атаки кібер-поліції розродилася кострубатими ламерськими порадами, переписаними або криво перекладеними з різних відкритих джерел та допиляними місцевими «кулібініми».
Пізніше щось схоже опублікував CERT-UA. Вже після того, як пожежу виявили, локалізували, почати гасити, коли вже збіглося все село, прибігли із сусідніх сіл, а власники палаючих хат вже три тижні волали про допомогу. І тут з-за бочки з водою виходить такий голова сільради і важно промовляє цінні вказівки, але його ніхто не чує, бо усі зайняті гасінням. А він у нас і досі голова сільради, у нього все норм, чо.
Про обмін інформацією між стейкхолдерами навіть смішно говорити. По-перше нема чим було ділитися, адже розслідування якщо і провели, то таке собі. По-друге: щоб уявити собі надання українськими держструктурами якоїсь цінної інформації типу результатів спільного розслідування МВС-СБУ-CERT-UA – треба жити далеко від сучасної України, мати гіпер-оптимістичний склад психіки та ще й добряче хильнути.
Після NotPetya, Прикарпаттяобленерго, зламу сайту ЦВК у 2014, знищення баз даних Мінфіну, Держказначейства, Пенсійного фонду у 2016, вимикання на добу Укрзалізниці, атак на аеропорти, транспорт, медіа – нічого не змінилося в українській «системі національної кібербезпеки».
Більше того: у битву за бюджети та повноваження з 2019 року потужно увірвалося новостворене Міністерство Вологих Цифрових Ілюзій на чолі з віце-прем’єром.
І тому градус ентропії у існуючому державному кібер-хаосі зріс ще більше. Це як гасити полум’я бензином. Дурні зазвичай так і роблять.
До чого це я?
До того, що недайбох в Україні трапиться щось подібне до того, що зараз відбувається в США – тоді «нам p&[email protected]», як казав один польовий командир одно терористичного угруповання на Донбасі.
Уроки кібервійни 2014-2018 залишаються невивченими.
У 2019 році «цифровий» віце-прем’єр на всю країну заявляє «Роль кібербезпеки трохи перебільшена».
Державною стратегією та концепцією кібербезпеки в Україні було і залишається два ключових постулата: «може пронесе» і якщо не пронесе – тоді «штош, будемо терпіти».
Тому нараз кожен має захищати сам себе як може, у «разі чого» українська держава може допомогти хіба що обшуками за «неправильну кібербезпеку» або «нелюбов до чинної влади». Погрози та залякування – у цьому вони майстри, це у них виходить якнайкраще. З протистояння зовнішньому ворогу виходить значно гірше (точніше – ніяк).
Користуючись нагодою, нагадую про безкоштовні відео «Кіберзахист від держави» на https://bit.ly/354Dezr
Хто їх подивився – вже став більше кібербезпечним, а хто підпишеться на канал – отримає +10 до кіберзахисту.
Захищаймося.
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.