Півтори доби, навіть менше
Півтори доби, навіть менше. Стільки знадобилося Київстару для початку відновлення роботи після тотальної зачистки їхньої віртуальної інфраструктури.
У Світі схожі ситуації вже траплялися (у Франції, Канаді, Австралії, Японії https://cutt.ly/jwSpq5Bp), але в Україні така масштабна проблема точно вперше.
І тут візуалізувався реальний та практичний «резіллієнс», про який так багато говорять у професійних колах останні роки (анг. Resilience – здатність до відновлення, еластичність, пружність).
Щоправда, той різілієнс міг би й меншу часу зайняти, але про це іншим разом.
Факт у тому, що відновлення вщент зруйнованого «ядра» системи та віртуальної інфраструктури зайняло півтори доби.
Для прикладу: у травні 2022 після схожої за наслідками атаки на RuTube, останній лежав у дауні десь два місяці. Росавіація після «зачистки» невідомими проукраїнськими хакерами взагалі перейшла на паперовий документообіг, і почала відновлення електронних систем лише наприкінці літа 2022.
А тут близько 36 годин. Годин, Карл!
Про що це свідчить?
Що до подібних сценаріїв готувалися, і роль кібербезпеки не применшували. Шо у компанії в наявності кваліфікована команда телеком-інженерів та кібербезпечників. Шо персонал психологічно та технологічно готовий до різних негативних сценаріїв. Хоча, як виявилося – не до всіх.
І вина компанії та її команди, безумовно, є. І серйозна. Не допустити, попередити, локалізувати – тут Київстар пропустив гол у свої ворота, куди ж правду діти. Багато людей нервували через неможливість контактувати з близькими. Хтось не зміг зняти гроші у банкоматі чи заплатити комуналку онлайн. Хтось не зміг розрахуватися у супермаркеті. Якісь зустрічі зірвалися.
Але ж ніхто через збій начебто не помер? Значить, станемо сильнішими та мудрішими.
А от рівень кібер-зрілості організації, «дорослості», так би мовити, серед іншого, полягає і у реакції на інцидент. Атаки були і будуть, і ставатимуть все злішими. Тому важлива наявність розуміння чіткої послідовності дій – «що ми робитимемо коли ЦЕ станеться». Не «якщо», а «коли».
Окремо зазначу якість кризових комунікацій Київстару. Одразу як все лягло, компанія виходить із підтвердженням «збою у роботі». Коли зрозуміли, що це надовго – повідомили про атаку. Обіцяють компенсації. Не повідомляють про конкретні терміни відновлення, але обіцяють «якнайшвидше». Погнала якась дічь по соцмережам – виходить офіційна заява-спростування. Я одразу прогнозував наявність інсайдера всередині компанії, пізніше це підтвердив сам Київстар. Причому спілкується з людьми навіть не прес-секретар, а безпосередньо перша особа. Анонс чітких строків початку відновлення. І їх дотримання (sic!)
Не знаю хто там у них кризовий менеджер, але передайте йому мій респект. Good job. Навчіть цьому держструктури.
Але менше з тим, поки що не усі сервіси відновлено для багатьох користувачів, а той, що працює – не завжди стабільний, плюс досі немає передачі даних. Тому доведеться ще трохи потерпіти.
Сподіваюся, тепер банки нарешті (!) відмовляться від смс як другого фактору автентифікації, а термінали та банкомати обзаведуться резервним каналом передачі даних. Багато людей купили сімки інших операторів, але вангую, що буквально за місяць більшість перестане платити за другий номер 
І ще маю надію, що після повного відновлення Київстар стане найбільш захищеним телеком-оператором, а інші оператори добре засвоять цей урок.
І нічого подібного вже ніколи не повториться.
P.S.: Міняти оператора я поки не планую, але якщо таки націоналізують – тоді точно зміню.