По 3-4 атаки госучреждений в день. Как на Волыни спасаются от российских кибератак

Каждый город, имеющий ЦНАП, является потенциальной целью, ведь там хранят персональные данные украинцев, пароли входа в государственные реестры

Роман Вознюк

начальник отдела ИКТ Управления цифровой трансформации и коммуникации Нововолынского городского совета

08:50

“У нас нечего воровать. Кому мы интересны?” – так мне отвечали в волынских госучреждениях, когда я предлагал установить облачную систему киберзащиты. Впрочем, по данным MISP (Malware Information Sharing Platform) Ситуационного центра обеспечения кибербезопасности СБУ и платформы для обмена индикаторами компрометаций MISP CERT-UA Госспецсвязи, за 2023 год Нововолынский горсовет атаковали 1286 раз. Это 3-4 разведывательные атаки каждый день.

Каждая община, имеющая ЦНАП, является потенциальной целью для России, ведь там хранят персональные данные украинцев, пароли входа в государственные реестры и т.д.

В прошлом году мне позвонили из одной из общин Волынской области с жалобой на то, что роутер постоянно выходит из строя. Устройство зависало, перегревалось, а интернет исчезал каждые два часа. Купили новый роутер – и он сломался, как и предыдущий.

Проблема заключалась в том, что на компьютерах горсовета работало вредоносное программное обеспечение (ВПО) – оно ежеминутно делало сотни запросов на сторонние серверы. Как там оказалось ВПО? СБУ и Госспецсвязи констатируют, что чаще всего кибератаки осуществляют через электронную почту. Хакеры посылают письма, которые легко спутать с рутинной рассылкой. Например, в теме письма указывают “Счет-фактура”, а вложенный файл называют “счет_от_12_07_2023_к_оплате”.

Именно так одно из волынских общин поразило ВПО SmokeLoader, за которым стоят российские спецслужбы. На официальный адрес пришли бухгалтерские акты, в финансовом отделе попытались их загрузить – документ не открылся. Но на самом деле в этот момент в сети уже начал разворачиваться SmokeLoader. Каждую минуту он делал около 10 тысяч запросов на российские серверы. Через несколько часов SmokeLoader полностью остановил работу двух отделов и управления.

Со времен вируса Petya алгоритмы российского ВПО значительно усложнились. Оно месяцами может работать незаметно. В то же время каждую секунду на российские серверы будет поступать информация о финансовых операциях общины, паролях, сертификатах безопасности. Хакеры не украдут ваши фотографии из отпуска – они охотятся за информацией государственного значения.

Даже если мы всем установим антивирус, сотрудники так же, ничего не подозревая, будут заходить на потенциально опасные ресурсы. Ни один специалист не сможет “вручную” контролировать, какие сайты посещают пользователи.

После установки облачного сервиса Cisco Umbrella, защищающего входящий и исходящий интернет-трафик, система отфильтровала около 1 млн DNS-запросов и 35% из них сочла опасными. То есть как только с компьютера осуществляется запрос в сеть, сервис оценивает риски. Безопасные данные – пропускает, а вредоносные – блокирует для дальнейшего анализа.

В 2023 году мы подключили к сервису более 1,5 тыс. рабочих компьютеров, а в 2024-м он уже работал во всех общинах. Однако настоящий прорыв в усилении кибербезопасности произошел, когда к сотрудничеству присоединились специалисты Госспецсвязи – они расследуют инциденты в соответствии с их критичностью. Если сработало блокирование двух-трех сайтов в сутки – это не приоритетный индикатор. Но если система производит сотни или тысячи блокировок – обязательно проводится расследование.

Изменилось и поведение людей в интернете – количество вредоносных запросов значительно снизилось. В первой пятерке по частоте блокировок: анонимайзеры, которые используют для посещения запрещенных сайтов, ВПО, криптомайнинг и российские ресурсы.

Статьи, публикуемые в разделе “Мнения”, отражают точку зрения автора и могут не совпадать с позицией редакции LIGA.net

Zgłoś naruszenie/Błąd