Гарячі атаки та холодні копії даних: як розгребти наслідки грудневого реєстропаду?

У грудні росіяни масштабно атакували базові реєстри Мін’юсту, зокрема найважливіші цілі: Державний реєстр актів цивільного стану, Єдиний державний реєстр юридичних осіб і Державний реєстр речових прав. Усі вони мають статус так званих базових реєстрів в Україні. Тож умить зупинилися будь-які дії у сфері нерухомості та бізнесу, державні програми єОселя та єВідновлення, торги на біржі, призначення людей на державну службу, державні закупівлі, оформлення відстрочок, розгляд частини судових справ, робота нотаріусів та ще купа е-послуг у Дії та інших державних застосунках.

Усі ці на перший погляд не пов’язані між собою процедури об’єднані потребою перевіряти базову інформацію про громадян, бізнес і нерухоме майно під час різних бюрократичних операцій. Якщо ви хочете вчинити будь-яку дію з компанією чи ФОП (наприклад, видати дозвіл), то вам потрібно перевірити, чи ця компанія існує, чи вона не закрита, чи має право хтось від її імені підписувати документи тощо. Для здійснення цих перевірок реєстри та системи «бігають» у ЄДР. Якщо ви надаєте адміністративні послуги громадянам, то це часто потребує перевірки наявності шлюбу, родинних зв’язків. Наприклад, послуга єМалятко чи оформлення відстрочки для багатодітних батьків потребують даних із ДРАЦС. Якщо ж потрібно вчинити щось із будинком, наприклад, подати заяву на єВідновлення після прильоту ракети, — це до ДРРП (Державного реєстру речових прав).

Час атаки ворог обрав невипадково. Протягом певного періоду хакери вже мали доступ до реєстрів, тож явно очікували вдалого моменту для видалення даних. Наприкінці року в державних органах відбувається сила-силенна важливих процесів, для яких насамперед потрібен Єдиний державний реєстр юридичних осіб. Із найголовнішого — державні закупівлі. Адже якщо держорган не встигає до кінця календарного року витратити кошти, передбачені для нього бюджетом, він їх втрачає. Тому традиційно кінець грудня — це час, коли різноманітні державні інституції здійснюють багато важливих закупівель, іноді на двозначні відсотки своїх річних бюджетів. Відповідно, після атаки закупівлі зупинилися, бо компанії не можуть брати участь у тендерах / інших процедурах — усі вони вимагають актуального витягу з ЄДР. Знов-таки, в умовах війни йдеться про важливі тендери Агенції оборонних закупівель і Державного оператора тилу. Хоча й цивільні сфери добряче постраждають (медзакупівлі, приміром).

Одне слово, про наслідки атаки можна писати довго, але це без перебільшення параліч цифрової системи країни, бюрократичний колапс державних функцій. І хоча винні росіяни, та відповідальність уже несемо ми, відновлюючи реєстри з «холодних» копій. Так, 30 грудня роботу кількох систем уже відновили. Тож саме час на холодну голову трохи краще оцінити ситуацію, що склалася. Вона має стати підґрунтям для рефлексії та пошуку першопричин явно недостатньої захищеності державних систем. Інакше подібне може статися з іншими ключовими даними пенсійних, медичних і соціальних систем в Україні.

Хто винен? Хто відповідальний?

У складній структурі державних органів важко відразу зрозуміти, хто ж є відповідальним за безпеку реєстру. Тому розгляньмо всіх, на кого зазвичай «вішають собак».

Ключову відповідальність, згідно із законодавством (тобто юридично), несе власник / розпорядник реєстру, який є головним замовником його створення, підтримки та наповнення. Себто Мін’юст — це перший елемент ланцюжка.

Проте зазвичай міністерство не має в штаті потрібної кількості різноманітних фахівців, тому у великих відомствах бувають окремі підпорядковані держпідприємства, які є адміністраторами систем. У контексті Мін’юсту це спеціалізоване Державне підприємство «Національні інформаційні системи» (ДП «НАІС») — друге в ланцюжку. Саме воно є технічно відповідальним за кібербезпеку цих реєстрів та фактично має «відбивати» такі атаки. Та оскільки Мін’юст — власник, то він однаково відповідальний за контроль над роботою ДП «НАІС». Міністерство видає кошти, визначає керівництво та має стежити за якістю роботи держпідприємства.

Крім того, багато звинувачень можна почути на адресу Держспецзвʼязку та Мінцифри. Розберімося в їхній ролі.

Державна служба спеціального зв’язку та захисту інформації (ДССЗЗІ) є третьою в ланцюжку як основний субʼєкт гарантування кібербезпеки в Україні. Саме вона проводить експертизу КСЗІ — комплексних систем захисту інформації. Простіше кажучи — має стежити, що всі забезпечують захист своїх рішень в усьому уряді. ДССЗЗІ несе відповідальність, але іншого ґатунку, більш стратегічну та верхньорівневу. Вона про те, що практики та процеси кіберзахисту в країні належно не працюють, що атестати відповідності КСЗІ — це формалізм, який не означає, що ваші системи справді захищені. Тому Держспецзвʼязку радше відповідальна за стан галузі загалом, симптомом чого є окремі злами.

Мінцифри тут має найменше прямого впливу. Воно може формувати політичний запит на кібербезпеку, допомагати ДССЗЗІ з реформами, але це не є його прямою відповідальністю. Тому якщо спрощено й по суті:

• технічно відповідальність несе ДП «НАІС»;
• у плані управління відповідальний Мін’юст, бо має дивитися, чи НАІС усе робить правильно, контролювати, щоби рішення були якісними, сучасними, захищеними;
• ДССЗЗІ має мінімальну відповідальність, бо фактично може докорити Мін’юсту за неефективність, але не контролює системи практично;
• звинувачувати Мінцифри немає особливого сенсу.

Якщо підсумувати, то кібербезпека — це надто комплексне завдання, щоб визначити одного «цапа-відбувайла». Та й, будьмо відверті, іноді відбуваються такі кібератаки, які технічно неможливо відбити. Адже у війні завжди маємо «перегони списа та щита». Ба більше, хоча Мін’юст і є ключовим відповідальним, там зараз нова команда, а проблема з ДП «НАІС» дісталася їй у спадок, переходячи з рук у руки кожному наступному очільнику міністерства. Набагато конструктивніше за розмови, кого б звільнити, поговорити про те, що потрібно виправити, на яких етапах і як підготуватися до наступних атак росіян.

Крок 1. Конкурентні закупівлі IT-послуг

В українському GovTech є стара традиція вендорлоку або звичайною мовою — монополії постачальника. Багато українських відомств працюють із певними підрядниками, які зловживають ексклюзивним становищем. Вони навмисно монополізують доступ до систем. Приміром, розробляють сервіси на унікальних та рідкісних технологіях. Іноді це малопоширені мови програмування, як-от Elixir, якими володіють максимум кількасот спеціалістів. Іноді використовують інші трюки, приміром, роблять свою «кастомізацію» мови програмування, якою володіє тільки ця компанія. Часто ще банальніше — уникають написання документації, передачі прав на продукт або просто саботують передачу паролів / доступів іншим підрядникам. Нерідко в цьому замішані корупційні домовленості із самими замовниками.

Ця монополія руйнує системи ізсередини. Бо, з одного боку, розробники не мають мотивації працювати над якісними сервісами та їх захистом — як 15 років тому створювали системи, так і зараз їх створюватимемо, навіщо опановувати нові технології та впроваджувати інноваційні підходи? У них «вічний та дармовий контракт», якого ніхто ніколи не замінить. Це вже не кажучи про можливість ставити неринкові та завищені ціни. Власне, Мінʼюст перебуває саме в такій залежності.

А з іншого боку, сам замовник навіть за наявності політичної волі не має важелів впливу на підрядника, коли хоче продукт кращої якості. Бо якщо тільки цей підрядник, умовно кажучи, вже 10 років робить певний реєстр і має винятковий доступ / досвід у цій специфічній сфері / розуміння інфраструктури, замовник не може пригрозити йому завершенням контракту, якщо той не дотримується вимог якості.

Ба більше, якщо залежність є наскільки сильною, що саме вендор і адмініструє системи, то йти проти нього стає просто небезпечно, бо без його «нагляду» система може перестати функціонувати.

Тому допускати таку ситуацію вкрай небезпечно. А якщо такий стан справ дістався у спадок, потрібно активно боротися з монополією. Тут немає завдання лише змінити компанію за всяку ціну, важливо дати змогу працювати над системою іншим або змінити компанію, якщо вона не виконує вимог щодо якості.

Крок 2. Нормальні строки розроблення

Українські реалії запуску електронних систем такі, що продукти замовляють «на вчора». У нас, на жаль, утілюють мало довгих системних реформ. Натомість коротке вікно можливостей, телефонний запит із вищої інстанції чи офісу президента, раптова зміна кадрів і прихід реформаторів на керівні посади спричиняють запит на швидкі релізи. За таких умов розробники, навіть якщо вони є професіоналами, в кращому разі урізають етап тестування. А в гіршому — і функціонал системи. Відповідно, в реліз часто йдуть сирі продукти, зокрема поверхово відтестовані з безпекового погляду.

Іноді розробники навіть знають, що треба допрацювати й де було «схалтурено». Але через усе нові й нові проєкти з «палаючими строками» ці доопрацювання відкладають надовго в так званий технічний борг. Його часто належно не дороблюють. Із часів роботи в Міністерстві охорони здоров’я пам’ятаю кейс, коли технічний борг ЕСОЗ був співмірний із усіма майбутніми роботами з розвитку системи, які планувалися на найближчий рік. Тоді ресурс на «закриття боргу» було вкрай важко пріоритизувати, бо нові завдання сипалися звідусіль. Зазвичай на такий обсяг технічних, архітектурних, безпекових тощо проблем ніхто роками не звертає уваги. Бо це великий обсяг роботи, який натомість не приносить публічних результатів — міністр не відзвітує красиво в медіа про нові досягнення чи запущені е-сервіси.

У комбінації з недоброчесним вендором, який не мотивований до якісної роботи і його неможливо до неї змусити (див. пункт перший), цей технічний борг приречений нескінченно накопичуватися.

Крок 3. Належна перевірка державних IT-cистем

Усі уражені реєстри, вочевидь, пройшли експертизу комплексної системи захисту інформації та мають атестати відповідності. Але між атестатом і реальною безпекою — якщо не прірва, то точно дуже велика відстань. Основні документи, такі як Закон України «Про захист інформації в інформаційно-комунікаційних системах», були ухвалені в 1990-х і 2000-х роках і лише частково оновлювалися. Здебільшого всі норми були вигадані в той час, коли ще не було ні хмарних технологій, ні розподілених баз даних. Ця законодавча база орієнтована на традиційні фізичні та програмні методи захисту. Які все ще необхідні, але їх недостатньо.

Простіше кажучи, правила з кібербезпеки відстають від сучасних тенденцій і здебільшого сфокусовані на тому, щоби «видати папірець». Вони потребують помітного оновлення як стандартів безпеки, так і підходів до її оцінки.

Та навіть якщо привести до ладу КСЗІ, важливо, аби ця процедура, як і інші функції Державної служби спеціального зв’язку та захисту інформації, не була формальністю. За часів моєї роботи на митниці ми спостерігали ситуацію, коли ІТ-системи Держмитслужби не те що не мали атестата відповідності КСЗІ — частина з них навіть не була на балансі. Тобто формально її просто не існувало, митниця працювала в чомусь, що їй навіть не належало. А будь-які звернення чи вимоги ДССЗЗІ або інших органів просто ігнорувалися. Митники навіть не допускали нікого до системи, аби її перевірити. То про яку кібербезпеку на митниці могло йтися, якщо навіть спеціальні уповноважені органи не мали змоги взаємодіяти із системою?

А поки до реформи ДССЗЗІ далеко, кінцеву відповідальність за реєстри несуть розпорядники даних. Дані відновлюватимуть із магнітних стрічок (у величезних вузлах і на бобінах, як у фільмах про старі комп’ютери). Це найрезервніший формат зберігання, остання інстанція, до якої можна вдатися, якщо всі хмарні резервні копії знищено. Поки неясно, коли робився цей фізичний бекап і наскільки застарілою є інформація на цих носіях.

Крок 4. Безпекові політики щодо кадрів та їхніх інструментів

Захищати треба не тільки продукт, а й робочі місця, внутрішній периметр. Багато відомств не приділяють достатньо уваги захисту комп’ютерів, пошти, програм та інших інструментів, із якими працюють люди. Умовно кажучи, у вас може бути надзвичайно захищена система, але якщо хакер отримав доступ до комп’ютера адміністратора, все це марно. Часто навіть із комп’ютера простого працівника, який має дуже скромні права доступу, можна отримати багато всього. Наприклад, «злити» всі дані, внести недостовірні. Це додаткове вікно проникнення до системи.

По-друге, кібербезпека має людський вимір. У випадку з Мін’юстом вже звучали заяви про те, що атака на його реєстри відбулася з облікового запису найвищого рівня. Завжди залишається ризик, що люди можуть бути завербовані через підкуп або погрози. Також людина може бути не тією, за кого себе видає, й мати небажані зв’язки. Для цього є поліграф та інші перевірки. Вони мають бути запроваджені не тільки в оборонній сфері.

Тут зізнаюся, що ми теж не завжди уважно стежимо за цими пунктами. Пам’ятаю, коли я був просто співробітником на донорському контракті, я та моя команда могли мати доступ до багатьох систем. Часто ми не дотримувалися контролю й не перевіряли людей, яким надавали доступ, не контролювали їхніх робочих пристроїв (іноді вони працювали з особистих ПК, у команд реформ часто немає ресурсу на окремі робочі). Ба більше, над виданими доступами іноді буває не найкращий контроль. Наприклад, я досі маю доступ до певних систем, над якими працював як проєктний менеджер вісім років тому. До систем із десятками мільйонів записів чутливих даних. Багато разів нагадував адмінам забрати цей доступ у мене — але, вочевидь, руки в них не доходили.

Домашнє завдання

По-перше, вендорлок — це зло. Тільки здорова конкуренція між потенційними вендорами державних органів породить здорову пропозицію та функціональні продукти. Замовникам давно час позбутися залежності від компаній, розібратися в ринку GovTech та урізноманітнити списки підрядників через конкурентні тендери. Після залучення найкращих вендорів для створення продукту потрібне краще планування: запланований час на повноцінне тестування та безпекові налаштування.

По-друге, реформа Держспецзв’язку перезріла. Наразі прогрес у цій темі є, але він занадто повільний.

По-третє, навіть найкраща система не застрахована від людського чинника. Перевіряти людей і мати чіткі політики щодо засобів їхньої роботи (техніки, програм тощо) — це не просто порада з особистої інформаційної безпеки, це про національну безпеку в умовах війни.

Якщо резюмувати, то наслідки грудневої атаки ми розгрібатимемо ще не один місяць попри те, що перші реєстри вже відновлено. Але важливо зробити з неї висновки та підготуватися до наступної. Кілька кадрових змін, які вже здійснили в Мін’юсті, — це непогано для початку. Але не можна на цьому зупинитися. Бо гарячкове «знесення голів» — це не повноцінна зміна безпекових процедур навколо державних систем.