Чему нас научил вирус Petya
Год назад Украину потрепала сама известная и самая масштабная кибератака в истории нашего государства – так называемая «атака вируса Petya». Урокам, которые вынесли бизнес и государство из инцидента, был посвящен круглый стол, организованный вчера в «Лига: Закон», при модерации Главы Правления Интернет Ассоциации Украины Александра Федиенко.
Как оказалось, и бизнес, и государство, и вся украинская кибербезопасность, несмотря на масштабные финансовые потери, должны быть благодарны атаке вируса Petya. Более того, если бы атаки не было, её стоило бы придумать, дабы принцип «пока гром не грянет…» заработал в нашей стране.
InternetUA также посетил этот круглый стол, участниками которого стали представители СБУ, Киберполиции, Cisco, «Октава Киберзащита» и даже пострадавшего от атаки бизнеса.
Атака и экономические последствия
27 июня 2017 года атака с использованием разновидности вируса Petya повлекла за собой сбои в работе крупнейших украинских предприятий, банков, аэропортов, ряда государственных учреждений и объектов критической инфраструктуры, медиа. Целью атаки была не нажива и не пиар – целью стало государство.
Экономический ущерб от произошедшего основатель компании «Октава Киберзащита» Александр Кардаков оценивает в сумму до 450 миллионов долларов.
– Произошла фактически остановка части экономики Украины: примерно трети на три дня, – рассказал Кардаков. – Значительная часть предприятий производство не остановила, но остановились продажи, логистика, бухгалтерия и т.д.
Цифра в 450 миллионов долларов, уточнил Кардаков, не учитывает убытки, которые понес бизнес от потери информации, и затраты на восстановление информационных систем.
Сергей Мартынчук, директор по работе с клиентами (Украина и СНГ) Cisco, цифр называть не стал, сосредоточив внимание на другом:
– Если говорить о Petya, очень сложно посчитать, насколько огромными были потери. Как показатель - обсуждали количество компьютеров, но когда речь заходила о денежных тратах – вопрос становился сложнее: не в каждой компании прерывался бизнес-процесс, но многие потеряли информацию. Именно в этот момент компании поняли, что цена кибератаки – это цена, которую бизнес готов заплатить за восстановление информации, за возможность вести бизнес. Во многих случаях эта цена была намного выше, чем траты на бизнес-процессы.
Участники круглого стола назвали атаку «переломным моментом»: именно после неё и в госсекторе, и в бизнесе наконец-то начали всерьез рассматривать киберугрозы.
Уроки для государства и бизнеса
Станислав Самойлов, руководитель первого отделения Департамента киберполиции НПУ отметил, что инцидент имел позитивное влияние на несколько сфер: за год после атаки значительно вырос уровень заинтересованности и бизнеса, и общества в вопросах кибербезопасности, а также уровень доверия в этих вопросах к правоохранителям.
– После атаки мы фиксируем значительный рост количества обращений как частных предпринимателей, так и бизнес-структур, которые обращаются к нам если не с заявлением о преступлении, то с просьбой о рекомендациях. Это свидетельствует об увеличении уровня ответственности бизнеса, частных лиц за свои инфраструктуры и предприятия, – резюмировал Самойлов.
О позитивном влиянии далеко не самого приятного события в истории страны рассказал и сотрудник ситуативного центра обеспечения кибербезопасности СБУ Андрей Окаевич:
– На протяжении года были существенные продвижения как в организационном плане, так и в законодательном. В этом году вступил в силу Закон «Об основных принципах обеспечения кибербезопасности», который распределил полномочия госорганов касательно кибератак, киберинцидентов и вообще ввел эти понятия в наше законодательство. Очень многое сделано по линии киберзащиты органов государственной власти, формируются сети ситуативных центров, секторальных ситуативных центров кибербезопасности. Сегодня мы пытаемся построить в государстве «здоровую среду» по противодействию киберугрозам, ведь их нельзя рассматривать как то, что можно изолированно побороть в рамках, к примеру, своей компании, – весь мир идет к взаимодействию в сфере киберзащиты. В государстве, считаю, достаточно мощно развивается государственно-частное партнерство в сфере кибербезопасности. СБУ сделала в этом направлении определенные шаги: на данный момент запущена первая в Украине платформа обмена информацией о киберугрозах в реальном времени, которая охватывает государственные органы, объекты критической инфраструктуры (в ближайшее время будет сформирован их перечень, который уже определяет и какие-то минимальные требования к киберзащите).
Сотрудник СБУ отметил, что на данный момент, согласно действующим законам, каждое предприятие и объект критической инфраструктуры защищается по собственному усмотрению, но государством уже разрабатываются минимальные требования, выполнение которых необходимо для обеспечения национальной безопасности.
– Атака вируса Petya, существенно перевернула картину по, скажем так, распределению работы, – подытожил Окаевич и подчеркнул, что не только государство, но и бизнес понял, что в кибербезопасность нужно вкладывать деньги, ведь «необходимость в киберзащите ещё больше, чем в физической охране, потому что потенциальные риски и убытки, которые может принести кибератака, могут быть гораздо выше».
Об уроках для бизнеса рассказал и представитель Сisco:
– Эта атака оголила ряд критических моментов, которые мы имеем в киберзащите. Первое – очень много компаний не имели киберзашиты как насущной потребности, не разговаривали языком киберзащиты. Второе – многие компании столкнулись с проблемой отсутствия на рынке специалистов по кибербезопасности, – отметил Мартынчук.
Своими наблюдениями по поводу уроков для бизнеса поделился и Александр Кардаков. По его словам, 20% крупных украинских компаний «серьезно занялись вопросами киберзащиты», при чем эта задача находится на контроле непосредственно руководства компаний. Ещё до 30% компаний, которые можно отнести к крупному бизнесу, обсуждают вопросы кибербезопасности и работают над изменениями концепции внутренних процессов компании, бюджетами, делают первые организационные шаги.
– Ещё 50% – «страусы, которые прячут голову в бетонный пол», потому что к руководству не дошло, что вопрос киберзащиты предприятия – это не ответственность какого-то госоргана, это ответственность руководителя предприятия, – резюмировал Кардаков, добавив, что в малом и среднем бизнесе в процентом соотношении ситуация похожая.
Прошлогодняя атака, по словам Кардакова, стала «пощечиной» для страны, и «задала очень интересный вектор – все начали работать». В том числе, значительно выросла квалификация в сфере киберезопасности украинских ІТ-компаний, многие из которых стали новыми игроками на рынке киберзащиты. Защищенность же госсектора, как выразился Кардаков, «рывком поднялась».
Готова ли Украина к новым угрозам
Вопрос готовности Украины как государства и украинского бизнеса к новым кибератакам Сергей Мартынчук из Сisco уже воспринимает как риторический.
– Мы живем во времена, когда атаки – это наша новая реальность. После «Пети» было уже достаточно много атак, которые не имели такой значительной огласки, потому что эффект от них был меньше. Возможно, я надеюсь, это случилось по той причине, что многие компании какие-то шаги к киберзащите сделали, – отметил Мартынчук. – Готов ли бизнес? С большой вероятностью могу сказать, что готов. На сегодня можно говорить о том, что уровень кибербезопасности Украины очень возрос. Мы рады тому, что и государство за последний год очень сильно повысило уровень киберзащиты. Ещё год назад, к примеру, персональные рекомендации Киберполиции никто и не ожидал получить. Сейчас же – это уже не единичные случаи, когда государство активно приходит на помощь бизнесу с рекомендациями, информацией, которой у бизнеса нет.
Оптимистично настроены и силовики:
– Касательно готовности Украины к новым кибератакам. Уровень готовности, по сравнению с прошлым годом, значительно вырос. Если оценивать, мы отмечаем, я бы сказал, повышение уровня готовность где-то на треть, – резюмировал представитель Департамента киберполиции Станислав Самойленко.
Бизнес также говорит о том, что выводы сделал и такого, как было год назад, больше не допустит:
– Как бизнес, выводы мы сделали достаточно существенные. Мы пересмотрели наши подходы к кибербезопасности. За этот год мы создали орган, который отвечает за эти вопросы, закупили очень мощное оборудование от Cisco, привлекли лучшего специалиста по кибербезопасности, который поможет организовать нам правильную защиту, защитить наши облачные решения, ИТ-инфраструктуру, – похвастался Сергей Лукьяненко, директор по информационным технологиям компании ЛИГА: ЗАКОН. – Хотя мы конкретно и не пострадали от вируса Петя, сейчас мы очень серьёзно взялись за то, чтобы защитить в первую очередь наших клиентов, ведь если руководство бизнеса не будет обращать внимание на вызовы кибербезопасности, то и бизнеса не будет.