Контрразведка в сфере информационной безопасности в период гибридной войны
Информационные спецоперации, хакерские атаки, боевое использование соцсетей и интернет-сервисов: что делает государство для противодействия этим угрозам, какие риски возникают для гражданских прав и общественной безопасности во время кибервойны? Каковы первые уроки гибридной войны? Опыт, аргументы и оценки спецслужб Украины – в статье Александра Климчука, начальника Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности СБУ на Ua.News.Liga.Net
Гибридная война против Украины: фактор является доминирующим
Гибридная агрессия Российской Федерации относительно Украины разноуровневым сочетанием различных комбинаций форм и методов негативного воздействия, среди которых доминирующим направлением является информационный и кибернетический.
Важным аспектом негативного информационного воздействия, пытаются осуществлять российские спецслужбы, является его направленность на разрушение украинской государственности начиная с базового уровня – исторической памяти и самосознания нации как таковой.
С этой целью российскими спецслужбами используются подконтрольные им СМИ, интернет-ресурсы, группы в соцсетях, блоггеры, тролли и даже почтовые сервисы. Именно по этой разветвленную сеть не только собирается разведывательная информация об украинских граждан, но и проводятся деструктивные пропагандистские информационные операции.
Другим направлением является истощение финансовых и материальных ресурсов Украины, создание предпосылок к потере ею энергетической независимости, ослабление транзитного потенциала и дискредитация нашего государства на международной арене с последующим созданием негативного информационного воздействия. При этом, деструктивный информационное воздействие и манипулирование общественным сознанием российские спецслужбы сочетают с проведением циничных по замыслу и катастрофических по результатам кибератак на объекты критической инфраструктуры.
Ряд мощных и сложных кибератак на компьютерные сети энергетического, банковского, транспортного секторов, отрасли связи, которые произошли с начала 2014 года, в очередной раз показали, что агрессор и в дальнейшем использовать кибератаки как инструмент геополитического влияния. Противодействие этому требует не только усилий на национальном уровне, но и выработка действенных механизмов международного сотрудничества.
В качестве примеров активных информационных мероприятий российских спецслужб только через несколько месяцев можно привести следующие:
- Попытка дестабилизировать ситуацию в Одессе из-за использования запрещенных соцсетей и распространения антиукраинского контента, направленного на раскол украинского общества и расшатывание общественно-политической ситуации накануне годовщины трагедии 2 мая;
- Попытки осуществить ряд объединенных единым замыслом провокаций во время празднования 9 мая. При этом, во исполнение указаний российских кураторов из антиукраинские сообщества в запрещенной сети «Вконтакте» активно распространялись призывы к участию в так называемом «Марше бессмертного полка» в разных городах Украины, а также методики так называемого «Министерства информации ДНР»;
- Развертывание целой агентурной сети российских спецслужб в Днепре, целью которой было инспирации массовых беспорядков и провокаций в отношении патриотических сил путем изготовления и развешивания в публичных местах флагов с запрещенной символикой тоталитарных режимов;
- Трансляции военных парадов на оккупированных территориях отдельных районов Донецкой и Луганской областей, имела целью популяризацию террористов и «милитаристского угара», что, к сожалению, окутал нашего северного соседа;
- Неудачная попытка физически уничтожить российского журналиста Аркадия Бабченко и сделать его гибели информационный повод для дискредитационной кампании против Украины. Почти одновременно с появлением информации о его “убийство” в российских, сепаратистских и, к сожалению, отдельных украинских ресурсах началась массированная украинских правоохранительных органов и государства в целом. Нашими специалистами было выявлено явные признаки скоординированной информационной операции против Украины.
Как противодействует СБУ: 7 реальных примеров кибервойны
В течение 5 месяцев 2018 осуществлен комплекс мероприятий в сфере информационного противоборства, выявлено и задокументировано использования российскими спецслужбами 181 интернет-ресурса с целью дестабилизации социально-политической ситуации в нашей стране и манипулирования общественным сознанием граждан. По результатам указаны ресурсы внесены в санкционного списка СНБОУ, что существенно ограничило возможности российских спецслужб в осуществлении подрывной деятельности в информационной сфере.
Кроме того, усилиями Службы в тесном взаимодействии с другими государственными органами и общественностью удалось избежать запланированных российскими спецслужбами провокаций накануне годовщины трагедии 2 мая в Одессе и празднования Дня победы над нацизмом во Второй мировой войне. В ходе многоходовой операции обнаружено и обезврежено сеть российской агентуры, по которой готовились провокации в Киеве, Одессе, Днепре и других городах Украины.
В общем, сотрудники Службы безопасности Украины в течение 1-го полугодия обнаружили и предупредили 19 попыток российских спецслужб использовать администраторов групп социальных сетей для организации провокаций из-за использования запрещенных онлайн-ресурсов.
Не менее активна противодействие кибернетическим угрозам. По созданного в предыдущие годы почву, в том числе и при содействии трастового фонда Украина-НАТО по вопросам кибербезопасности, обеспечено инновационное развитие Ситуационного центра обеспечения кибербезопасности в СБУ. Техническое оборудование и программное обеспечение для работы Центра СБ Украины получила в рамках выполнения первого этапа Соглашения о реализации трастового фонда Украина-НАТО по вопросам кибербезопасности.
Ключевыми возможностями Ситуационного Центра СБУ является автоматизированная система обнаружения, анализа и реагирования на киберинциденты и профессиональная компьютерная криминалистика. Кстати, наша криминалистическая лаборатория, как и ситуационный центр в целом, построен не только по ресурсного содействии НАТО, но и с учетом опыта и передовых практик Альянса. СБУ быстрее среди нескольких трастовых фондов реализовала полный цикл работ трастового фонда от построения стратегии к настройке оборудования. Учитывая значимость данного проекта для государства, открыл Ситуационный центр обеспечения кибернетической безопасности лично Председатель СБ Украины генерал армии Украины Василий Сергеевич Грицак. На торжественном открытии Председатель СБУ отметил: «Мы с иностранными партнерами четко осознаем, что без сотрудничества и обмена опытом,
Специалисты Центра уже зафиксировали и отбили более пятидесяти кибератак различной степени мощности, некоторые из которых по разрушительными последствиями могли быть гораздо хуже, чем знаменитый «Petya-A».
Так, с 2014 года одними из первых разрушительного кибератаки подверглись компьютерные сети Центральной избирательной комиссии, Мало кому известно, что за неделю до выборов в мае 2014 состоялось разрушения технологической инфраструктуры, которая должна обеспечивать эту чрезвычайно важное событие. Несмотря на мало времени, знаний и ресурсов работу серверного и телекоммуникационного оборудования была восстановлена, а все подготовительные мероприятия по дискредитации результатов голосования, которые российские спецслужбы готовили несколько месяцев, вовремя нейтрализованы.
В ходе расследования подтверждено версию политического заказа со стороны российских спецслужб с целью дискредитации действующей власти по несостоятельности организовать проведение выборов, а также поставить под сомнение существование демократических институтов в Украине.
В декабря 2016 года в результате мощных кибератак на государственные органы и транспортные предприятия Украины Государственным казначейством временно приостановлено казначейское обслуживание клиентов. Был заблокирован доступ к веб-портала Министерства финансов, а также нарушена работа некоторых объектов энергетики и транспорта. Именно тогда или ненайперше в мире было зафиксировано несанкционированное вмешательство в работу технологических систем управления в энергетике, совершенное только с помощью хакерского инструментария, который получил название Blackenergy3 и который можно считать Кибероружие.
27 июня 2017 атака с использованием вредоносного программного средства “Petya / NotPetya”, который использовал малоизвестные уязвимости системного ПО Windows, привела к временной блокировки работы вычислительных систем отдельных объектов критической инфраструктуры Украины. Но в количественном исчислении больше всех пострадал от атаки малый и средний бизнес, вызвало мощный резонанс в обществе из-за прекращения предоставления банковских, административных и других услуг.
Вместе с тем, полученный опыт позволил нам сформировать четкий механизм действий, направленный на скоростное реагирования на кибератаки такого уровня, а также на эффективную нейтрализацию субъекта атаки и недопущения наступления негативных последствий, стало непосредственным и приоритетной задачей для наших специалистов.
Сейчас мы ожидаем практической реализации второго этапа трастового фонда Украина-НАТО по вопросам кибербезопасности, который мы согласовали с представителями Альянса в начале года. Мы надеемся расширить сеть ситуационных центров и существенно увеличить количество объектов критической инфраструктуры, которые получат киберзащита. Хочу отметить об открытости нашего ситуационного центра для сотрудничества со всеми субъектами обеспечения кибербезопасности: учреждениями, организациями, предприятиями и профильными специалистами. Кстати, важность такого сотрудничества отметил лично Председатель Службы: «Любой представитель крупного, среднего и даже рис ого бизнеса может обратиться в центр за консультациями и помощью».
При этом, у нас есть несколько инновационных проектов, которые предназначены именно для налаживания прямого взаимодействия с бизнесом в режиме онлайн в вопросах повышения уровня кибербезопасности и общей культуры киберзащиты. Одним из таких является система MISP-UA, которая является платформой обмена технологической информацией о кибератак.
Приобретенный специалистами СБУ опыт позволил предупредить в октябре 2017 проведения организованной российскими спецслужбами кибероперации, направленной на блокирование работы компьютерных органов государственной власти Украины, крупных государственных и частных компаний и предприятий Украины, реализацию которой планировали с использованием обновлений распространенного программного обеспечения.
В апреле 2018 обнаружено и локализовано кибератаку на объекты оборонно-промышленного комплекса страны, направленная на дискредитацию Украины на международной арене и распространение в информационном пространстве недостоверной информации по ряду объектов критической инфраструктуры, в частности ненадежности украинской стороны в сотрудничестве в научной и инженерной сферах .
Кроме того, Ситуационным центром кибербезопасности СБУ обнаружено и своевременно отреагировано на кибератаку, направленную на информационные системы сектора безопасности и обороны Украины, прежде всего СБУ, Минобороны, Госпогранслужбы, а также подразделения, привлеченные к выполнению задач Операции объединенных сил. Целью этой кибератаки было поражение как компьютерных сетей этих ведомств, так и персональных компьютеров сотрудников для получения удаленного доступа и похищения служебной информации.
Установлено, что указанная кибератака осуществлена хакерской группировкой, которая территориально находится в аннексирована Крыму, с применением вредоносного программного обеспечения известного как «Armagedon», ранее применялось спецслужбами РФ.
В мае текущего года Службой безопасности Украины во взаимодействии с представителями международных ИТ-компаний предупреждены проведения масштабной кибератаки с использованием вредоносного программного обеспечения VPNFilter на государственные структуры и частные компании с целью дестабилизации ситуации во время проведения в Киеве финала Лиги Чемпионов УЕФА.
По заключению специалистов по кибербезопасности, эта кибератака была направлена на поражение сетевых устройств и фиксировалась по всему миру начиная с 2016 года. Однако на этот раз географически кибератака была направлена исключительно на украинский сегмент интернета.
Результаты проведенных нами исследований, в том числе во взаимодействии с ведущими ИТ компаниями, указывают на общие черты всех кибератак, о которых я говорил, и причастность к их проведению известных СБУ хакерских групп, действующих под контролем спецслужб РФ.
Так, механизм кибератаки VPNFilter, запланированной накануне проведения финала Лиги Чемпионов, является идентичным с кибератаками, которые произошли в 2015-2016 годах с использованием вредоносного программного обеспечения BlackEnergy и Petya / NotPetya.
Киберсанкции: почему и против кого
В условиях ведения Россией гибридной войны против Украины одним из самых распространенных и опасных механизмов кибервлияния стали комплексные AРТ-атаки, которые предусматривают использование вредоносного программного обеспечения, методов социальной инженерии, а также задействование скрытых возможностей удаленного доступа через недокументированные функции в программном обеспечении российского производства.
В частности, методами работы антивирусных пакетов «DoctorWeb» и «Касперский» не предусмотрено обнаружения вредоносных программных продуктов, разработанных спецслужбами РФ, а также содержатся недокументированные функции по сбору конфиденциальной и чувствительной информации пользователей. Отмечу, что «Лаборатория Касперского» была прямо обвинена компетентными органами США в содействии утечки новейших разработок кибернетического оружия с АНБ США.
Поэтому, внесение этого вредоносного программного обеспечения, а также подобных продуктов и информационных ресурсов в санкционного списка СНБОУ является важным превентивной мерой по предупреждению кибератак российских спецслужб против Украины.
Законопроект №6688 и блокировки сайтов: есть угроза бизнесу и свободе слова
Прежде всего, стоит отметить, что проект Закона Украины «О внесении изменений в некоторые законодательные акты Украины относительно противодействия угрозам национальной безопасности в информационной сфере», разработан с целью создания действенных механизмов, направленных исключительно на оперативное выявление, реагирование, предупреждения, предотвращения, нейтрализации киберугроз, кибератак и киберпреступлений, ликвидации их последствий и восстановления устойчивости и надежности функционирования коммуникационных, технологических систем.
Законопроект также направлен на совершенствование системы борьбы с терроризмом в киберпространстве. А кроме этого, он позволит ввести механизм реализации Указа Президента Украины «О решении Совета национальной безопасности и обороны Украины от 28 апреля 2017« О применении персональных специальных экономических и других ограничительных мер (санкций) »в отношении субъектов государства-агрессора, функционирующих в телекоммуникационной сфере Украины.
Заявления отдельных журналистов и политиков о том, что этот закон направлен против свободы слова в онлайн-медиа и слова в Украине является манипуляцией.
Законопроект направлен исключительно на противодействие использования преступниками и иностранными спецслужбами ресурсов и сервисов для осуществления кибератак и киберпреступлений. О информационное наполнение указанных ресурсов речь не идет. Никакой следователь и прокурор не сможет использовать нормы этого закона для политического давления. Именно четкое определение кибертерроризма и установления рамок деятельности правоохранительных органов в сфере информационной безопасности, предусмотренных законопроектом, позволит исключить давление на свободу слова в интернете.
Выше были перечислены достаточно значительное количество киберинцидентив. Достаточно часто, владельцы и администраторы ресурсов, через которые осуществлялись указанные атаки, не знали, либо не могли противодействовать использованию враждебными хакерами своих сайтов или сервисов.
В то же время, во время кибернетических атак отсчет времени для реагирования идет на минуты, поэтому ставя на чашу весов с одной стороны – блокирование веб-ресурса на 48 часов, а с другой, например, безопасное функционирование атомной станции или системы управления «Укрзализныци» мы как СБУ выбираем безопасность граждан.
За 48 часов сблокированный ресурс не потеряет значительные средства от рекламы и от него не уйдет аудитория одновременно Служба получит реальный инструмент быстрой и эффективной борьбы с киберугрозами.
Хочу подчеркнуть, что мы очень благодарны гражданскому обществу, которое активно включилось в обсуждение этого законопроекта. Уверен, после обсуждения мы выйдем на сбалансированный и эффективный нормативно-правый акт. Это следующий шаг в нашем общем противостоянии российской пропаганде, выявлении фейков и OSINT. Наши совместные действия позволяют достигать синергетического эффекта и уже более четырех лет эффективно противостоять одной из самых мощных спецслужб мира.
Каким опытом может поделиться Украины
Мир меняет свое отношение к проблемам кибербезопасности, и на примере Украины растет осознание того, что самыми опасными является не хакеры-одиночки, а кибернетические и информационные угрозы, исходящие от агрессивно настроенных стран и их спецслужб.
В данном контексте, очень важно, что Украина через своих представителей с трибуны Организации Объединенных Наций может донести свою позицию и видение. Ценным с этой точки зрения, стало выступление заместителя Председателя Службы безопасности Украины А. Фролова в зале заседаний Генассамблеи ООН на первой Конференции высокого уровня руководителей антитеррористических ведомств.
Очень продуктивной была и работа украинской делегации в кулуарах. Должен отметить, что встречи на уровне руководителей, которые одновременно являются и экспертами в области противодействия кибернетическим и информационным воздействиям крайне эффективными и позволяют продолжить уже двустороннее сотрудничество между странами и спецслужбами.
Что дальше
Сейчас в Службе безопасности Украины создана мощная, креативная и патриотическая команда профессионалов, которые обеспечивают кибернетическую и информационной безопасности Украины. Необходимо отметить, что формирование такой команды произошло, прежде всего, благодаря Председателю СБ Украины генералу армии Украины Василию Сергеевичу Грицака. Еще находясь на передовой и управляя антитеррористической операцией он понял важность именно информационного противоборства с агрессором. Поэтому мы чувствуем мощную и мотивирующую поддержку руководства Службы.
Нашими специалистами ежедневно нивелируются российские информационные воздействия и отражаются кибернетические атаки.
Для того, чтобы эта слаженная команда работала еще более эффективно и росла в своем профессионализме нужны две вещи:
– получение новых законодательно-определенных инструментов противодействия российским кибернетическим и информационными воздействиям;
– увеличение финансирования подразделений информационной и кибернетической безопасности для закупки новейшего программного обеспечения и оборудования, а также материального стимулирования специалистов высокого уровня.
Также, Служба безопасности Украины рассчитывает на гражданскую сознательность и медийную грамотность наших граждан, которые являются непосредственными потребителями информации. Об этом неоднократно говорил и Председатель Службы. Только совместными усилиями общественности и правоохранительных органов можно успешно и эффективно противостоять пропаганде и информационной агрессии против Украины.