Українська кібервійна зараз нагадує ситуацію в ООС. Взаємний обстріл. Без гарячої фази. Можливо тому, що маємо досвід та готуємося. У цій українсько-російській воєнній історії одними з найбільш резонансних були вибори 2014 року, саме тоді Україні вдалося уникнути ганьби, коли довгий час ми не контролювали сервери системи «Вибори». А уявного «переможця» виборчих президентських перегонів Дмитра Яроша, з результатом 37%, вдалося прибрати за кілька хвилин до офіційного оголошення результатів. Причетний до цієї перемоги керівник компанії «Інфосейф», фахівець в сфері кібербезпеки Віктор Жора продовжує забезпечувати охорону «виборчих» мереж – кіберзахист системи «Вибори».
Насправді, й атаки на виборчі системи, й спотворення Інтернет-простору на догоду певному («російському кандидату») останні роки залишалися у безпековому порядку денному. Україна у цьому, як і в іншому, була першим випробувальним майданчиком. Як вибори відбувалися цього разу? Про це ми говоримо з одним із найвідоміших в Україні фахівців з кібербезпеки.
- Вікторе, вітаю вас із спокійним проходженням виборів!
- Дякую!
- Чому вони пройшли так спокійно? Ми нікому не були цікаві? Чи ви так гарно забезпечили охорону наших виборчих систем?
- Звісно, вибори цікаві всім і певні спроби атакувати систему були зафіксовані, про це говорили й голова Центральної виборчої комісії, і керівники відповідних спецслужб. У той же час, якоїсь цілеспрямованої діяльності на проникнення в інформаційну інфраструктуру за сценарієм 2014-го року ми не спостерігали. Не можу сказати, що не готувалося інформаційне підґрунтя для цього, бо ми бачили телевізійні репортажі з сусідньої країни, де вони згадували і про транзитні сервери, які організовуються, і про людей, які нібито мають до цього стосунок. Тобто я не виключаю того, що ці інформаційні атаки готувалися для супроводу реальних кібератак і компрометації системи.
- Що входить в систему Вибори? І що таке нова система Вибори, про яку казали в ЦВК, бо сайт виглядає так само?
- Це Єдина інформаційно-аналітична система «Вибори». Саме туди вводиться інформація про хід голосування та про попередні його результати. Це все передається до центральних баз даних, де проводяться підрахунки, після чого інформація оприлюднюється в прес-центрі й на дзеркалах веб-сайту Центральної виборчої комісії. Є ще Державний реєстр виборців та сайт ЦВК.
Нова система була запроваджена за три місяці. Необхідні технологічні етапи проходили у надзвичайно стислі терміни, я маю на увазі заміну обладнання та програмного забезпечення. Архітектурно система залишається такою самою, тобто, це вузол у Центральній виборчій комісії й це програмно-технічні комплекси в окружних виборчих комісіях. В порівнянні з 2014 роком, в 2019-му були залучені цілковито нові механізми захисту. Це все мало пройти й випробування, користувачі мали бути навчені роботі з видозміненою системою. Але найбільші зміни сталися якраз на рівні Центральної виборчої комісії, в т.ч. завдяки обладнанню і програмному забезпеченню, яке вдалося придбати Центральній виборчій комісії в рік перед виборами та завдяки допомозі від іноземних партнерів. За рахунок цієї сукупності факторів вдалося повністю перебудувати телекомунікаційну складову центрального вузла і захист інформації.
- А що найбільше атакували?
- Що стосується веб-дзеркал, ми не спостерігали DDoS-атак такої потужності, як у попередні періоди, але вони мали місце під час підготовки до виборів, наприкінці лютого. Тобто з моменту дня голосування до оприлюднення вже остаточних результатів якихось надзвичайних DDoS-атак не було зафіксовано. Що стосується атак на інші складові інформаційної системи, спочатку будь-який зловмисник пробує потрапити через периметр системи, тобто атакувався периметр.
Периметр – це доступна ззовні частина системи включно із засобами захисту від зовнішніх атак.
- Це були школярі чи це були якісь такі серйозніші хлопці?
- Важко сказати, наскільки кваліфікованим є атакувальник доти, допоки він не зробить чогось серйозного в системі. Це могли бути як і висококваліфіковані фахівці, так і початківці, але їхні спроби втрутитися в роботу системи були ще на дальніх рубежах попереджені.
Хоча спроби потрапити всередину фіксувалися, фактично, весь час.
- Кожного дня?
- З певною періодичністю. Що стосується спроби завадити нормальній роботі дзеркал сайтів Центральної виборчої комісії з моменту введення їх в експлуатацію, серйозних спроб, які завадили б їх нормальному функціонуванню, ми не помічали.
- Яка була відвідуваність сайту ЦВК в дні голосування і після того, під час підрахунку голосів, підбиття результатів виборів?
- Статистику відвідувань поки що досліджують, але загальне навантаження було незначним, адже цього разу одночасно працювало більше десятка веб-серверів.
- Європейські вибори теж пройшли спокійно, там теж Росія втратила інтерес до кібервтручань, чи просто резонанс щодо її втручання був надто великим, отож вона перестала тим займатися?
- Були великі побоювання щодо перспектив європейських виборів, кібербезпеки і т.д. Побоювання небезпідставні, проте скажу дещо непопулярну річ: мені здається, що фактор кібербезпеки у виборчому процесі поступово відходить на другий план. Спроби атакувати систему, без можливості щось змінити в ній, приречені на невдачу. Натомість використання технологій маніпуляції свідомістю може мати набагато більший ефект.
- Якщо буде змінена виборча система, і у нас стане «пропорціоналка» з відкритими списками, там же серйозно змінюється кількість кандидатів, в рази ускладнюється підрахунок. Чи готова ЦВК адмініструвати, а ви захищати такі вибори? Щось для вас змінюється?
- Я не певен, що буде забезпечена інституціональна готовність у такий короткий термін провести вибори відповідно до нового законодавства. Це серйозна зміна не тільки в інформаційній системі, в прикладному програмному забезпеченні, а це серйозні зміни, в принципі, в процесі організації голосування і, вочевидь, для таких змін потрібен час. Зараз часу зовсім небагато, і план підготовки до проведення позачергових виборів народних депутатів України навіть на старій законодавчій базі дуже щільний. Попереду – менше двох місяців надзвичайно інтенсивної роботи.
Центральна виборча комісія повинна встигнути надрукувати необхідну кількість бюлетенів, організувати роботу окружних і дільничних виборчих комісій. Та й організація роботи Єдиної інформаційно-аналітичної системи на рівні окружних виборчих комісій – це так само серйозна задача, бо усі програмно-технічні комплекси були от тільки нещодавно розформовані. Тобто, це обладнання вже, яке зазвичай позичається в органів влади і місцевого самоврядування для забезпечення роботи окружних виборчих комісій, вже повернуто, власникам. Треба заново зібрати це все і розгорнути нижній рівень системи фактично з нуля, а це досить трудомісткий процес.
- А хто на місцях адмініструє систему вибори?
- Центральна виборча комісія видає спеціальну постанову – вимоги до програмно-технічного комплексу рівня окружної виборчої комісії – в якій зазначаються вимоги до адміністраторів та операторів системи «Вибори». Це мають бути кваліфіковані фахівці, кожен з адміністраторів є людиною, відповідальною в т.ч. за захист інформації, вони всі проходять централізоване навчання в Києві, після чого повертаються назад в окружні виборчі комісії й потім розгортають елементи системи «Вибори» на місцях. Тому, в значній більшості, це підготовлені люди, оскільки від роботи адміністратора залежить дуже багато – не тільки захист інформації, а й швидкість введення результатів, своєчасність подання необхідних даних у процесі підготовки, бо робота системи «Вибори» – це не тільки в день голосування і до оголошення результатів, а це великий обсяг кропіткої праці до дня голосування: формування списків членів комісій, участь у тренуваннях й т.і.
- Давайте поговоримо про реєстр виборців. Найбільш поширеним у цій кампанії був міф про мільйон мертвих душ у списках.
- Голова Центральної виборчої комісії та керівник Служби розпорядника Державного реєстру виборців уже давали коментарі ЗМІ. Суть цих коментарів: інформація про наявність «мертвих душ» у Державному реєстрі виборців не відповідає дійсності. А щодо самої системи Державного реєстру виборців, то вона територіально розгалужена, має присутність в усіх регіонах країни. Але вона ізольована від мережі Інтернет. Так само вона ізольована від Єдиної інформаційно-аналітичної системи «Вибори». Вони, кожна по своєму, допомагають функціонально Центральній виборчій комісії, але кожна живе окремим життям.
- Про підготовку виборчих комісій. Чи була підготовка членів виборчих комісій? Чи ви переконані, що в жодного члена окружкому там нема якоїсь скриньки на якихось російських ресурсах чи вони у нас всі заборонені?
- Безперечно в рамках підготовки до виборів і в рамках навчання адміністраторів, яке забезпечує головний виконавець робіт з модернізації й підтримки системи «Вибори», присутні розділи і цифрової гігієни. Так само в усіх інструкціях, які готуються в рамках створення комплексної системи захисту інформації, є речі, що стосуються попереджувальних дій. Є міжнародні організації, які зі свого боку забезпечують навчання й підготовку членів виборчих комісій якраз саме в напрямку кібергігієни.
Щодо скриньок. Є певні обмеження щодо ряду російських ресурсів, про які ми знаємо. Але відстежити, чи кожен член дільничної або окружної комісії в жодному разі не користується російськими інформаційними ресурсами, немає можливості. Але я все-таки сподіваюсь, що, в тому числі через відсутність у сегментах системи «Вибори» рівня окружної виборчої комісії доступу до Інтернет, ми захищені від якихось додаткових ризиків, які могла б створювати необхідність користування такими скриньками. Комп’ютери окружних виборчих комісій, які працюють у системі «Вибори», ізольовані від зовнішніх мереж.
Хотілося б бачити розвиток системи «Вибори» якраз у напрямку дільничних виборчих комісій
Так завжди було, це є обов’язкова вимога. Вся інша діяльність людей, які працюють у виборчих комісіях і працюють у системі за її межами, – їхня особиста справа.
Процедура така. Поки що в тій картині світу, в якій ми живемо, в дільничних виборчих комісіях рахують результати, і протоколи на паперових бланках везуть в окружну виборчу комісію. В окружних комісіях дільничні протоколи вводяться у веб-форму в режимі онлайн.
- А з дільничних вам не передають дані?
Якщо ми правильно обладнаємо виборчі дільниці, то зможемо мати результати виборів ще до 12-ї години ночі
- Хотілося б бачити розвиток системи «Вибори» якраз у напрямку дільничних виборчих комісій. Я сподіваюся, що можливо до наступного виборчого циклу держава зверне на це увагу і забезпечить можливість технологічного розвитку системи до рівня дільниць. Це значно пришвидшило б передачу результатів. Вони б вводилися на рівні дільниці, тобто, порахували результати та передали ці дані в ЦВК – і все. Я думаю, що ми до 12 ночі того ж дня мали б уже попередні результати голосування. Бо багато часу витрачається саме на транспортування паперових протоколів до окружної виборчої комісії.
Але більше 30 тисяч виборчих дільниць обладнати комп’ютерною технікою – це величезний проект. Що стосується складової безпеки для виборів загалом. Допоки у нас виборче законодавство передбачає встановлення офіційних результатів за паперовими протоколами, кіберризиків для офіційних результатів немає. Якщо ця комбінація інформаційних технологій і паперового сліду виборів буде зберігатися, думаю, що ризики будуть мінімальними.
Якщо узагальнювати кібербезпеку виборчих процесів, то безперечно – держава пройшла за останні п’ять років у сенсі як еволюції свідомості, обізнаності питань кібербезпеки, так і в сенсі технологічної готовності, досить серйозний і тернистий шлях. Жодна країна в світі не мала такого досвіду протидії агресії в кібернетичному просторі як Україна. Тому досвід як попередження, так і реагування у нас є унікальний. Рівень знань і підготовки українських фахівців є достатнім для того, щоб конкурувати на світовому ринку.
- Вас гріє думка про електронне голосування для України?
- Я був палким апологетом електронного голосування до 2014 року. Оскільки з цього року не тільки Україна, а й взагалі світ, зіткнулися з абсолютно новим рівнем загроз, мені здається, що перспективу впровадження електронного голосування в Україні треба дещо переосмислити. Це рішення, яке в певний момент буде абсолютно природним, має бути дуже зваженим. Без встановлення достатнього високого рівня довіри до всієї виборчої системи і адміністратора цієї виборчої системи загалом, є великий ризик маніпулювання свідомістю щодо встановлених в електронному вигляді результатів виборів. Потрібно довести, що електронне голосування за своєю прозорістю, надійністю і конфіденційністю жодним чином не поступається традиційному встановленню результатів виборів, яке ми зараз маємо в країні.
- Не так давно президент озвучив ідею держави в смартфоні. Ви розумієте про що йдеться?
- Це про можливість отримання якомога ширшого спектру електронних сервісів усіма верствами населення. За 5 років у сфері цифровізації державних послуг зроблено дуже багато, і переведення результатів цієї праці у смартфон, доступний звичайному громадянину, є очевидною справою. Мені здається, що технологічне підґрунтя для цього вже давно готове, і є багато запроваджених сервісів, які доступні як у смартфоні, так і в комп’ютері. Це абсолютно зрозумілий і природний спосіб руху держави назустріч громадянам.
- Днями Андрій Портнов по телебаченню заявив, що він – за скасування заборони російських мереж. А не так давно – один хакер невітчизняного виробництва запропонував мені свій доробок. Величезний доробок зламаних акаунтів ВКонтакте, які продовжують працювати на бунт, «на третій Майдан» під виглядом українських патріотів. Тобто, я тоді подумала: яке щастя, що соцмережі заборонені. Але враховуючи досвід праці Андрія Портнова із судами, – не знаю, чи їх не розблокують. По-вашому виправдало себе блокування?
- Це питання складне і дискусійне, оскільки є полярні точки зору стосовно заборон доступу до ресурсів, блокування навіть у професійному середовищі. Але не можна не помічати того факту, що в цілому інформаційний простір України став чистішим. Звісно, хотілося б, щоб це очищення досягалося, насамперед, шляхом інформаційної гігієни самих користувачів. Адже навіть у доступних в Україні соціальних мережах є багато абсолютно неправдивої інформації, яка свідомо або несвідомо поширюється й українськими користувачами. Тому, питання скасування блокування я б ставив на порядок денний тоді, коли держава буде переконана в тому, що ті можливості, які вона цим відкриває, будуть значно переважувати ризики.
- Про закон 6688. Я от питала в одного з авторів закону – чому він його підписав. Автор мені відповів: це закон Турчинова, а на того тисне Захід. І закон, мовляв, непоганий, списаний з французького. З одного боку, Турчинов щось погане не порадить, з іншого – кіберспільнота його ненавидить.
- Ні, я розумію спільноту, яка обстоює права в інтернеті, бо інтернет за своєю природою – це відкрита система. Будь-які обмеження в інтернеті – це фактично опосередковане обмеження прав людини. Але коли йдеться про безпеку держави, про кіберпростір, то тут кожна країна згадує про наявні в неї механізми самозахисту, і Україна в цьому плані не є якимось винятком. Всі цивілізовані країни мають подібні механізми, єдине що – чомусь Україну в такому випадку завжди порівнюють з Росією, а не з Францією, приміром, чи з Великою Британією. Мабуть через те, що в усталених демократіях будь-які встановлені державою обмеження мають серйозне правове підґрунтя і механізми зміщення як в один, так і в інший бік.
- Не так давно на одному заході почула історію. Зі, скажімо так, одного з дослідницьких центрів, пов’язаних з МЗС, з їхнього МЗСу були відправлені листи нашим міжнародним партнерам провокативного змісту, полякам – про погану Польщу, угорцям – про погану Угорщину. Так з нами пожартували іноземні хакери. На той момент систему не полагодили, а просто заблокували. Система з кібербезпекою не виглядає кращою. Чи я помиляюся?
- Ні, просто історично так склалося, що більшість інформаційних систем в органах державної влади були до певного періоду вразливими. Я не скажу, що ситуація якось глобально, докорінно змінилася, але, якщо порівнювати стан кіберзахисту в органах державної влади з періодом 2014 року, то він суттєво покращився. Можливо в цьому сенсі це буде протирічити оцінкам деяких наших експертів, але держава, попри складну економічну ситуацію, попри війну, розуміючи, що кібервійна – це складова гібридної війни, інвестувала серйозні кошти в кіберзахист державних інформаційних ресурсів.
Ситуація, про яку ви говорите, скоріш за все, локалізована і наслідки її усунені. Принаймні, що стосується Міністерства закордонних справ, воно було учасником досить серйозних проектів у сфері кібербезпеки.
- Як виглядає кіберзахищена людина сьогодні, якщо це не фахівець?
- Кіберзахищена людина – це, насамперед, обізнана людина. Обізнана людина, яка не клікає там, де не потрібно.
Не натискає на незнайомі посилання, не відкриває незнайомі вкладення, це людина, яка робить резервні копії для важливої інформації, це людина, яка використовує складні паролі, різні паролі й, в ідеальному випадку, менеджер паролів. Це людина, яка, в ідеальному випадку, не працює під обліковим записом з правами адміністратора під час роботи в інтернет, це людина, яка використовує ліцензійне програмне забезпечення або програмне забезпечення з гарантованими джерелами походження і своєчасно його оновлює.
- Ясно. Скажіть, будь ласка, у вас включена двохфакторна автентифікація?
- Обов’язково. Touch-ID та пін-код для гаджетів. Що стосується основних сервісів онлайн, обов’язково присутня 2-факторна автентифікація – будь-які платіжні системи, електронна пошта, якісь системи збереження даних, обов’язково.
- Ви користуєтеся менеджером паролів?
- Для визначеного кола застосувань.
У людини багато є всяких онлайн-сервісів, систем і застосувань, в яких потрібно автентифікуватися, це буває пов’язане як із роботою, так і з повсякденним життям. Застосовувати менеджер паролів для всіх без винятку сервісів, особливо поєднувати його з приватними і з робочими цілями, можливо, не найкраща ідея, але має право на життя. Кожен вирішує сам, оскільки інформаційна безпека, за винятком окремих ситуацій, пов'язана з оцінкою ризиків. Кожний користувач сам визначає важливість і критичність тих чи інших сервісів – принаймні для його повсякденного життя, приватного, і вирішує, де потрібен максимальний рівень захисту, а де можна його пом’якшити на користь зручності користування.
- Я колись, коли ходила на конференції, там розказували такі неймовірні речі про те, як холодильник атакує телевізор, телевізор атакує на кухні якісь девайси. Я подумала: ми ще до цього не доросли чи ми про це не знаємо? У нас це ще не є наша реальність, правда ж?
- У нас рівень проникнення Інтернету речей в країні поки що незначний, але є просто неймовірний потенціал для розвитку цього ринку. Тому врешті фахівцям із кібербезпеки доведеться зіткнутися з необхідністю захисту величезної кількості подібних девайсів. Чи є це реальністю? У вузьких колах так, оскільки, якщо поглянути на програми останніх конференцій з кібербезпеки, то ІoТ (Internet of things) є предметом чи не половини всіх воркшопів. Це цікаво, це актуально, це доступно в плані моделювання якихось стендів, і за цим майбутнє. Але про масове використання і так само – про масовий захист цього нового світу в Україні говорити ще зарано, але це перспектива найближчого майбутнього – двох-п’яти років.
- Порядок денний кіберконференцій включає хакінг машин. Ви вивчаєте те, чого ще не відбулося? Адже в нас нема такої статистики.
- Статистики нема, це скоріше ілюстрація того, наскільки близькими до безпеки і життя людей можуть бути вразливості в системах керування складними механізмами і у програмному забезпеченні загалом. Оскільки цифровізація проникає в усі сфери життя, зокрема й у ті, які безпосередньо пов’язані з безпекою життя людини, потрібно слідкувати за тим, щоб і електронна складова всіх цих засобів була надійно захищена. Подібні хакінг-шоу цікаві за технологією демонстрації, бо вони дуже наочно і безпосередньо показують – наскільки вразливим є оточуючий світ.
- У мене колись був період захоплення вашими всіма штуками і я акуратно користувалася менеджером пароля: мені подобалося як за кліком електронний файл видає мені пароль на 19 знаків, щоразу заходила, щоразу вводила, щоразу генерувала. Потім мені це все набридло. А недавно мою скриньку зламав хлопець, причому – в мене було все вимкнено. Треба шукати мотивацію знову зайнятися ящиком паролю?
- По-перше, золоте правило – ніколи не писати і не озвучувати того, що може бути використано проти вас. Якщо мова йде про журналістику, я можу тільки уявити собі ступінь критичності тих чи інших розмов і контактів, які бувають у повсякденній журналістській діяльності, тому доцільно використовувати захищені сервіси, месенджери, поштові служби, і видаляти дані, тільки-но вони стануть не потрібні. Що стосується месенджерів, то деякі, окрім шифрування, пропонують самознищення повідомлень через певний період часу. Дуже зручна функція. А от щодо використання паролів, так сталося, що безпека – це завжди обмеження. І це такий розумний баланс між функціональністю й легкістю у використанні та надійністю й захищеністю. Кожна людина має визначитися самостійно: якщо це сфера приватного використання, а не робочого, бо там менеджер з інформаційної безпеки встановлює правила, які затверджуються керівництвом. А в своєму приватному житті кожна людина сама приймає рішення і знаходить цей баланс. Щодо того, як можна повернутися до використання менеджер-паролів, тим більше, якщо він уже був випробуваний, то це – сказати собі, що без нього не можна. Тобто, ввести цей інструментарій у звичний процес роботи з електронними сервісами.
- А він мені поможе?
- Можливо, він не допоможе в усіх випадках життя, але він зробить роботу зловмисника важчою. Зловмисник така сама людина. І якщо тут апелювати до кібератак на державу, на критичні інформаційні ресурси, то це знову таки – питання ціни. Якщо це наказ, то він буде виконаний. Якщо є можливість зважувати на необхідність здійснення тієї чи іншої атаки, то зазвичай дивляться на вартість, бо хтось має за це платити. Як люди змушені витрачати ресурси для того, щоб захиститися, атакувальники так само змушені витрачати ресурси на атаку. Якщо атака відбувається не в рамках якоїсь дослідницької діяльності студента або школяра, то зазвичай вона має витратну частину. Залежно від складності, ця витратна частина може істотним чином варіюватися, і чим більше захищена потенційна жертва, тим більша ймовірність того, що зловмисник піде далі шукати іншу жертву.
Лана Самохвалова, Київ
Фото: Володимир Тарасов, Укрінформ