Jak SBU wykorzystuje najnowsze technologie do ochrony cyberbezpieczeństwa kraju: Illia Vitiuk, szef Departamentu Cyberbezpieczeństwa SBU, wyjaśnia

Illia Vitiuk, szef Departamentu Cyberbezpieczeństwa SBU, w wywiadzie dla UA.NEWS na iForum mówił o stanie cyberbezpieczeństwa w Ukrainie, przeciwdziałaniu atakom wroga oraz operacjom informacyjnym i psychologicznym, wykorzystaniu sztucznej inteligencji w pracy SBU, współpracy z zachodnimi partnerami i światowymi liderami w dziedzinie cyberobrony oraz poprawie umiejętności cybernetycznych wśród urzędników i pracowników obiektów infrastruktury krytycznej.

"Mamy doświadczenie w odpieraniu ataków wrogich służb specjalnych. Mamy do czynienia ze specjalistami, którzy codziennie pracują w ramach Głównego Zarządu Wywiadu, Służby Wywiadu Zagranicznego i Federalnej Służby Bezpieczeństwa rosji.  Oznacza to, że najwięksi profesjonaliści są bardzo skoncentrowani na stronie wroga. Ale Ukraina ma wiele narzędzi, aby przeciwdziałać tym interwencjom”

Jak bardzo poprawiło się cyberbezpieczeństwo Ukrainy od początku rosyjskiej agresji?

Illia Vitiuk: Cyberagresja rosji rozpoczęła się w 2014 roku. Z każdym rokiem liczba ataków stale rosła. Ataki wroga stawały się coraz bardziej wyrafinowane i zakrojone na szeroką skalę. Na przykład, wszyscy wiedzą o wirusie NotPetya z 2017 roku. Atak ten stał się znany na całym świecie, ponieważ dotknął dziesiątki krajów, w tym Ukrainę. Wcześniej, w latach 2015 i 1206, mieliśmy do czynienia z atakiem BlackEnergy, którego celem były obiekty energetyczne. W rezultacie ponad 200 000 osób przez długi czas nie miało prądu. Dziś nie jest to zaskoczeniem po atakach rakietowych, ale w tamtym czasie był to szok.

To właśnie wtedy nasze zdolności cyberobrony zaczęły być aktywnie rozwijane. Stworzyliśmy podmioty zajmujące się cyberbezpieczeństwem i poprawiliśmy ich możliwości, poprawiliśmy bezpieczeństwo w działach IT i różnych obiektach infrastruktury krytycznej. Wszyscy zrozumieli, że cyberzagrożenie jest absolutnie realne i do czego może doprowadzić. Podjęto odpowiednie działania: budżetowanie, rozwój, instalacja systemów sprzętowych i programowych, oprogramowania itp.

Mamy doświadczenie w odpieraniu ataków wrogich służb specjalnych. Żebyście zrozumieli, to nie są jacyś utalentowani 17- czy 18-latkowie, którzy infiltrują firmę, a potem żądają za to pieniędzy. Mamy do czynienia ze specjalistami, którzy codziennie pracują w ramach Głównego Zarządu Wywiadu, Służby Wywiadu Zagranicznego i Rosyjskiej Federalnej Służby Bezpieczeństwa. Mają instytuty badawcze, które opracowują złośliwe oprogramowanie do określonych zadań wyznaczonych przez ich kierownictwo, w tym wojsko. Oznacza to, że wróg ma po swojej stronie najbardziej skoncentrowanych i wykwalifikowanych specjalistów. Ale Ukraina ma wiele narzędzi do przeciwdziałania tym interwencjom.



Czy nasi zagraniczni partnerzy nam pomagają?

Illia Vitiuk: Nasza współpraca z partnerami tylko się rozszerzyła. Otrzymaliśmy wiele pomocy od darczyńców w postaci oprogramowania, różnych licencji, sprzętu i systemów oprogramowania. Zapewniono ukierunkowane finansowanie na rozwój konkretnej infrastruktury IT.

Pracownicy zarówno Służby Bezpieczeństwa, jak i innych podmiotów przeszli odpowiednie szkolenia i edukację na całym świecie, odbyli staże i zdobyli wiedzę z zakresu cyberbezpieczeństwa.

Wszystkie zdobyte w tym czasie doświadczenia są bardzo ważne.

“Liczba i skala cyberataków rośnie bardzo szybko. Ale zdecydowana większość ataków, o których wspomniałem, została zatrzymana na początkowych etapach. Oznacza to, że po prostu przeskanowali system i wykorzystali lukę w zabezpieczeniach, a gdy tylko dostali się do środka, zauważyliśmy to i zareagowaliśmy”

Jak wzrosła liczba incydentów cybernetycznych?

Illia Vitiuk: W 2020 roku SBU zajmowała się, blokowała, neutralizowała i reagowała na około 800 cyberataków, w 2021 roku - 1400. W 2022 r., po rozpoczęciu inwazji na pełną skalę, było to 4500. W pierwszej połowie 2023 r. odnotowano około 2700 cyberataków i krytycznych incydentów cybernetycznych. Oznacza to, że liczba i skala cyberataków rośnie bardzo szybko.

Oczywiście coraz trudniej jest na nie reagować. Ale wprowadzamy odpowiednie zmiany kadrowe, rozbudowujemy odpowiednie departamenty i wyspecjalizowane centra zajmujące się cyberbezpieczeństwem.

Mamy już duże doświadczenie. A zdecydowana większość ataków, o których wspomniałem, została powstrzymana na początkowych etapach. Oznacza to, że właśnie przeskanowaliśmy system i wykorzystaliśmy lukę w zabezpieczeniach, a gdy tylko zostaliśmy przyłapani, już to widzieliśmy i zareagowaliśmy. Zainstalowaliśmy tak zwane systemy CM, które pozwalają nam monitorować i widzieć nietypową aktywność w obiektach infrastruktury krytycznej. Instalujemy specjalne oprogramowanie i do tej pory objęliśmy nim dziesiątki tysięcy urządzeń. Wiele z nich otrzymaliśmy w zeszłym roku za darmo.

“Mamy ogromną infrastrukturę IT, duże państwo i trwa aktywna cyfryzacja. Dlatego niezwykle trudno jest chronić wszystko. Czasami nie ma wystarczającego budżetu, nie ma wystarczającego wsparcia. W końcu dziś priorytetem jest wojna”

Czy otrzymaliście jakieś wsparcie od zachodnich partnerów?

Illia Vitiuk: Tak. A także bezpośrednio od firm zajmujących się cyberbezpieczeństwem. Na przykład natychmiast po inwazji na pełną skalę wiele firm, takich jak Cisco, dało nam nieograniczony dostęp do swoich produktów. Zainstalowaliśmy te produkty w obiektach infrastruktury krytycznej. Specjaliści z tych firm pomogli nam również monitorować dane techniczne, które mogłyby wskazywać na atak. Jeśli takie oznaki zostały znalezione, zabieraliśmy się do pracy, jechaliśmy i badaliśmy sprawę, współpracowaliśmy z administratorami w obiektach, blokowaliśmy i zapobiegaliśmy ingerencji w system.

Czy w ten sposób można chronić wszystkie ważne obiekty?

Illia Vitiuk: Mamy ogromną infrastrukturę IT, duże państwo i aktywną cyfryzację. Dlatego niezwykle trudno jest chronić wszystko. Czasami nie ma wystarczającego budżetu, nie ma wystarczającego wsparcia. Przecież dzisiaj priorytetem jest wojna, jest broń.

Wraz z Ministerstwem Transformacji Cyfrowej i innymi interesariuszami cyberbezpieczeństwa chcemy usystematyzować tę międzynarodową pomoc i zaprosić globalne firmy, które są liderami w dziedzinie cyberobrony. Będą one współpracować z nami, aby ocenić, co należy zrobić w naszych obiektach. Na podstawie ich analizy zostanie stworzona platforma z listą naszych potrzeb, która będzie dostępna dla partnerów Ukrainy. W przyszłości będą oni mogli bezpośrednio dostarczyć nam niezbędne oprogramowanie.

Ukraińskie obiekty infrastruktury krytycznej powinny stać się złotym standardem w dziedzinie cyberbezpieczeństwa. Ukraina jest krajem, który trawi zdecydowaną większość rosyjskich cyberataków. Jesteśmy tarczą i przyczółkiem całego demokratycznego świata, przyjmując na siebie cały potencjał wroga. Dlatego wszystko tutaj musi być chronione przez najnowszą technologię.



Jakie są cele cyberinterwencji wroga?

Illia Vitiuk:  Wróg nieustannie próbuje wymyślać nowe rzeczy, które pozwolą mu dostać się do naszych systemów. Przede wszystkim ma to na celu uzyskanie ważnych informacji wywiadowczych. Jest to również wykorzystywane do przeprowadzania destrukcyjnych ataków i wywierania wpływu psychologicznego. Rozumiemy, co się stanie, jeśli ludzie na danym obszarze zostaną pozostawieni bez komunikacji i dostępu do informacji. Dziś może to być powszechne, ale na początku inwazji, kiedy ludzie nie rozumieli, co się dzieje, szkody były większe.

Wróg dąży do zniszczenia naszego państwa, zmuszenia naszych obywateli do poddania się, zmuszenia naszych partnerów do odwrócenia się od nas. Robi to na różne sposoby, zarówno poprzez ataki informacyjne, jak i cybernetyczne.

“Używamy sztucznej inteligencji w wielu miejscach. Jeśli chodzi o budowanie własnych sieci neuronowych, to w niektórych obszarach już je tworzymy. Dziś mamy narzędzie do rozpoznawania pojazdów wroga. Ponadto sztuczna inteligencja działa w sektorze informacyjnym”

Czy wykorzystujecie sztuczną inteligencję w swojej pracy? Na przykład do analizy informacji o rosyjskich wojskach lub kolaborantach, które trafiają do chatbotów? Czy Ukraina potrzebuje własnych modeli sztucznej inteligencji?

Illia Vitiuk: Używamy sztucznej inteligencji w wielu miejscach. Nie używaliśmy jej w chatbotach. Na pierwszym etapie sprawdzamy informacje i liczbę wiadomości, które otrzymujemy na temat określonych współrzędnych lub lokalizacji. Następnie sprawdzamy to za pomocą agentów, zdjęć satelitarnych i bezzałogowych statków powietrznych. To nіeco inny model.

Jeśli chodzi o tworzenie własnych sieci neuronowych, to w niektórych obszarach już je tworzymy. Dziś mamy narzędzie do rozpoznawania pojazdów wroga. Kiedy włamujemy się do kamer i widzimy ruch sprzętu, sztuczna inteligencja rozumie, jaki rodzaj sprzętu się tam znajduje, a następnie informacje te są systematycznie przekazywane Siłom Zbrojnym Ukrainy. To jeden z przykładów.

Sztuczna inteligencja działa również w sektorze informacyjnym. Monitorujemy szereg zasobów informacyjnych, zarówno ukraińskich, jak i rosyjskich, aby zrozumieć, jakie narracje kampanii dezinformacyjnych są uruchamiane, kto je rozpowszechnia i co rozpowszechnia.

Sztuczna inteligencja zdecydowanie nie jest już nawet przyszłością, ponieważ jest naszą teraźniejszością. Dlatego tej kwestii należy poświęcić wiele uwagi.

“Znaczna część penetracji jest spowodowana czynnikiem ludzkim. Aby podnieść poziom cyberumiejętności, nieustannie prowadzimy różne briefingi i szkolenia. Być może z czasem konieczne będzie przeprowadzenie egzaminów dla urzędników ds. cyberbezpieczeństwa. W końcu, jeśli zajmujesz określone stanowisko, musisz znać podstawowe rzeczy”

Wiele włamań do obiektów państwowych i krytycznych zostało przeprowadzonych przez pracowników tych struktur, którzy nie przestrzegali podstawowych zasad higieny cybernetycznej. Jak można poprawić tę sytuację?

Illia Vitiuk: Jest to naprawdę duży problem, a znaczna część włamań jest spowodowana czynnikiem ludzkim. Oczywiście nie zawsze tak jest, czasami specjalnie testują luki, które istnieją w wielu globalnych systemach. Nawet iOS firmy Apple jest stale aktualizowany, ponieważ znajdują luki, przez które można uzyskać pewne informacje i dostać się do systemów. Jak już wspomniałem, nic nie jest dziś całkowicie bezpieczne.

Ale ustawianie haseł takich jak «12345», «0000» lub «qwerty», a także niezmienianie haseł przez długi czas lub używanie tego samego hasła w wielu zasobach jest bardzo niebezpieczne. Nawet jeśli wymyślisz silne hasło, ale będziesz go używać wszędzie, możliwe jest, że ucieknie ono z jakiegoś zasobu i zostanie utracone. A wtedy OSINT może użyć go do uzyskania dostępu do innych kont.

Aby podnieść poziom cyberumiejętności, stale prowadzimy różne briefingi i szkolenia. Wysyłamy nasze zalecenia do obiektów infrastruktury krytycznej, rozwijamy je i opisujemy, co i jak należy zrobić. Osoby odpowiedzialne za cyberbezpieczeństwo w różnych działach przedstawiają te zalecenia swoim pracownikom. Przynajmniej dwuskładnikowe uwierzytelnianie powinno być stosowane wszędzie, hasła powinny być regularnie zmieniane - jest wiele innych rzeczy, które należy robić regularnie.

Z naszej strony pracujemy nad tym problemem. Ale niestety tysiące ludzi, urzędników, nadal może być celem cyberataku i może być coraz głębiej penetrowanych. Dlatego bardzo ważne jest, aby przekazać tę kulturę masom.

Z drugiej strony nie jesteśmy Ministerstwem Edukacji i Nauki. Zajmujemy się przede wszystkim działaniami prewencyjnymi, informując Radę Ministrów oraz odpowiednie ministerstwa i agencje.

Ministerstwo Transformacji Cyfrowej ma przydatne programy edukacyjne, które uczą cyberumiejętności. Ale ludzie muszą przyjść i je obejrzeć.

Być może z czasem konieczne będzie przeprowadzenie egzaminów dla urzędników ds. cyberbezpieczeństwa. W końcu, jeśli zajmujesz określone stanowisko, musisz znać podstawowe rzeczy.

Obecnie cała nasza uwaga skupia się na wojnie i naszym zwycięstwie, więc tam kierujemy wszystkie nasze wysiłki. Jest wiele pilnych spraw, które wymagają od nas szybkiej reakcji: penetracja, obrona, odpieranie cyberataków, ataki informacyjne i tak dalej. Dlatego mam nadzieję, że odpowiednie prace mające na celu poprawę poziomu cyberumiejętności zostaną przeprowadzone w obiektach infrastruktury krytycznej i przez odpowiednie ministerstwa.

Korzystanie z rejestratorów wideo zostało zakazane w Ukrainie, ale we wszystkich miastach jest wiele kamer monitorujących, które nadal działają, czy nie jest to większe ryzyko?

Illia Vitiuk: Nie powiedziałbym, że coś stwarza większe lub mniejsze ryzyko, ponieważ są to dwa różne aspekty i należy zająć się obydwoma.

Oczywiście kamery są zagrożeniem i my również zajmujemy się tą kwestią. Istnieją różni producenci oprogramowania i sprzętu, które są wykorzystywane w urządzeniach monitorujących. Wiele z nich jest narażonych na włamania i dostęp do nich.

Należy jednak zrozumieć, że gdy istnieje rejestrator wideo, oznacza to setki tysięcy osób, a tym samym setki tysięcy punktów wejścia i informacji. A kiedy mówimy o monitoringu wideo, liczba takich systemów jest ograniczona. Są przeszkoleni ludzie, administratorzy systemów, którzy mogą z nimi pracować. Dlatego zdecydowanie łatwiej jest państwu próbować kontrolować takie ograniczone systemy.

Wszyscy widzieliśmy te haniebne przypadki, kiedy praca firm zajmujących się obroną powietrzną była publikowana i tak dalej. Dziś zdecydowanie nie powinno się na to pozwalać.

“Ani Telegram, ani Meta, ani Google nie są tu oficjalnie reprezentowane. I nie muszą przestrzegać naszych przepisów. Niestety, nie ma teraz bezpośredniej interakcji z administracją, nie jesteśmy w bezpośrednim kontakcie z nimi, aby uzyskać cokolwiek bezpośrednio”

Czy SBU współpracuje z zarządami komunikatorów i sieci społecznościowych?

Illia Vitiuk: Służba Bezpieczeństwa, w ramach swoich uprawnień, komunikuje się z różnymi przedsiębiorstwami i organizacjami, zarówno państwowymi, jak i niepaństwowymi. Obejmuje to platformy technologiczne i sieci społecznościowe. Ale jest tu duży problem, o którym ciągle mówimy.

Ani Telegram, ani Meta, ani Google nie są oficjalnie reprezentowane w naszym kraju. I nie muszą przestrzegać naszych przepisów. Tak więc, niestety, nie możemy mówić o współpracy. Zwracamy się do tych platform, gdy mamy informacje o niektórych przestępcach i musimy uzyskać identyfikatory. Lub kontaktujemy się z nimi, gdy widzimy, że działają farmy botów lub trwają kampanie dezinformacyjne.

Z reguły jednak wszystkie wiadomości e-mail, które wysyłamy zarówno bezpośrednio, jak i do naszych partnerów, są przetwarzane przez boty. I zgodnie z ich poglądami i polityką, albo podejmowane są pewne środki zaradcze, albo nie. W większości przypadków nie są. Obecnie nie mamy na to żadnego wpływu.

Tak więc, niestety, nie mamy bezpośredniej interakcji z administracjami i nie jesteśmy w bezpośrednim kontakcie z nimi, aby uzyskać cokolwiek bezpośrednio. Jesteśmy tym zainteresowani, ale serwis nie ma takich możliwości ze względu na obiektywne aspekty, przede wszystkim prawne.