Як СБУ застосовує новітні технології для захисту кібербезпеки країни: пояснює начальник Департаменту кібербезпеки СБУ Ілля Вітюк
01 Вересня 2023 11:54 Про стан кібербезпеки в Україні, протидію ворожим атакам та ІПСО, застосування штучного інтелекту у роботі СБУ, співпрацю із західними партнерами та світовими лідерами у кіберзахисті, а також покращення рівня кіберграмотності серед чиновників та працівників об’єктів критичної інфраструктури - в інтерв’ю UA.NEWS на iForum розповів очільник Департаменту кібербезпеки Служби безпеки України Ілля Вітюк.
Наскільки покращився рівень кібербезпеки України з початку російської агресії?
Ілля Вітюк: Кіберагресія рф почалась з 2014 року. І з кожним роком кількість атак постійно збільшувалась. Ворожі атаки ставали дедалі вишуканішими і масштабнішими. Наприклад, усім відомий вірус NotPetya у 2017 році. Ця атака стала відомою на увесь світ, адже він неї постраждали десятки країн, крім України. До цього у 2015 та 1206 роках ми бачили атаку BlackEnergy, яка була спрямована на об’єкти енергетики. Як наслідок - у понад 200 тисяч людей не було світла протягом тривалого часу. Сьогодні цим уже нікого не здивуєш після ракетних обстрілів, але на той момент це був шок.
Саме тоді почав активно формуватись наш потенціал у кіберзахисті. Створювались суб’єкти кібербезпеки та покращувались їх можливості, поліпшувалась безпека в ІТ-департаментах, різних об’єктах критичної інфраструктури. Усі розуміли, що кіберзагроза абсолютно реальна і до чого вона може призвести. Вживались відповідні заходи: бюджетування, розбудова, встановлення програмно-апаратних комплексів, програмного забезпечення, тощо.
Саме ми маємо досвід протидії атакам ворожих спецслужб. Щоб ви розуміли, це не якісь талановиті 17-18-річні хлопці, які проникають в компанію, а потім вимагають за це гроші. Проти нас постали спеціалісти, які щодня працюють у складі Головного розвідувального управління, Служби зовнішньої розвідки, ФСБ рф. Вони мають науково-дослідні інститути, які розробляють шкідливе програмне забезпечення під конкретні задачі, які ставляться, їх керівництвом, зокрема, військовим. Тобто на стороні ворога дуже сфокусовані й найбільші професіонали. Але Україна має багато інструментів, щоб протидіяти цим втручанням.
Чи допомагають нам закордонні партнери?
Ілля Вітюк: Наша співпраця із партнерами тільки розширилась. Ми отримали дуже багато донорської допомоги у вигляді програмного забезпечення, різних ліцензій, програмно-апаратних комплексів. Надавалось цільове фінансування під розбудову тієї чи іншої ІТ-інфраструктури.
Співробітники як Служби безпеки, так і інших суб’єктів, проходили відповідні тренінги і навчання у різних країнах світу, стажувались, отримували знання з кібербезпеки.
Увесь досвід, який ми отримали протягом цього часу, має дуже велике і важливе значення.
Як зросла кількість кіберінцидентів?
Ілля Вітюк: У 2020 році СБУ мала справу, блокувала, нейтралізувала і реагувала на близько 800 кібератак, в 2021 - 1400. У 2022 році після початку повномасштабного вторгнення - 4500. За І півріччя 2023 року - приблизно 2700 кібератак та критичних кіберінцидентів. Тобто кількість і масованість кібератак збільшувалась дуже активно.
Звичайно, що все важче і важче на них реагувати. Але ми проводимо відповідні штатні зміни, розширюємо відповідні управління, профільні центри, які займаються саме кібербезпекою.
У нас уже є напрацьований досвід. І абсолютна більшість атак, про які я згадував, були зупинені на початкових стадіях. Тобто тільки-тільки просканували систему і якусь вразливість експлуатували, лише потрапили - ми вже це побачили і прореагували. Ми встановили так звані CM-системи, які дозволяють моніторити та бачити аномальну активність на об’єктах критичної інфраструктури. Ставимо спеціальні програмні засоби і наразі покрили десятки тисяч пристроїв. Багато з них ми отримали безкоштовно торік.
Отримали від західних партнерів?
Ілля Вітюк: Так. А також напряму від компаній, які займаються кібербезпекою. Наприклад одразу після повномасштабного вторгнення багато компаній, наприклад, Cisco, дали нам безліміт на свої продукти. І ми встановили ці продукти на об’єктах критичної інфраструктури. Спеціалісти цих компаній також допомагали моніторити ті технічні дані, які можуть свідчити про наявність атаки. Якщо такі ознаки знаходили, ми вступали в роботу, їхали, розбирались, працювали із адміністраторами на об’єктах, блокували та не допускали втручання у систему.
Чи можна таким чином захистити усі важливі об’єкти?
Ілля Вітюк: У нас величезна ІТ-інфраструктура, велика держава, йде активна цифровізація. Тому захистити все надзвичайно важко. Десь недостатньо бюджету, не вистачає підтримки. Адже сьогодні перший пріоритет - це війна, це зброя.
Ми спільно з Міністерством цифрової трансформації та іншими суб’єктами з кібербезпеки хочемо систематизувати цю міжнародну допомогу та запросити сюди світові компанії, які є лідерами в кіберзахисті. Щоб вони спільно з нами оцінили, що саме необхідно зробити на наших об’єктах. На основі їх аналізу буде створена платформа із переліком наших потреб, доступ до якої матимуть партнери України. І в подальшому вони зможуть напряму нам надавати необхідне програмне забезпечення.
Об’єкти критичної інфраструктури України мають стати золотим стандартом у кібербезпеці. Саме Україна перетравлює абсолютну більшість кібератак рф. Ми є щитом і форпостом всього демократичного світу, приймаємо весь ворожий потенціал на себе. Тому тут все має бути захищене за останнім словом технологій.
Яку мету переслідують ворожі кібервтручання?
Ілля Вітюк: Ворог постійно намагається винайти якісь нові речі, які дозволять потрапити у наші системи. Насамперед це робиться для того, щоб отримати важливу розвідувальну інформацію. А також, щоб робити деструктивні атаки та акції психологічного впливу. Ми ж розуміємо, що буде, якщо на якійсь території люди лишаться без зв’язку і без доступу до інформації. Можливо, сьогодні це вже звично, більше шкоди було у перші дні вторгнення, коли люди не розуміли, що відбувається.
Ворог прагне знищити нашу державу, примусити наших людей здатись, примусити наших партнерів від нас відвернутись. І робить це різними способами, як інформаційними, так і через кібератаки.
Чи використовуєте штучний інтелект у своїй роботі? Наприклад, для аналізу інформації про російські війська чи колаборантів, які надходять у чатботи? Чи потрібні Україні власні моделі ШІ?
Ілля Вітюк: Штучний інтелект ми використовуємо, і багато де. У чатботах не застосовували. Тому що на першому етапі ми розглядаємо інформацію і кількість повідомлень, яка нам надходить по тим чи іншим координатам чи місцям. А далі перевіряємо її агентурно, через супутникові знімки, через БПЛА. Тобто там трішки інша модель.
Що стосується розбудови власних нейромереж, то за певними напрямками вони уже створюються. Сьогодні у нас працює інструмент з розпізнавання ворожої техніки. Коли ми ламаємо камери і бачимо, що там є рух техніки, в подальшому штучний інтелект розуміє, яка саме там техніка, і далі ця інформація в систематизованому вигляді надається Збройним силам України. Це один із прикладів.
Крім того, ШІ працює в інформаційній сфері. Ми моніторимо низку інформаційних ресурсів, як українських, так і російських, щоб зрозуміти, які наративи дезінформаційних кампаній вони розпочинають, хто саме і що розповсюджує.
Однозначно за штучним інтелектом вже навіть не майбутнє, бо це наша сучасність. Тому даному питанню треба приділяти велику увагу.
Багато взломів державних та критичних об’єктів відбувалось через працівників цих структур, які не дотримувались базових правил кібергігієни. Як можна покращити цю ситуацію?
Ілля Вітюк: Це дійсно велика проблема, і значна частка проникнень - це людський фактор. Звісно, не завжди, інколи спеціально тестують на вразливості, які є в багатьох світових систем. Навіть іOS від Apple постійно оновлюється, тому що вони знаходять прогалини, через які можна отримати якусь інформацію і потрапити до систем. Як я вже казав, сьогодні немає нічого абсолютно захищеного.
Але встановлення паролей “12345”, “0000” чи “qwerty”, а також тривала незміна паролей чи використання одного паролю на низці ресурсів є дуже небезпечним. Навіть якщо ви вигадали надійний пароль, але застосовуєте його всюди, не виключено, що з якогось ресурсу він може втекти, бути втраченим. А потім OSINT-ом можна підібрати доступ інших ваших акаунтів.
Для покращення рівня кіберграмотності ми постійно проводимо різні інструктажі і навчання. Надсилаємо свої рекомендації до об’єктів критичної інфраструктури, розширюємо їх, описуємо, що і як робити. Особи, які відповідають за кібербезпеку у різних відомствах далі ознайомлюють працівників із цими рекомендаціями. Щоб як мінімум всюди була двофакторна аутентифікація, щоб відбувалась постійна зміна паролів - там є ще ціла низка речей, більш глибоких, які потрібно постійно робити.
Тобто зі свого боку ми працюємо над цією проблемою. Але, на жаль, тисячі людей, чиновників досі можуть стати об’єктом кібератаки і в подальшому через них можна потрапити далі і глибше. Тому дуже важливо нести цю культуру в маси.
З іншої сторони ми ж не Міністерство освіти і науки. Ми ведемо насамперед більше превентивну діяльність, інформуємо і Кабінет Міністрів, і відповідні міністерства і відомства.
У Міністерства цифрової трансформації є корисні освітні програми, які навчають кіберграмотності. Але ж люди повинні зайти і подивитись їх.
Можливо, з часом необхідно буде робити якісь екзамени для чиновників з кібербезпеки. Адже якщо ти займаєш певну посаду, то елементарні речі потрібно знати.
Сьогодні весь наш фокус - це війна і наша перемога, тому всі зусилля ми спрямовуємо саме туди. Зараз дуже багато нагальних речей, які вимагають від нас оперативної реакції: це і проникнення, і захист, і безпосередньо відбиття кібератак, і інформаційних атак і таке інше. Тому сподіваюся, що відповідна робота щодо поліпшення рівня кіберграмотності буде проведена на об’єктах критичної інфраструктури та відповідними профільними міністерствами.
В Україні заборонили використання відеореєстраторів, але у всіх містах є багато камер спостереження, які продовжують працювати, чи не є це більшим ризиком?
Ілля Вітюк: Я б не сказав, що щось несе більший чи менший ризик, бо це два різних аспекти, і обом слід приділяти увагу.
Звісно, камери - це загроза, і цим питанням ми також займаємось. Є різні виробники програмного забезпечення та програмно-апаратних комплексів, які використовуються у засобах спостереження. І до багатьох є питання, що можна потрапити і отримати доступ.
Але слід розуміти, що коли є відеореєстратор - це сотні тисяч людей і відповідно сотні тисяч точок входу і отримання інформації. А коли ми говоримо про відеоспостереження, то таких систем обмежена кількість. Там є навчені люди, системні адміністратори, з якими можна працювати. Тому для держави однозначно легше намагатись контролювати такі обмежені в кількості системи.
Ми усі бачили ці ганебні випадки, коли публікували роботу ПВО і що тільки не оприлюднювали. Однозначно, цього сьогодні не можна допускати.
Чи співпрацює СБУ із керівництвом месенджерів та соцмереж?
Ілля Вітюк: Служба безпеки в межах своїх повноважень здійснює спілкування з різними підприємствами і організаціями, державними і недержавними. В тому числі і з технологічними майданчиками і соцмережами. Але тут є велика проблема, про яку ми постійно говоримо.
В нас офіційно ні Telegram, ні Meta, ні Google не представлені. І вони не повинні дотримуватись нашого законодавства. Тому, на жаль, не можна говорити саме про співпрацю. Ми звертаємось до цих майданчиків, коли в нас є інформація про певних злочинців і нам треба отримати ідентифікатори. Або звертаємось, якщо бачимо, що працюють якісь ботоферми чи йдуть дезінформаційні кампанії.
Проте, як правило, усі листи, які ми надсилаємо як напряму, так і партнерам, опрацьовуються ботами. І відповідно до їх поглядів і політик або здійснюються якісь заходи реагування або ні. Здебільшого не здійснюються. І ми ніяк сьогодні не можемо на це повпливати.
Тому, на жаль, зараз немає прямих взаємодій із адміністраціями, ми зовсім не на прямому контакті, щоб нам щось прямо видавали. Ми зацікавлені в цьому, але таких можливостей Служба не має через об’єктивні насамперед юридичні аспекти.