Киберзащита в Украине: извлеченные уроки и последствия для будущего конфликта

Читати українською

По разным данным, более ста стран способны осуществлять спонсируемые государством кибератаки. Война России против Украины служит примером того, как два сильных кибергосударства могут использовать свои ресурсы для достижения целей своих стран, постоянно действуя друг против друга. Эта война пролила свет на восьмилетний киберконфликт, который в прошлом году вылился в кинетические элементы.

Учитывая, что международные противостояния все чаще происходят в серой зоне между миром и войной, многие национальные правительства должны использовать киберзащиту Украины как инструмент обучения. Реорганизация с целью усиления возможностей в киберпространстве и лучшей защиты от киберугроз была главным приоритетом для многих стран еще до этого конфликта.

Хотя две трети всех стран уже ввели политику защиты от опасностей в киберпространстве, нужны более масштабные меры. Огромное количество стран, способных проводить наступательные кибероперации и эффективность обороны Украины, подчеркивают необходимость правильных структур и связей для комплексной и успешной борьбы с киберзащитой. Эта кибербитва примечательна тем, как Украина осуществила мощную киберзащиту от кибергосударства высшего уровня с помощью национальных правительств, общественности и бизнес-сектора.

Кибератаки России на Украину и, возможно, союзников по НАТО наверняка усилятся до конца 2023 года для достижения своих целей. Есть несколько важных уроков, которые другие правительства должны извлечь из предыдущего года, противостоя кибератакам из других источников, кроме России, даже если трудно обобщить уроки киберзащиты Украины.

Значение киберзащиты в русско-украинской войне

До вторжения России в Украину никогда не было кинетического сражения между двумя чрезвычайно мощными кибергосударствами. В отличие от сокрушительных потерь, которые Россия наносит Украине, она смогла эффективно защитить свои интересы, подчеркивая важность киберпотенциала в обычных боевых действиях.

В течение многих лет Украину призвали укрепить свою киберзащиту и ввести киберзащиту "всего общества". Особая обстановка этой войны, включающая продолжающийся конфликт серой зоны и беспрецедентные ресурсы от международных игроков и частного сектора, затрудняет обобщение уроков, извлеченных из нее. Однако национальные правительства, стремящиеся укрепить свои собственные в будущем, должны рассмотреть киберзащиту Украины по состоянию на сегодняшний день.

Профессиональные киберзащитники

Несмотря на то, что Россия вторглась в Украину 24 февраля 2022, с момента незаконного захвата Крыма в 2014 году, Украина защищается от российских кибератак. Атаки также усилились перед вторжением. Российские нападения на государственный, энергетический, медийный, финансовый, коммерческий и благотворительный секторы Украины часто происходили в течение последних десяти лет.

В 2015 году Россия отключила часть сети Украины, в результате чего 230000 человек оставались без света в течение шести часов. ГРУ ГШ РФ использовала вирус NotPetya в 2017 году для атаки на сотни предприятий и больниц по всему миру, включая энергетическую инфраструктуру Украины. С начала кинетического противостояния Россия использовала свои кибермощности, чтобы делать все: от блокировки доступа к основным услугам до кражи данных, дезинформации, вредоносного ПО, DDoS-атак, фишинговых электронных писем и программного обеспечения для наблюдения.

Несмотря на эти препятствия, Украина смогла скоординировать свои таланты, ресурсы и связи, чтобы блокировать и восстанавливать неудачи по неудачам в киберпространстве. Инвестиции как в финансовые, так и в человеческие ресурсы, чтобы гарантировать набор и содержание квалифицированных специалистов по кибербезопасности, являются критически важной частью киберзащиты. Трудно игнорировать, насколько зрелы украинские операции безопасности и реагирования на инциденты, а также проверенные в боях киберзащитники.

Целостный национальный план кибербезопасности

Более двух третей стран сегодня уже имеют план кибербезопасности, чтобы управлять своей полной киберзащитой. Утверждение Национальной стратегии кибербезопасности Украины на 2016 год, в которой признается значимость всех игроков в укреплении киберзащиты Украины, как в правительстве, так и вне его, стало важной вехой в консолидации национальных киберспособностей страны.

Введение законов и нормативных актов по киберпреступности и кибербезопасности, внедрение технических мер по обеспечению наличия опыта для повышения киберустойчивости, установление организационных мер по обеспечению координации между правительственными учреждениями и соответствующими субъектами, а также развитие потенциала через рост отечественных отраслей кибербезопасности, инвестиции в программы исследований и разработок и обеспечения финансирования исследований и разработок – это лишь несколько способов, по которым национальные правительства могут повысить свою киберустойчивость. Чтобы укрепить комплексную кибербезопасность Украины, украинское правительство работало над усилением сотрудничества между всеми государственными организациями, органами местного самоуправления, воинскими частями, правоохранительными органами, исследовательскими организациями и гражданским обществом.

Лучшие планы киберзащиты включают военные операции и сбор информации в более крупных национальных целях. Кроме того, чтобы не отставать от меняющихся угроз и повышать национальную устойчивость, киберпланы необходимо регулярно обновлять и изменять. Стратегия Украины после вторжения России в 2022 году претерпела существенные изменения, которые охватили шире круг участников, в частности, субъектов хозяйствования, общественных объединений и отдельных граждан Украины для решения проблемы кибербезопасности страны.

Правительственная централизованная киберзащита

Национальные правительства все больше консолидируют многочисленные отделы, ответственные за разные аспекты киберопераций. Такие структуры, как разведывательные агентства, военные, правоохранительные органы и дипломатическая служба, имеют отдельные функции в правительстве; но для киберзащиты эти зачастую независимые части должны сотрудничать. Национальный координационный центр по кибербезопасности (НЦКК) создан в результате реализации киберполитики Правительства Украины в 2016 году.

НЦКК осуществляет надзор и оценку состояния национальной кибербезопасности, включая подготовку к противодействию кибератакам, а также выявление и прогнозирование возможных и текущих угроз. НКЦК объединяет части Совета национальной безопасности и обороны. Кроме того, НКЦК предлагает межведомственные и международные обучающие программы. Эффективная организация и координация федеральной киберзащиты Украины показывает, как эти инструменты должны безупречно интегрироваться для достижения оптимальной эффективности.

Cоюзники обмениваются технологиями и разводными данными до и во время конфликта

Международная помощь, которую Украина получила и до сих пор получает, является одной из особенностей киберзащиты, изменяющей правила игры. Эту помощь оказали такие страны как США и Великобритания, а также международные организации, такие как ЕС и НАТО, в форме киберэкспертизы и разведки.

Задолго до февральского вторжения Украина получала поддержку и сотрудничество от международного киберсообщества. С 2014 года иностранные союзники мобилизовали ресурсы для укрепления киберзащиты Украины, одновременно укрепляя свою собственную, в частности, ЕС, США и Великобритания.

Первый двусторонний киберразговор между США и Украиной состоялся в 2017 году, и участники поделились методами создания организаций по кибербезопасности и протоколам реагирования на киберинциденты. С тех пор США помогли Украине расширить ее киберспособность на сумму 40 млн. долл. Чтобы повысить устойчивость кибербезопасности Украины и повысить ее регулирование, ЕС начал с ней киберразговор в 2021 году. Киберпрофессионалы из Киберкомандования США и Украинского киберкомандования сотрудничали в оборонных кибероперациях за несколько месяцев до вторжения, чтобы усилить киберустойчивость важных сетей.

С начала вторжения союзники продолжали укреплять онлайн-безопасность Украины. Например, США и Великобритания поделились информацией о российских кибероперациях, включая данные о киберугрозах по поводу будущих и существующих вредных нападений, таких как вирус Industroyer2, защитные брандмауэры и защита от DDoS. Кроме того, правительство США помогло Украине найти и приобрести программное и аппаратное обеспечение для усиления защиты сети.

Примечательно, что с начала конфликта Агентство США по международному развитию (USAID) предложило 6750 устройств связи для чрезвычайных ситуаций, включая спутниковые телефоны и терминалы данных, чтобы усилить устойчивость сетей критической инфраструктуры и правительства. USAID также предоставила технических экспертов для поддержки поставщиков основных услуг. ЕС направил в Украину группу быстрого кибернетического реагирования после того, как Россия вторглась в страну в феврале 2022 года, и выделил Украине 29 млн. евро (около 31 млн. долл.) на усиление ее кибер- и цифровой защиты. Кроме того, Германия выделила часть бюджета на 2023 год в защиту Украины от российских кибератак.

Из-за конфиденциальности отдельных уязвимостей полный объем киберактивности России против Украины и союзников по НАТО не был обнародован, хотя общение между Украиной и ее партнерами было двусторонним. Высокопоставленные представители киберзащиты Украины также имели двусторонние встречи с национальными правительствами для обмена информацией, поскольку война затягивается.

Союзники, предоставившие отдельных лиц в качестве подкрепления, затем получают знания, необходимые для лучшей защиты своих собственных национальных сетей от подобных атак. С присоединением Украины к Общему центру передового опыта киберзащиты НАТО в мае 2023 года ожидается, что это двустороннее обучение продолжится, увеличивая опыт Альянса путем обмена знаниями.

Киберзащитники из частного сектора

В российско-украинскую войну, кроме традиционных вооруженных войск и прокси, привлеклись и технологические корпорации, особенно важные для Украины. Едва ли это неожиданно, учитывая, что частный бизнес контролирует и управляет большинством цифровой инфраструктуры в Украине. Кроме того, давно понятно, что эффективная киберзащита нуждается в широком сотрудничестве между государственным и коммерческим секторами. Объединенная сила частного сектора улучшила обороноспособность Украины, в частности, ее способность восстанавливаться после нападений, повысила ее эффективность на поле боя, позволила расширить привлекательность на международном уровне.

К примеру, Microsoft, хоть и не единственный бизнес, сделавший это, сыграл решающую роль в защите Украины от российских нападений. В начале 2022 года Microsoft обнаружила троянский конь Wiper FoxBlade, предназначенный для финансовых и государственных учреждений Украины. Корпорация Майкрософт связалась с Энн Нойбергер, заместителем советника по национальной безопасности США по кибернетическим и новым технологиям, после обновления своих систем обнаружения вирусов, чтобы остановить вредоносный код, и наладить безопасный канал связи с киберслужащими для поддержки защиты Украины. С этого момента Microsoft и другие компании продолжали сотрудничать с правительственными киберэкспертами НАТО, ЕС и США, чтобы предоставить любые доказательства деятельности угроз, которые распространяются за пределы Украины.

Хотя Microsoft внесла значительный вклад в кибербезопасность Украины и более широкого сообщества, это лишь одна из нескольких организаций частного сектора, которые вмешались, чтобы помочь Украине. Вместе с большими вкладами отдельных организаций частный сектор внес значительный вклад в Украину через сотрудничество с другими организациями для совместного обеспечения кибербезопасности страны. С начала вторжения России группа корпоративного сектора и групп гражданского общества предложила обеспечить и поддерживать чрезвычайные потребности Украины в кибербезопасности.

Хранение основных данных вне зон конфликта

Инициативы по локализации данных привели к концентрации данных украинского правительства на серверах, которые в начале войны базировались в стране. Однако из-за прагматизма со стороны Украины, признавшей вероятность атаки на эти серверы, вместе с поддержкой частного сектора для повышения устойчивости данные из Украины были перенесены на серверы за пределы зоны конфликта с помощью Amazon Web Services (AWS), Google Cloud и Microsoft.

Встроение резервирования в сети и хранение данных за пределами зон боевых действий важны для защиты от нападений, направленных на парализование компаний или данных для защиты от этих атак. Это защищает систему хранения данных и облегчает дальнейшее восстановление экономики. В настоящее время существуют инициативы, направленные на локализацию данных в нескольких странах. Опыт Украины напоминает о необходимости защиты физической инфраструктуры киберпространства и, в случае повреждения, переноса серверов данных.

Волонтеры и хактивизм

Создание добровольческой ИТ-армии Украины было официально объявлено 26 февраля. Украинское правительство, похоже, определенным образом координирует его действия. Была создана эта беспрецедентная киберсила из более чем 150000 добровольцев. Федеральная почта и пенсионный фонд, онлайн-банкинг и платформы для видеоконференций – это лишь некоторые из более чем 600 онлайн-ресурсов в России, на которые повлияла ИТ-армия. Хакерская группа Anonymous также объявила кибервойну России, взяв на себя ответственность за DDoS-атаки, выведшие из строя официальные сайты Кремля и Министерства обороны, а также разместили проукраинскую информацию на российских государственных телеканалах. Несмотря на нетрадиционность, эта волонтерская группа помогла укрепить киберзащиту Украины.

Компании влияния и открытый интернет

Эта непрерывная война дает важную информацию о природе конфликта в "расколотой сети", которая касается двух или более сетей Интернета, разделенных и работающих по-разному. В этом случае Украина является частью более открытой среды данных, в то время как Россия имеет жестко регулируемое информационное пространство. Наратив в пользу России на российских интернет-сайтах. Китай и несколько других стран присоединились к России, поддерживая этот нарратив. Однако ряд операций влияния был направлен против информационного пространства в Украине, составляющего большего, более открытого Интернета.

Войну между Россией и Украиной назвали "первой войной TikTok", подчеркивающей влияние социальных медиа на современные войны. Социальными медиа пользуются не только общественные журналисты в зонах боевых действий, но и лица, занимающие властные должности.

Президент Украины Зеленский эффективно использовал социальные сети для защиты интересов Украины и получения поддержки по всему миру. Российские официальные СМИ использовали те же места для распространения фейковых новостей и пропаганды. Meta, Twitter, Microsoft, Alphabet и TikTok удалили фейковый контент со своих платформ. Администрация Байдена даже зашла так далеко, что консультировала влиятельных лиц TikTok по поводу стратегических целей США. Несмотря на то, что социальные сети помогли снизить распространение дезинформации, графических изображений и ненависти, проблемы остаются.

Национальные правительства, выступающие за открытый Интернет, сталкиваются со значительными трудностями, поскольку регулировать все информационные потоки невозможно и не желательно, что делает их более восприимчивыми к злонамеренным попыткам повлиять на общественное мнение. Помимо обязанностей и обязательств платформ перед лицом попыток злонамеренного воздействия, необходимо также учитывать психологическую устойчивость и устойчивость личности к этим воздействиям. Создание социальной психологической защиты или способности общества коллективно противостоять внешнему злонамеренному влиянию и дезинформации, вероятно, станет институционализированной и расширенной частью многих национальных мероприятий по киберзащите в обществах, которые намерены поддерживать свободный и открытый Интернет.

Финансирование союзников в частном секторе

Частный сектор был готов и способен помочь национальной обороне Украины, что сразу отразилось на реальных обстоятельствах. Хотя вклады частного сектора в украинскую армию были существенными, они тоже были дорогими. Microsoft инвестировала в войну около 400 млн дол. и потратит дополнительно 100 млн. дол. бесплатные услуги до конца 2023 года.

Согласно сообщениям, расходы Starlink на техническое обслуживание составляют 20 млн. дол. в месяц, снабжая Украину необходимой инфраструктурой для подключения к сети интернет. За значительные средства Amazon создает резервные копии академических данных, украинского правительства и важной инфраструктуры за пределами украинской территории. Поставки российских продуктов и услуг приостановили ряд американских IT-компаний.

Важно различать действия этих технологических корпораций и дружелюбие. К примеру, последствия кризиса могут повлиять на компанию Microsoft за пределами Украины; поэтому принятие мер и защита от кибератак отвечает интересам Microsoft.

В более общем плане, если эти преимущественно американские технологические компании останутся нейтральными или будут продолжать вести бизнес с Россией, они могут столкнуться с регуляторной и общественной реакцией на значимых рынках США и Европы. Как следствие, до сих пор существуют опасения относительно долгосрочной жизнеспособности этой помощи. Продолжительность времени, в течение которого эти компании захотят и смогут предоставлять эти драгоценные услуги Украине в течение войны, до сих пор неизвестна, как и вопрос о том, может ли такая поддержка быть воспроизведена для любой другой страны в будущем.

Контроль технологий двойного назначения

Производитель коммерческих дронов потребительского класса DJI нечаянно превратился в торговца оружием в этой войне. Коммерческие дроны, такие как DJI Mavic 3 стоимостью менее 2000 долл., использовали как Россия, так и Украина. Благодаря этим недорогим беспилотникам, также предлагающим улучшенные возможности разведки и связи, боевая зона действия украинской армии была увеличена.

Некоторые из этих развлекательных дронов украинская армия даже переоборудовала в беспилотные бомбардировщики-камикадзе, которые могут наводить на российские цели и нести до 800 кг боеприпасов. Несмотря на заявление DJI о прекращении продаж дронов Москве и Киеву в связи с их использованием в войне, другие поставщики все еще продают коммерческие дроны.

Проблема с некоторыми технологиями двойного назначения показана на этом примере технологии, являющейся прежде всего коммерческими, но имеющими потенциал для применения в обороне. Кроме того, это вызывает обеспокоенность тем, как определенные союзники смогут получить сравнимую технологию, которая в основном используется в обороне, и как можно решить эти две проблемы.

Будущие промышленные враги

За исключением принадлежащих Китаю TikTok и DJI, большинство основных компаний потребительских технологий, участвующих в этой войне, являются американскими. Важно учитывать и другую возможность, предполагающую войну с Китаем. Из-за военных действий России в Украине более 30 стран или более половины мировой экономики ввели санкции и ограничения экспорта.

Эти инициативы повлияли на развитие российских технологий и электронной коммерции. Крайне важно принять во внимание долгосрочные последствия эскалации раскола технологических пакетов, который в первую очередь мотивируется напряженностью между США и Китаем, даже если санкции против российских технологий целесообразны как средство обеспечения соответствия международной воле.

Хотя раздвоение уменьшило бы зависимость, чрезвычайно важно учесть потенциальные последствия создания более фрагментированной глобальной технологической сцены относительно доступа к ресурсам и приверженности предприятиям, имеющим прочные связи с конкурентами.

Нужна ответственность

В ООН были согласованы нормы ответственного поведения государства по надлежащему использованию кибервозможностей. Страны-члены ООН согласовали 11 кибер правил. Эти нормы включают межгосударственное сотрудничество в сфере кибербезопасности, предотвращение злоупотребления информационными и коммуникационными технологиями на суверенной территории, защиту критической инфраструктуры от повреждений, обеспечение безопасности цепи поставок и удержание от вмешательства в работу групп реагирования на чрезвычайные ситуации. Несмотря на это важное достижение, все еще есть проблемы, такие как отсутствие ответственности.

Государства часто используют кибероперации для достижения своих целей на государственном уровне. Однако, учитывая систему сдерживаний и противовесов на национальном и международном уровнях, некоторые правительства проявляют большую сдержанность, чем другие, ограничивая свои кибероперации или, как выразилась Великобритания, "ответственную кибервласть".

Однако это приводит к ситуации, когда существует группа стран (таких как Россия, Китай и Иран), менее сдержанные в своих кибероперациях, создавая серьезную угрозу для других стран (таких как Великобритания и США), которые придерживаются правовых рамок и проявляют сдержанность. США и их партнеры работали над тем, чтобы назначить ответственность за действия государственных субъектов в киберпространстве, которое приняло форму приписывания.

Есть несколько случаев, когда государственных деятелей обвиняли в хакерских атаках и корпоративном шпионаже. Но, кажется, атрибуция не мешает государствам вести себя неправильно. Чтобы обеспечить ответственность правительств за соблюдение международных стандартов, необходимо разработать более эффективные механизмы ответственности и наказания, что в конечном счете может улучшить глобальную кибербезопасность.

Какую защиту имеют волонтеры?

Сотни тысяч ИТ-волонтеров поддерживали кибероперации против российского государства в рамках киберзащиты Украины, но непонятно, защищены ли они каким-либо образом международным правом. Международный Комитет Красного Креста приводит несколько действий в качестве примеров участия в боевых действиях: электронное вмешательство в военные компьютерные сети; передача разведывательных данных о тактическом таргетинге для конкретной атаки; непосредственное причинение смерти, травмы или разрушения третьей стороне; или причинение прямого ущерба военным операциям или потенциалу противника.

В США или Великобритании, например хакеры, участвующие в кибератаках против Украины, могут нарушать международное право. Таким образом, участие добровольческих кибервойск из разных географических мест создает значительные затруднения для международных конвенций и правил, разработанных с учетом государств.

Вывод

Ситуация в Украине имеет важные последствия для мирового сектора кибербезопасности. Для киберустойчивости перед лицом растущих угроз необходимы значительные затраты на защиту. Это было известно еще до вторжения России, но не сразу было очевидно, что киберзащита Украины будет такой успешной, как сейчас. Что очевидно в случае Украины, так это то, что ее мощная киберзащита на сегодняшний день является прямым результатом почти 10 лет, которые она потратила на то, чтобы защищать свои национальные интересы в киберпространстве, что требовало сотрудничества между правительством и всем украинским обществом. для работы с союзниками и частным сектором.

Устойчивость и способность страны противостоять российским кибер- и информационным кампаниям возросла благодаря инвестициям в киберзащиту, подготовке к гибридной войне, предоставлению высокого приоритета информационной безопасности и воспитанию культуры киберзнания в обществе. Россия, вероятно, будет продолжать представлять серьезную и постоянную опасность для многих членов западного альянса.

Учитывая это, можно и нужно многому научиться из прошлого опыта Украины, чтобы помочь киберзащитникам иметь лучшие шансы противостоять вражеским нападениям в киберпространстве. До сих пор остается много проблем без ответа на жизнеспособность воспроизведения этого уникального и разнообразного партнерства между союзниками, волонтерами и коммерческим сектором в киберпространстве. Но то, что все получат из ситуации в Украине, так это то, что сильная защита может быть такой же успешной, как и сильное нападение.

Автор: Павел Кривенко

Источник: Центр исследований армии, конверсии и разоружения