Как ще се предпазим от кибер-"Костинброд"

Атака 2.0

За разлика от първия път кибератаката не е била насочена към домейните на съответствените сайтове, а директно към цялото адресно пространство на правителствената мрежа. Извършителите са сканирали един по един IP адресите на различни държавни ведомства за активни онлайн услуги и са ги заливали с невалиден трафик, блокирайки достъпа до тях. Също така този път са използвани много по-широк спектър от технологии за извършване на DdoS-атаки, отколкото седмица по-рано. "Различните типове атаки използват различна техника. Едната е т.нар. Flood – едно своеобразно наводнение, което изведнъж се изсипва. Другата имитира в началото един нормален трафик, който нараства постепенно и за да го уловиш, трябва да го наблюдаваш много време и да анализираш данните, за да се усетиш, че става нещо ненормално. Просто се приспива вниманието. Ако имаш една добра система за мониторинг, решаваш проблема, но зависи от целта и възможностите на този, които иска да я ползва. Едно средно добро решение може да струва от порядъка на 100-150 хил. евро", коментира преди седмица за "Капитал" Васил Грънчаров, ръководител на държавния CERT център, който координира защитата на информационните системи на администрацията.

Актуалната онлайн офанзива е засегнала работата на мрежите и на трите големи български телекома – Mtel, Telenor и Vivacom, но не е нарушила услугите за останалите клиенти. По наша информация в определен момент интезнивността на DdoS атаката към сайтовете, поддържани от държавната фирма "Информационно обслужване", е надвишила 6.5 гигабита в секунда като фалшивият трафик е идвал от над 10 хил. IP адреса по света. Допълнително усложнение за филтриране на фалшивия трафик е бил фактът, че някои интернет доставчици от съседните ни държави са включени към т.нар. пиъринг – високоскоростната вътрешна инфраструктура между провайдърите в България. Така част от атаката е минала през страни като Гърция, Турция и Румъния, заобикаляйки някои от инсталираните защити. Вероятно това е причината вътрешната връзка между някои български интернет доставчици да бъде периодично прекъсвана за известно време. В крайна сметка ударени се оказаха сайтовете на много от големите държави институции – Министерски съвет, президентство, парламент, Министерство на финансите, НАП, министерство на транспорта, МВР, ДАНС. В стремежа си да решат проблема последните две ведомства преминаха към използване на облачната услуга CloudFlare, чиято комерсиална версия предлага защита срещу разнообразни форми на DdoS. Така към края на седмицата интернет страниците на въпросните силови ведомства отново започнаха да функционират нормално. Реален проблем за гражданите и фирмите вероятно се е оказала най-вече онлайн атаката към сайта на НАП, където вече се предлагат електронни услуги за нуждите на бизнеса.

В отговор на кибератаките ресорните отговорници по киберсигурността в държавната администрация са организирали през седмицата спешна среща с представители на телекомуникационния бранш. Телекомите са поели ангажимент да създадат точки за контакти, където да има специалисти, работещи в режим 24/7 и които да могат да реагират в реално време при онлайн инцидент. Системните администратори на различните държавни ведомства пък са получили специални въпросници, на базата на които да могат да индентифицират по-лесно и бързо потенциални проблеми в своите мрежи и да ги докладват в CERT-центъра към транспортното министерство, който се занимава с методическото ръководство на защитата на мрежите в администрацията. Също така страната ни се е обърнала за помощ към CERT центъра на САЩ, който със сигурност има доста по-голям капацитет от българския си аналог. В последния по щат трябва да има 21 души, но реално в момента там работя само... 6 специалисти, които трябва да поемат комуникацията с ИТ отделите на всички държавни ведомства.

Време е за нови киберполитики

Събитията от последните дни би трябвало да изиграят ролята на предупредителна светлина и да форсират приемането на държавните политики в сферата на киберсигурността. Например буквално до няколко седмици трябва да е готова стратегия по киберсигурността и план за действие в случай на онлайн инциденти като настоящия. В него ще се разпише кой какво прави и с кого си комуникира в случай на киберкриза.

Най-важното нещо в стратегията е, че се предвижда да се създаде специален ситуационен център и координираща мрежа към Съвета по сигурност на Министерски съвет, които да се занимават онлайн-заплахите. "На национално ниво се предвижда създаване на координираща мрежа, която да може сглоби пълната киберкартина, за да може да има координиран отговор. Така че суперагенция няма да има. И не се препоръчва да има, защото мрежовият принцип дава възможност за по-голяма устойчивост на отговора и гъвкавост", коментира Георги Шарков, национален координатор по киберсигурността, на конференция на IDG преди четири седмици. Във въпросния орган ще участват както държавата в лицето на ГДБОП, ДАНС, киберзвеното на военното министерство и правителственият CERT, така и представители на индустрията, бизнеса и академичния сектор с много силно международно сътрудничество.

Стратегията ще инициира създаването на индустриални и секторни CERT центрове от страна на бизнеса, каквито в момента в страната ни няма. Това ще стане по линия на публично-частното партньорство. Първо това трябва да се случи в секторите, които попадат в графата "критична инфраструктура" - енергетика, транспорт, комуникации, банки и финанси, държавни е-услуги, здравеопазване и т.н. От енергийния сектор например вече увериха, че DdoS-атаките не могат да засегнат производствените и преносните мощности, тъй като информационната им инфраструктура е физически отделена от комерсиалния интернет.

Идеята на държавата най-общо е всеки, който "стопанисва" някаква част от интернет, да има и задължение да развие своя капацитет за киберзащита, най-малкото да прави мониторинг за нормално функциониране на мрежите и системите и да ги докладва в случай на проблеми. Държавните стратези в сферата на информационната сигурност много силно разчитат тази част от идеите им да се увенчаят с успех, защото наистина добрите ИТ специалисти съвсем логично работят в частния сектор. Желанието е да се сформират т.нар. екипи за бързо реагиране при онлайн инциденти, в които да има и представители на държавата, и на различните индустрии.

Е-война

Най-добрата илюстрация за реалните опасности за физическия свят при кибератака е масираната онлайн офанзива срещу Естония от април 2007 г. Тя се приема за първата своеобразна кибервойна в световната история. Става дума за триседмични постоянни DdoS атаки срещу стотици сайтове, които почти напълно парализират информационната инфраструктура на прибалтийската република. И тъй като тя е един от шампионите по въвеждане на електронни услуги в света, това в голяма степен обърква всекидневния живот в страната. Най-тежки са пораженията за естонската банкова система и и в частност за водещата финансова институция Hansabank. На първо място е парализирано онлайн банкирането, което съставлява 97% от транзакциите в Естония. На второ е блокирана работата на всички банкомати. На финала се оказва, че заради филтрирането на трафика, за да се спре онлайн атаката гражданите на страната не могат да използват дебитните си карти в чужбина. В опит да спре DdoS нашествието естонското правителство предприема драстична мярка и за няколко дни прекъсва връзката между националната информационна инфраструктура и останалия интернет. Така на 19 май 2007 г. първата кибервойна приключва, като основен заподозрян за организирането й е Русия. Първоизточникът на офанзивата обаче официално никога не е доказан.

Най-новите опасности в сферата на киберзаплахите са свързани с новонавлизащите "умни" устройства, които седят в основата на т.нар. интернет на нещата. Освен че са много на брой (по оценка на IDC до 5 години те трябва да достигнат 60 милиарда), те са свързани с интернет и голяма част от тях на практика са много евтини, което върви ръка за ръка със занижени изисквания към сигурността. Така през последната година мрежовите специалисти започват да засичат DdoS атаки, организирани не само чрез хакнати компютри и мобилни телефони, но и всякакви по-елементарни устройства, свързани в мрежата. Така например най-новата подобна офанзива преди няколко седмици е извършена чрез... няколкостотин хиляди хакнати IP камери.