«Україна прокинеться – і все працюватиме». Детально про «Київстар», атаку, Фрідмана та «російський слід»

Коли «Київстар» зможе відновити всі сервіси після хакерської атаки 12 грудня? Чому атака стала можливою і хто за нею стоїть? Який стосунок до «Київстару» має російський підсанкційний олігарх Михайло Фрідман?

Про це та інше розповіли в етері програми Радіо Свобода «Свобода Live» керівник компанії «Київстар» 2014–2018 років Петро Чернишов та експерт з кібербезпеки, засновник першого центру реагування на надзвичайні ситуацій у Держспецзв’язку Костянтин Корсун.

• Відповідальність за атаку на «Київстар» взяли на себе російські хакери. Про це повідомили в СБУ і додали, що угруповання є хакерським підрозділом Головного управління Генштабу Збройних сил РФ. Таким чином, вважають у Службі безпеки, російський ГРУ публічно легалізує результати своєї злочинної діяльності.
• Йдеться про те, що відповідальність за атаку на себе взяло хакерське угруповання з РФ «Сонцепек». Це поширюють російські медіа і про це сказано на іменному телеграм-каналі, що нібито належить цьому угрупуванню. На сторінці розміщене повідомлення із зверненням до президента України Володимира Зеленського та поясненням, що «Київстар» став мішенню через те, що допомагає ЗСУ.
• Тим часом у Генеральному управлінні розвідки зазначають, що російська атака на «Київстар» була спрямована проти цивільних жителів і великого впливу на військових не мала. Водночас наголошують, що цей напад не є відповіддю РФ на атаку на Федеральну податкову систему Росії, що мала місце кілька днів тому. Адже, за словами представника ГУР Андрія Юсова, обидві ці атаки є достатньо тривалими в контексті підготовки та реалізації. У розвідці попереджають, що подібні російські кібернапади продовжуватимуться і надалі.
• Масштабний збій у роботі найбільшого оператора України – «Київстару» – стався вранці 12 грудня. У компанії заявили про хакерську атаку та пообіцяли відновити зв’язок протягом кількох днів. Увечері 13 грудня компанія «Київстар» офіційно підтвердила відновлення звʼязку. Наразі працюють, зазначили, над відновленням всіх сервісів.

Петро Чернишов, керівник компанії «Київстар» 2014–2018 років:

– З 2014 до 2018 року ви керували компанією «Київстар». Що з вашої точки зору відбулося і чи ставалося щось подібне раніше?

– Сталася кібератака на компанію – і компанія чомусь виявилася неготовою до неї. Мені дуже складно сказати, чому компанія виявилася неготовою.

Можливо, була якась дуже серйозна, добре підготовлена атака. Я не хочу нікого звинувачувати. Коли я керував, також були атаки. Ось якщо пам'ятаєте, то такий був вірус Petya. Це саме у той час було. І тоді компанія встояла. Але нічого не хочу сказати. Просто відтоді методи атаки дуже посилилися. І зрозуміло, що зараз компанію атакує дуже серйозна держава. Тож не хочу нікого звинувачувати. Ось вони прорвалися, зуміли.

– То ви вважаєте що за атакою стоїть Росія? У вас немає сумнівів?

– Я такого слова не сказав. Але, дивіться, ми можемо сказати, що не все зрозуміло, що всієї правди ми ніколи не дізнаємось. Що, можливо, нас атакувала планета Марс чи Австралія. Але навіщо казати такі речі? Напевно, зрозуміло хто нас атакував. Кому це ще треба?

– А чи розумієте ви чому компанія виявилася неготовою до такої атаки?

– Я не можу сказати. Я ж не знаю, що в них в середині компанії відбувається. Я думаю, що це була якась професійна, серйозна атака. І чомусь вони виявилися неготовими. Не можу вам нічого на цю тему сказати. Я впевнений, що вони розберуться та зроблять серйозні висновки.

– А чи є у вас уявлення скільки часу може піти, щоби полагодити усе?

– Вони мені кажуть, що сьогодні з 15-ї години за Києвом почнуть потихеньку повертати абоненти до мережі. Оскільки це 24 мільйони абонентів, не можна думати, що за одну годину можна повернути усіх абонентів у мережу. Вони поступово почнуть пускати мільйон абонентів за пів години. Годин 10-12 у них, напевно, піде на відновлення всієї мережі.

– Це не секрет, що серед власників «Київстару» є російські підсанкційні олігархи, зокрема Михайло Фрідман...

– Це нісенітниця!

– Що це означає?

– Я кажу, що ви озвучуєте неправдиву інформацію.

– Значить так, 100% акцій «Київстару» володіє компанія Veon.

– Це нідерландська компанія зі штаб-квартирою в Амстердамі, яка володіє, ще раз підкреслюю 100% акцій «Київстару». Це компаніями якої торгують на дуже відомій нью-йоркській біржі NASDAQ і менш відомій, але амстердамській біржі, тобто на двох біржах. І ось у цій компанії частиною акцій, причому менше половини, володіє компанія LetterOne, якою колись володіли пан Фрідман та його колеги, ну група Фрідмана, давайте так скажемо. Колись! Потім буквально першого тижня війни на них усіх наклали санкції і Британія, і Америка. І вони вже ніякого впливу на цю компанію LetterOne не мають. Давайте так, вони не володіють жодними акціями «Київстару», вони не володіють жодними акціями компанії Veon, вони володіють акціями тієї компанії, яка володіє якоюсь кількістю акцій Veon. Все. Відповідно вони жодного впливу на «Київстар» не мають і акціями «Київстару» не володіють. Ось це правдива інформація.

– Тобто це некоректно казати, що через низку компаній Фрідман продовжує володіти акціями «Київстару»?

– Абсолютно некоректно. Але як можна сказати: що до війни Фрідман отримував економічні вигоди від діяльності компанії «Київстар». Тобто коли «Київстар» платив якісь дивіденди, то частина цих дивідендів потрапляла до Фрідмана та його колег. Ось це правильно буде сказати. Але оскільки в перший тиждень війни були накладені санкції, то ніяких економічних вигід, відколи йде війна, він не отримує жодних. Він не можу продати ніякі акції. Він не може отримати ніяких дивідендів, він не може віддавати жодних наказів, тому що всім співробітникам та раді директорів компанії Veon йому заборонено спілкуватися. Так у санкціях написано. Тобто він жодного впливу там не має і жодних економічних вигід не отримує.

– Як ви думаєте, чи вистачить у компанії ресурсів та засобів відновити зв'язок і все полагодити?

– Звісно, це дуже сильна компанія. У неї серйозні інженери та айтішники. Я на 100% упевнений, що вони відновлять мережу. Я сподіваюся, що це закінчиться сьогодні вночі. Тобто завтра вранці, я сподіваюся, Україна прокинеться – і все працюватиме. Ну, можливо, займе ще день. Я сподіваюся, що завтрашнього ранку, але подивимося.

Костянтин Корсун, експерт з кібербезпеки, засновник першого центру реагування на надзвичайні ситуацій у Держспецзв’язку:

– Як бачимо, екскерівник «Київстару» вважає, що російський підсанкційний олігарх Михайло Фрідман не має впливу, чи так це насправді? Адже медіа неодноразово вказували на частку Фрідмана в «Київстарі». Також «Форбс» писав про те, що Міністерство юстиції восени цього року навіть готувало позов до Вищого антикорупційного суду щодо стягнення активів підсанкційного бізнесмена Михайла Фрідмана, в тому числі частки в мобільному операторі «Київстар». Яка ваша думка з цього приводу?

– Дивіться, я – експерт з кібербезпеки, готовий професійно і фахово коментувати технічні аспекти, організаційні моменти. Стосовно цієї непростої історії про належність кремлівських олігархів до операційної діяльності компанії «Київстар» насправді складно сказати. Це факт, що «Київстар» належить компанії Veon, а 47% акцій Veon володіє компанія, яку асоціюють з Фрідманом. Окей, на нього накладені санкції, але ми прекрасно знаємо, як росіяни вміють обходити санкції, зокрема, це можуть бути підставні компанії. Тобто дуже багато різних схем. Тому якщо глибше розібратися у цьому питанні, можуть виявитися якісь бенефіціари, які так чи інакше пов’язані з громадянами країни-агресора.

Тому я, все ж таки, не виключаю цей фактор, що, можливо, через підставних осіб чи компанії, або ще якимось чином кремлівський олігарх володів якоюсь часткою чи мав вплив, можливо, несуттєвий, чи лише економічні якісь вигоди отримував. Складно сказати, але повністю відкидати версію можливого російського сліду, причетності кремлівських олігархів до того, що сталося з компанією «Київстар», я б не поспішав.

– Ще тоді про технічні моменти, які ви можете коментувати. Ось ці хакери, які взяли на себе відповідальність, так зване угруповання «Санцепек» у відповідному дописі в телеграмі натякнуло, що не обійшлося без співробітників «Київстару». Чи може це бути правдою і чи дійсно для ось такої кібератаки потрібна певна внутрішня допомога, так би мовити?

– Ці атаки в професійному середовищі мають класифікацію APT – Advanced Persistent Threat, тобто атаки найвищої складності, найвищої небезпеки для жертви. І у світовій практиці подібні атаки траплялися досить часто. І досить часто у подібних атаках задіяний інсайдер, тобто людина, яка зсередини допомагає нападникам: чи інформацією, чи доступами, чи ще якимось чином – активно чи пасивно, в темну чи свідомо. Таких випадків дуже багато, і це скоріше типова ситуація.

Якщо компанія серйозно ставиться до кібербезпеки, а саме про цей випадок ми говоримо – в «Київстарі» дійсно серйозна команда професіоналів, тут запитань немає. Але якщо є зрадник в середині мережі, який ретельно ховається, ніяк себе не видає, так звана «консерва», то дуже складно з цим боротися. Якщо ти не знаєш, що у тебе серед твого персоналу зрадник, і невідомо, які доступи він має, якою інформацією володіє, які має можливості допомагати ворогу-атакувальнику. Тому навіть якщо там супер, мега, екстра професійна команда, це не врятує, тому що зрадник є зрадником, тому така небезпека максимальна.

– Наскільки очікуваною та передбачуваною стала нинішня атака на одного з найбільших мобільних операторів і які висновки з неї можна зробити?

– Насправді я ще за пів року до повномасштабного вторгнення прогнозував, тоді ще багато хто сумнівався, чи буде взагалі повномасштабне вторгнення, попереджав, що в наступному етапі – першочерговими цілями для кібератак будуть оператори телекомунікацій, мобільні провайдери, інтернет-провайдери і так далі. Власне, так і сталося.

Насправді це не дуже публічна інформація, але атаковані були усі ключові гравці телеком-галузі. І вони впоралися з атакою, тому що готувалися до цього, бо розраховували ризики, розуміли, що вони є об’єктами першочергових спрямувань. Це, безумовно, критична інфраструктура, як ми зараз всі в цьому переконалися, особливо ті, хто користується «Київстаром». І тоді не вдалося.

У лютому-березні 2022-го були дуже потужні кібератаки, але вони не досягли бажаного успіху. Можливо, росіяни сподівалися, що Київ за три дні впаде і, в принципі, можна розікрасти гроші, які призначалися на підготовку атак. А, можливо, ще якісь були причини, наприклад, недостатньо кваліфікований персонал задіяли.

Але після тієї невдачі на початку вторгнення, мабуть, вони переорієнтувалися, сфокусувалися не на багатьох цілях, жертвах, а на кількох ключових. Однією з яких, безумовно, є компанія «Київстар», як один із провідних операторів мобільного зв’язку в Україні. І, можливо, підготовка цієї атаки почалася якраз навесні 2022 року. Така підготовка може тривати від кількох місяців до кількох років. Відповідно, мільйони доларів витрачали, задіяли до сотні різних спеціалізованих фахівців.

Чому це сталося з доволі кваліфікованою компанією в плані ківробезпеки? Чому зловмисники проникли в святая святих, у ядро системи? Складно сказати без даних розслідування самої компанії і СБУ, кіберполіції, які, я сподіваюся, найближчим часом поділяться з нами деталями цієї кібератаки.

– Враховуючи те, що ви говорите, що такі атаки можуть готуватися і впроваджуватися не один місяць, а можливо навіть роками, що вони є дороговартісними, чи можна говорити про певний паритет України і Росії в кібервійнах? І чи має змогу Україна підготуватися краще до можливих атак у майбутньому в нинішніх умовах?

– З початку введення воєнного стану в Україні повністю «закрилася» будь-яка інформація про кібератаки у публічному просторі, тому об’єктивно оцінити паритет складно. Можливо паритет якийсь є. А я хочу нагадати, що навесні 2022 року невідомі проукраїнські хакери поклали Rutube – такий собі російський варіант Youtube. Знищили бекапи, знищили всю інфраструктуру, і він не міг відновитися місяцями, тобто не менше трьох місяців він відновлювався.

Так само Росавіація. Росавіація після схожого типу атаки повністю перейшла на паперовий документообіг, тобто все було знищено до нуля, вони відновилися аж наприкінці літа 2022 року.

Проукраїнські хакери регулярно атакують різні об’єкти Російської Федерації, зокрема, які стосують військового чи військово-промислового комплексу.

Чи може Україна щось покращити у кібербезпеці? Звісно, може. Тут, щоб залишатися на місці, треба дуже швидко бігти. А в Україні досі багато проблем, особливо у тих галузях, де складно знайти гроші на відповідних фахівців, на сервери, на обладнання, на ліцензії і таке інше. Тобто кібербезпека – це недешево насправді.

Безпека не може бути дешевою, якщо ви хочете якості. Тому напрямків для покращення дуже багато, особливо у державному секторі, де, як ми знаємо, і з зарплатами біда, і з фахівцями. Фахівців не вистачає і в приватному секторі, і не лише в Україні, а у всьому світі величезний дефіцит. А їх дуже довго і дорого готувати. Тому ця проблема глобальна і типова не тільки для України.

Але, звісно, в Україні є безліч напрямків, які треба покращувати. І один з головних – це, я вважаю, персональна кібергігієна, про яку багато говорять. І якісь базові правила має знати кожна людина, навіть якщо вона вважає, що далека і від технологій, хакерів, мовляв, кому я потрібен, кому потрібен мій емейл.

– Тобто паритет все одно так чи інакше здебільшого залежить від фінансів і фінансування цієї сфери. Правильно я вас зрозуміла?

– Так, знаєте, практично в кожній галузі, і у військовій в тому числі, гроші – це двигун в більшості процесів. Звісно, гроші – це не головне і не все. Наша війна за нашу батьківщину це показує, що багато людей не за гроші воюють і захищають. Але для системних якихось процесів все ж таки, це підготовка фахівців.

Люди – головне у кожному виді діяльності, в кібербезпеці також. Це мають бути вмотивовані люди, навчені, кваліфіковані, які мають практику, досвід, які постійно прагнуть розвиватися, покращувати, власне, як і в кожній іншій галузі.

Кібербезпека – такий же сектор економіки, як і усе інше. І як у кожному секторі економіки гроші є ресурсом, двигуном, засобом досягнення цілей.