Після кібератаки на урядові мережі в ніч на 14 січня Державна служба спеціального зв'язку та захисту інформації України вирішила внести невідкладні зміни в українське законодавство для узаконення процедури Bug Bounty, програми для виявлення вразливостей у IT-системах за винагороду. Про це на брифінгу за підсумками засідання Ради національної безпеки й оборони повідомив голова Держспецзв’язку Юрій Щиголь.

Bug Bounty — програма, за допомогою якої програмісти допомагають розробникам розібратися й усунути помилки додатку, сайта, сервісу чи системи, перш ніж широка громадськість дізнається про них. Процедура Bug Bounty передбачає, що програмістів — «білих/ етичних хакерів» — позбавляють кримінальної відповідальності за атаки на ІТ-системи. За виявлення проблеми чи вразливості передбачена фінансова винагорода. 

«Такий підхід дає можливість залучити зовнішніх фахівців до пошуку помилок і вразливостей програмних продуктів, інформаційно-комунікаційних систем тощо та оперативно усувати всі недоліки та прогалини у безпеці», — кажуть у Держспецзв’язку.

Зміни стосуватимуться статей 361 (несанкціоноване втручання в роботу комп'ютерів, автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку) та 361-1 (створення шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут) Кримінального кодексу України.

«Також законодавчі новації передбачають запровадження в органах державної влади та на об’єктах критичної інформаційної інфраструктури посад офіцерів із кіберзахисту. Їм підпорядковуватимуться служби захисту інформації. Для таких спеціалістів буде встановлено заробітну плату на рівні не нижче ринкової», — розповів Щиголь.

У Держспецзв'язку також запланували:

• фінансово стимулювати працівників держорганів, які працюють із адміністрування ІТ-систем;
• посилити відповідальності посадовців, які не виконують вимоги із кіберзахисту в органах державної влади та на об’єктах критичної інформаційної інфраструктури;
• закріпити комплекс заходів із виявлення вразливостей і недоліків у налаштуванні інформаційних систем, в яких обробляються державні інформаційні ресурси.
• дозволити впроваджувати вимоги з кібербезпеки підрядним організаціям;
• дозволити вимагати від органів державної влади та об’єктів критичної інфраструктури усувати критичні вразливості та звітувати, а також встановити відповідальність за порушення або невиконання цих вимог.

Підхід Bug Bounty все частіше практикують державні органи в усьому світі. Пентагон у 2016 році заснував власну Bug Bounty програму. За цей час Міністерство оборони США виплатило «етичним хакерам» $330 000 за понад 300 виявлених вразливостей. У Сінгапурі в 2019 році за 26 виявлених вразливостей уряд виплатив багхантерам $11 750. Apple платить хакерам до $200 тисяч за кожну виявлену у своїх продуктах помилку, а компанія Facebook впродовж 5 років виплатила «білим» хакерам близько $5 мільйонів. В Україні з «білими хакерами» співпрацює Міністерство цифрової інформації та платформа електронних закупівель Prozorro.

Нагадаємо, у ніч на 14 січня хакери атакували близько 70 сайтів органів влади України. Зокрема, хакерської атаки зазнали сайти Міністерства освіти та науки, Міністерства закордонних справ, Міністерства у справах ветеранів, Міністерства енергетики, Державної служби з надзвичайних ситуацій та «Дії». На урядових ресурсах було розміщено зображення з текстом українською, російською та польською мовами, який попереджає користувача, що нібито його особисті дані стали публічними, а інформація на комп'ютері знищується. Припис, що це «за ОУН УПА, за Галичину, за Полісся та за історичні землі» нібито вказував, що до атаки причетні «польські» хакери. Однак «послання» українцям було написане ламаною польською мовою. Того ж дня Служба безпеки України разом із Держспецзв'язку почали збирати цифрові докази та розслідувати хакерську атаку на урядові сайти. Пізніше стало відомо, що хакери атакували ресурси Моторного (транспортного) страхового бюро України (МТСБУ) та інформаційний ресурс Prozorro Infobox. 

15 січня корпорація Microsoft повідомила, що Центр розвідки загроз компанії (MSTIC) виявив шкідливе програмне забезпечення, яке використали під час кібератаки на урядові мережі України. Це ПЗ втручається в роботу жорстких дисків заражених пристроїв. У Держспецзв’язку також додали, що фахівці CERT-UA опрацьовують інформацію Центру аналізу загроз корпорації Microsoft (MSTIC) щодо використання зловмисниками шкідливого програмного забезпечення, замаскованого під «шифрувальник». Пізніше Держспецзв’язку підтвердила версію Microsoft щодо використання вайпера, програми для знищення даних WhisperGate, під час кібератаки на українські урядові мережі. 17 січня відновили роботу майже всі сайти, які постраждали під час кібератаки 14 січня.

Міністр внутрішніх справ України Денис Монастирський повідомив, що кібератаку на українські урядові мережі спланували та провели спецслужби Росії.

За даними ЗМІ, сайти українського уряду розробляла приватна київська ІТ-компанія Kitsoft (ТОВ «Комп'ютерні інформаційні технології»), через яку, найімовірніше, і здійснили централізовану кібератаку. Центр стратегічних комунікацій та інформаційної безпеки знайшов у атаці «російський слід». Фахівці центру припускають, що дії хакерів пов’язані з нещодавніми переговорами США, НАТО та Росії. Міністерство цифрової трансформації повідомило, що Росія має намір поширити фейки про вразливість критичної інформаційної інфраструктури України та «‎злив»‎ даних українців. Уже 22 січня ЗМІ написали, що особисті дані двох мільйонів українців нібито з «Дії» продають за $15 000. У Мінцифри повідомлення про продаж «злитих» даних українців назвали провокацією та продовженням гібридної війни. Пізніше цю інформацію також заперечила кіберполіція України.

Фото: Jefferson Santos / Unsplash