Явор Колев: С кибератаки Русия ще напада критични инфраструктури
Може да ползват сървъри в България, казва още директорът на дирекция “Информационни технологии и киберсигурност” в “Лев Инс”:
- Г-н Колев, бойните действия в Украйна започнаха сега, но кибервойната се води отдавна. Ще се ползват ли придобити от нея знания за физически атаки?
- Според мен това ще влезе в инструментариума на хибридните войни. Русия ще се опита да компрометира определени личности от Европейския съюз, за да води съответните идеологически войни.
Русия е много силна в тези идеологически информационни войни. Така че всеки един инструмент, всяка информация, до която се доберат, каквато и да била тя, би могла да се използва за противопоставяне на всички държави, които те смятат за противник.
- А спрямо нас?
- Аз не мисля, че руският народ възприема България като противник, но политическата върхушка смята нашата за техен враг. Това е имперското мислене. Ще използват и манипулират всяка една информация, която имат, за да противопоставят хората в нашите държави.
- Какво значи това за нас?
- България има единна позиция по отношение на агресията и тя е съгласувана с нашите партньори и съюзници. Това е гаранция за националната ни сигурност.
- Вече се почна с DDoS атаките, които спират достъпа до сайтове. Заплаха ли са те?
- Щетите от подобни атаки са по-скоро имиджови. Много по-опасни са популярните през последните години Ransomwa re атаки към критични инфраструктури. През 2021 г. например руската хакерска група REvil атакува петролния доставчик “Колониал пайплайн” в САЩ. Така за дълъг период от време бяха нарушени доставките на петрол в Източното крайбрежие. Атакувани по този начин са най-голямата в света JBS, която плати 11 млн. долара откуп, големи IT компании, големи адвокатски кантори, финансови институции и др.
Това са атаки, които нанасят огромни щети на икономиката. Впоследствие в резултат на разледването на американските служби беше установено, че атаката произхожда от Русия и доказателствата бяха предоставени на най-високо политическо ниво.
В резултат на информацията на 14 януари бяха извършени арести на група младежи, които са заподозрени в кражба на платежни инструменти, а не в тежки престъпления като кибертероризъм, пране на пари и др. Косвено тези факти говорят за покровителство на хакерската група от страна на спецслужбите на РФ.
- Откога руските служби действат така?
- Може да се върнем до 2007 г. Тогава имаше кибератаки срещу Естония. После, през 2009 наред с военните действия бяха проведени и съпътстващи кибератаки към Грузия. Това е съвременният начин на водене на война, който се провежда спрямо държавите, които Русия смята за неприятелски.
Сега се случват подобни атаки, които предхождат и съпътстват военната офанзива в Украйна. И макар в момента да са насочени срещу Украйна, не просто предполагам, а съм сигурен, че ще се атакуват и други държави, които не подкрепят и осъждат войната, освен чрез постоянно активната в интернет медиите, информационна война, а и чрез разрушителни кибератаки.
- Ние също сме потърпевши. Te ли ни удариха през 2015 г.?
- Да. Тогава целта беше да се подкопае доверието в изборния процес, като спряха достъпа до сайта на ЦИК. Обикновеният човек не е наясно, че по този начин не могат да се манипулират резултатите от изборите и така се постига целта. Необходимо беше да се включат експерти, които да обясняват,че няма такава опасност.
- При споменатия от вас рансъмуер опасното е, че се заключват всички файлове и човек няма достъп до тях.
- И не само, че се криптират файловете. Краде се много важна, бизнесинформация от атакуваните компании, която би могла да бъде продавана в даркнет, да бъде предоставена на журналисти с цел изнудване и разрушаване на реномето на компанията жертва.
- Може ли с такава атака да се блокира централното военно командване?
- Сигурен съм, че не. Военните, разузнавателните и другите специални служби е невъзможно да бъдат успешно атакувани, но слабото звено са големи компании, които имат значение за критичната инфраструктура като енергийна, транспортна, хранителна промишленост и др. Надявам се, че атаките от последните години са допринесли за изостряне на вниманието към тези опасности и са предприети необходимите мерки за предотвратяване на такива посегателства.
- Същевременно вчера излязоха независими един от друг доклади на американците и англичаните с общото заключение, че Русия е разработила нов вирус, който блокира защитите. Доколко е опасно това?
- Досега говорихме, че от години се води кибервойна, зловредните програми са оръжията в нея. Разбира се, срещу тези оръжия се разработват и неутрализиращи инструменти, които имат за цел да предотвратят и минимизират щетите от кибератаките, каквито и да бъдат те. Антивирусната индустрия се развива изключително бързо и предоставя адекватни инструменти за противодействие, но е много важно и поведението на потребителя. Спазването на правилата за киберхигиена ни гарантира безопасност в интернет пространството.
- Същевременно с DDoS атаките се спират информационни сайтове. Хората не разбират какво се случва, колко е опасна такава атака срещу независимите медии.
- Да, през последните години много български сайтове бяха обект на DDoS атаки, това е част от информационната война. За съжаление, в България и в ЕС нямаме достатъчно адекватно и ефективно законодатетелство за защита на медиите и информацията, в това число и срещу дезинформацията и така наречените фалшиви новини, което има тежко въздействие върху общественото мнение. Надявам се събитията от последните дни да катализират мерки в тази насока.
- И докато всички сме наясно с Русия, постоянно се говори за група хакери от Северна Корея. Заплаха ли е?
- Да, Северна Корея е известна с това, че води активни зловредни действия в интернет пространството, но пряка заплаха за България няма. Действията на Северна Корея са насочени основно към Южна Корея и в някаква степен САЩ и Япония.
Във времето, в което ръководех отдел “Киберпрестъпност” в ГДБОП, сме имали множество случаи на искане на съдействие от страна на Южна Корея за осъществени към тях кибератаки от компрометирана IT инфраструктура в България, която е ползвана от севернокорейски хакери. Имаме отлично взаимодействие с правоохранителните органи на Южна Корея. Един знаков случай бих споделил. Предотвратихме кражба на три милиона долара от южнокорейска банка, осъществена от севернокорейски хакери. В рамките на три дни и със съдействието на български финансови институции възстановихме сумата на пострадалата фирма. За този случай бяхме отличени от директора на южнокорейската полиция.
България активно участва във всички международни операции по противодействие на киберпрестъпността и кибертероризма.
- А руснаците използват ли инфраструктура в България?
Да, компрометирана IT инфраструктура основно се използва за провеждане на кибер атаки от международната киберпрестъпност. Знаете, че за да се осъществи мощна DDoS атака, е необходимо участието на мрежа от милиони заразени компютри (ботнет). В този смисъл в една атака участват компютри от множество държави, десетки, в това число и български. В много случаи в тези атаки участват незащитени компютри, телефони, таблети на обикновени хора, които не спазват киберхигиена и устройствата им се заразяват. Затова винаги повтаряме, спазвайте правилата, сложни пароли, антивирусни програми, легални операционни системи, които се обновяват и актуализират, не отваряйте прикачени файлове и линкове от неясен източник, бъдете внимателни в интернет.
- Може ли Русия да очаква помощ и от кого за кибератаки?
- Не мисля. Първо, че тя е достатъчно мощна държава, за да води сама кибервойна, а и в последните дни се вижда, че е в изолация, световната общественост е солидарна с Украйна.
- А да се стигне до спиране на интернета им?
- Това е недопустимо, защото ще се отрази върху жизненоважни системи и ще пострадат обикновените граждани на Русия.