О причинах беспрецедентного по масштабу в Украине отключения интернета сама «Воля» пока что говорит как-то очень невнятно. Сначала появилось заявление о «внешней атаке». Затем на своей страничке в ФБ, ставшей на время отключения единственным источником для общения провайдера с клиентами, появилось сообщение, в котором произошедшее объяснялось как «масштабна аварія» и «внутрішнє ураження і втручання в роботу мережі». Но ведь это совершенно разные вещи! Мой комментарий с просьбой уточнить , что же это все-таки было — внутренняя авария или внешняя кибератака — остался без ответа. Очевидно, что подобная тактика «тумана и молчания» в данном случае вряд ли уместна, ибо киберинцидент такого маштаба — это без преувеличения вопрос национальной безопасности. А значит, необходимо разобраться в его причинах как можно скорее — как знать, кто станет следующей жертвой?
Что ж, придется делать выводы самостоятельно.
Для начала— некоторые существенные детали.
- Абоненты «Воли» хорошо знают, как обычно отключается интернет во время аварий или повреждения оборудования: он просто пропадает, а индикатор соединения на компьютере показывает, что интернета нет. Но в этот раз интернет умирал по-другому: довольно долгий промежуток времени он то пропадал, то появлялся, и даже когда он исчез полностью, индикатор утверждал, что с соединением все в порядке. То есть складывалось впечатление, что оборудование в порядке, а вот канал перегружен.
- Когда я в первый раз решил позвонить в поддержку, там не было никаких признаков тревоги — колл-центр работал в обычном режиме. Тут интернет в очередной раз появился, и я не стал дожидаться связи с оператором. Однако, когда через несколько минут интернет снова исчез и я опять позвонил в колл-центр, то услышал автответчик, который рекомендовал в случае проблем с интернетом перезагрузить модем и роутер, а если не поможет — связаться с консультантом. Судя по голосу и лексике, в компании к этому моменту уже осознали, что что-то происходит, но еще не поняли что. А когда я перезвонил еще через пять минут, то услышал сообщение, что колл-центр также не доступен. Стало ясно, что проблема серьезная.
Что могло произойти? Исходя из всего вышеописанного, больше всего это напоминает DDoS атаку. Правда, поначалу эта идея мне показалась маловероятной — ведь чтобы DDoSить такого крупного интернет-провайдера, нужны колоссальные ресурсы. Однако тут же вспомнилась одна из самых обсуждаемых сегодня в среде профессионалов информационной безопасности свежих кибератак — атака на американского провайдера Dyn DNS, в результате которой многие десятки популярнейших сайтов, включая PayPal, Twitter и других мировых гигантов интернета, оказались недоступными. Удивительная мощность такой атаки была обусловлена тем, что ее источником стал ботнет Mirai, использовавший для атаки 100 000 инфицированных устройств «интернета вещей» — инфицированных IP-камер, роутеров, видеорегистраторов и им подобных «неумных» гаджетов.
А теперь вернемся к «Воле». Показательно, что при попытке подключится к какому-либо сайту процесс зависал именно на уровне DNS-сервера — как видно на скриншоте, дальше resolving host дело не шло.
Таким образом, логично предположить, что причиной падения «Воли» стала DDoS атака на ее DNS-cервера (кто не совсем понимает, что это — смотрите постскриптум в конце статьи). Впрочем, возможно, одновременно были применены и другие разновидности кибератак (например, DDoS атака нередко используется как дымовая завеса для проникновения на сервера и получения доступа к хранящейся на них информации). Однако точный диагноз можно поставить лишь имея доступ к логам и прочей внутренней информации. Как, впрочем, и оценить весь масштаб нанесенного ущерба. Хотя уже сейчас налицо колосальный репутационный ущерб, который неизбежно приведет к оттоку клиентов и таким образом — к значительным материальным потерям. Очевидно, что теперь кризис-менеджементу «Воли» понадобятся титанические усилия, чтобы минимизировать уход клиентов.
Была ли готова «Воля» к такому развитию событий? Судя по всему, нет. Как и абсолютное большинство украинских компаний и госорганов. Сегодня, если вы зададите вопрос руководителю даже очень крупной компании или госоргана «Проводили ли вы оценку угроз, рисков и уязвимостей вашей сети и организации?», то в 99% случаев наткнетесь на недоумевающий взгляд. И сразу станет понятно, что о том, когда в последний раз проводилось тестирование на проникновение или какие у них Business Continuity Planning and Disaster Recovery Planning, спрашивать бесполезно.
А между тем эти понятия, как и прочие элементы надежной системы кибербезопасности, должны стать обязательными практически для каждого предприятия или организации. Потому что игнорирование этих понятий чревато катастрофическими последствиями — в самом прямом смысле этого слова.
Пора понять, что мир изменился, и киберугрозы — это не сюжет из сериала, а суровая реальность наших будней. И чем бы вы ни занимались, рано или поздно кибератака произойдет и на вас. А ее последствия будут зависеть только от того, насколько вы будете готовы с ней справится.
P.S. DDoS-атака (Distributed Denial of Service – распределенный отказ в обслуживании) – кибератака, когда злоумышленники направляют на сервер искусственно созданный трафик, чтобы тот, не справившись с нагрузкой, перестал обслуживать обычный трафик.
DNS — сервер доменных имен. Он переводит (резолвит) понятные для человека буквенные доменные имена — например volia.com на понятный компьютеру цифровой IP-адрес. Перегруженный в результате DDoS-атаки, DNS сервер не может обрабатывать запросы пользователей.