💳 Trustee Plus — твоя персональна картка європейського банку: 3 хвилини і 10 євро 👉
Марія БровінськаГоряченькое
13 декабря 2023, 00:25
2023-12-13
«В 5:26 началось нетипичное поведение сети». Президент «Киевстар» объяснил, как происходила атака и дал прогнозы по возобновлению сервисов
Президент «Киевстар» Александр Комаров дал интервью Forbes после самой масштабной в истории компании кибератаки, заставившей нервничать не только частных пользователей, но и бизнес.
Почти сутки 24 млн абонентов все еще остаются без мобильной связи. «Базовый сценарий, что мы завтра начнем восстанавливать этот сервис», — отметил в разговоре с Forbes Комаров.
dev.ua выбрал основные положения главы пострадавшего от россиян мобильного оператора.
Когда все началось
В 5:26 началось нетипичное поведение сети. Все фокусы компании были направлены на восстановление сети, начавшей работать с большими перебоями. Все это создало огромное количество аномалий в этих системах. Сотрудники компании сфокусировались на этом, потому что им казалось, что эта проблема была либо на коммутационной системе, либо на транспортной сети.
В 6:30 утра в компании поняли, что имеет место сверхмощная атака хакера на ядро сети и инфраструктуру. И все, что происходило с утра, просто от нее отвлекало, чем пыталось действительно положить радиосеть компании.
Откуда атаковали «Киевстар», Комаров не комментирует. Так же он не рассказывает об уязвимостях, которые испытала сеть.
Что такое ядро сети
Ядро сети состоит из нескольких элементов: виртуальная сеть, работающая над физической сетью, а также IT-инфраструктура. И началось каскадное падение огромного количества частей данной инфраструктуры.
В результате атаки клиентские базы данных не отвечали на запрос сети о профиле клиента и о его услугах. И услуги стали автоматически отключаться.
Почему удалось положить сеть
У компании имеют несколько версий произошедшего, и компания превентивно на будущее их прорабатывает, а подобного больше не произошло. Однако, по словам Комарова, это предмет расследования правоохранительных органов. Есть
Он отмечает, что для того, чтобы так сильно повредить сеть, должны были быть определенные движения внутри сети. По его словам, периметр был нарушен.
«Киевстар» выключил все
Решение выключить всю систему, по словам Комарова, принималось в реальном времени. «Когда вы понимаете, что у вас незакрытый периметр компании и вам нужно его закрыть, потому что каждая минута — это еще больше разрушений. Это было необходимо сделать, чтобы уменьшить влияние, но оно и так было велико, и достаточно велико», — говорит он.
Цель — разрушить инфраструктуру
Базовая версия специалистов компании состоит в том, что цель хакеров — положить критическую инфраструктуру страны. Комаров говорит, что это не первая попытка пробить периметр телеком-оператора Украины, но к сожалению, эта попытка успешна.
Реалистичные дедлайны
В «Киевстаре» рассматривают несколько сценариев. Базовый и оптимистичный — что вскоре начнут возобновлять сервисы клиентов. Компания уже частично восстановила фиксированный интернет для нашей базы интернета для дома.
С мобильными услугами немного тяжелее, говорит Комаров. Он надеется, что уже сегодня, 13 декабря, удастся приступить к возобновлению мобильной связи. С одной стороны, говорит президент «Киевстар», системы возобновляются, с другой стороны, компания ограничена ресурсом, потому что любые подключения к сети делают не автоматически, а вручную из-за соответствующей проверки. Именно поэтому Комаров не дает никаких гарантий.
Не считают убытки
Об оценке ущерба в компании пока не думают. Главное, говорит Комаров, восстановить критические сервисы для украинцев.
Помогает восстановиться государство
Разобраться в ситуации и починить все, что не работает, помогают государственные органы. СБУ ведет расследование, Госспецсвязи, CERT-UA — занимаются вопросами кибербезопасности. Также «Киевстар» активно сотрудничает в направлении решения проблем, случившихся из-за атаки, с Microsoft, Cisco, Ericsson.
Ericsson, по его словам, вовлечена в восстановление инфраструктуры. Microsoft является экспертом в расследовании, а Cisco — поставщик всех систем киберзащиты, помогающий поднять периметр и защитить его.