Президент «Киевстар» Александр Комаров дал интервью Forbes после самой масштабной в истории компании кибератаки, заставившей нервничать не только частных пользователей, но и бизнес.
Почти сутки 24 млн абонентов все еще остаются без мобильной связи. «Базовый сценарий, что мы завтра начнем восстанавливать этот сервис», — отметил в разговоре с Forbes Комаров.
dev.ua выбрал основные положения главы пострадавшего от россиян мобильного оператора.
Напомним, что сегодня в работе «Киевстар», имеющем 24 млн абонентов, произошел масштабный сбой, из-за которого не работает связь и сайт оператора.
Ранее некоторые Telegram-каналы распространили информацию о якобы обыске правоохранителей в компании, но источники dev.ua это опровергли.
Впоследствии CPO «Киевстар» подтвердил хакерскую атаку на компанию. Абонентам, не имеющим связи, пообещали компенсацию.
В результате атаки на «Киевстар» многие украинские бизнесы столкнулись с проблемами в работе. Среди них: ПриватБанк, Monobank, Vodafone, Lifecell.
Украинцы уже отреагировали на ситуацию с «Киевстар» сотнями мемов. Вот подборка от читателей dev.ua.
Министр развития общин, территорий и инфраструктуры Александр Кубраков предположил, что работа будет возобновлена «в течение четырех-пяти часов».
Но генеральный директор «Киевстар» Александр Комаров сообщил, что атака частично разрушила IT-инфраструктуру, а сроки восстановления сервисов пока неизвестны. Военный-связист спрогнозировал, когда «Киевстар» может реально возобновить работу. Спойлер — не очень скоро
Как рассказали источники dev.ua, «Киевстар», вероятно, был вынужден самостоятельно выключить свои сервисы из-за скомпрометированного «критического аккаунта».
Мы также опубликовали гайд с советами для абонентов «Киевстар», как оставаться на связи.
Вечером 12 декабря оператор частично возобновил работу услуг фиксированной связи. Они работают над возобновлением других услуг, и сделают все возможное, чтобы завершить эту работу в течение 13 декабря 2023 года.
В 5:26 началось нетипичное поведение сети. Все фокусы компании были направлены на восстановление сети, начавшей работать с большими перебоями. Все это создало огромное количество аномалий в этих системах. Сотрудники компании сфокусировались на этом, потому что им казалось, что эта проблема была либо на коммутационной системе, либо на транспортной сети.
В 6:30 утра в компании поняли, что имеет место сверхмощная атака хакера на ядро сети и инфраструктуру. И все, что происходило с утра, просто от нее отвлекало, чем пыталось действительно положить радиосеть компании.
Откуда атаковали «Киевстар», Комаров не комментирует. Так же он не рассказывает об уязвимостях, которые испытала сеть.
Ядро сети состоит из нескольких элементов: виртуальная сеть, работающая над физической сетью, а также IT-инфраструктура. И началось каскадное падение огромного количества частей данной инфраструктуры.
В результате атаки клиентские базы данных не отвечали на запрос сети о профиле клиента и о его услугах. И услуги стали автоматически отключаться.
У компании имеют несколько версий произошедшего, и компания превентивно на будущее их прорабатывает, а подобного больше не произошло. Однако, по словам Комарова, это предмет расследования правоохранительных органов. Есть
Он отмечает, что для того, чтобы так сильно повредить сеть, должны были быть определенные движения внутри сети. По его словам, периметр был нарушен.
Решение выключить всю систему, по словам Комарова, принималось в реальном времени. «Когда вы понимаете, что у вас незакрытый периметр компании и вам нужно его закрыть, потому что каждая минута — это еще больше разрушений. Это было необходимо сделать, чтобы уменьшить влияние, но оно и так было велико, и достаточно велико», — говорит он.
Базовая версия специалистов компании состоит в том, что цель хакеров — положить критическую инфраструктуру страны. Комаров говорит, что это не первая попытка пробить периметр телеком-оператора Украины, но к сожалению, эта попытка успешна.
В «Киевстаре» рассматривают несколько сценариев. Базовый и оптимистичный — что вскоре начнут возобновлять сервисы клиентов. Компания уже частично восстановила фиксированный интернет для нашей базы интернета для дома.
С мобильными услугами немного тяжелее, говорит Комаров. Он надеется, что уже сегодня, 13 декабря, удастся приступить к возобновлению мобильной связи. С одной стороны, говорит президент «Киевстар», системы возобновляются, с другой стороны, компания ограничена ресурсом, потому что любые подключения к сети делают не автоматически, а вручную из-за соответствующей проверки. Именно поэтому Комаров не дает никаких гарантий.
Об оценке ущерба в компании пока не думают. Главное, говорит Комаров, восстановить критические сервисы для украинцев.
Разобраться в ситуации и починить все, что не работает, помогают государственные органы. СБУ ведет расследование, Госспецсвязи, CERT-UA — занимаются вопросами кибербезопасности. Также «Киевстар» активно сотрудничает в направлении решения проблем, случившихся из-за атаки, с Microsoft, Cisco, Ericsson.
Ericsson, по его словам, вовлечена в восстановление инфраструктуры. Microsoft является экспертом в расследовании, а Cisco — поставщик всех систем киберзащиты, помогающий поднять периметр и защитить его.
