Незалежно від кінцевого результату війни в Україні, всі галузі економіки зіткнуться з фундаментальними змінами в ландшафті кіберзагроз, оскільки війна розширяє межі прийнятної поведінки в кіберпросторі. Сотні загрозливих кіберакторів з обох сторін беруть участь у кібернаступальних діях, що створює великий потенціал вразливих цілей.
Аналіз триваючого вторгнення Росії в Україну та наслідків використання кібератак для галузей економіки України дозволяє зробити такі висновки:
1. Кіберскладова війни може швидко та серйозно загостритися з потенціалом безпрецедентних кібер-фізичних наслідків, включаючи атаки на критичну телекомунікаційну інфраструктуру.
2. Належне визначення кіберзагроз може бути надзвичайно складним через широко розповсюджений характер ландшафту загроз. Ймовірно, ще більше загрозливих кіберакторів з усього світу приєднаються до боротьби (кожен на своїй стороні).
3. Російські кібератаки будуть зосереджені на демонстрації своїх можливостей і атак, про які можливо широко розповсюдити інформацію.
4. Необхідно зосередитися на моделюванні загроз російських передових постійних загроз (APT), тактики, техніки та процедур (TTP) відомих злочинних кіберугруповань, а також досвіду провідних країн з питань кібербезпеки.
Після вторгнення Росії в Україну, використання кібератак відіграє важливу, хоча й обмежену роль. Під прицілом кіберзловмисників знаходиться критична інформаційна інфраструктура, державні служби, банки та телекомунікації. Деякі з цих кібератак поширилися й на сусідні країни, які надають підтримку Україні. Типи кібератак, зафіксовані на сьогоднішній день, включають (але не обмежуються) атаки на відмову в обслуговуванні (DdoS); пошкодження даних і зловмисне програмне забезпечення з можливістю саморозповсюдження; кіберкампанії з дезінформації.
Кібернетичний елемент цієї війни може швидко та серйозно загостритися з потенціалом катастрофічних наслідків. Необхідно пройти кілька рівнів ескалації, перш ніж сценарій кіберкатастрофи стане ймовірним.
Країни світу разом із різними кіберзлочинними угрупованнями та розподіленими командами хактивістів стали на бік глобальної кібервійни. Вторгнення в Україну спонукало найвпливовіші сторони в кіберпросторі розкрити свої можливості в ідеологічних, етичних і геополітичних напрямках (Україна та інші — проти Росії). Потенціал катастрофи, спричинений зростанням наступальної кіберактивності, зокрема перспективи кіберфізичних атак на критичну інформаційну інфраструктуру, ніколи не був таким високим. Крім того, серйозну загрозу від цілеспрямованої атаки становить ризик “розповсюдження” зловмисного програмного забезпечення, що самовідтворюється, яке заражає нецільові системи та поширюється в широких межах. Україна та Росія відкрито залучили глобальні волонтерські кібергрупи для допомоги в атаках на ІТ-системи та мережі один одного. Також залучаються інші відомі та нові актори кіберзагроз. Станом на 1 червня 2022 року встановлено щонайменше 33 різні групи кіберзагроз, які активно допомагали Україні (22 групи) або на працювали користь Росії (9 груп). Російські APT та їхні аналоги у злочинних угрупованнях будуть націлюватися випадково з наміром продемонструвати потужність російського кібернаступального потенціалу. Наразі, ризик кіберкатастрофи є вищим через намір, можливість і здатність Росії скомпрометувати цілі “єдиної точки відмови” (SPoF), які надають їм широкий і безперешкодний доступ до критично важливих комп’ютерних мереж і даних. Хактивістські коаліції та кіберзлочинці стають на бік, а злочинні кібергрупи обіцяють допомогти військовій машині російського уряду.
Найбільш реалістичні катастофічні сценарії від дій кіберугроповань Росії включають:
1. Широке розповсюдження зловмисного програмного забезпечення по всьому світу, деструктивна атака якого стирає жорсткі диски і знищує пристрої.
2. Атака на операторів мобільних мереж, що спричиняє збій на кілька годин для всіх постраждалих користувачів.
3. Банківська компрометація провідної глобальної платформи фінансових транзакцій і комунікацій (SWIFT) і викрадення грошових коштів із банків.
4. Надсилання зловмисного оновлення від провідного постачальника SCADA, що одночасно спричиняє кілька катастрофічних збоїв нафтопереробних заводів.
5. Зараження програмованих логічних контролерів, які використовуються в бурових установках провідних операторів мобільних нафтових вишок.
6. Атака на електричну компанію, що призводить до тривалого збою з наслідками для більшості підприємств, які залежать від її електроенергії.
7. Використання уразливостей програмного забезпечення в широко використовуваних медичних пристроях, що вплине на велику кількість медичних закладів.
8. Атака на навігаційну систему провідної моделі літака в системі посадки за приладами та втручання в навігаційні засоби керування.
Матриця націлювання для російських кібератак у відповідь на українські є складною. Кількість змінних створює вузький набір цілей. Враховуючи російські вимоги до націлювання, типи компаній, які перебувають у перехресті прицілу, зосереджені в обмеженій кількості галузей. Росія бере до уваги принаймні 5 змінних, коли розглядає, які цілі та коли атакувати у відповідь:
1. Збій широко використовуваних (але не критичних) послуг, що має на меті спричинити втрату підтримки населення.
2. Вибір цілей, які є символічними (культурно, політично) і не будуть сприйматися жертвою як воєнні дії.
3. Цілі будуть ретельно відібрані, щоб скрити розвідувальні та шпигунські можливості.
4. Росія вживатиме запобіжних заходів для проведення атак, які не розкриватимуть кіберінфраструктуру, таку як спеціальне шкідливе програмне забезпечення, уразливості “нульового” дня або командні та контрольні сервери (С2), які можуть бути використані в майбутніх операціях.
5. Цілі будуть вибрані з огляду на їх відносно низький рівень впливу, залишаючи цілі на випадок ескалації.
Найбільш ймовірні сфери, які зазнають атаки у відповідь: банківські та фінансові послуги; ІТ-послуги, включаючи постачальників керованих послуг; Інтернет-провайдери; доставка та логістика; комунальні послуги.
У разі ескалації кібератак між російськими APT, Україною та країнами, які її підтримують, Росія перегляне свою матрицю націлювання та вибере більші та руйнівніші цілі, такі як нафтова і газова сфери, електромережі, система охорони здоров’я, оборона та авіакосмічна сфера. Залишається ймовірність того, що Росія використовуватиме зловмисне програмне забезпечення, що саморозповсюджується, для невибіркової атаки на широкий спектр цілей.