Фейкові «замінування» у 2019 стали одним із основних факторів ризику та загроз безперервності ведення бізнесу на Українському ринку. Мало не щоденні евакуації на протязі минулого року завдали багатомільйонних збитків та так чи інакше торкнулися практично кожного українця.
          На фоні політичних подій та всесвітньої пандемії ця проблема не отримує достатньої уваги, хоча і залишається невирішеною та продовжує завдавати збитків майже не щодня.
         

          Кілька тижнів тому, спізнившись на принципово важливу ділову зустріч через евакуацію київського метро і переживаючи через те, що розповідь про мінування метро буде сприйнята партнерами як щось нереальне, я був шокований тим, що у кожного з більш ніж десятка учасників за останні кілька місяців був щонайменше один-два схожих випадка. Когось невідкладна евакуація вигнала із спортзалу в середині тренування, комусь зірвала заплановану за пів-року конференцію у одному з готелів в центрі Києва, а іншого колегу «замінували» у одному з найбільших торгівельних центрів і він змушений був покинути всі покупки за метр до каси після кількох годин шопінгу та очікування в черзі.

          Зацікавившись цим питанням, я почав задавати питання колегам, які реалізують свої кар’єри у сфері забезпечення корпоративної безпеки. Як результат, був ще більше шокований масштабом проблем, які держава та великі підприємства у сфері готельних послуг, розваг та рітейлу мають через нескінченні повідомлення про «замінування».

          Офіційних узагальнених даних про збитки немає і навряд чи вони будуть оприлюднені, проте неофіційно, лише одна із великих національних торгівельних мереж через численні евакуації зазнала шкоди у сотні тисяч гривень.

          Не менш руйнівними «замінування» виявилися для готелів та орендарів у великих торгівельно-розважальних центрах, що стають мішенню невідомих «терористів» та через раптові евакуації втрачають клієнтів і репутацію.

          «Мінують» також школи, дитячі садки, лікарні, державні установи, заводи, атомні електростанції, транспортні та інфраструктурні об’єкти і т. д. і т. п.

          За неофіційно отриманими, проте цілком точними даними за 2019 рік в Україні було зареєстровано майже 3500 (три з половиною тисячі) повідомлень про «замінування» близько 90000 (дев’яносто тисяч) об’єктів. Це, в середньому, 9-10 повідомлень та 240-250 «замінованих» об’єктів щодня. Також, це значно більше ніж сукупна кількість таких повідомлень за три попередніх роки. Для порівняння, у 2015 році таких проваджень було 643, у 2016-му – 939, у 2017-му – 698, у 2018-му – 741.

          У багатьох випадках, через колосальну кількість одночасно «замінованих» об’єктів правоохоронці не мали достатніх ресурсів для реагування та неодноразово направляли на порятунок величезного торгівельного центру одного дільничного, або взагалі на протязі кількох годин не могли забезпечити прибуття поліції на місце «замінування». Фактично, відповідальними за евакуацію та безпеку об’єкта ставали його власники і керівники.

          Принциповою відмінністю повідомлень про «замінування» у 2018-2019 роках та у попередні роки є те, що більше 70% відсотків таких повідомлень сьогодні надходять електронною поштою. При цьому на відміну від повідомлень телефоном, де відсоток розкриття досить високий, у випадку з електронною поштою – розкривається менше одного відсотка таких злочинів.

          У всіх повідомлень про «замінування», які були отримані електронною поштою у 2018-2019 роках, є одна дуже важлива спільна риса: ВОНИ НЕ ПІДТВЕРДИЛИСЯ! Зовсім. Тобто взагалі. Жодного разу не було виявлено вибухового пристрою або чогось подібного. Не було виявлено та затримано терористів, які б справді готували вибух.

          При цьому, за інформацією від постраждалих, абсолютна більшість повідомлень про «замінування» настільки однотипні, що не може бути жодних сумнівів у тому, що їх написанням місяцями послідовно займаються одні й ті ж самі особи.

          Що це все означає?

          Кілька років одній й ті самі невідомі особи тероризують всю країну погрозами вибухів, а державні органи продовжують реагувати так, ніби реальні теракти відбуваються майже не щотижня. Ще раз повторимось, за цей час не було жодних повідомлень про затримання, притягнення до відповідальності та суду над терористами, які б справді планували чи готували такі теракти, а перед тим повідомляли про свої наміри електронною поштою.

          Невже правоохоронні та розвідувальні органи таємно перехоплюють і знищують невідомих терористів у найкращих традиціях фільмів про Джеймса Бонда та Джейсона Борна? Тоді чому вони не можуть припинити надходження нових ідентичних повідомлень та нескінченні евакуації, які руйнують бізнес, економіку та репутацію країни?

          Найвищі керівники Національної поліції та МВС неодноразово заявляли, що сліди ведуть до Росії і взагалі це один з елементів гібридної війни та агресії РФ проти України, що цілком вірогідно може бути правдою.

          Проте якщо так, то чому за два роки не вдається знайти технічні, організаційні чи правові методи вирішення цієї проблеми? Адже, об’єктивні факти переконливо свідчать про те, що проблеми невідомих терористів, які реально мають змогу здійснити масовані вибухи по всій Україні та роками пишуть про це електронною поштою, фактично не існує.

          Реальна проблема і наслідок фіктивних «замінувань» – це шкода бізнесу, перешкоджання нормальній діяльності державних та приватних організацій, розпорошення ресурсів правоохоронців та залякування населення України, і саме цю проблему необхідно вирішувати. В той же час протидія справжньому тероризму також необхідна, але вона повинна реалізовуватись іншими методами. Щоденні масовані евакуації в цій справі скоріше зашкодять.

          А що «за бугром»?

          Навіть поверхневий аналіз публікацій у світовій пресі показує, що проблема фейкових мінувань не є ексклюзивною для України.

          Аналогічні хвилі «накривали» як розвинені західні країни, так і наших найближчих сусідів (приклади з США, США, Канада, Великобританія, Росія, Білорусь). Навіть більше, у Європі подекуди “мінують” з тих самих адрес електронної пошти, які вже засвітилися в Україні.

          Принциповою відмінністю є те, що у більшості країн, за виключенням наших найближчих сусідів, у разі отримання таких повідомлень проводиться оцінка достовірності, рівня ризиків та реальності загрози, залежно від якої визначаються подальші дії.

          Повторні однотипні повідомлення та повторні повідомлення з відомих адрес електронної пошти не призводять до масованих евакуацій, так як є очевидно недостовірними та спрямованими лише на залякування і завдання шкоди. Повномасштабне реагування лише заохочує злочинців та мотивує їх продовжувати направлення таких повідомлень.

          Процедура оцінки достовірності та ризиків, як правило, є важливим елементом національної програми з протидії тероризму і має на меті не тільки захистити населення від реальних загроз, але й попередити шкоду від завідомо неправдивих повідомлень.

          Прикладом є Пам’ятка щодо дій у разі отримання погрози про вчинення вибуху, яка опублікована на офіційному сайті Департаменту внутрішньої безпеки США та розрахована на цивільних осіб, які першими отримали таке повідомлення.

          В США, як країні, де терористична загроза на стабільно високому рівні і є чималий успішний досвід попередження терактів, багато уваги приділяється також навчанню керівників приватних структур та професіоналів корпоративної безпеки навичкам правильних дій у разі отримання таких повідомлень. Запроваджено централізований онлайн ресурс для обміну інформацією між правоохоронцями та оперативного інформування суспільства.

          Особлива увага приділяється забезпеченню безпеки навчальних закладів, для чого у США створено спеціалізований онлайн ресурс та інтерактивний навчальний курс для допомоги керівникам, відповідальним за безпеку таких закладів у підготовці до можливих погроз вибухом.

          Проте головним залишається питання забезпечення безпеки та попередження реальних терактів, а не «розмазування» сил та засобів по численним евакуаціям  після кожного електронного повідомлення.

          Цікаво, що країна-агресор, яка на думку керівництва правоохоронців інспірує «замінування» в Україні також потерпає від цієї проблеми. Остання масована хвиля таких «замінувань» накрила північного сусіда з кінця листопада минулого року. Журналісти Російської служби BBC, у своєму розслідуванні, дійшли до висновку, що «замінування» в Росії мають український слід, та вважають, що до них причетний колишній клієнт криптовалютної біржі WEX, який внаслідок краху цієї біржі втратив 120 біткоїнів та намагається їх повернути шляхом залякування і шантажу російського суспільства.

          Новий власник криптобіржі WEX це колишній київський підприємець, а пізніше терорист ДНР з позивним «Морячок» – Дмитро Хавченко, який  позиціонує її як майданчик для фінансової підтримки ДНР, ЛНР та інших окупованих Росією територій. Єдина його проблема – це повернення виведених активів, у привласненні яких російські журналісти обґрунтовано підозрюють відомого російського підприємця Костянтина Малофеєва та колишнього співробітника ФСБ Антона Немкина.

          Саме проти Малофеєва спрямовані більшість повідомлень про «замінування», які сотнями надходили до різноманітних державних органів та недержавних організацій Росії наприкінці минулого року.

          У цьому контексті цікаво, що сплеск «замінувань» у РФ практично повністю співпав із зменшенням кількості, а подекуди і повним припиненням «замінувань» на території України.

          Схоже на те, що обмежена ресурсами «команда мінерів» була терміново переорієнтована на Росію, та вимушена була тимчасово залишити свою основну «роботу» по «мінуванню» України та Європи.

          Методи протидії фейковим «замінуванням» у росіян істотно відрізняються від західних демократій. Широко відомою є практика блокування поштових сервісів, які використовувалися «терористами», один з епізодів якої детально описується в чудовій статті на habr.com.

          Іншим суперечливим російським «методом» протидії є зобов’язання організацій до блокування вхідної кореспонденції безпосередньо на місцевому рівні (приклад 1 та приклад 2).

          При цьому схоже,  що не зважаючи на тотальний, подекуди неправовий  контроль влади РФ над телекомунікаційною сферою, ця проблема все одно залишається невирішеною.

          Колега, який полюбляє конспірологічні теорії, почитавши чернетку статті, в цьому місці буквально закричав, що це все частини однієї великої комбінації ФСБ, яка використовує фейкові «замінування» і на шкоду Україні, і для створення передумов для подальшого наступу на вільний Інтернет усередині Росії.

          Чому все ж таки Україна?

          Абстрагувавшись від конспірології, ми спробували проаналізувати причини надзвичайної масштабності цього явища саме в Україні і причини низького рівня розкриття злочинів, у випадку повідомлень про «замінування», які надходять саме електронною поштою.

          Кільком спеціалістам з кібербезпеки, незалежно один від одного, ми поставили однакове питання: як би ви відправили повідомлення електронною поштою, за яким технічно неможливо було б відстежити відправника?

          Кожен придумав свій креативний спосіб, проте спільним в усіх відповідях на це питання було те, що сучасний стан розвитку технологій дозволяє досягти практично повної анонімності відправника електронної пошти та уникнути його ідентифікації, навіть якщо він фізично знаходиться у сусідньому будинку.

          Інструменти на кшалт VPN та TOR, які створювались для захисту конфіденційності та забезпечення анонімності спілкування між бізнесменами, військовими, розвідниками та дисидентами сьогодні активно та успішно використовуються злочинцями для анонімізації їх дій у мережі.

          Звичайно ми також спитали у кожного експерта і його рецепт щодо протидії масованим повідомленням про «замінування» та спосіб подолання засобів анонімізації з метою ідентифікації відправника електронної пошти.

          Тут креативу було менше, проте він був більш феєричний та масштабний. Здебільшого рекомендації починалися з необхідності запровадження змін у законодавстві та запровадження тотального запису та аналізу інформації про трафік в усіх мережах країни, а краще й усього світу.

          За умови якщо це було б технічно та юридично можливим, ми теоретично могли б відслідкувати певні закономірності та з високою імовірністю встановити, чи взагалі перебуває автор (чи автори) повідомлень на території України і з часом локалізувати його місцезнаходження.

          Тут також була одна спільна риса у всіх рекомендацій: більш реалістичним способом протидії саме завідомо неправдивим «мінуванням» є відмова від використання електронної пошти як способу комунікації із користувачами та ігнорування повторних повідомлень, які за сукупністю ознак можна вважати належними одному автору.

          Блокування конкретних інтернет ресурсів, з яких надходять повідомлення наші експерти не пропонували, проте, як вже зазначалося така методика вже випробовувалась у Росії та Білорусі, і з цілком очевидних технічних причин – безрезультатно.

          І тут ми впритул підійшли до організаційних та юридичних аспектів цієї проблеми, які специфічні саме для України.

  1. Закон «Про доступ до публічної інформації» прямо зобов’язує державні органи публікувати контактні адреси електронної пошти і будь яка технічно підготовлена особа може практично анонімно відправляти на ці адреси будь які погрози.
  2. Конституція зобов’язує правоохоронні та державні органи і їх посадових осіб діяти лише в порядку і в спосіб передбачений законодавством, а законодавство передбачає певний порядок реагування на такі повідомлення. Тобто у випадку будь яких сумнівів керівники правоохоронців вибирають найбільш зручну та безпечну для них особисто тактику – проведення евакуацій, навіть якщо це формалізм, який лише заохочує злочинців продовжувати погрози.
  3. В Україні відсутній національний орган з протидії тероризму, який би відповідав за оцінку ризиків, пов’язаних із тероризмом, інформування та освіту суспільства у цій сфері та узагальнення і аналіз повідомлень про можливі теракти. Саме такий орган мав би негайно отримувати всі нові повідомлення про «замінування» оцінювати ситуацію в масштабі країни та ініціювати і координувати заходи реагування. Результатом є те, що оцінка ситуації у кожному випадку проводиться на місцевому рівні особами, які не володіють усім об’ємом інформації та спеціальними знаннями для адекватного реагування.
  4. Керівники служб та підрозділів корпоративної безпеки, рядові охоронці «замінованих» об’єктів та прості громадяни не вважають протидію тероризму своєю проблемою, хоча насправді, саме вони є на «першій лінії» цього протистояння та будуть першими, хто вірогідно опиниться на місці події у разі реального теракту. У більшості країн саме власники та оператори місць масового перебування людей несуть відповідальність за розробку заходів, необхідних для реагування на терористичну загрозу та попередження наслідків терактів на їх території.
  5. На відміну від розвинених країн у нас відсутні національні програми щодо приватно-публічного партнерства у сфері протидії тероризму, а суспільство не цікавиться поточним рівнем терористичної загрози. Це є ще однією причиною не завжди адекватної реакції на випадки фейкових повідомлень про «замінування» та відсутності планів реагування на такі події у приватному секторі.

          На завершення нашого розслідування феномену масованих завідомо неправдивих повідомлень про «замінування», які надходять електронною поштою, спробуємо підсумувати рекомендаціями, які сформульовані за результатами численних консультацій та вивчення світового досвіду вирішення цієї проблеми.

          Отже, для мінімізації негативного впливу від таких «замінувань», та створення передумов для виявлення та притягнення до відповідальності винних осіб необхідно:

  1. Зосередитися на попередженні реальних терактів, а не формальному реагуванні на фейкові «замінування». Налагодити централізований збір та аналіз завідомо неправдивих повідомлень про «замінування», що дозволить не тільки ідентифікувати повідомлення, які надходять повторно та належать вже «відомим авторам», але й зібрати достатньо технічних даних для узагальненого аналізу, виявлення повторюваних «паттернів» та встановлення осіб злочинців. Центр у якому буде збиратись та аналізуватись інформація може бути як приватним, так і державним, проте він має стати частиною механізму оцінки ризиків «замінувань» та допомогти уникнути евакуацій за повторними та явно неправдивими повідомленнями.
  1. Розробити та впровадити реальні комплексні заходи з попередження терористичних атак, де оцінка погроз теракту буде одним із основних елементів централізованої національної системи реагування на базі публічно-приватного партнерства.
  2. Внести необхідні зміни до відомчих інструкцій та припинити ганебну практику проведення масштабних евакуацій за очевидно «фейковими» повідомленнями, які надходять повторно, втретє і т.д.
  3. Розробити загальні рекомендації керівникам служб корпоративної безпеки та підприємств щодо порядку реагування на повідомлення про «замінування». Визначити методику та критерії оцінки реалістичності повідомлень про «замінування» та порядок дій, залежно від рівня загрози.
  4. Запровадити тренінги для приватного сектору, з метою підготовки професіоналів корпоративної безпеки до розробки та реалізації стандартних планів реагування на повідомлення про «замінування».
  5. Вжити заходів до зміни способів комунікації із громадськістю. Рекомендувати великим приватним підприємствам, як потенційним мішеням «мінерів» максимально відмовитися від використання електронної пошти як засобу комунікації із користувачами та перейти до використання форм зворотного зв’язку із двох-факторною ідентифікацією за номером телефону. На жаль, в державних органах, відмова від використання електронної пошти потребуватиме внесення змін до закону, тому у разі отримання повідомлень державними органами – такі повідомлення повинні негайно направлятись до «Центру обробки», запропонованому у першому пункті для вивчення та оцінки рівня ризику.

 

          За умови зміни підходу та запровадження цих заходів, з’являється надія, що через деякий час, підрозділ ФСБ, який наразі відповідає за операцію «Фейкові замінування» буде визнано неефективним та позбавлено фінансування.

          Це жарт.

          Хоча може і ні.

 

Віктор Дроботенко, заступник директора SK Security

admin
Share
This