CERT-UA

центр кіберзахисту та протидії кіберзагрозам

Команда реагування на комп'ютерні надзвичайні події України (англ. Computer Emergency Response Team of Ukraine, CERT-UA) — спеціалізований структурний підрозділ Державного центру кіберзахисту Державної служби спеціального зв'язку та захисту інформації України.

Computer Emergency Response Team of Ukraine
Урядова команда реагування на комп'ютерні надзвичайні події України
Абревіатура CERT-UA
Тип спеціалізований структурний підрозділ Державного центру кіберзахисту Держспецзв'язку
Засновано 2007
Тема Електронний уряд Україниd
Країна  Україна
Штаб-квартира Київ, вул. Юрія Іллєнка, 83Б
Місце діяльності Україна Україна
Центральний орган Державна служба спеціального зв'язку та захисту інформації України
Вебсайт: cert.gov.ua

Історія ред.

Підрозділ заснований у 2007 році. У 2009 році підрозділ був акредитований у Форумі команд реагування на інциденти інформаційної безпеки (FIRST). З 2012 — член IMPACT. З 2014 року ведеться робота щодо інтеграції у проєкт HoneyNet Project[1].

Завдання ред.

Метою діяльності CERT-UA є забезпечення захисту державних інформаційних ресурсів та інформаційних і телекомунікаційних систем від несанкціонованого доступу, неправомірного використання, а також порушень їх конфіденційності, цілісності та доступності.

Завданнями урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA українським законодавством визначено:

  1. збір та аналіз даних про кіберінциденти, ведення державного реєстру кіберінцидентів;
  2. практична допомога власникам об’єктів кіберзахисту з питань запобігання, виявлення та усунення наслідків кіберінцидентів щодо цих об’єктів;
  3. проведення практичних семінарів з питань кіберзахисту;
  4. підготовка офіційних рекомендацій щодо протидії сучасним видам кібератак та кіберзагроз, які розміщуються на вебсайті CERT-UA;
  5. взаємодія з правоохоронними органами, своєчасне їх інформування про кібератаки;
  6. взаємодія з іноземними та міжнародними організаціями з питань реагування на кіберінциденти, зокрема в рамках участі у Форумі команд реагування на інциденти безпеки (англ. Forum for Incident Response and Security Teams, FIRST);
  7. взаємодія з іншими українськими командами реагування на комп’ютерні надзвичайні події; підприємствами та організаціями, які забезпечують безпеку кіберпростору;
  8. аналіз інформації громадян про кіберінциденти щодо об’єктів кіберзахисту;
  9. сприяння органам державної влади, військовим формуванням, підприємствам, установам та організаціям, громадянам України у розв'язанні питань кіберзахисту та протидії кіберзагрозам[2].

Правовий статус ред.

Діяльність CERT-UA передбачена Законом України «Про Державну службу спеціального зв'язку та захисту інформації»[3], Законом України «Про телекомунікації»[4], Законом України «Про основні засади забезпечення кібербезпеки України» та відповідними підзаконними актами.

Відомі операції ред.

В 2014 році, під час дочасних Президентських виборів в Україні спеціалістами CERT-UA було знешкоджено хакерські атаки на автоматизовану систему «Вибори»[5].

У червні 2017 року, команда CERT-UA, разом з фахівцями Кіберполіції, СБ України, разом з фахівцями з приватних компаній та іноземними партнерами брали участь в протидії та ліквідації наслідків масштабних хакерських атак проти України.

На початку 2023 року, урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA дослідила кібератаку, імовірно асоційовану з угрупуванням Sandworm[6]. Для виведення з ладу серверного обладнання, автоматизованих робочих місць користувачів та систем зберігання даних зловмисники використали у тому числі і легітимне програмне забезпечення, а саме файловий архіватор WinRAR. Отримавши несанкціонований доступ до інформаційно-комунікаційної системи об’єкту атаки, для виведення з ладу ПК, що функціонують під управлінням операційної системи Windows, було застосовано RoarBat – BAT-скрипт. Скрипт здійснював рекурсивний пошук файлів за визначеним переліком розширень для їх подальшого архівування за допомогою легітимної програми WinRAR з опцією «-df». Ця опція передбачає видалення вихідного файлу та подальше видалення створених архівів. Запуск згаданого скрипту здійснювався за допомогою запланованого завдання, яке, за попередньою інформацією, було створено та централізовано розповсюджено засобами групової політики (GPO)[7].

Примітки ред.

  1. CERT-UA: скорая киберпомощь. PC WEEK/Ukrainian Edition ((рос.)). Архів оригіналу за 16 жовтень 2014. Процитовано 16 жовтня 2014. 
  2. Закон України «Про основні засади забезпечення кібербезпеки України» від 05.10.2017 р. № 2163-VIII (Набрання чинності відбудеться 09.05.2018). Архів оригіналу за 13 листопада 2017. Процитовано 19 листопада 2017. 
  3. Про Державну службу спеціального зв'язку та захисту інформації (Закон України). Архів оригіналу за 30 грудня 2016. Процитовано 26 травня 2014. 
  4. Про телекомунікації (Закон України). Архів оригіналу за 27 травня 2014. Процитовано 26 травня 2014. 
  5. Прес-служба Держспецзв’язку (23 травня 2014). Коментар Держспецзв’язку щодо інциденту в ЦВК. Архів оригіналу за 1 червень 2014. Процитовано 26 травня 2014. 
  6. Історія довжиною у 8 років: Україна як поле кібератак групи хакерів Sandworm. 22.03.2022
  7. Хакери використали WinRAR для атак на українські держоргани. // Кость Могилевський. 02.05.2023

Див. також ред.

Посилання ред.