ქართული კიბერ უსაფრთხოების ლანდშაფტი

ავტორი: მიხეილ ბასილაია

ქართულ რეალობაში კიბერ უსაფრთხოებამ 2008 წელს უხეშად შემოაბიჯა. რუსეთსაქართველოს ომის დროს, კონვენციური საბრძოლო მოქმედებების პარალელურად განხორციელებულმა კიბერ შეტევებმა ცივი წყალი გადაასხა არა მხოლოდ ამ შეტევების მთავარ სამიზნეებს (სამთავრობო საიტებს და მედია საშუალებებს), არამედ მოსახლეობის ნაწილს. საზოგადოებამ პირველად გააცნობიერა ინფორმაციულ ტექნოლოგიებსა და ინტერნეტზე თავიანთი დამოკიდებულება. საქართველო კიბერ შეტევებს, რომელიც ინფორმაციული ომის ნაწილი იყო და მიზნად ისახავდა მიმდინარე მოვლენების ჩვენეული ხედვის გავრცელების ჩახშობას, სრულიად მოუმზადებელი შეხვდა.

აღსანიშნავია, რომ მაშინდელი კიბერ შეტევების ავტორებს რაიმე რთული მექანიზმების გამოყენება არ დასჭირვებიათ წარმატების მისაღწევად. ქართული რესურსების მწყობრიდან გამოყვანა შესაძლებელი გახადა უსაფრთხოების დაბალმა დონემ, მოუგვარებელი ტექნიკური სისუსტეების სიმრავლემ, ელემენტარული კიბერ უსაფრთხოების ექსპერტიზის არქონამ. . .

მოუმზადებლობის მაგალითისთვის ისიც გამოდგება, რომ საქართველოს საგარეო საქმეთა სამინისტრო ომის მიმდინარეობისას ახალ ამბებს Google-ს კუთვნილ Blogspot ბლოგ-პლატფორმაზე დებდა. სხვა სამთავრობო თუ კერძო რესურსებმა ონლაინ სივრცეში მუშაობის გაგრძელება მხოლოდ გარე დახმარებით შეძლეს. გარე დახმარება გახდა საჭირო ინციდენტების გამოძიებისა და იმ სისუსტეების მოძიებააღმოფხვრისთვის, რომელთა საშუალებითაც მოხერხდა შეტევის განხორციელება.

2008 წლის შეტევებმა აჩვენა როგორ ჩამორჩებოდა საქართველო გლობალურ ტენდენციას. დაიწყო მუშაობა საკანონმდებლო ბაზის მომზადებაზე. შეიქმნა კომპიუტერულ ინციდენტებზე რეაგირების ჯგუფი (Computer Emergency Response Team (CERT), რომელსაც დაევალა საჯარო და კერძო სფეროში დაფიქსირებული ინციდენტების აღრიცხვა და გამოძიება. დაიწყო მუშაობა ინფორმაციული უსაფრთხოების კანონზე. სისხლის სამართლის კოდექსში გაჩნდა კიბერ დანაშაულის ცნება (მუხლი 284, 285, 286). განიმარტა კიბერდანაშაულის ტიპები: სისტემაში უნებართვოდ შეღწევა, მონაცემის ან სისტემის უკანონოდ გამოყენება, მონაცემის ან სისტემის ხელყოფა. დაიწყო მუშაობა პერსონალურ მონაცემთა დაცვის კანონზეც.

საქართველოს მთავრობამ ასევე შეიმუშავა კიბერ უსაფრთხოების სტრატეგიაც. პირველი სტრატეგია 2013-2015, მეორე კი 2017-2018 წლებისთვის იყო. ამჟამად 2020-2021 წლების სტრატეგიაზე მიმდინარეობს მუშაობა. ალბათ შეამჩნევდით, რომ სტრატეგიას გარკვეული წყვეტები აღენიშნება (გამოტოვებულია 2016 და 2019 წლები).

სხვა კიბერ შეტევები საქართველოს წინააღმდეგ

2008 წლის შემდეგ საქართველოში რამდენიმე ფართომასშტაბიანი კიბერ შეტევა დაფიქსირდა. 2012 წელს იყო ე.წ. GEORBOT-ის შემთხვევა. გარკვეულ სამთავრობო ორგანიზაციებსა და მედია საშუალებებში გავრცელდა მავნე პროგრამა, რომელიც სპეციალური ქივორდების მიხედვით ეძებდა ინფორმაციას კომპიუტერში, სასურველი კონტენტის მოძიების შემთხვევაში კი იპარავდა ამ ინფორმაციას (აგზავნიდა შემტევის მიერ კონტროლირებად სერვერზე). სამიზნეებს წარმოადგენდნენ სამთავრობო უწყებები და ჟურნალისტები, რომლებიც მუშაობდნენ NATO-სა და სამხრეთ კავკასიის თემებზე.

Georbot მავლე პროგრამა გამოააშკარავა და გაანალიზა მონაცემთა გაცვლის სააგენტოს CERT-მა. მათ მოახერხეს მავნე პროგრამის ოპერატორის კომპიუტერში შეღწევა და ამ ადამიანისთვის სურათის გადაღებაც.

მეტი დეტალისთვის იხილეთ მონაცემთა გაცვლის სააგენტოს ანგარიში: https://dea.gov.ge/uploads/CERT%20DOCS/Cyber%20Espionage.pdf

ასევე იხილეთ კომპანია ESET-ის მიერ განხორციელებული მავნე პროგრამის ტექნიკური ანალიზი: https://www.welivesecurity.com/wp-content/media_files/ESET_win32georbot_analysis_final.pdf

შემდეგი ფართომასშტაბიანი შეტევა იყო ე.წ. APT28 დაჯგუფების მიერ. ეს დაჯგუფება, რომლის უკან სავარაუდოდ რუსული სადაზვერვო სამსახურები დგანან, აქტიური არა მარტო საქართველოში არამედ აღმოსავლეთ ევროპის სხვა ქვეყნებშიც იყო. APT28 მაღალი დონის მავნე პროგრამის საშუალებით იპარავდა ინფორმაციას სხვადასხვა სამთავრობო სტრუქტურებიდან. საქართველოში მათ შინაგან საქმეთა სამინისტროში შეაღწიეს.

კომპანია FireEye-მ დეტალური რეპორტი გამოაქვეყნა APT28-ის შეტევაზე საქართველოში: https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-apt28.pdf

საბანკო და ფინანსური სერვისების განვითარებასთან ერთად, ქართული კიბერ სივრცით უცხოელი კიბერკრიმინალებიც დაინტერესდნენ და 2019 წელს განსაკუთრებით გააქტიურდნენ. ქართული ბანკების კლიენტების წინააღმდეგ შეტევების რამდენიმე ტალღა მოეწყო. ფიშინგის შეტევები, რომლებიც სოციალური ქსელებით ვრცელდება, მომხმარებლებს პარავენ საბანკო ბარათის მონაცემებს, ინტერნეტ ბანკინგში შესასვლელ პაროლებს. ზოგიერთ შემთხვევაში, კრიმინალურმა დაჯგუფებამ ერთგვარი ქოლ ცენტრიც კი ააწყო კლიენტებისგან ერთჯერადი (SMS-ით მოსული) კოდების მისაღებად (ურეკავდნენ მსხვერპლს ბანკის სახელით და სთხოვდნენ მათთვის მოეცათ რამდენიმე წამის წინ მიღებული კოდი). კრიმინალები მოპარულ თანხებს რიცხავდნენ ონლაინ ტოტალიზატორებში, საიდანაც სხვადასხვა თაღლითური სქემებით გადაჰქონდათ თანხები ისეთ ანგარიშებზე, საიდანაც თანხის განაღდებას შეძლებდნენ.

საქართველოში ასევე გავრცელებულია ე.წ. ransomware შეტევები. Ransomware არის გამომძალველი პროგრამა, რომელიც კომპიუტერში შიფრავს ფაილებს და განშიფრვის სანაცვლოდ ითხოვს თანხას (ბიტკოინებში ან რომელიმე კრიპტოვალუტაში; კიბერ კრიმინალები აქტიურად იყენებენ კრიპტოვალუტებს, რადგანაც კრიპტოვალუტების გადარიცხვებით რეალურ პირზე გასვლა რთულია). Ransomware შეტევებმა ქართული ტელეკომპანიები, იმედი და TV Pirveli დააზარალა ისე, რომ მათ მაუწყებლობაც კი შეუჩერდათ რამდენიმე საათით.

ამ დროისთვის ბოლო ფართომასშტაბიანი შეტევა დაფიქსირდა 2019 წლის ოქტომბერში, როდესაც ჰაკერებმა მოახერხეს ქართული ჰოსტინგ პროვაიდერის, Pro Service-ის ინფრასტრუქტურაში შეღწევა.

პრო სერვისი ვებსაიტების ჰოსტინგის სერვისს მრავალ ადგილობრივ კომპანიას უწევს. ჰაკერებმა შეაღწიეს კომპანიის სერვერზე და ასე შეძლეს წვდომა მოეპოვებინათ სხვადასხვა საიტებზე, რომლებიც პრო სერვისის ინფრასტრუქტურაში იყო განთავსებული. მათ მრავალი საიტის მთავარი გვერდი შეცვალეს ექს-პრეზიდენტ მიხეილ სააკაშვილის სურათით, რომელსაც ჰქონდა წარწერა I’ll Be Back. ოფიციალურ გამოძიებას ამ შეტევაზე ჯერ დასკვნა არ დაუდია. თუმცა ფაქტია, რომ თავდამსხმელს ჰქონდა პოლიტიკური მესიჯი. დიდი ალბათობით, არ იყო გამოყენებული რაიმე მაღალი დონის შეტევა. გარდა ამისა, ჰაკერს შეეძლო ბევრად დიდი ზიანის მიყენება, თუმცა ამ პოლიტიკური მესიჯით შემოიფარგლა.

აღსანიშნავია, რომ გავრცელდა არასწორი ინფორმაცია თავდასხმის მასშტაბზეც. საერთაშორისო მედიაში ყურადღება მიიპყრო 15,000 ვებსაიტის დაჰაკვამ. პრო სერვისმა განაცხადა, რომ მათი ყველა კლიენტი დაზარალდა. მათ კი 15,000 კლიენტი ჰყავთ, თუმცა მათ სხვადასხვა მომსახურებას უწევენ. რეალურად დაზარალდა სამასამდე ვებსაიტი, ყველა მათგანი ნორმალურ საოპერაციო მდგომარეობას სამი დღის ვადაში დაუბრუნდა.

აქტორები

პრო სერვისზე კიბერ შეტევას იძიებს შინაგან საქმეთა სამინისტრო. ზოგადად, კიბერდანაშაულის გამოძიება შსს-ს პრეროგატივაა. შსს-ში შექმნილია კომპიუტერულ დანაშაულთან ბრძოლის სტრუქტურული ერთეული.

2012 წელს ძალაში შევიდა კანონი პერსონალურ მონაცემთა დაცვის შესახებ. განისაზღვრა რა არის პერსონალური ინფორმაცია და მისი დამუშავების წესები, ასევე მოქალაქეთა უფლებები. შეიქმნა პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი, რომელსაც დაევალა პერსონალური მონაცემების გამოყენების აღრიცხვა როგორც საჯარო, ისე კერძო სექტორში, ასევე მოქალაქეთა საჩივრების მიღება და რეაგირება. 2019 წელს პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი სახელმწიფო ინსპექტორის სამსახურად გარდაიქმნა. აღსანიშნავია, რომ ფარული საგამოძიებო მოქმედებებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობების კონტროლიც სახელმწიფო ინსპექტორის უფლება-მოვალეობებში შედის.

2012 წლის კანონმა ინფორმაციული უსაფრთხოების შესახებ განსაზღვრა ქვეყნისთვის კრიტიკული ინფორმაციული ინფრასტრუქტურის სუბიექტები (39 სამთავრობო ორგანიზაცია), კანონით განისაზღვრა ინფორმაციული უსაფრთხოების მინიმალური სტანდარტი, რომელიც წარმოადგენდა ISO 27001 საერთაშორისო სტანდარტის ქართულ ენაზე ადაპტირებულ ვარიანტს. კანონის დანერგვის მონიტორინგი კი იუსტიციის სამინისტროს სსიპ-ს მონაცემთა გაცვლის სააგენტოს დაევალა. მონაცემთა გაცვლის სააგენტოს ნაწილია ასევე ზემოთ ხსენებული CERT.

მონაცემთა გაცვლის სააგენტოს სფერო და სტანდარტი არ ვრცელდება თავდაცვის სამინისტროზე, რომელსაც ჰყავს კიბერ უსაფრთხოების ბიურო და საკუთარი CERT.

ფართომასშტაბიანი კრიზისის დროს კიბერ უსაფრთხოების აქტორების ქმედებების კოორდინაცია ევალებოდა კრიზისების მართვის საბჭოს.

კანონში არ არის განსაზღვრული სახელმწიფო აუდიტის სამსახურის როლი, თუმცა მას აქვს მანდატი IT და ინფორმაციული უსაფრთხოების აუდიტი ჩაატაროს ნებისმიერ ორგანიზაციაში და კანონის მოთხოვნების შესაბამისობის დასკვნა წარუდგინოს საქართველოს პარლამენტს.

ეროვნული ბანკი

საქართველოში კიბერ უსაფრთხოების სფეროში დარგობრივი მარეგულირებლის ერთი მაგალითი არსებობს – ეროვნული ბანკი. 2019 წელს ეროვნულმა ბანკმა გამოაქვეყნა კიბერ უსაფრთხოების ჩარჩო, რომელიც დაფუძნებულია ამერიკული NIST-ის კიბერ უსაფრთხოების ჩარჩოზე. ეროვნული ბანკი ამ დოკუმენტის გამოქვეყნებამდეც სთხოვდა გარკვეული მოთხოვნების შესრულებას კომერციულ ბანკებს. თავად ეროვნულ ბანკს ISO 27001 სტანდარტის შესაბამისად საერთაშორისო სერტიფიცირებაც აქვს გავლილი.

ინფორმაციული უსაფრთხოების შესახებ კანონის ჩავარდნის მიზეზები

კანონით გათვალისწინებული მოთხოვნები 39 ორგანიზაციიდან მხოლოდ 10-მდე ორგანიზაციამ შეასრულა. შეიძლება ითქვას, კანონი ჩავარდა. თუ წაიკითხავთ ISO 27001 სტანდარტს (ან ნებისმიერ სხვა სტანდარტს, რომელიც ეხება ზოგადად მართვის სისტემების, ინფორმაციული უსაფრთხოების მართვის სისტემის თუ ხარისხის მართვის სისტემის დანერგვას), პირველივე აბზაცში წერია, რომ მართვის სისტემის დანერგვისთვის აუცილებელია მენეჯმენტის მხარდაჭერა. ორგანიზაციაში ეს მხარდაჭერა გამოიხატება შესაბამისი რესურსების გამოყოფით და საკითხის გაპრიორიტეტებით. შეიძლება ითქვას, რომ კიბერ უსაფრთხოება არასოდეს ყოფილა მთავრობის პრიორიტეტებს შორის. არც კანონი ითვალისწინებდა რაიმე ჯარიმებს კანონის შეუსრულებლობისთვის.

მივედით მეორე პრობლემამდე კანონის დანერგვასა და კოორდინაციაზე პასუხისმგებელი იყო იუსტიციის სამინისტროს სსიპ მონაცემთა გაცვლის სააგენტო. ცხადია, იუსტიციის სამინისტროს სსიპ გაუჭირდა სხვა სამინისტროებისა და მათი სსიპებისათვის მოეთხოვა პასუხი კანონის შესრულებისთვის, მით უმეტეს, რომ არანაირი სადამსჯელო ბერკეტითაც არ იყო აღჭურვილი კანონის მიერ. კანონის წარუმატებლობაზე საუბრისას, ასევე აღნიშნავდნენ ადამიანური რესურსის ნაკლებობას. კიბერ უსაფრთხოების სფეროში ადამიანური რესურსი ამერიკასა და დიდ ბრიტანეთსაც აკლიათ და შესაბამისად, საქართველოში ეს პრობლემა მოსალოდნელი იყო. თუმცა, კიბერ უსაფრთხოება რომ მთავრობის პრიორიტეტებს შორის ყოფილიყო, ასევე პრიორიტეტი იქნებოდა 39 სამთავრობო სუბიექტისთვისაც და ეს წაახალისებდა კიბერ უსაფრთხოების სფეროს ზრდას.

ახალი საკანონმდებლო ინიციატივები

ინფორმაციული უსაფრთხოების კანონის განახლების იდეა რამდენიმე წელია მომწიფებული იყო. 2019 წლის ოქტომბერში პარლამენტში შევიდა არსებული კანონის განახლების კანონპროექტი, რომელშიც მრავალი პრობლემური ჩანაწერი იყო. სახელმწიფო და კერძო უწყებებთან, ასევე სხვა დაინტერესებულ მხარეებთან კონსულტაციების შემდეგ, კანონი არსებული სახით არ გავა. კანონპროექტის განახლებული რედაქცია პარლამენტში 2020 წლის დასაწყისში უნდა შევიდეს. თუმცა სავარაუდოდ არ შეიცვლება კანონის ძირითადი პრინციპები: კანონპროექტის მიხედვით განისაზღვრება კრიტიკული ინფორმაციული ინფრასტრუქტურის 3 კატეგორიის სუბიექტი: 1. სახელმწიფო სექტორი; 2. ტელეკომუნიკაციების სექტორი; 3. კერძო სექტორი;

შემოდის ახალი აქტორი: ოპერატიულტექნიკური სააგენტო (OTA), რომელიც სახელმწიფო უსაფრთხოების სამსახურის (სუს) სსიპ-ია. OTA გაუწევს კოორდინირებას პირველ და მეორე კატეგორიაში შესულ ორგანიზაციებს, მონაცემთა გაცვლის სააგენტო კი კერძო სექტორს (მესამე კატეგორია).

ინფორმაციული უსაფრთხოების კანონის გარდა, ახლდება კანონმდებლობა პერსონალური მონაცემების შესახებ. განახლებებით ქართული კანონმდებლობა უნდა დაუახლოვდეს GDPR-ის მოთხოვნებს. GDPR (General Data Protection Regulation) ევროკავშირის რეგულაციას წარმოადგენს, რომელიც ძალაში 2017 წელს შევიდა. GDPR ევროკავშირის ნებისმიერი მოქალაქის პირად ინფორმაციას იცავს მსოფლიოს მასშტაბით. ცხადია, ევროკავშირის იურისდიქცია მხოლოდ ევროკავშირის წევრი ქვეყნების ტერიტორიაზე ვრცელდება, მაგრამ ვარაუდობენ, რომ ევროკავშირი ეკონომიკურ და პოლიტიკურ ბერკეტებს გამოიყენებს, თუ GDPR-ის უხეში დარღვევა არა-ევროკავშირის ქვეყნაში დაფიქსირდება და ევროკავშირის მოქალაქეები დაზარალდებიან. შესაბამისად, ქართულმა კომპანიების ნაწილმა 2017 წელსვე დაიწყო ზრუნვა GDPR-თან შესაბამისობაზე.

მასალა მომზადებულია შვედეთის მთავრობისა და Internews-ის ფინანსური მხარდაჭერით (პროექტი Audience Understanding and Digital Support). სტატიაში გამოთქმული მოსაზრებები ეკუთვნის მხოლოდ და მხოლოდ ავტორს.