Серверна стійка з обладнанням та дротами у яскравому світі

Вранці, 26 квітня, сталась неординарна подія. В датацентрі українського національного провайдера хмарних сервісів, який обслуговує приватних та урядових клієнтів, вимкнулось світло. Генеральний директор De Novo Максим Агєєв повідомив, що таке сталось уперше в історії компанії та пообіцяв “розбір польотів”. Втім, експерти не дуже вірять у щирість пояснень представників компанії.

Що сталось?

За офіційною версією, збій у датацентрі De Novo стався через технічну несправність під час планової заміни систем безперебійного живлення, що призвело до 14-хвилинного відключення електроенергії. Це спричинило тимчасову недоступність ключових сервісів, таких як “Дія”, “Нова Пошта”, “Ощадбанк”, а також безконтактних платежів (Apple Pay, Google Pay). Це викликало черги в метро через неможливість сплатити терміналом.

Генеральний директор De Novo Максим Агєєв заявив, що ознак кібератаки чи зовнішнього втручання не виявлено, а проблема була викликана "поєднанням технічних факторів".

Пересічному громадянину України може здатися, що у відключенні світла немає нічого незвичайного. Війна, блекаути, масові відключення світла торкнулися кожного мешканця нашої держави. Так, але що стосується датацентру, то це таке місце, де різні клієнти розміщують свої чи то фізичні сервери чи то віртуальні й сплачують чималі кошти за те, щоби все працювало без перебоїв. Клієнти очікують, що датацентр відповідає вимогам та стандартам щодо резервування як по живленню так і по каналам зв'язку.

Дійсно, датацентр De Novo має відповідність вимогам щодо резервування. Заявлено про рівень надійності Tier III – Tier IV. Датацентри Tier IV надають послуги корпоративного рівня для критично важливої інфраструктури. Цей рівень гарантує, що обладнання продовжить безпечну роботу в разі будь-якої механічної несправності. Повне резервування та відмовостійкість знижують ризик простою, а високий рівень безпеки забезпечує захист.

Характеристики електропостачання ЦОД

“Доступність сервісів – 99,98%. Максимально припустимий час простою – 1,6 години на рік. Але протягом свого існування ЦОД De Novo працює без жодної зупинки”, – досі зазначено на сайті De Novo.

Сумніви коментаторів та експертів

То що ж насправді відбулось вранці суботи 26 квітня? Експерти після інциденту,  пояснень керівництва De Novo та їх клієнтів одразу ж почали сумніватися в справжності версії, що всьому виною перебої в системі живлення обладнання. 

“Червоного перцю” в це й без того “гаряче блюдо” щедро насипав керівник Монобанку Олег Гороховський, назвавши кібератаку причиною проблеми. Пізніше, правда, він сам собі заперечив, написавши, що версія з кібератакою не підтвердилась.

Скриншот з каналу ОГо

Експерт з кібербезпеки, засновник платформи з тестування витоків даних та вразливостей A42, сертифікований Ethical Hacker, автор каналу про кібербезпеку Serhii Security на платформах YouTube та TikTok Сергій Сарайчиков не повірив офіційній версії. У відео він припустив, що це була кібератака, яку замаскували під проблеми з живленням. Це було зроблено, на його думку, щоб не втратити клієнтів. Коментар під відео: 

“Щоб не втрати своїх клієнтів., умовна кібератака була, смо компанії говорить та ні це просто світло....”.

Цю думку підсилив інший користувач з ніком appleuser89836411. Він написав:

“Все кто когда-то были в деново в афиге с заявления, там в маш зале штуки 4 гиганских гененатора, с раскручеными роторами под горячий резерв... УПСовые просто гигантские, чтоб отлетел ввод и не переехал?”.

Втім, серед коментарів були і скептичні думки щодо наведеної версії.

Відомий своєю критичною позицією стосовно діючої політики цифрової трансформації держави експерт з кібербезпеки Костянтин Корсун у своєму пості у Facebook жахнувся від пояснень De Novo. Якщо якась система може заблокувати доступ людини до енергоживлення, то що ще можна очікувати? Блокування системи пожежогасіння? Вимкнення систем вентиляції? Можна так просто взяти й заглушити спрацювання сигналізації чи виклик охорони? Такі варіанти розвитку подій нагадали йому антиутопію “Я, робот” з Вілом Смітом.

Також Костянтин вважає, що нам не сказали всієї правди. Він наводить різні версії того, що ж насправді могло статися в датацентрі і ці версії просто шокують: 

“Я б не виключав, наприклад, диверсії з кабелями електроживлення датацентру. Або навіть пентест на проді. До речі, за порєбріком схожі інциденти траплялися тоді, коли ефесбє встановлювало на мережах провайдерів та датацентрів свої чорні скриньки з DPI, блекджеком та СОРМами всякими”. 

Пояснення для читачів: 

Пентест на проді – це проведення пенетраційного тестування (penetration testing) на продакшен-середовищі (реальній, робочій системі чи мережі, яка обслуговує користувачів). Пентест передбачає імітацію кібератак для перевірки безпеки системи, але на "проді" це ризиковано, бо може спричинити збої, втрату даних або порушення роботи сервісів. Зазвичай пентести проводять у тестових середовищах, щоб уникнути впливу на реальних користувачів.

DPI (Deep Packet Inspection) – технологія глибокого аналізу пакетів даних, що дозволяє провайдерам або спецслужбам моніторити, фільтрувати та аналізувати мережевий трафік, включаючи вміст пакетів (наприклад, текст повідомлень, сайти, протоколи). Використовується для цензури, безпеки чи збору даних.

СОРМ (Система оперативно-розшукових заходів) – російська система, що зобов’язує провайдерів встановлювати обладнання для перехоплення та зберігання даних користувачів (дзвінки, повідомлення, інтернет-трафік) для доступу спецслужб.

"Блекджек" у цитаті ймовірно є відсилкою до мему "блекджек і шлюхи" (походить із серіалу "Футурама", де персонаж Бендер мріє про життя з "блекджеком і шлюхами"). Використання мему дозволяє автору в гумористичній формі висловити скептицизм щодо будь-яких спроб української влади повторити російську модель стеження.

Кризові комунікації

На ситуацію в компанії De Novo відреагували не тільки представники кібербезкового співтовариства. До “розбору польотів” долучились також експерти з комунікації. Так, авторка telegram-каналу про медіа, маркетинг та PR “БЛІЦ”, експертка з комунікацій Аня Абліцова оцінила комунікацію всіх учасників суботнього інциденту. 

На її думку гарно побудували кризову комунікацію "Дія", "Нова пошта" і "Київський метрополітен". “Ощад” провалив комунікацію повністю, а у De Novo, через яких все це сталось, комунікація також “не ок”. 

Цінна порада з кризової комунікації від авторки telegram-каналу “БЛІЦ”:

“Найголовніше правило – вийти з комунікацією протягом години після збою. Навіть якщо не встигаєте розібратись, в чому причина – просто скажіть клієнтам, що знаєте про проблему та вже вирішуєте”.

Разом з тим, в компанії De Novo на запит інтернет-журналу “Кібербез” відповіли дуже швидко. Як і зазначалося раніше в публічній комунікації, ознак зовнішнього втручання в роботу центру не зафіксовано. Про додаткові деталі інциденту буде оголошено на зустрічі з журналістами пізніше.

Отже, ми розглянули кілька альтернативних варіантів розвитку ситуації того суботнього ранку 26 квітня, але найбільш переконливою здається офіційна версія. Проте, нашим завданням було показати всі цікаві варіанти. Дочекаємось оприлюднення нових фактів та повернемось до аналізу. Слідкуйте за оновленнями на сайті нашого інтернет-журналу.


Друзі! Запрошуємо підписатися на наш канал "Кібербезпека важлива" в телеграмі: @cybersec2021. Слідкуй за публікаціями з сайту в своєму смартфоні.