1) Доступи мають будуватися системно, і випливати з бізнес-процесів, а не "щось не працює, дайте доступ, щось все одно не працює, а відкрийте все повністю".
2) Доступи мають бути розумними. Зокрема, доступів "про всяк випадок" бути не повинно.
3) Доступи мають регулярно переглядатися, тому вони мають бути нормально документованими: навіщо і чому кожен із них існує.
4) Захист має бути ешелонованим (це взагалі універсальний принцип!), тобто якщо ви провели сегментацію на рівні "тут користувачі, а тут ІТ-системи", то ви все одно сильно ризикуєте.
Ось, зокрема, спостереження за цим інцидентом у Київстар викликали в мене підозру, що зловмисники порушили роботу як BSS (робота з абонентами), так і RAN (мережа радіодоступу) - а це дуже різні системи оператора зв'язку. У мене немає ніяких "прямих" даних, і я можу помилятися на 100%, але на розмірковування нижче це ніяк не вплине. Посилання на супутні та процитовані джерела я наведу в першому коментарі.
Якщо говорити про радіочастину, то вона в різних операторах світу досить схожа. Звичайно, у кожного є внутрішні стандарти, є різні виробники техніки - але загалом різниця там не кардинальна.
А ось BSS - це система цікавіша. Сюди, наприклад, входить те, що часто називають просто "білінг" - і це зазвичай дуже складна штука, в якій багато елементів, кожен з яких виконує свою функцію. Іншими словами, це багато серверів (не три і навіть не тридцять), у кожного з яких є своя логіка роботи. Різні елементи можуть бути від різних виробників, які безпосередньо або через посередників на етапі впровадження інтегрують своє рішення з комплексом, що вже працює, і ця інтеграція щоразу досить унікальна. також досить часто провести сильне сегментування цих елементів та ізолювати їх один від одного об'єктивно неймовірно складно, і тому його ніхто не робить.
Ці елементи майже завжди впроваджуються тому що бізнесу просто потрібен якийсь новий нестандартний функціонал, щоб залучати нових абонентів або утримувати старих. У зв'язку з цим BSS кожного оператора являє собою особливий і неповторний ансамбль, у якому не те що міняти щось, а просто орієнтуватися чим далі, тим складніше
І його знищення, навіть часткове - це величезна проблема для цього оператора.
І тут виникає питання - хто їх створює, ці елементи BSS? Часто компанії не афішують постачальників своїх рішень BSS, аж занадто це інтимна тема. Але деяка інформація назовні просочується. Звичайно, у світі існує не одна і не дві компанії, які розробляють такі рішення для мобільних операторів, але й не можна сказати, щоб їх було дуже багато. Однією з них була компанія Петер Сервіс, нині Nexign. Це компанія, яка входить до холдингу Алішера Усманова, і, крім усього іншого, дуже-дуже активно співпрацює із "силовим блоком" країни-агресора (зокрема, фсб). Компанія потрапляла під санкції України у 2019, але потім вони були послаблені.
Далі - цитати (я буду відокремлювати їх за допомогою ==):
==
3 декабря 2013 года компания «Петер-Сервис» сообщила о ведущемся проекте внедрения системы управления оборотными средствами «Peter-Service RMS» у оператора «Киевстар».
«Киевстар» инициировал проект автоматизации бизнес-процессов по управлению оборотными средствами на основе решения компании «Петер-Сервис». Программный комплекс Peter-Service RMS выбрали для обеспечения максимально высокого уровня надежности и гибкости при автоматизации ключевых внутренних финансовых бизнес-процессов «Киевстар».
Первый этап проекта «Петер-Сервис» выполнила для «Киевстара» в третьем квартале 2013 года. В него вошли: комплексный консалтинг по формированию целевых бизнес-процессов для работы по предупреждению возникновения дебиторской задолженности контрактных абонентов мобильной связи, фиксированной телефонии и ШПД, уменьшению ее объема.
==
«Наша компания является инновационным разработчиком конвергентных биллинговых систем и решений, которые направлены на повышение эффективности бизнеса наших клиентов. Это позволяет нам решать сложнейшие задачи, которые ставит «Киевстар» с момента начала нашего сотрудничества в 1998 году,- подчеркнул Юрий Бойко, генеральный директор «Петер-Сервис Украина». Проект внедрения решения Peter-Service RMS является очередным важным этапом нашего последовательного и успешного взаимодействия».
==
Не можна сказати, що Київстар не намагався піти з російського продукту (знову цитати):
==
В 2015 г. Vimpelcom (прежнее название группы Veon) договорился со шведским поставщиком телекоммуникационного оборудования Ericsson о разработке системы поддержки операций (BSS) для всех стран его присутствия. Биллинг должен был стать частью данной BSS-системы. Сумма контракта составляла $1 млрд.
В 2018 г., когда на Украине были введены санкции в отношении «Петер-Сервиса», в «Киевстаре» указывали на намерении перейти на системы от Ericsson. Однако еще в 2017 г. стало известно, что контракт Veon с Ericsson забуксовал.
==
... стороны договорились, что Ericsson не будет выполнять все взятые на себя обязательства, и выплатит Veon компенсацию в $350 млн. Внедрение решений от Ericsson продолжится в тех странах присутствия Veon, где у операторов группы уже есть сотрудничество с данным производителем. Например, в России «Вымпелком» остался на биллинге от Amdocs.
==
У 2017 році обслуговування абонентів prepaid (основна частка абонентів в Україні), мабуть, перейшло до Amdocs, судячи з їхнього прес-релізу:
==
"Amdocs today supports Kyivstar's customer engagement platform, prepaid billing operations and inventory management with different digital, business and operational support systems previously deployed."
==
Судячи з обговорень на форумах, у 2018 там усе ще для обслуговання контрактних абонентів залишався продукт Петер Сервісу:
==
Интереснее всего, что будет делать КС. Потому что какую-то VAS платформу поменять или даже неключевую часть BSS это одно дело, а у КСа это core BSS система для постпейда. Поменять и смигрировать - та еще задача, особенно учитывая критичность и, наверняка, сложность процессов связанных с постпейдом в КС (там, напоминаю, еще и фикса и интеграция фиксового аккунта с препейдным).
Теоретически, насколько я понимаю, прям сейчас питер-сервису уже нельзя платить за поддержку. А раз нельзя платить, то они могут потребовать не эксплуатировать. Или нет?
==
2021 року почалися зміни, але, мабуть, у тій частині, якою займався раніше Amdocs:
==
Мобильный оператор "Киевстар" переходит на новую бизнес IT-систему (биллинг), используемую для клиентов предоплаты (более 80% клиентской базы оператора), решение разрабатывала шведская Ericsson.
==
У 2022 році, вже після початку повномашстабного вторгнення Росії в Україну, компанія продовжила перехід на Ericsson:
==
В этот день у абонентов подписки Киевстар будут работать все основные услуги связи: мобильный и Домашний интернет; звонки в сети, на номера других операторов и на популярные направления за рубежом; услуги в роуминге в большинстве стран мира*. Возможны лишь временные ограничения в дополнительных сервисах, таких как пополнение или проверка счета, подключение дополнительных услуг и тому подобное. Но эти сервисы будут доступны уже с 18 сентября. На абонентов постоплаты в этот день обновления почти не повлияют, практически все услуги и сервисы у них будут работать как обычно.
Новые обновления - это часть самого масштабного IT-проекта в истории Киевстар по переходу на современный биллинг от шведской компании Ericsson, Digital Business Support Systems. Для работы над проектом привлечено 800 специалистов двух компаний, проведено 14 тысяч различных тестов системы - вдвое больше, чем в прошлом году. Активная фаза этого проекта началась еще в прошлом году и была отмечена престижной отраслевой наградой Telecom Award.
==
Але звертає на себе увагу те, що знову йдеться про prepaid. Таким чином, є ймовірність, що на момент інциденту частина систем Петер Сервіс продовжували працювати в Київстарі. Звичайно, вони недоступні зовні, але якщо хакери проникли вже за периметр, то ці елементи опиняються в межах досяжності. З огляду на тісну дружбу розробника і російських "органів" особисто я не можу виключити того, що в продукті є "технологічні закладки" і "сервісні доступи", які дають змогу третій стороні (у цьому випадку - хакерам) отримувати над ними контроль. І це може бути відповіддю, як зловмисники проникли всередину різнорідних систем: вони могли мати відмичку до однієї з них, а доступ до другої забезпечували права облікового запису, що "втік".
Повторюся, у мене немає даних, які говорять про те, що саме такий сценарій мав місце. Але під час війни виключати такого роду ризики - не можна. І мені хотілося б цим постом звернути на це увагу всіх учасників ринку, помітна частка яких продовжують так чи інакше користуватися сумнівними продуктами. Можливо, у Київстару було не так - чи впевнені ви, що ці продукти не підведуть саме вас у критичний момент?
Ну і логічне запитання: а що ж у конкурентів, Lifecell і Vodafon?
Vodafon був згаданий Deutsche Welle у статті, де розбиралися витоки на WikiLeaks:
==
"Петер-Сервис" сотрудничает со многими провайдерами в России и на Украине - "Ростелеком", "Мегафон", "Газпром телеком", "Киевстар", Vodafone.
==
Також, у 2018 році сам Петер Сервіс вказував і МТС, і "великий" Vodafon як своїх клієнтів на сайті. Тож можна припустити, що якісь рішення від цього постачальника були і в МТС Україна - водночас неможливо сказати, чи використовуються вони і зараз. Не виключено, навіть якщо вони і використовувалися, то після введення санкцій їх було заміщено.
Водночас раніше Vodafon називався МТС Україна, і входив до російського холдингу АФК Система, як і російський МТС, який визначав "правила гри". Тому не дивно, що основною білінговою платформою ще 2009 року було обрано рішення від російського "Сітронікса" (що входить до тієї самої АФК "Система"). У квітні 2023 року оператор оголосив про початок переходу на систему Amdocs, але попередив, що для повного переходу знадобиться декілька років. У зазначеному проміжку оператор проводив тендери з пошуку компаній, що надають консультації щодо зміни білінгової системи, але, здається, всі вони закінчилися безрезультатно. Таким чином, якщо я нічого не упустив, з великою ймовірністю у Vodafon є принаймні в частковій експлуатації російський продукт.
Lifecell після введення санкцій проти Петер Сервіс заявляв, що вони підсанкційних продуктів не використовують:
==
У зв’язку з рішенням Ради національної безпеки і оборони України від 2 травня 2018 року «Про застосування та скасування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)» оператор lifecell повідомляє, що в санкційному списку немає постачальників програмного та технічного забезпечення оператора. Таким чином ми підтверджуємо, що компанія й надалі безперебійно надаватиме якісні послуги зв’язку абонентам.
Розробником білінгової системи lifecell є компанія Orga Systems. У 2015 її поглинула канадська компанія Redknee, провідний глобальний постачальник інноваційних програмних продуктів для телекомунікаційної галузі, яка наразі володіє правами на даний продукт. Наша система дозволяє здійснювати тарифікацію телекомунікаційних послуг у режимі реального часу, керуючи найскладнішими профілями тарифів та послуг абонентів, як для передплати, так і для контрактної форм обслуговування.
==
Зазначу, що при цьому Turkcell, материнська компанія Lifecell, також є в списку клієнтів Петер Сервіс, а її дочка Kuzey Kıbrıs Turkcel (діє на Північному Кіпрі - невизнаному утворенні, створеному Туреччиною після окупації частини території Кіпру) використовує платформу Петер Сервіс як основну платформу білінгу. Мені складно припустити, які є технологічні зв'язки між Lifecell і Turkcell, і якою мірою в останній використовується російський продукт, тож ступінь ризику тут невідома.
Олексій Семеняка
