Ловля в мутной воде
Киберпреступления Около $1 млрд ежегодно составляет ущерб от киберпреступлений, которые с каждым годом становятся все более грамотными и изощренными. Главные проблемы в борьбе с компьютерными атаками -- это сложность поиска виртуальных злоумышленников, разобщенность и несовершенство законодательства разных государств, низкий уровень грамотности населения в вопросах информационной безопасности (ИБ). Влада Гасникова Специалисты классифицируют виды киберугроз с помощью условной пирамиды. В ее основании находится так называемая "традиционная" киберпреступность. Ее отличительными чертами является массовость атак и всенаправленность, что больше всего угрожает обычным пользователям. Основной целью злоумышленников является получение прямой финансовой выгоды. Банковские троянцы, спам-боты, троянцы-вымогатели, мобильные угрозы -- по оценке "Лаборатории Касперского", на них приходится более 80% от общего количества современных угроз. Второй уровень -- это угрозы для бизнеса: промышленный шпионаж, кража интеллектуальной собственности и целевые хакерские атаки, задача которых дискредитировать жертву. Атакующие узко специализируются либо под конкретную цель, либо под конкретного заказчика На третьем уровне располагается "кибероружие" -- вредоносные программы, создание и финансирование которых осуществляется государственными структурами разных стран мира. "Такое программное обеспечение применяется против граждан, организаций и ведомств других государств. Оно может быть предназначено для уничтожения баз данных и информации в целом, для шпионажа и даже для причинения физического ущерба. На подобные угрозы в общем объеме приходится около 1%, но они самые успешные и противостоять им сложнее всего", -- рассказывает управляющий директор "Лаборатории Касперского" в России и странах СНГ Сергей Земков. По его наблюдениям, сложные целевые атаки перестали быть "проклятьем" лишь военных, правительственных, научно-исследовательских и критически важных инфраструктурных организаций: киберпреступники перенимают подобные инструменты для нападения на бизнес, в первую очередь -- из финансового сектора. По оценкам специалистов, рынок киберпреступности в мире может достигать $1 млрд в год. Это примерные цифры, потому что про часть атак аналитики и эксперты могут даже никогда не узнать. Главный мотив Менеджер по продукту Blindspotter компании Balabit Петер Гъенгеши приводит данные из ежегодного отчета Verizon Data Breach Investigation Report: по данным за 2016 год, самым распространенным мотивом киберпреступлений является финансовая выгода -- кража или вымогательство денег у жертвы. Второй по популярности -- шпионаж, вместе они составляют свыше 93% от всех совершаемых атак в мире. "Политические мотивы или личные обиды иногда стоят за некоторыми взломами, но они в меньшинстве. Около 25% атак выполняются инсайдерами, остальные 75% приходятся на внешнюю среду. Около половины атак могут быть связаны с преступными группами и около 18% -- с госструктурами. Четыре из пяти инцидентов происходят по вине слабого или скомпрометированного пароля, а половина -- с использованием какого-либо вредоносного ПО", -- говорит господин Гъенгеши. Результаты кибератак могут иметь разную форму, но всегда денежный урон от них велик. Например, в 2008 году произошла одна из самых известных кибератак на критические инфраструктуры: вирус Stuxnet вывел из строя урановые центрифуги на иранском заводе, остановив тем самым ядерную программу, вспоминает консультант по информационной безопасности "Диджитал Дизайн" Станислав Грибанов. "В конце 2015 года Украина подверглась кибератаке на свою национальную электросеть, в результате чего свыше 200 тыс. жителей (по некоторым оценкам -- до 600 тыс.) остались без электричества. Из последних событий -- майская массовая международная атака вирусом-вымогателем WanaCrypt0r. Это была самая массовая кибератака с использованием криптотрояна. Им были поражены самые важные общественные структуры почти сотни стран: правительственные учреждения, банки, системы здравоохранения, телекоммуникационные сервисы, транспортные и другие компании", -- перечисляет господин Грибанов. Этот вирус поразил более 230 тыс. компьютеров в 150 странах буквально за сутки. Все данные на них были заблокированы, стоимость освобождения одного компьютера составляла €300-600. Самая крупная разовая киберкража -- это $81 млн, которые злоумышленники вывели из ЦБ Бангладеш. Червь Carbanak был нацелен на банки по всему миру, приблизительная сумма от его ущерба оценивается в $1 млрд. В 2014 году случился взлом компании Yahoo, который привел к утечке данных 500 млн пользователей сервиса. Несмотря на масштаб атаки, общественности стало известно о ней только спустя два года. Кроме того, существуют и неочевидные угрозы: это преступления, совершаемые с использованием компьютеров, мобильных устройств или сетей связи. "Например, конфиденциальные документы могут быть сфотографированы на смартфон и отправлены через мобильный интернет или распечатаны из системы электронного документооборота для продажи или публикации. Такие инциденты могут наносить репутационный ущерб или прямые финансовые потери", -- рассказывает генеральный директор компании "ЭвриТег" Антон Самойлов. По его словам, специалисты по информационной безопасности пока редко задумываются о них, хотя таким образом происходит до 20% утечек. "Вероятно, в результате развития и повсеместного использования DLP-систем доля утечек на бумажных носителях будет увеличиваться: поймать сотрудника, выносящего распечатку в сумке, можно только при поголовном досмотре персонала на выходе из офиса -- чего, разумеется, почти никто не делает, и отследить такой канал почти невозможно. Защитить информацию в этом случае можно только на стадии печати или отображения на экране, и рынок средств защиты от таких угроз сейчас только формируется", -- говорит господин Самойлов. По оценке ведущего специалиста департамента сетевой безопасности RCNTEC Германа Наместникова, ежедневно в мире совершаются миллионы киберпреступлений, в основном экономического характера. "Большую часть этих атак проводят одиночки или групп злоумышленников, которые не обладают достаточной квалификацией для проведения масштабных атак. Тем не менее они создают определенный информационный шум, в котором легко может затеряться деятельность квалифицированных киберпреступников, и это создает дополнительные сложности при расследовании киберпреступлений", -- говорит господин Наместников. При этом многие классификации киберугроз условны: в современных условиях бывает очень трудно отделить деятельность спонсируемой государством группировки от деятельности традиционных злоумышленников. Законное отставание Главная сложность киберпреступлений заключается в том, что преступник физически может находиться в одной точке земного шара, а жертва совсем в другой. И выйти на преступника порой просто невозможно -- поэтому нет прямой зависимости от глубины проработки законодательства в этой области и количеством киберпреступлений, полагают специалисты в сфере ИБ. Юрист коллегии адвокатов Москвы "Барщевский и партнеры" Антон Куликов перечисляет сразу несколько серьезных проблем для раскрытия и предотвращения киберпреступлений с правовой точки зрения. "Во-первых, возникает проблема определения места совершения такого преступления в рамках одного государства. Правоохранительные органы могут неоднократно передавать материал проверки по территориальности, тем самым затягивая возбуждение уголовного дела и, как итог, усложняя последующее расследование. Целесообразно возбуждать уголовное дело по месту обращения потерпевшего, а после следственных действий и установления места, где было совершено компьютерное преступление, все материалы уголовного дела могут передаваться по месту совершения преступления. Во-вторых, много сложностей, когда преступник и жертва киберпреступления находятся в разных странах: это требует взаимодействия органов юстиции нескольких государств и, соответственно, упорядочивания их отношений на уровне актов международного права. Россия при этом, например, как и Китай, отказалась от участия в конвенции Совета Европы "О преступности в сфере компьютерной информации". В третьих, и в России, и за рубежом, несопоставим уровень возможностей правонарушителей и правоохранителей. Проблема заключается в сложности работы с электронными доказательствами, недостаточном уровне знаний компьютерных технологий. Сегодня ни одно государство не защищено на 100% от кибератак. Отдельные сотрудники спецслужб в частных разговорах упоминают о том, что закупаемая на службу техника изначально считается устаревшей, а на создание модификаций уходит минимум несколько месяцев. А в это время злоумышленники всегда действуют на опережение, что обеспечивает им успешность и внезапность атак", -- рассказывает господин Куликов. Увы, сейчас мы наблюдаем ситуацию, когда законодатели не успевают реагировать на стремительно меняющиеся реалии, констатирует председатель совета директоров "Серч Информ" Лев Матвеев. "Зачастую политика отдельно взятой компании или сервиса в плане безопасности более эффективна, чем принятые законом нормы. В РФ основным актом для этой отрасли является закон о персональных данных, который исполняется только на бумаге. В действительности же у большинства операторов персональных данных нет инструментов, которыми они смогли бы обеспечить защиту и контроль конфиденциальной информации. Наиболее защищены у нас в стране кредитно-финансовые учреждения и частный бизнес, которые в случае атаки или инсайдерства потеряют "живые деньги". А вот львиная доля госучреждений -- министерства, больницы, школы и вузы -- остаются без защиты. Как изменить ситуацию? Внести в законодательство четкое требование по средствам защиты информации: так же как есть, например, требования к противопожарной безопасности в зданиях", -- призывает господин Матвеев. Законодательство всегда будет отставать от реальных угроз, уверен руководитель направления информационной безопасности компании "Системный софт" Яков Гродзенский. С одной стороны, потому что после появления угрозы требуется время на прохождение сложных законотворческих процедур, с другой -- из-за инертности регуляторов. "Но отрадно видеть, что сдвиги с точки зрения внимания государства к проблемам информационной безопасности есть. Это появление Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при Банке России (Fincert) и государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак при ФСБ (ГосСОПКА), создание Доктрины информационной безопасности РФ. Важен и проект закона о критической инфраструктуре, устанавливающий требования к компаниям, оказывающим услуги в сфере кибербезопасности и нововведения, требующие согласовывать модели угроз с регуляторами при использовании государственных информационных систем", -- рассказывает господин Гродзенский. Задача государственной важности Для информационной безопасности государство должно делать то же самое, что и для всех остальных сфер жизни: создавать понятные правила игры и следить за их соблюдением, уверен генеральный директор компании "Атак Киллер" Рустэм Хайретдинов. "Бизнес давно объединился для борьбы с киберпреступлениями -- не только IT-компании, но и финансовые организации, и телекоммуникационные операторы. Совместно они успешно борются с такими киберугрозами, как хищение денег со счетов банков, в том числе и через атаку на клиентов, мошенничество с авторизацией через SMS. Накопив опыт, такие альянсы обращаются к государству в лице Банка России и Минкомсвязи РФ с инициативами, в том числе и законодательными. Кибербезопасность страны определяется защищенностью каждого звена ее инфраструктуры. Пока мы только в самом начале пути -- есть отдельные успехи в защите отдельных объектов, но для эффективности защиты надо создавать новую архитектуру самих защищаемых объектов. Старые подходы вроде "вот сейчас сделаем систему, потом отдадим ее защищать" уже не работают, а большинство ныне работающих систем именно такие. Проектировать не безопасность систем, а защищенные на уровне архитектуры системы -- вот единственный работающий путь. К сожалению, большинство ныне работающих систем как в бизнесе, так и государственных, создавались в старой парадигме и будут защищаться "навесными" решениями, малоэффективными в сегодняшнем быстро меняющемся мире", -- рассуждает господин Хайретдинов. По его прогнозам, замена на изначально защищенные системы займет годы: они будут появляться только по мере амортизации и вывода старых систем из эксплуатации. Петер Гъенгеши из Balabit видит три направления в сфере ИБ, в которых может участвовать государство. "Первое -- издать четкие инструкции реагирования с опорой на передовой опыт, адаптированные под конкретную ситуацию в стране. Для высокочувствительных отраслей типа здравоохранения или промышленности они должны выходить за рамки рекомендаций и обязательно предпринимать шаги для защиты IT-инфраструктуры. Второе -- найти баланс между укреплением безопасности людей и компаний и законодательным одобрением сбора информации в цифровом пространстве правоохранительными органами и разведслужбами. И, наконец, государство может использовать свою колоссальную покупательную способность для приобретения услуг и технологий, которые соответствуют определенным стандартам безопасности, стимулируя вендоров и поставщиков услуг присоединиться к ним", -- считает эксперт. Технологический инвестор Денис Черкасов называет одним из приоритетов в вопросах российской кибербезопасности импортозамещение в IT-сегменте. "Сегодня российская промышленность все еще зависит от западных технологий, но существует ряд отечественных проектов, призванных обеспечивать кибербезопасность. К примеру, Россия является лидером в разработке защитных систем класса оберон, контролирующих целостность системы и используемые параллельно с классическим антивирусным ПО. Импортозамещение в IT-сегменте нуждается в развитии, и государство может в этом смысле поддерживать бизнес", -- полагает господин Черкасов. Информационная безопасность на уровне целого государства во многом зависит от уровня грамотности конкретных пользователей, поэтому старший менеджер группы по оказанию услуг в области управления информационными рисками КПМГ в России и СНГ Илья Шаленков призывает государство направлять усилия на работу с обычными людьми. "Начинать надо с их повседневной жизни: каждый из нас -- это маленькая организация со своим бюджетом, принципами управления и порядками. Если мы будем знать основные принципы безопасной работы со своим интернет-банкингом, смартфоном и прочими устройствами, а главное будем искренне понимать, зачем все это, то нам не составит труда на работе точно так же относиться и к корпоративной информации", -- говорит господин Шаленков.