Кибербезопасность: как выработать цифровой иммунитет?

• Актуально
• интернет
• кибербезопасность
• персональные данные
• Инфофорум

Технологии компьютерных атак становятся всё изощрённее, а хакерские сообщества ещё сплочённее. Насколько тревожной представляется ситуация аналитикам и что мы можем противопоставить новым угрозам? Эти и многие другие вопросы, связанные с защитой государственной и коммерческой тайны, персональных данных, подготовкой кадров в IT-сфере и соблюдением «цифровой гигиены» населением, обсуждались в Москве на 22-м Национальном форуме информационной безопасности. Ведущие отечественные эксперты, а также участники из Китая, Армении и Казахстана делились опытом и представляли инновационные разработки.

 Вредители установлены и обезврежены

Одно из центральных ежегодных IT‑мероприятий в России проводится с 2001 года. И если десятилетие назад проблематика информационной безопасности представляла интерес только для узкого круга специалистов, то сегодня она приобрела государственное значение. Неслучайно, открывая пленарное заседание «Инфофорума-2020», первый заместитель председателя Комитета Госдумы по безопасности и противодействию коррупции, сопредседатель оргкомитета мероприятия Эрнест Валеев призвал всех участников уделить особое внимание выработке единого видения обеспечения информационной безопасности, как при рассмотрении традиционных тем, так и при обсуждении совершенно новых вызовов.

В 2019 году в России не допущено крупных компьютерных инцидентов, которые могли бы оказать негативное влияние на систему государственного управления или экономику страны. Хотя такие попытки предпринимались неоднократно. Удалось прекратить деятельность около 12 тысяч зарубежных ресурсов, используемых злоумышленниками для нанесения ущерба нашей стране. Шесть тысяч были заблокированы на территории России по запросам иностранных партнёров. Об этом сообщил заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов.

- Кроме того, предотвращены масштабные заражения компьютерными вирусами, которые отмечены в других странах, - заявил спикер. - Это стало возможным благодаря работе, проводимой совместно с российскими операторами связи и компаниями в сфере информационной безопасности, а также с зарубежными партнёрами.

При этом выступавший отметил, что обстановка остаётся напряжённой, угрозы с ростом цифровизации бизнеса и общества продолжают активно эволюционировать.

Осторожно: «умные» устройства!

Сохраняются устойчивые корыстные устремления злоумышленников. Более трети компьютерных атак направлено на получение несанкционированного доступа к финансовым средствам.

Участники форума высказывали озабоченность тем, что для кражи персональных данных используются практически все известные типы вредоносного программного обеспечения, методы социальной инженерии и мошенничества. Многие пользователи зачастую сами способствуют успеху преступников, проявляя излишнюю доверчивость и пренебрегая методами защиты.

Исследователи выявили очередную уязвимость. Система под названием «умный дом», встроенная в холодильниках, микроволновках, стиральных машинках и прочих приборах быта, является удобной разработкой не только для её владельцев, но и для кибермошенников. По словам экспертов, с 2015 года сохраняется тенденция использования бот-сетей из Интернета вещей (объединённые предметы, оснащённые встроенными технологиями для взаимодействия друг с другом или с внешней средой. - Прим. авт.) при осуществлении атак. Домашние устройства - роутеры, веб-камеры, средства контроля самочувствия и многое другое - легко взламываются, так как пользователи уделяют мало внимания их защите. А потом используются для несанкционированного доступа к другим объектам. Совокупная мощность атак через такие бот-сети может быть настолько велика, что способна привести к нарушению работы целого региона.

В 2020 году Национальный координационный центр по компьютерным инцидентам для увеличения защищённости планирует создать специализированный общедоступный ресурс для взаимодействия граждан и организаций с уполномоченными органами. Делается это в целях оперативной передачи данных о противоправных действиях в области IT-технологий, компьютерного мошенничества, навязанных услуг операторов связи, фишинговых схем. Такая система обратной связи позволит увеличить скорость реагирования на инциденты и расширит сферу контроля за информационной инфраструктурой.

Также ведомство рассчитывает с начала 2021 года начать опытную эксплуатацию общедоступного антивирусного мультисканера для проверки файлов на наличие вредоносной активности. Это позволит гражданам и юридическим лицам самостоятельно ликвидировать компьютерные инциденты и исключит обращения на зарубежные антивирусные ресурсы. 

Госорганы «витают в облаках»

Статистика 2019-го свидетельствует о том, что государственный сектор вышел на первое место по фактам взлома. В прошлые годы лидировала кредитно-финансовая сфера. Также хакеры охотятся за интеллектуальной собственностью и научными достижениями. В Министерстве цифрового развития, связи и массовых коммуникаций России считают, что такая угроза очень ощутима с точки зрения национальной безопасности.

- Наша задача - в короткий период обеспечить рост инфраструктуры, импортонезависимость, гарантировать надёжность и защищённость информационных ресурсов. Ответом на вызовы современности является государственная единая облачная платформа (ГЕОП), которую мы создаём в рамках национальной программы «Цифровая экономика», - рассказал в своём выступлении директор департамента развития архитектуры и координации информатизации министерства Василий Слышкин.

Как известно, с 1 июня 2019 года стартовал эксперимент по переводу информационных систем ряда министерств и ведомств в ГЕОП. Его участниками являются Минкомсвязи, Фонд социального страхования, Минюст, Государственная фельдъегерская служба, Федеральная таможенная служба, Ростехнадзор, Росгвардия, Минтруд. Итоги будут подведены в декабре.

Василий Слышкин сообщил, что с момента утверждения четыре года назад концепции перевода обработки и хранения государственных информационных ресурсов произошло существенное развитие облачных технологий. За это время выросли сильные отечественные компании. Принят закон о критической информационной инфраструктуре (КИИ). Она включает объекты энергетики, жизнеобеспечения, системы государственного управления.

- Эксперимент может иметь положительный эффект, так как у нас есть возможность отработать все процессы, оценить слабые места, которые будут устранены до масштабного переезда в единую облачную платформу всех организаций, - считает спикер. - Это обоснованный, логичный и перспективный шаг, своевременная инициатива. Она позволит повысить темпы развития государственных информационных систем за счёт централизованного подхода к защите, хранению и распространению данных. 

Кто сливает базы?

Флагманами по внедрению решений в сфере IT-безопасности сегодня являются банки, поскольку кибератаки очень легко пересчитываются в денежные потери. Только в 2017-м из российских кредитно-финансовых учреждений и платёжных систем хакеры из группировки «Кобальт» похитили 1,35 млрд рублей. Злоумышленники также ответственны за кражи более 1 млрд евро примерно у 100 банков со всего мира. Мошенники заражали сеть, а затем удалённо посылали банкоматам команду выдавать деньги. Наличные в определённое время собирали специальные группы людей. В начале 2018 года Европол задержал в Испании лидера хакерской группировки. Личность задержанного не раскрывается. Известно только, что он является представителем «русскоязычного мира». После этого есть основания полагать: деятельность группировки прекращена.

В 2019-м более чем в 16 раз по сравнению с 2018 годом сократилось число клиентов кредитно-финансовых организаций, данные которых были украдены. Об этом в ходе «Инфофорума-2020» сообщил директор департамента информационной безопасности Банка России Вадим Уваров.

- В 2018 году похищенные базы данных содержали информацию почти о 1,4 млн физических лиц. За 2019-й отмечено утечек сведений порядка о 85 тысячах клиентов, - отметил он. - Их источниками выступают не столько сотрудники финансово-кредитных учреждений, сколько другие операторы обработки персональных данных. Например, работающие на сайтах интернет-магазинов и объявлений.

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России в первой половине 2019 года обнаружил 13 тысяч объявлений о продаже и покупке персональных данных. Только 1,5 тысячи из них (12 %) - это базы кредитно-финансовых организаций.

Более 97 % хищений со счетов граждан и 39 % - юридических лиц было совершено с использованием приёмов так называемой социальной инженерии.

- Для такого метода необязательны данные, относящиеся к банковской тайне, они лишь уточняют и дополняют необходимую информацию. Мошенникам достаточно владеть сведениями о фамилии, имени и отчестве, а также номере телефона физического лица, - отметил докладчик.

Недавно в арсенале злоумышленников появился новый способ обмана. Технология подмены исходящего телефонного номера на идентичный колл-центров кредитных организаций позволила им успешно выдавать себя за сотрудников служб безопасности банков и под видом блокировки подозрительных транзакций совершать хищения средств жертв. Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России было отправлено на блокировку в сигнальной сети информация о 4936 номерах мобильных операторов и номерах в коде 8-800, задействованных в мошеннических СМС-рассылках, атаках, заражениях вредоносным программным обеспечением и так далее.

Главным фактором успеха жуликов, по мнению специалистов, является низкий уровень «компьютерной гигиены» пострадавших: переход по ссылкам из непроверенных источников на заражённые сайты, скачивание сомнительных приложений, игнорирование установки антивируса и его предупреждений - всё это делает возможным получение злоумышленниками логина и пароля от личного кабинета или первичных данных по банковской карте. Однако чтобы завершить платёж, им нужно получить CVC и CVV-коды, одноразовый пароль для подтверждения операции. И здесь решающим является второй фактор - уровень критичности мышления каждого из нас. 

За технологией должен стоять профессионал

По мнению вице-президента крупнейшего российского провайдера Игоря Ляпунова, киберсообщества неоднородны.

- Есть «кибершпана», которая ворует у бабушек с карты по 1500 рублей, и хакерские группировки, похищающие финансовые средства в крупных размерах, - поясняет он. - В последнее время появляются и политически мотивированные сообщества, цель которых не монетизация, а получение необходимой информации. Если, скажем, при атаке на банк достаточно быстро преодолевается периметр и злоумышленник дерзко движется туда, откуда можно вывести деньги, то при взломе с целью получения контроля над первыми лицами компаний, госкорпорациями мы сталкиваемся с другим подходом. Это медленные атаки, развивающиеся в течение многих месяцев. Главная задача злоумышленников - не быть скомпрометированными, обнаруженными в этой структуре. Замаскировавшись, они могут жить в системах годами. Обычно такие хакеры используют вредоносное программное обеспечение, специально написанное под конкретную организацию, и стандартные средства защиты от него не спасут. Когда мы в лаборатории их исследуем, то приходит понимание, сколько денег было потрачено на его разработку. Иногда над созданием «вредоноса» может работать команда до 100 человек. И отсюда возникает вопрос: кто готов инвестировать в атаку такие деньги?

Говоря про новый уровень угроз, спикер считает, что нельзя им противостоять, продолжая строить статичные системы информационной безопасности. Тратятся огромные ресурсы, при этом мы не становимся более защищёнными. Почему?

- Многие руководители организаций считают: достаточно купить побольше дорогой техники, получше её спроектировать и она сама будет оберегать систему, - рассказывает о своих наблюдениях эксперт. - Такой подход в давно поменявшемся мире уже не работает. За технологией должен стоять специалист, который способен вовремя среагировать на угрозу. Ведь злоумышленник может в считаные минуты аккуратно подчистить следы. Нельзя обеспечивать безопасность с 9 до 18 часов. Необходимо находиться постоянно с «открытыми глазами», круглые сутки мониторить ситуацию. Это как боевое дежурство личного состава при возникновении угрозы безопасности государства. Когда у нас речь идёт об обороноспособности страны, не возникает вопроса: а надо ли проводить учения солдат и офицеров? То же самое должно быть и с обеспечением IT-безопасности.

Благо сегодня по инициативе Минсвязи и «Ростелекома» создаётся специальный киберполигон - виртуальная страна, где специалисты смогут проводить учения и тренировки, в процессе которых будет моделироваться развитие угроз, отрабатываться ответные действия. На его базе планируется проведение ежегодных федеральных соревнований по информационной безопасности и создание центра тестирования программного обеспечения.

На «Инфофоруме» также поднимался вопрос подготовки юридических кадров. Тех, кто способен дать правовую оценку этим процессам, по мнению участников мероприятия, крайне не хватает. 

Когда за вами «подсматривает» … начальник

Впервые на форуме функционировала «Зона реальной безопасности». Организаторами она была обозначена как пространство для открытого диалога. Здесь выступили несколько экспертов, которые рассказали о своём практическом опыте.

Мнения о системе DLP, предназначенной для корпоративной безопасности, у участников мероприятия кардинально отличаются: одни считают, что это всего лишь средство для «подглядывания» и ничего хорошего в этом нет, другие без неё уже не представляют полноценную работу компании. Но какие задачи реально удаётся решить с её помощью? Ведущий аналитик в этом вопросе Виталий Петросян раскрыл несколько кейсов по теме «Опыт эксплуатации DLP, «вести с полей».

- У каждой организации есть информация, которая имеет ценность, а значит притягивает злоумышленников. Причём не только снаружи, но и изнутри, - говорит Виталий Петросян. - Это могут быть докумен­ты под грифом «секретно», клиентская база, особенности технологических процессов, чертежи - всё, что не хочется дарить конкурентам и жуликам. В принципе любой работник может являться потенциальным инсайдером и поставить информационную безопасность под угрозу, а также причинить серьёзный ущерб репутации компании. От злого умысла или банальной оплошности не застрахован никто: от низшего звена до топ-менеджмента.

Принцип работы DLP прост и заключается в анализе всей информации, исходящей, входящей и циркулирующей внутри компании. В случае если она критичная или отправляется туда, куда не положено, система блокирует её передачу и уведомляет об этом ответственного сотрудника.

Так, с помощью перехваченных DLP файлов по ключевым словам в структуре одной из компаний был установлен работник, который выполнял планы продаж, бессовестно обманывая клиентов. Его начальник в связи с этим нёс репутационные риски.

В другой организации была обнаружена переписка, где двое сотрудников делились опытом употребления наркотиков. Оперативное выявление противозаконных действий помогло избежать серьёзных проблем.

Система отслеживает не только активные программы на компьютере, но и любую другую работу с информацией: ввод данных с клавиатуры, переписку и передачу файлов по почте, в социальных сетях и мессенджерах, отправляемые на печать документы, время простоя, активность на сайтах и прочее.

- Особенно много случайных сливов данных происходит при публикации фотографий в соцсетях с рабочего места, например, во время праздничных мероприятий, - предупреждает Петросян. - Простые предосторожности не помешают: проследите, чтобы в кадр не попали пароли от вашего компьютера. Некоторые имеют привычку их писать на бумажке и приклеивать на монитор. Только на первый взгляд кажется, что вы и ваша организация не могут представлять интерес для злоумышленников. На самом деле это может быть далеко не так.

Спикер считает, что такая «слежка» вполне законна, так как, подписывая трудовое соглашение, сотрудник обязуется заниматься на рабочем месте только тем, что прописано в должностных инструкциях. О своих намерениях установить систему DLP работодатель должен проинформировать подчинённых.

Вернуться в раздел