Вчера китайское информационное агентство «Синьхуа» заявило о том, что власти страны активизируют борьбу с сетевыми преступлениями, число которых выросло на фоне пандемии. Москве, считают эксперты, еще придется столкнуться с валом мошенничества: преступность уходит в онлайн. Компьютерная безопасность личных и государственных данных становится сейчас одной из болевых точек для власти и общества. О том, как победить в этой битве, наш сегодняшний разговор.
В условиях, когда обычная «ламповая» преступность уныло сосет лапу из-за массовой самоизоляции, кибермошенники лишь радостно потирают руки… Ведь именно сотрудники на удаленке часто становятся той «точкой входа», через которую удается проникнуть в корпоративную сеть. Известно немало случаев, когда тщательно выстроенная кибероборона была смята и уничтожена из-за одного-единственного домашнего компьютера. И антивирусы тут, увы, уже не помогают. Нападение может происходить через фишинговые рассылки на злобу дня, протоколы удаленного рабочего стола, маршрутизаторы, видеокамеры и массу других лазеек. Рекомендации тут на удивление не оригинальны: не открывать вложения в виде архивов, не ходить по подозрительным ссылкам, переспрашивать коллег, действительно ли от них пришло письмо с той или иной информационной «нагрузкой» (особенно если оно приходит с другого домена), использовать только рабочую почту и Wi-Fi с максимальным уровнем шифрования, поменять, серьезно усложнив, пароль от сети и т.д.
Москва по понятным причинам — город, особо привлекательный для кибербандитов. 40 процентов кибератак в России приходится именно на московские организации, работающие как в бизнесе, так и в госсекторе. А по данным столичного ДИТа, городские информационные системы злоумышленники пытаются взломать каждые 10 секунд, причем чем дальше, тем более активно. И дело не только в традиционном желании отъема денег, дело в охоте за информацией и персональными данными (ПД), которые эксперты уже нарекли «нефтью XXI века».
— Наш с вами цифровой двойник — это уже во многом мы с вами, — говорит Елена Бочерова, исполнительный директор известной компьютерной компании. — Недавно в Сингапуре мне рассказали историю. Два тамошних жителя решили удалить себя из всех электронных систем и прожить два месяца без цифрового следа. И оказалось, что это практически невозможно. Если вам нужна медпомощь, вы не можете ее получить, так как у вас нет электронной карты. Если вам надо что-то решить с государством, а у вас нет уникального IT-номера, тоже ничего не получится. Вы можете стоять перед чиновником, говорить, что у вас проблемы, но с точки зрения государства вас просто не существует, ему не с кем вести диалог. В общем, эти двое, конечно, выжили, но было им очень непросто.
Уже по одному этому примеру видно, какую важность приобретает сейчас безопасность личной информации, уверена Елена:
— В том же Сингапуре два года назад была крупная утечка медицинских данных — в сеть попали сведения о практически четверти населения, включая премьер-министра. Учитывая, что это достаточно закрытая страна, люди получили большие проблемы — там была информация, связанная со СПИДом, другими тяжелыми недугами, многим после этого вести социальную активность было очень сложно. Были даже самоубийства…
О том, что врачебная тайна страшно притягательна для нынешних хакеров, говорят и совсем свежие примеры. 16 марта сети Минздрава и социальных служб США подверглись мощной кибератаке. До взлома дело не дошло, но лбы тогда вспотели у многих. В состоянии повышенной боевой готовности находится сейчас и ВОЗ, сообщившая, что за последние две недели получила множество предупреждений от агентств кибербезопасности о том, что хакеры замышляют недоброе.
— Современная медицина — это маленькое цифровое производство, — говорит Дмитрий Галов, антивирусный эксперт компании, разрабатывающей антивирусные программы. — Но существуют сотни примеров, когда современные медучреждения оказываются уязвимыми из-за того, что люди, которые там работают, не сильно заморачивались вопросами безопасности. По нашим опросам, более трети медперсонала никогда не проходили тренингов по кибергигиене, а каждый десятый руководитель заявил, что не знал о нужности таких тренингов. И это по-настоящему пугает, ведь речь не только об утечках ПД. По статистике, проблема с диагностикой — первая в списке причин смертности. Представьте, если злоумышленник доберется до медкарты политика или конкурента по бизнесу и изменит, например, данные анализов или подправит протокол лечения... Поэтому бдительность, защита данных и подкованность персонала выходят сейчас на передний план борьбы с киберпреступностью.
Коллега Дмитрия по лаборатории — руководитель отдела контентного анализа Константин Игнатьев уверен, что именно массовой утечкой данных можно объяснить прошлогодний резкий рост телефонных обзвонов и финансового скама (когда под разными предлогами жертву просят «поделиться» данными банковской карты или заплатить комиссию за получение каких-нибудь псевдоплюшек — выигрыша, наследства, субсидии и т.д.):
— Из-за обилия источников и роста объема доступных ПД в прошлом году телефонный скам вырос раз в десять, и не только у нас. Во всем мире телефонная связь буквально гибнет из-за этого. Даже среди моего окружения были те, кто попадался на их удочку. Если раньше пользователю звонили наобум, то сейчас мошенники стали более подготовлены и явно проходят какие-то тренинги, потому что идет очень мощное психологическое давление.
Разумеется, этому пытаются противодействовать. Количество штрафов и решений по выплате компенсаций за утечку ПД в прошлом году практически удвоилось, а общая сумма штрафов и компенсационных выплат увеличилась в мире почти в 20 раз, достигнув 6,22 миллиарда долларов. Больше всего штрафовали здравоохранение, IT-сектор и ритейл. Несмотря на то что Россия два года назад подписала соответствующий протокол (№ 108 — о внесении изменений в Европейскую конвенцию о защите ПД), в 2019-м у нас зафиксировали лишь 6 штрафов за утечку ПД — на смешные 180,5 тысячи рублей.
— Написал я как-то жалобу в Роскомнадзор на одних телефонных доставал, — рассказывает Максим Лагутин, эксперт по защите персональных данных. — А мне отвечают: вы не предоставили договор с этой компанией, вас с ней ничего не связывает, так что мы ничем вам помочь не сможем. Или другой пример. Общался недавно с одним большим банком, у которого была утечка: мы, говорят, внутри быстро сориентировались, даже выявили, на каких сайтах базу выложили и продавали. Пришли к надзорным органам: блокируйте, мы все узнали. А нам в ответ: давайте пойдем по процедуре — сначала заявление, потом санкция суда, потом идем к интернет-провайдеру… А там все уже лежит и скачивается за секунды! По статистике, лишь 7 обращений (из 36 тысяч!) на незаконную обработку данных проходят по процедуре дальше. Остальное просто отсеивается — кто-то что-то неправильно написал, не так подал заявление и т.д. То есть механизм наказания пока явно пробуксовывает. Возможно, ситуацию чуть подправят штрафы за покупку и использование ПД, которые собираются у нас вводить, но все же, может — по классике — сначала что-то в консерватории подправить?
Современная парадигма информационной безопасности
В Москве создают киберполигон для отработки противодействия цифровым угрозам. Предполагается, что его будут использовать для моделирования киберугроз на транспорте, в энергетике, связи, промышленности и т.д., а также для тематических исследований, экспериментов с попытками обойти установленную защиту и учений по выработке практических навыков IT-безопасности у персонала компаний.
Государственную субсидию на создание тренировочной площадки для всей страны выиграл крупнейший цифровой оператор — Ростелеком. Необходимость такой учебной базы объясняется просто: в прошлом году впервые был зафиксирован резкий рост (на 40 процентов) кибератак, преследующих получение контроля над инфраструктурой компаний и предприятий и — одновременно — снижение атак, направленных на старую добрую кражу денег.
— Всех нынешних кибербандитов можно разделить на три категории, — говорит Игорь Ляпунов, вице-президент компании по информационной безопасности. — Первая — беспринципные отморозки, без особой выдумки крадущие по мелочи (тысяча-полторы у пенсионеров со счета). Вторая — это хакерские группировки, специализирующиеся на воровстве денег у банков. Эти неплохо оснащены, неплохо зарабатывают и активно вовлекают в свои ряды молодежь на фрилансе. Скажем, дается задание: разработать утилиту удаленного управления, и исполнитель даже не подозревает, что работает на злоумышленников. Тут уже полное разделение труда: одни пишут вирусы, другие их рассылают, третьи осуществляют взломы, четвертые выводят деньги. Это уже хорошо работающий, налаженный конвейерный бизнес.
Третьи, по мнению Ляпунова, — самые интересные. Это группировки, цель которых — получить точки присутствия в инфраструктуре энергетической компании, крупных телекомпровайдеров и любой другой структуры, отвечающей за какое-то критически важное направление экономики:
— Это уже не пионеры-самоучки, это очень сильные команды, спонсируемые из государственных бюджетов. Они не используют типовой атакующий софт, а специально (и крайне хорошо) пишут для каждого отдельного случая программы очень скрытого воздействия. Обычно алгоритм такой: они проникают внутрь сети через фишинг, причем часто не напрямую, а, например, через подрядчиков, имеющих удаленный доступ к инфраструктуре. И дальше, когда периметр пробивается, перемещаются по ней с помощью стандартных, принятых в компании инструментов — входят под логинами-паролями зарегистрированных пользователей, причем ровно в том часовом поясе и в то время, когда работает организация. Мы встречали одну группировку, которая работала почему-то лишь четыре будних дня в неделю — все дни, кроме среды. В среду, наверное, ходили на доклад к руководству… Обнаружить таких кибердиверсантов очень сложно. Группировка может сидеть в компьютерах компании годами, шпионя и выжидая удачного момента для главного удара. И это, разумеется, усложняет борьбу.
— Парадигма информационной безопасности изменилась. Если раньше все гнались за системами, которые невозможно взломать, то сейчас все понимают, что любая из них может быть вскрыта. Поэтому на передний план выходит возможность обнаружить тайную атаку как можно раньше (до того, как, пройдя все эшелоны защиты, злоумышленники доберутся до входа в основное ядро системы) и создать на ее пути большое количество препятствий. И тут, конечно, встает вопрос кадров. Ведь профильные вузы сейчас учат скорее не технологиям, а истории технологий, не давая никаких практических навыков. Ровно поэтому в программу цифровой экономики было заложено построение киберполигона — площадки, на которой можно отрабатывать эти самые навыки. Делать это на реальной инфраструктуре чревато. Я знаю только один такой пример. Банк решил провести учения: председатель правления договорился с главным безопасником, что в 10 утра внутрь сети будет брошен а-ля вирус-шифровальщик, который заблокирует компьютеры, вывесив на экраны заставку с информацией об атаке. Первые учения провалились с треском, потому что все, написанное в регламентах и инструкциях, было напрочь забыто. Первым рефлексом у айтишников было выдернуть патч-корд, соединяющий компьютер с сетью, — количество вырванных с корнем сетевых розеток и коробов исчислялось десятками! Вот для того чтобы этого не происходило, мы и создаем сейчас наш киберполигон.
Главное, чтобы знания осели в головах
Валерий Комаров, начальник отдела обеспечения осведомленности управления ИБ ДИТ Москвы:
— Сейчас в Москве работают почти 3000 городских организаций (органы исполнительной власти и находящиеся в их ведении учреждения), которые активно пользуются информационными системами. В общей сложности это примерно 500 тысяч автоматизированных рабочих мест. И одна из главнейших наших задач — сделать информационную безопасность, так сказать, с человеческим лицом, чтобы и работники этих учреждений, и пользователи городских услуг доверяли цифровым системам.
Ну, и более дружелюбно относились друг к другу. Поскольку компьютерные эпидемии распространяются еще более стремительно, чем вирусные, сразу после появления информации о них меры надо принимать немедленно. Делать это на следующий день — направлять уведомление пользователю, потом убеждаться, что он все делает правильно, — уже бессмысленно. Поэтому мы делаем ставку на автоматизацию, высокую квалификацию и мотивированность сотрудников, отвечающих за информационную безопасность.
Но большой проблемой тут является бюрократизация. Например, обучающие программы для сотрудников разрабатываются в соответствии с типовыми методическими рекомендациями регуляторов, обязательно с ними согласовываются, и процесс этот занимает массу времени. Например, на то, чтобы согласовать программу по защите ценной информации, требуется от 7 до 9 месяцев: на всю страну рассмотрением этих документов занимается лишь один специалист, и сидит он в Воронеже.
Естественно, такие сроки не дают возможности отражать актуальные новации злоумышленников — мы сильно запаздываем в этом вопросе. Да еще из-за всех этих процедур конечный документ получается сухим и неинтересным для пользователей.
Если брать внутренние проблемы, то основная — это периодическая смена персонала, ведь каждого вновь прибывшего приходится обучать. Хотя… Даже если работник, обученный цифровой безопасности у нас, уволится, он не перестанет от этого быть жителем Москвы и пользоваться дальше горуслугами тоже не прекратит. А базовые правила цифровой гигиены в него уже вложены, так что в своей обычной жизни он либо продолжает их соблюдать по привычке, либо хотя бы понимает последствия нарушений. То есть эти знания не пропадают. Главное, чтобы они осели в головах.
Собственно, как это делается сейчас? В городе имеется несколько площадок для очного обучения. Например, на базе Московского городского университета управления мы проводим семинары и методические сборы с представителями всех городских организаций. Понятно, что собрать разом более 500 тысяч пользователей — на это и «Лужников» не хватит. Поэтому мы используем интерактивные курсы, всякие современные технологии вроде электронных игр или анимации. Когда человек видит, что это делается не для галочки («распишись в журнале, что ознакомлен»), информация на подкорку записывается лучше.
Ну а для простых горожан на ВДНХ работает павильон «Умный город», где москвичи могут повысить информированность в области безопасного использования городских услуг.