Эксперт: киберзащита - это не паранойя

ноутбук Копірайт зображення Getty Images
Image caption Глобальная сеть - большая свобода или большая опасность?

Новостная лента ежедневно содержит сообщения, свидетельствующие, что влияние кибератак на различные сферы жизни существенно усилилось по всему миру. При этом от киберпреступников не только не застрахованы мощные государства мира, но и, похоже, они находятся в зоне наибольших рисков.

О том, какими новыми методами пользуются киберпреступники и что нового могут предложить специалисты по кибербезопасности, ВВС Украина рассказал Олег Колесников, специалист украинского происхождения из США, автор книг в сфере кибербезопасности и преподаватель кибербезопасности в Северо-Восточном университете США.

ВВС Украина: Когда речь идет о новостях, связанных с кибербезопасностью, то в США, согласно докладу спецслужб, речь идет об использовании соцмедиа и взломах ресурсов политических конкурентов на президентских выборах. В Украине больше говорят о кибератаках на сайты государственных органов и объекты инфраструктуры. Каковы, на ваш взгляд, последние тенденции в сфере кибербезопасности в мире?

Олег Колесников: В последнее время достаточно четко стала проявляться неформальная разница между хакерами-киберпреступниками (ХК), и "правительственными" (государственными) хакерами (ГХ). Категорию правительственных, но негосударственных хакеров пока можно вынести за скобки.

Правительства и спецслужбы некоторых государств привлекают ГХ к выполнению "деликатных" задач, например, тайного проникновения в компьютеры лиц или организаций, в которых заинтересованы спецслужбы.

Есть много публикаций о сообществе ГХ "APT28", также известно о "Fancy Bear", которое многие эксперты сравнивают с атаками на Национальный комитет Демократической партии США (DNC) в 2016 году.

Деятельность ГХ и их сообществ, по мнению многих специалистов, имеет тенденцию к созданию столь серьезных киберугроз для обычных граждан и бизнеса, что президент Microsoft недавно предложил государствам принять "цифровую" конвенцию о защите частной жизни граждан и бизнеса от кибероружия, аналогичную Женевской Конвенции 1949 года.

ГХ тайно используют компьютеры граждан или бизнес-структур, которые ничего не подозревают, и которые могут подвергнуться ответным действиям с другой стороны конфликта, что приводит к материальному и моральному ущербу для граждан и бизнеса. Это аналогично тому, как от боевых действий воюющих сторон страдает безоружное гражданское население.

Это подтверждается также недавней утечкой информации ЦРУ, которая в 8761 файлах содержит описание секретной глобальной хакерской программы ЦРУ США по взлому систем, в частности устройств Cisco, телефонов с операционной системой iOS и Android, компьютеров с Windows, "умных" телевизоров Samsung и даже автомобилей с электронными компонентами, которые могут атаковать ГХ.

Продвинутые вымогатели

Копірайт зображення AFP
Image caption Кибервымогатели шифруют данные жертвы и требуют "выкуп" за их расшифровку

ВВС Украина: А как насчет хакеров-киберпреступников?

Олег Колесников: Что касается ХК, то одной из последних тенденций является рост числа кибератак как прямого источника получения ХК незаконных "доходов".

Один из недавних примеров - атаки с применением мошеннического программного обеспечения (ПО) ransomware, с помощью которого данные жертвы кибератаки шифруются, а преступники требуют "выкуп" за предоставление жертве ключа, необходимого для расшифровки ее данных.

Кибератаки этого вида в 2016 году затронули не только сотни тысяч компьютеров, но и тысячи серверов с данными, например, MongoDB, где данные сервера были зашифрованы, а преступники требовали 0.2 BTC (около US $225.85) за расшифровку данных одного сервера.

Относительно небольшая сумма "выкупа" за ключ для расшифровки данных жертвы не случайна. Некоторые эксперты считают незначительный размер "выкупа" связанным с тем, чтобы жертва нападения не обращалась в полицию из-за "незначительных убытках".

Согласно отчету McAfee, количество кибератак с использованием шифровальщиков в 2016 году выросло на 80%, и в 2017 году ожидается дальнейший рост количества атак, включая новые векторы, например, на мобильные телефоны.

В частности, в начале 2017 года появилась информация о новом киберпреступнике Charger, который шифрует данные мобильного телефона жертвы, а потом требует деньги за расшифровку.

В поведении ХК обращаю внимание как минимум на две общие тенденции. Первая - тенденция к росту интереса ХК к финансовому рынку и кибератакам, связанным непосредственно с финансовой выгодой.

Вторая - активная эволюция ХК и ДХ. Эта общая тенденция к повышению профессионального уровня кибератак - очередной этап "гонки вооружений" в киберпространстве между теми, кто атакует, и теми, кто разоблачает кибератаки.

"Не доверять даже правительственным сайтам"

Могу привести пример одной из недавних успешных кибератак на банковскую систему Польши. Эту кибератаку все еще расследуют.

Кроме высокопрофессионального уровня исполнения, ее осуществляли не только с использованием известного вектора атаки (введение в код польского государственного сайта Комиссии по финансовому надзору вредного J-скрипта), но и нового шпионского ПО, которое пока не имеет надежной атрибуции.

Как говорится в отчете BAE systems за 20 февраля 2017 года, были выявлены признаки того, что эта кибератака осуществлена ​​ХК - группой Lazarus, ранее атаковавшей Sony. Но в коде ПО нападающих заметны попытки скрыть настоящий источник и усложнить атрибуцию ХК.

В результате нападения на сайт польской Комиссии по финансовому надзору, злоумышленники получили скрытый контроль над критически важной IT-инфраструктурой, охватывающей около двух десятков коммерческих банков Польши. Аналогичные кибератаки были зафиксированы на около 100 банков и крупных компаний в более чем 30 странах мира.

Я разделяю мнение тех экспертов по кибербезопасности финансовых учреждений, которые призывают не доверять даже правительственным сайтам.

Польские коммерческие банки считали государственный сайт Комиссии по финансовому надзору априори надежным и были наказаны за доверчивость.

При загрузке страницы с веб-сайта Комиссии, который перед этим был скрыто скомпрометирован киберпреступниками, польские банки попали под атаку Waterhole.

Когда аномальное поведение помогает

Копірайт зображення Getty Images
Image caption Аномальное поведение пользователей помогает выявить кибернападение

ВВС Украина: А в области защиты какие тенденции?

Олег Колесников: В области защиты от современных кибератак одна из новейших тенденций - использование аналитических систем кибербезопасности с применением систем машинного обучения и искусственного интеллекта на больших объемах данных (Machine Learning-based Security Analytics using Big Data).

Эти системы позволяют замечать отклонения в поведении систем или пользователей от нормы и, таким образом, выявлять большинство опасных кибератак. Перспективным является применение таких систем для задач кибербезопасности в виде платформ UEBA (User Entity and Behavior Analytics).

Тривиальный пример: если пользователь зашел в систему в необычное время, начал передавать необычный объем информации в интернет, то имеет место "аномальное поведение" пользователя, и оно автоматически распознается платформой кибербезопасности EBUA.

Конечно, идеальных технических решений не существует, но применение наиболее современных когнитивных технологий киберзащиты бесспорно "поднимает планку требований" для киберпреступников.

Копірайт зображення AFP
Image caption Иногда кибербезопасность зависит от самых простых действий

ВВС Украина: Почему такая высокоразвитая страна, как США, с такими мощными ресурсами не может справиться с угрозами в сфере кибербезопасности?

Олег Колесников: Я задавал аналогичный вопрос на лекции студентам моего курса по кибербезопасности, и многие студенты выразили уверенность, что несмотря на большое количество кибератак, о которых люди знают из новостей за 2016 год, США все-таки справляются с этой проблемой. Кроме того, многое из того, что делается в этой сфере, по понятным причинам не афишируется.

На мой взгляд, оценивать, насколько "справляются" или "не справляются" США, можно и нужно на основании четких критериев, определенной базы сравнения.

Известно, что США является высокотехнологичной страной, которая имеет огромные, по сравнению с ресурсами других стран, но все же ограниченные ресурсы. Высокотехнологичные страны более уязвимы по сравнению со странами с менее развитой инфраструктурой.

Уязвимость высокотехнологичных стран относиттельно киберугроз настолько высока, что имеет смысл в первую очередь направлять ресурсы на обеспечение важнейших объектов и данных, успешная кибератака на которые могла бы привести к огромному ущербу для национальных интересов.

Убытки от успешных кибератак на некоторые объекты и данные США, конечно, имеют место, но пока не превышают критический уровень.

Выжить в мире "Интернет-всего"

Копірайт зображення Getty Images
Image caption Чтобы выжить в сложном современном мире киберкоммуникаций, соцсетей, Интернет-Вещей (IoT), Интернет-Всего (IoE), надо учиться индивидуальной кибербезопасности

ВВС Украина: Что, учитывая это, можно было бы предпринять Украине, чтобы лучше защитить себя? Ведь ресурсы Украины невозможно сравнить с ресурсами США.

Олег Колесников: Считаю, что Украине как государству, его гражданам, союзникам следует совместно решать проблему кибербезопасности.

Считаю, что Украина делает правильные шаги в направлении кибербезопасности, когда обращается к волонтерам и государствам-союзникам за методической, ресурсной и другой помощью, и рационально направляет ее на повышение кибербезопасности критической инфраструктуры и данных, своевременное введение адекватных систем и средств киберзащиты, подготовку кадров с нужной квалификацией.

В Украине существует понимание важности проблемы киберпреступности, и, насколько мне известно, уровень противодействия ей постоянно растет, исходя из опыта и возможностей, которые имеют государство и его союзники. Качественная подготовка собственных специалистов в этой сфере - очень важное направление.

Но осознавая растущую угрозу киберпреступности, приходишь к выводу, что обязанность защиты от нее должна распространяться не только на государство, но и на уровень граждан.

Это не паранойя, но чтобы выжить в сложном современном мире киберкомуникаций, соцсетей, Интернет-Вещей (IoT), Интернет-Всего (IoE), который быстро меняется, надо организовать обучение граждан кибербезопасности на специальных курсах. Родители должны учить правилам кибербезопасности детей и контролировать их соблюдение.

Имеет смысл ввести спецкурс по кибербезопасности в школах.

Уверен, что придет время, когда в Украине найдутся ресурсы, достаточные для обеспечения кибербезопасности. А пока их недостаточно, стоит научиться рационально использовать имеющиеся ресурсы партнеров и экспертов-волонтеров, как это успешно делалось и делается в других отраслях.

Карточки - только с чипами

Копірайт зображення AFP
Image caption Проблема безопасности онлайн-платежей остается нерешенной даже для карточек с чипами

ВВС Украина: В последнее время в Украине участились случаи мошенничества с банковскими карточками. Банки и эксперты регулярно публикуют советы, как вести себя в таких ситуациях. Насколько вообще можно доверять украинским госструктурам и банкам? Что должны делать банки и государственные органы, чтобы снизить риски киберпреступности?

Олег Колесников: В сфере борьбы с киберпреступностью Украине также стоит опираться на опыт дружественных государств, тем более если учитывать то, что для организованных преступных группировок не существует государственных границ.

Для украинских банков эта проблема не в последнюю очередь обусловлена ​​и соответствующим образом мотивированными инсайдерами. Службам кибербезопасности банков имеет смысл брать на вооружение системы анализа поведения и аналитических систем кибербезопасности с использованием систем машинного обучения и искусственного интеллекта, о которых мы упоминали ранее.

Современные детекторы аномальной активности персонала банка повысят вероятность обнаружения мотивированного инсайдера, что уменьшит риск возникновения инцидентов безопасности карточных платежных систем.

Конечно, необходимо и в дальнейшем внедрять систему пластиковых карт с чипом, которые позволят резко сузить возможности киберпреступников по их подделке по сравнению с пластиковыми карточками с магнитной полосой. При этом пока нерешенной остается проблема онлайн-платежей, для которых важно, чтобы владелец карточного счета подтвердил подлинность онлайн-транзакции.

Не все онлайн-платежные системы запрашивают проверку подлинности пользователя и владельца карточного счета (3D-Secure). В таком случае простое копирование (подглядывание) номера карты и ее безопасности кода позволяет киберпреступникам пользоваться карточным счетом ничего неподозревающего владельца. Чип карточки остается незадействованным в онлайн-платежах, и пластиковая карточка с чипом для киберпреступников ничем не отличается от карточки с магнитной полосой.

Поэтому клиентам банков-эмитентов карточек надо строго соблюдать требования кибербезопасности. В частности, ограничивать максимальные суммы онлайн-платежей, использовать оповещения о проведении операции по карточным счетам и своевременно реагировать на инциденты с использованием карточных счетов.

Новости по теме