С развитием цифровой экономики и повсеместной цифровизацией существенно увеличиваются риски киберугроз. Согласно официальным данным, за последние шесть лет киберпреступность в России выросла в десять раз. Сегодня основному риску подвергается финансово-кредитная отрасль, но уже завтра угроза может стать актуальной практически для всех. Киберугрозы характеризуются тем, что они постоянно меняются. Новые способы кибератак появляются практически ежедневно, и многие из них в той или иной степени реализуются. И это растущий тренд, поскольку технологические процессы усложняются, соответственно, увеличивается и число уязвимостей. Динамика процесса настолько высока, что сегодня эксперты в открытую говорят: проблему кибербезопасности нельзя решить, ее можно только решать.
Понимание того, что настало время серьезной борьбы с киберугрозами, на глобальном уровне сформировалось в 2016 году, когда появились результаты исследования, показавшие, что ущерб мировому бизнесу от кибератак составил 445 млрд долларов. Киберпреступники в основном крали информацию и деньги из финансовых учреждений, особенно небольших, использовавших старые технологии или не имевших никакой защиты. Международное сообщество активизировалось по этому поводу. Завязалась дискуссия о том, как объединить усилия государственных учреждений и частных компаний. Начали меняться и подходы к обеспечению кибербезопасности.
В 2017 году оценка ущерба от кибертатак выросла вдвое. Также в два и более раза увеличилось количество DDoS-атак и организованных хакерских группировок. Злоумышленники начали проявлять повышенный интерес и к корпоративным, и личным данным.
В 2018 году ущерб от кибератак увеличился до 1,5 трлн долларов, сохраняя тенденцию к росту. Продолжительность DDoS-атак выросла в два раза. Новыми трендами стали мошенничество с криптовалютой и атаки на виртуальные ценности в блокчейне. После такого холодного душа компании начали вкладывать в киберзащиту – объем инвестиций в этой сфере в 2018 году составил 96 млрд долларов.
Правоохранительные органы столкнулись с новым вызовом, и оказалось, что они не слишком готовы к расследованию огромного количества кибермошенничеств. Так же, как и банковское сообщество – к противостоянию атакам киберпреступников.
– В настоящее время существует два подхода к обеспечению информационной безопасности, – отмечает Игорь Ведёхин, заместитель генерального директора, директор дивизиона «ИТ-инфраструктура» компании IBS. – Первый, которому долго не было альтернативы, – индивидуальный, когда каждая компания, каждый государственный институт занимается построением собственной системы информационной безопасности. Его недостатки – высокая стоимость и невозможность отследить все риски собственными силами даже для крупных структур. В ответ появился второй подход, который связан с построением коллективных систем информационной безопасности на уровне отраслей и ведомств.
В 2017 году на первом заседании Комитета по информационной безопасности Ассоциации банков России было проведено тайное голосование, целью которого было выявить, что является для банков самой большой проблемой. Оказалось – отсутствие платформы, которая позволяла бы обмениваться информацией. В каждом отдельном банке никто не знал о кибермошенниках, атакующих другие банки. И такая платформа была создана.
Первым положительным примером построения системы безопасности, ориентированной на всю отрасль, стала платформа ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере), запущенная Центральным банком России. Эта система создана для обмена в автоматическом режиме информацией об угрозах и происшествиях в области информационной безопасности. Банки в ней уже участвуют. Сейчас к ней подключаются небанковские организации, такие как страховые компании, биржи и пр.
На уровне одного банка определить угрозы вывода денег достаточно сложно, и только кооперация позволяет распознать их даже на уровне одной транзакции. С этой целью Центробанком построена система антифрод, предназначенная для обеспечения коллективной безопасности всех банковских институтов (fraud – вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами). Эксперты отмечают, что такой подход можно распространить на все отрасли.
Финансовая сфера разворачивает киберщит, и это объяснимо, поскольку именно она оказалась на передовой войны с кибермошенниками.
Но большинство отраслей российской экономики к новым вызовам не готовы.
– Что сейчас представляет собой киберпространство? – задается вопросом Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком». – Это зарубежные технологии, зарубежный принцип работы, зарубежное программное обеспечение. И мы в этой квартире с нашим очень ценным багажом находимся в некотором смысле гостями.
Навязывание цифровой трансформации, когда все компании ставят цифровизацию бизнеса в качестве одной из ключевых стратегических задач, – это очень серьезный вызов. От компьютеризации и автоматизации, которые были трендами предыдущих десятилетий, цифровизация отличается тем, что цифровые технологии не просто становятся помощниками, а начинают определять бизнес-модель компании, существенно влияют на взаимоотношения с клиентами, проникают вглубь систем управления предприятием и производством.
К сожалению, в ряде больших проектов по цифровизации кибербезопасность остается за скобками процесса. И поэтому при цифровой трансформации производства, систем жизнеобеспечения, критической информационной инфраструктуры киберпространство остается незащищенным. И это может привести к серьезным последствиям, потому что инциденты происходят не только в финансово-кредитной сфере.
Довольно часто в компаниях звучит тезис: наша система управления производством изолирована от Интернета. Но аудит реального состояния защиты показывает, что это не так.
Небольшой пример: производственный участок на нефтяном месторождении где-то далеко на Севере. Насосные и дожимные станции, станции сепарации – все управляется компьютерами и соединяется через единственный сетевой коммутатор. Вместе с промышленной автоматизацией к нему подключены касса в буфете и банкомат. Есть связь с банком – значит, система автоматически становится уязвимой.
Часто встречаются такие проблемы, когда по бумагам определенный сегмент управления изолирован от Интернета, но на рабочих станциях диспетчеров обнаруживаются «следы» 4G-модемов, которыми они пользуются в ночные смены для своих нужд. Поскольку эта сеть формально изолирована от внешних коммуникаций, она практически не обеспечена средствами защиты.
У руководства есть иллюзия, что все системы управления изолированы, а на самом деле они взаимодействуют с Интернетом, и это может стать источником колоссальных проблем.
В области кибербезопасности уже есть такое понятие, как политически мотивированные атаки. Результаты мониторинга реальных инцидентов показывают, что в ряде случаев плотность кибератак на объекты критической инфраструктуры, энергетики, жизнеобеспечения через уязвимости импортного софта и оборудования была в 10-15 раз выше, чем на объекты ритейла и банковской сферы. Что демонстрирует интерес злоумышленников к этой области.
Большинство атак на критическую информационную инфраструктуру, где нет прямой монетизации, нет вывода денег, направлены на получение управления, точки контроля. Это уже другой способ информационного воздействия, более изощренные атаки и другой уровень квалификации атакующих. И нужно противостоять именно этому новому профилю атак.
По некоторым данным, за последние три года количество утечек информации выросло на 98%. За 2018 год количество кибератак увеличилось на 58%. Но самой крупной из ключевых киберугроз остается социальная инженерия – это 81% от всего фрода.
– У нас «завал» с социальной инженерией. И все это знают, – отмечает Станислав Кузнецов, заместитель председателя правления ПАО Сбербанк. – За последние полгода количество совершенных преступлений увеличилось примерно на 30-40%. Мы фиксируем 13-14 тыс. преступлений в неделю против наших клиентов с использованием методов социнженерии. Около 85% случаев мошенничества – это самопереводы. С ними бороться невозможно – клиент собственными руками отдает деньги мошеннику. Эти факты нельзя замалчивать. Хоть наш центр антифрода блокирует 96-97% попыток кибератак. И многие клиенты даже не замечают, что их атаковали.
Методы социнженерии становятся все более изощренными и технологичными. ФинЦЕРТ уже предупредил, что появляются целые мошеннических колл-центры. К клиентам обращаются по имени-отчеству, знают номера их телефонов. Откуда? Утечки из крупных клиентских баз данных – банков, гостиниц, торговых сетей и т.д. Даже списки консультантов и помощников на различных форумах и мероприятиях, которые распространяются среди гостей и участников, становятся источниками информации для кибермошенников. Это новый виток социальной инженерии. И пока в этой области кибермошенники обычно оказываются на шаг или даже несколько шагов впереди.
Поэтому сегодня речь идет уже не просто о противодействии кибератакам, а о разработке системы, которая позволит прогнозировать возникновение новых угроз. Например, подмены голоса, когда робот звонит человеку и узнаваемым голосом просит совершить какие-либо действия. Тот же пранк, по сути, только участвует в нем не человек, а машина. Сегодня это уже реальная технология. И риски здесь распространяются не на простых людей – под угрозой топ-менеджмент и чиновники, ответственные за принятие решений. Системы, способные противодействовать этим видам преступлений, уже разрабатываются. И они должны быть доступными во всех сферах деятельности.
Самое уязвимое звено в системе кибербезопасности – это человек. Больше 60% инцидентов в этой сфере происходит при непосредственном участии сотрудников компаний. Экспертное сообщество сходится во мнении, что для борьбы с киберпреступностью нужно не только инвестировать в кибербезопасность и развитие технологий искусственного интеллекта, но и повышать уровень взаимодействия между правоохранительными органами и бизнесом, который сегодня недостаточен, и совершенствовать законодательство – государство обязано применять жесткие меры к растущему тренду.
Другой задачей государства является решение вопроса низкой культуры информационной безопасности в обществе. Необходимо повышать грамотность населения в области кибербезопасности, доносить базовые знания до всех граждан РФ. И главное – работать с детьми. Ключевая проблема – отсутствие у подростков грани между белым и черным. Романтизация в массовой культуре образа хакера, который борется с системой, – это реальный тренд. А вот работа по обеспечению кибербезопасности такого романтического ореола пока не имеет. Хакером быть круто, а борцом с кибермошенниками – нет. Более того, сегодня в киберпространство уходит такая сторона жизни, как выяснение отношений с обидчиком. Взлом странички в соцсетях у подростков не считается преступлением – это современный аналог потасовки за углом школы. Детям нужно прививать социальные ориентиры, удерживать их от шага на «темную сторону», который сделать очень просто. Впрочем, это не только задача государства, это еще и ответственность родителей и тех профессионалов, которые занимаются кибербезопасностью.
Третья проблема, которая была обозначена в рамках дискуссии на тему готовности России к новым вызовам в киберпространстве на Российском инвестиционном форуме – 2019 в Сочи, – кадровая. Специалистов не то чтобы мало, их просто не тому учат. И компаниям приходится их переучивать.
Государство знает об этой проблеме и уже озаботилось ее решением. Создание устойчивой и безопасной информационно-телекоммуникационной инфраструктуры высокоскоростной передачи, обработки и хранения больших объемов данных, доступной для всех организаций и домохозяйств, – одна из целей Национального проекта «Цифровая экономика». На подготовку кадров в рамках этого нацпроекта выделяется 143 млрд рублей. И их надо потратить с умом – то есть готовить не хакеров, а борцов с ними.