Новые вызовы
С ускорением темпов цифровизации закономерно активизировались хакеры и различные интернет-мошенники. По данным Генпрокуратуры РФ, общее число преступлений в России в первый год пандемии выросло на 73,4% по сравнению с 2019 годом и составило более 510,4 тысячи. Если пять лет назад на долю нарушений закона в сфере технологий приходилось менее 2% случаев в структуре преступности, то в 2020 году – уже 25%. В том числе число DDoS-атак (искусственный рост запросов с помощью ботов) на веб-ресурсы за время пандемии выросло в два раза, количество фишинговых атак (взлом посредством фейковых сайтов либо почтовой рассылки) выросло на 118%, а объем кардинга (операции с платежной картой без участия владельца) – на 116%.
Согласно статистике Банка России, за первые 6 месяцев 2020 года мошенники украли у банковских клиентов в общей сложности около 4 млрд руб., совершив 360 тыс. несанкционированных операций. Банки смогли вернуть гражданам только 12,1% похищенных средств (около 485 млн рублей). Неутешительны цифры и в целом по раскрываемости преступлений в сфере IT. По данным Генпрокуратуры РФ, виновника находят только в 25% таких правонарушений. И это притом что представители крупного бизнеса неохотно признаются о наличии уязвимостей в своей сети, а значит, стараются не доводить факт взлома до сведения правоохранителей и общественности.
Связь отдельных групп киберпреступлений с локдауном более чем прозрачна. По данным McKinsey&Co, из-за пандемии темпы перехода бизнеса на «удаленку» ускорились в 40 раз.
В свою очередь, дистанционный режим работы сотрудников привел к увеличению числа хакерских атак с целью получения доступа к корпоративным серверам. Так, федеральный провайдер «Ростелеком» зафиксировал рост попыток подбора паролей к удаленным компьютерам своих пользователей с 3-5 до 9-12 уже в конце мая 2020 года.
И все же активизация хакеров в период пандемии стала продолжением общей тенденции по неуклонному росту количества киберпреступлений. Так, в 2019 году МВД зафиксировало общий рост числа киберпреступлений на 66,8%. А «Ростелеком» отметил увеличение числа атак на пользователей провайдера с использованием вредоносного ПО (трояны и т.п.) на 11% в сравнении с предыдущим годом. Будущее готовит еще более серьезные вызовы. Мы идем по пути активного развития интернета вещей и постепенного перевода деятельности госорганов в цифровое пространство, что расширяет пространство работы для хакеров. А ожидаемое внедрение сетей 5G приведет не только к ускорению темпов обработки и передачи информации, но и появлению более действенных механизмов взлома.
В ТОПЕ
На сегодня наиболее популярными способами кибератак остаются доставка вирусного ПО посредством почтовой рассылки, эксплуатация уязвимостей веб-приложений, подбор и компрометация учетных данных (логинов и паролей). Первое и последнее в большей степени связано с уязвимостью человеческого фактора. Киберпреступники зачастую сочетают взлом ПО с навыками социальной инженерии. Согласно данным ЦБ, в первом полугодии 2020 года доля социнженерии в общем числе атак на банковских клиентов достигла 83,8%. По оценкам Сбербанка, с начала 2020 года мошенники позвонили клиентам около 15 млн раз (до 100 тыс. звонков в сутки).
Как показывает практика, от риска стать жертвой киберпреступников не застрахованы ни компании-гиганты с оборотом в десятки миллиардов долларов, ни госорганы, ни целые страны. Так, в 2014 году атаке подвергся маркетплейс eBay, к злоумышленникам попали данные 145 млн пользователей, включая телефонные номера, адреса, имена, даты рождения и так далее. Говоря о странах, здесь также нет преувеличения, так в 2013 году в Южной Корее в результате массированной хакерской атаки пострадали крупнейшие банки и телеканалы, в общей сложности были заражены свыше 32 тыс. компьютеров.
Среди громких случаев 2021 года можно отметить остановку крупнейшего нефтепровода в США – Colonial Pipeline после кибератаки в начале мая. Более свежий пример – парализация компьютерных сетей компании, занимающейся записью на вакцинацию от COVID-19, в столичной области Италии в конце июля – начале августа.
При этом наивно полагать, что опасности Глобальной сети актуальны только для крупных мегаполисов, таких как Нью-Йорк, Сеул или Санкт-Петербург. Проблема ничуть не менее реальна для жителей и компаний Сарапула или Можги. Удмуртия активно подхватила повестку цифровизации. Уже сегодня регион входит в ТОП-5 по предоставлению услуг в электронной форме и ТОП-3 по экспорту товаров и услуг на площадке eBay, свыше 800 IT-компаний ведут свою работу с территории республики. И в то же время уже по итогам 2018 года Удмуртия также стала рекордсменом среди регионов России по количеству совершенных на ее территории киберпреступлений, продолжая оставаться в числе лидеров и сегодня.
Простые решения
Список основных рекомендаций для обычного пользователя, что, впрочем, справедливо и для сотрудников компаний, достаточно прост: не переходить по сомнительным ссылкам, устанавливать антивирусное ПО, не передавать посторонним данные банковских карт, в том числе по звонку из «банка», «кредитной организации» или «полиции». При пользовании интернет-ресурсами, предполагающими ввод личных данных (сайты госорганов и банков, почтовые мессенджеры, социальные сети и т.п.), рекомендуется подключать двухэтапную аутентификацию. Специалисты также советуют использовать для каждого ресурса индивидуальный сложный пароль с применением как цифр, так и букв разного регистра, что минимизирует шансы взлома путем интеллектуального или программного подбора.
Подробнее стоит остановиться на таком виде интернет-мошенничества, как фишинг. Как правило, фишинговая атака представляет собой выдачу фейковых страниц сайтов соцсетей, интернет-магазинов и т.п. Они могут как выдаваться в поиске наряду с официальной страницей сайта, так и направляться в почтовой рассылке или через личные сообщения в мессенджерах.
В обоих случаях злоумышленники стараются максимально имитировать реальные компании и рассчитывают на невнимательность пользователя. При этом киберпреступники действуют, исходя из актуального спроса на интернет-продукты. В 2020 году практически исчезли фишинг-ресурсы, мимикрирующие под криптовалютные проекты, так как интерес к ним значительно снизился. И напротив, начиная с прошлого года киберпреступниками активно стала эксплуатироваться тема коронавируса. В 2020 году большинство стран ввели различные льготы и компенсации, а банки позволяли получить отсрочку по кредитам. Оба вида услуг в связи с локаутом предлагалось получать в режиме онлайн, на официальных ресурсах организаций и учреждений. Мошенники создавали дублирующие страницы этих сайтов с целью сбора личных данных пользователей, в том числе реквизиты банковских карт. Но чаще других киберпреступники сегодня подделывают сайты онлайн-сервисов, включая платформы видеоконференцсвязи (39,6%), почтовых сервисов (15,6%), финансовых учреждений (15%) и облачных хранилищ (14,5%).
Последствия фишинговой атаки, нацеленной на сотрудников компаний, могут быть масштабными и финансово катастрофическими. Среди ярких примеров взлом кинокомпании Sony Pictures Entertainment в 2014 году. Изучив профили сотрудников компании в соцсетях, хакерская группа подготовила целенаправленную рассылку, содержащую вирус. Как результат к злоумышленникам попали личные данные 3803 служащих корпорации и содержимое внутренней электронной почты, а в сеть утекли целый ряд невыпущенных в прокат блокбастеров: «Уильям Тернер», «Ярость», «Энни» и другие.
Главная проблема, связанная с фишингом, заключается в том, что не существует ПО, которое защитило бы людей от сайтов-фейков. Именно поэтому кибербезопасность компании, среди прочего, должна включать инструктаж сотрудников по соблюдению элементарных правил предосторожности при работе в интернет-пространстве или «цифровой гигиене». Поскольку именно люди – наиболее уязвимое звено для цифровой безопасности компании.
Чуть сложнее
Компании и учреждения сталкиваются с большим количеством киберугроз, чем рядовые пользователи. Гораздо выше и ответственность, и возможные потери, поскольку организация отвечает за сохранность как коммерческих, так и персональных данных сотрудников и клиентов. В зоне особого риска находятся компании, которые переходят в «цифру» в ускоренном режиме, сейчас это госкомпании, предприятия медицинской и нефтегазовой отрасли.
Рекомендуемые стандарты информационной безопасности для компаний существуют, но их нужно адаптировать индивидуально к бизнес-процессам конкретной компании. Подход к кибербезопасности должен охватывать весь перечень интернет-взаимодействий и быть многослойным, с условием, чтобы каждый уровень защиты дополнял и взаимодействовал друг с другом. Для крупного бизнеса не менее важно, чтобы не только сама организация, но и компании-партнеры (поставщики, сбыт и т.п.) имели защищенные информационные системы. В классических бизнес-процессах крупных компаний используется филиальная инфраструктура, для которой также требуется обеспечение безопасных каналов связи.
Одним из классических методов парализации деятельности бизнеса и госорганов являются DDoS-атаки, представляющие собой перегрузку серверов организации лавинообразным ростом запросов, тем самым блокируя доступ к ресурсу. В январе 2020 года массированную DDoS-атаку пережили игровые серверы популярной игры World of Tanks. А среди последних известных жертв сайты Минобороны России и газеты «Ведомости» в июле 2021 года.
Для защиты от данного типа кибератак рекомендуется применять ряд фильтров, подключенных к интернет-каналу и реализованных на уровне маршрутизаторов, управляемых свичей либо специальными аппаратными средствами. Их задача – последовательный анализ проходящего трафика для выявления нестандартной сетевой активности и отсева подозрительных запросов. Фильтрация трафика производится на основе его содержимого, IPадресов и других параметров. Данный тип защиты пригоден для отражения большинства DOS-атак, в том числе для реализуемых посредством распределенных бот-сетей.
Среди наиболее популярных методов работы в последние годы подсадка вирусов-шифровальщиков и других программ класса «ransomware» на серверы компаний. Попав на сервер, вредоносное ПО, как следует из названия, шифрует важные данные и выставляет требование о выкупе за ключ к дешифровке. Доставка шифровальщиков осуществляется уже озвученным методом рассылки (через сотрудников организации), через внешние службы удаленного доступа (при наличии открытых RDP-портов), либо методом скрытой загрузки вредоносных скриптов в HTTP- или PHP-коде, внедренных злоумышленниками вследствие взлома сайта. Данный класс атак был известен и ранее, но сегодня злоумышленники сместили фокус на крупные организации, включая государственные и медицинские учреждения.
Целенаправленные атаки вымогателей в 2020 году парализовали работу таких гигантов, как Canon, Capcom и Garmin. На восстановление работы внутренней сети компаниям требовалось в среднем 18 дней. Большинство атак произошли в Северной Америке и Европе. Один из громких случаев прошлого года – кибератака на организацию Universal Health Services (UHS), в состав которой входят 400 медучреждений в США, Великобритании и других странах. Затронута была большая часть клиник. Компьютеры медработников не загружались, пострадала и телефонная сеть. Какое-то время медучреждениям пришлось полностью работать без ИТ-сервисов, а часть пациентов пришлось перенаправить в другие медучреждения. В марте 2021 года стало известно, что эта атака обошлась UHS в 67 млн $, считая расходы на восстановление данных, упущенную прибыль из-за снижения потока пациентов и так далее.
Вопрос безопасности в интернет-среде сегодня касается каждого. И в случае компаний важно понимать, что вопрос обеспечения кибербезопасности – это не единичное мероприятие, а непрерывный процесс. Цифровые инструменты неимоверно облегчают документооборот и в целом ведение бизнеса. Но чем активнее применяются информационные технологии в работе организации, тем серьезнее опасность ущерба от кибератак.
Дмитрий Горбунов