Защита от информационных угроз становится частью национальной безопасности.
Защита от информационных угроз становится частью национальной безопасности.
Киберпреступность как глобальная угроза
Ущерб мировой экономике от кибератак в 2019 году по всему миру вырастет до $2,5 трлн. Именно такие цифры приводят аналитики Сбербанка. Это означает, что за год ущерб от преступной деятельности в киберпространстве вырастет более чем в полтора раза – по сравнению с $1,5 трлн в 2018.
В последние годы хакерские атаки и ущерб от них все чаще становятся предметом обсуждений и манипуляций. Тема киберпреступности постоянно возникает в зарубежных медиа. Создается стойкое впечатление, что западные СМИ стремятся утвердить в общественном сознании мысль о том, что за большинством кибератак стоит Российская Федерация, которая сделала хакеров орудием для вмешательства в политические процессы по всему миру.
"Обвинения такого рода выдвигать крайне легко, особенно, когда они не подкреплены никакими техническими данными, которые позволили бы однозначно вычислить истинного виновника. В подобных случаях иностранные СМИ часто забывают о том, что глобальное информационное пространство имеет общие проблемы, и хакерские атаки являются одной из основных угроз. Средства, которыми пользуются преступники, постоянно становятся более изощренными, а современные системы, призванные защитить безопасность данных, не успевают подстраиваться под новые обстоятельства. При этом атака на критические инфраструктуры может не только нанести колоссальный экономический ущерб, но и нарушить деятельность многих предприятий. Противостояние новым угрозам будет эффективным только в условиях совместной работы всех заинтересованных сторон. Но, кажется, это понимают далеко не все."
О вездесущих и почти мистических российских хакерах мир услышал в 2016 году. В разгар президентской кампании в США на сайте WikiLeaks появились детали из взломанной переписки руководства Демократической партии. Хиллари Клинтон заявила, что обладает «достоверными сведениями» о причастности к взлому именно российских хакеров и о намерении Москвы вмешаться в проведение президентских выборов. При этом в WikiLeaks сообщали, что документы получены от инсайдеров в Демократической партии.
В 2017 году управление директора Национальной разведки опубликовало доклад, где в столь полюбившемся Западу стиле «highly likely» утверждалось, что хакерские атаки на компьютерные системы в США предпринимались по непосредственному указанию Кремля. Согласно докладу, их целью была дискредитация демократического процесса в США и нанесение репутационного ущерба Клинтон, чтобы повысить шансы Трампа. Ни одного прямого доказательства в докладе не содержится.
"Существует еще одна проблема, которая мешает безоговорочно верить в версию о "русских хакерах". Сайт Wikileaks 7 марта 2017 опубликовал новый набор документов ЦРУ, где среди прочего содержатся сведения об арсенале хакеров ведомства. Среди массы других сведений есть данные о группе под кодовым наименованием UMBRAGE, входящая в состав Отдела удаленных разработок. По данным, полученным Wikileaks, группа использует в работе приемы «позаимствованные» из вредоносного ПО, созданного в разных странах и, в том числе, в Российской Федерации. Таким образом, оставленные на «месте преступления» виртуальные следы, недвусмысленно указывающие на одну страну происхождения хакеров, могут быть всего лишь обманкой. Что создает идеальные условия для новых политических заявлений и манипуляций. Тем более, что бездоказательные обвинения России в причастности к кибератакам, кажется, стали считаться у западных медиа хорошим тоном."
Нападениям хакеров подвергаются как системы крупных компаний, так и мобильные устройства граждан, которые хранят массу персональных данных. Интересы злоумышленников также могут лежать в различных областях – от сугубо коммерческих, до более серьезных, когда атака является способом шпионажа или диверсии. Время вспомнить, какими были самые громкие события, связанные с киберпреступностью, за последние годы.
В 2015 группировка «КиберБеркут» взломала сайты парламента ФРГ и ведомства канцлера Ангелы Меркель, а уже спустя месяц другие киберпреступники получили доступ к базе данных компании Anthem, где хранились сведения о 80 млн клиентов и сотрудников фирмы. В инциденте обвинили китайских хакеров.
В ноябре того же года неизвестный взломал сервер американского телекоммуникационного провайдера Securus Technologies и разослал журналистам более 144 тысяч аудиозаписей бесед американских заключенных. Обнародованная информация позволила вскрыть тот факт, что, несмотря на запрет записи разговоров, компания Securus собирала и хранила эти данные.
"В 2016 году объем покушений на хищение средств со счетов российских банков превысил 5 млрд рублей, причем два из них мошенникам получилось украсть. Под удар попал и почтовый сервис Mail.ru. Хакеры заполучили пароли от электронных ящиков 57 млн пользователей. Среди пострадавших оказались и владельцы почтовых ящиков на Yahoo (40 млн), Hotmail (33 млн) и Gmail (24 млн). В руках у мошенников оказалось 272 миллиона учетных записей пользователей. Часть из них является сотрудниками крупных американских банков и организаций в области промышленности и розничной торговли."
В 2017 году сервисы «Роснефти» и подконтрольной «Башнефти» были атакованы вирусом, схожим по действию с WannaCry. Об этом сообщили представители компании в официальном твиттере. Атака вызвала коллапс в офисах компании, но добыча и обработка нефти не была остановлена благодаря резервному оборудованию.
Страдала и банковская система: Сбербанк, «Альфа-банк» и три других крупных финансовых организации стали мишенью для хакеров. Судя по мощности и продолжительности атаки – наиболее продолжительная попытка взлома длилась более двух часов – были задействованы тысячи компьютеров по всему миру. Пик DDoS-атаки пришелся на 3,2 миллиона пакетов в секунду. По итогам произошедшего Центробанком было принято решение о создании лаборатории, в которой будут изучаться технологии и последствия кибератак. Позднее появилась информация, что командные центры для проведения кибератак находились на территории Нидерландов, а их владельцем является хостинговая компания BlazingFast.
Хакерская атака с использованием вируса вируса-вымогателя WannaCry 2017 года широко освещалась в СМИ. Вирус заразил около 300 тыс. компьютеров как минимум в 150 странах мира. Эта атака менее чем за неделю причинила ущерб в размере $1 млрд – такие данные приводит ИА «Интерфакс», со ссылкой компанию KnowBe4 из Флориды, специализирующейся на информационной безопасности. Вирус парализовал работу некоторых компаний, значительно снизил производительность других и привел к потере большого количества данных по всему миру.
Хакерские атаки и критическая инфраструктура
Одной из главных задач для всех стран сегодня является защита критической инфраструктуры. К ней относят информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия. Ключевым условием отнесения системы к КИИ является ее использование государственным органом или учреждением, либо российской компанией в сферах здравоохранения, транспорта, науки, связи, топливно-энергетического комплекса, финансового сектора, атомной энергетики, оборонной и другой промышленности. От работы объектов, относящихся к критической информационной инфраструктуре, зависят здоровье, безопасность и благосостояние граждан. Обеспокоенность безопасностью в условиях растущих угроз обоснована и требует комплексного подхода. Сегодня, несмотря на широкое обсуждение проблем, связанных с киберпреступностью, далеко не все компании понимают, что обеспечение информационной безопасности должно вестись на всех уровнях.
"На фоне беспорядков в Венесуэле перебои с водоснабжением и блэкауты в 20 из 23 штатов страны дополнительно подогревали протестные настроения. Власти Венесуэлы придерживаются мнения о причастности США к сбоям на электростанциях. Крупнейшая в Венесуэле ГЭС "Эль-Гури", покрывающая около 80% потребности страны в электроэнергии, 7 марта пострадала от аварии, которая привела к самым масштабным отключениям электроэнергии за всю историю Боливарианской Республики. Министр связи и информации Венесуэлы Хорхе Родригес сообщил, что энергетическая система страны была атакована извне и обвинил в случившемся США. В качестве доказательства Родригес привел твит американского сенатора Марко Рубио, в котором тот заявил о сбое в подаче электроэнергии в Венесуэле и отказе резервных генераторов в аэропорту страны. Сообщение не было бы подозрительным, если бы не появилось спустя несколько минут после сбоя на ГЭС 7 марта. Министр отметил, что, на его взгляд, такая оперативность свидетельствует о связи США с этим инцидентом."
Международная борьба с киберугрозами
Одной из основных проблем в сфере противодействия киберпреступности является то, что большинство преступлений в виртуальном пространстве являются международными. Злоумышленники могут находиться в любой стране мира, а объект атаки – в другой. Поэтому для борьбы с такими преступлениями особое значение имеет международное сотрудничество, быстрое реагирование и налаженные схемы реагирования на различные вызовы. Сегодня даже в такой важной области взаимодействие стран часто наталкивается на ряд сложностей. Взаимные обвинения в хакерских атаках также не способствуют достижению консенсуса.
"По мнению экспертов ООН киберпреступлением является любое противозаконное действие, совершенное в виртуальном пространстве. К кибепреступности относят все правонарушения, сделанные в рамках коммуникационной сети или компьютерной системы, а также против компьютерной системы и сети."
23 ноября 2001 г. в Будапеште была подписана Конвенция Совета Европы о преступности в сфере компьютерной информации ETS №185, открытая для подписания как государствами - членами Совета Европы, так и государствами, которые участвовали в её разработке. К таким относятся США и Япония. Россия на настоящий момент Конвенцию не подписала.
Государства-участники обязуются поддерживать необходимые правовые условия для предоставления ряда прав и обязанностей компетентным органам по борьбе с киберпреступностью.
"В Конвенции помимо прочего содержится требование создать необходимые условия, чтобы интернет-провайдеры с помощью имеющихся систем могли собирать и хранить необходимую информацию, а также оказывать всяческое содействие правоохранительным органам. Ряд общественных организаций возражает против подобных мер, поскольку подозревает, что они превратятся в средство поощрения слежки за частной жизнью. В число выступающих против подписания Конвенции входит международная организация Internet Society, Cyber-Rights & Cyber-Liberties (Великобритания), организации Electronic Frontier Foundation (США), Kriptopolis (Испания) и другие."
В начале 2002 г. был принят Протокол №1 к Конвенции о киберпреступности. Он присовокупил к перечню преступлений распространение информации, побуждающей к насильственным действиям, ненависти или дискриминации в отношении лица или группы лиц, на основании их расовой, национальной, религиозной или этнической принадлежности.
Практика защиты КИИ в РФ
В главе 28 УК РФ, предусматривающей наказание за кибернарушения, содержится 3 статьи, которые относятся к противоправным деяниям в сфере компьютерной информации. Наказание предусматривается за незаконное получение доступа к информации, приведшее к блокировке, копированию, изменению или уничтожению данных (Статья 272 УК РФ). Уголовная ответственность предусмотрена вплоть до лишения свободы на срок до 7 лет. Такой же срок грозит за создание и распространение вредоносных программ (Статья 273 УК РФ) Сроком лишения свободы до 5 лет наказывается нарушение требований к эксплуатации устройств для хранения, передачи и обработки данных компьютеров и телекоммуникационных информационных сетей (Статья 274 УК РФ).
В 2017 году в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак ФСБ была создана техническая инфраструктура Национального координационного центра по компьютерным инцидентам (НКЦКИ).
"С 1 января 2018 года в России вступил в силу закон «О безопасности критической информационной инфраструктуры Российской Федерации». Как показывает практика, даже крупные компании далеко не всегда способны защититься от угроз в виртуальном пространстве, и атаки на серверы «Роснефти» являются наглядным доказательством. Кроме того, далеко не все понимают, насколько велика реальная опасность от хакерских атак. При этом, всего один виртуальный удар по незащищенным критическим информационным структурам может привести к глобальным последствиям в виде аварий, блэкаутов и иных сбоев."
В таких условиях борьба с информационными угрозами становится необходимой составляющей национальной безопасности. Все методы, направленные на защиту инфраструктурных объектов, должны складываться из двух направлений: защиты информационных систем и физическая безопасность производства.
"Промышленные системы наподобие SCADA, как правило, работают со специфическими сетевыми стандартами, и требуют особых инструментов анализа. Поэтому в последнее время особую популярность получили встраиваемые непосредственно в инфраструктуру пассивные системы мониторинга активности и предотвращения угроз (Network Anomaly Detection). Это, в частности, системы класса Network Behavior Anomaly Detection/Deep Packet Inspection, которые применяются для обнаружения аномалий в случае использования промышленных протоколов. Применяются и активные системы управления информационными потоками в виде промышленных межсетевых экранов, однонаправленных шлюзов и подобных средств."
26 марта 2019 года появилось уведомление о том, что начата работа над проектом ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)». Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) предлагает запретить обработку за рубежом информации, относящейся к КИИ России. Фактически, новый закон станет клоном статьи 13.12 Кодекса об административных правонарушениях «Нарушение правил защиты информации», специально учитывающим требования к защите критической инфраструктуры.
Существует еще одна проблема, к которой хакеры не имеют никакого отношения. Владельцев значимых КИИ в России сегодня практически невозможно привлечь к ответственности за несоблюдение требований к безопасности объектов. Наказание может последовать только в случае неправомерного воздействия на КИИ, поэтому многие организации стараются скрыть принадлежность своих объектов к критической инфраструктуре. До тех пор, пока сознательность не одержит верх над желанием сэкономить, многие объекты в стране остаются крайне уязвимыми для злоумышленников.
"В 2018 году только информационная инфраструктура российского Чемпионата мира по футболу подверглась более чем 25 млн вредоносных воздействий. Всего на критическую информационную инфраструктуру России за год было совершено более 4,3 млрд кибератак. Такие цифры привел 12 декабря 2018 года заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов. Эксперты отмечают – ожидать снижения интенсивности кибератак бессмысленно, более того, их количество будет расти экспоненциально."
Эти опасения разделяют и специалисты: «В ближайшие годы мы будем наблюдать рост и разнообразие угроз. Это обусловлено двумя факторами. Во-первых, увеличением количества систем автоматизации и, как следствие, каналов управления и передачи информации внутри технологического объекта и связывающих объект с другими объектами и с внешним миром, в том числе через интернет, а также увеличением разнообразия средств автоматизации на предприятии, что увеличивает поверхность атаки и сложность защиты промышленных предприятий. Во-вторых, увеличение количества организаций и лиц, имеющих непосредственный или удаленный доступ к системам автоматизации, что расширяет возможности злоумышленников при организации и проведении атак», – говорит Евгений Гончаров, руководитель ICS CERT "Лаборатории Касперского".
Итак, кажется, пришло время признать, что виртуальные угрозы становятся частью реальности, и эта проблема не исчезнет в ближайшее время. Если ничего не предпринять, то вскоре мы безнадежно отстанем в гонке информационных вооружений.