Новости

Эксперт IBM — о том, как мошенники играют на человеческой психике

2 июня 2021
В Генпрокуратуре РФ назвали Санкт-Петербург лидером по количеству киберпреступлений в стране. По словам начальника Главного организационно-аналитического управления Генеральной прокуратуры РФ Андрея Некрасова, в2021 году в городе на Неве зафиксирован самый значительный рост количества зарегистрированных преступлений в сфере высоких технологий — 780% по отношению к показателю 2019 года (с 2,2 тыс. до 19,5 тыс.). Речь идет о преступлениях, совершенных с использованием интернета, средств мобильной связи и пластиковых карт. По мнению Андрея Некрасова, масштабы киберпреступлений позволяют говорить о них «как об угрозе национальной безопасности; особенно с учетом их низкой раскрываемости, фиксируемой на уровне не более 25%».

О тревожной ситуации в сфере IT-безопасности говорит и мировая статистика. По данным отчета X-Force Threat Intelligence Index (составляется по результатам ежедневного мониторинга более 150 млрд событий из сферы информационной безопасности более чем в 130 странах мира), в 2020 году в мире вдвое увеличилось количество кибератак на сферы здравоохранения, производства и энергетики.

Руководитель консалтинговой практики в области информбезопасности IBM в России и странах СНГ Алексей Воронцов рассказал РБК Петербург о новых трендах в сфере IT-мошенничества и объяснил, как киберпреступники останавливают работу целых компаний.


Удаленные сотрудники — слабое звено

— Алексей, как пандемия изменила характер хакерских атак? Кто в период массовых ограничений чаще всего становился жертвой мошенников?

— Раньше фишинговые атаки были на первом месте. Это когда преступники прикидываются легальным сервисом, например, сайтом банка, чтобы получить от вас данные для входа в банк, или обращаются в службу безопасности, просят сбросить пароль и прислать новый. То есть, получают определенный доступ от человека.

В 2020 году, в период пандемии, на первое место вышли атаки, использующие автоматизированные способы эксплуатации уязвимостей. Сотрудники стали выносить свои компьютеры за периметр компании, где их уже не оберегали службы корпоративной защиты, и эти компьютеры стали более уязвимыми. То есть, корпоративный ноутбук, возможно, не получил последнее обновление безопасности, но он уже находится не в периметре компании. И стандартные скрипты (программные сценарии) атакующих устройств, которые используют для сканирования сетей, находят этот уязвимый компьютер и в ходе автоматизированной атаки получают к нему доступ. А дальше мошенники выясняют, что этот компьютер на самом деле корпоративный. Через него вы обращаетесь в сеть вашего предприятия — участвуете в видеоконференциях, пользуетесь системами удаленного доступа, различными системами, связанными с облачными информационными средами. И атакующий уже вручную может проникнуть дальше.

— Что является самым слабым звеном в кибербезопасности предприятий?

— Кибепреступники используют множество механизмов для проникновения в информационные системы компании, начиная с чисто технических, когда эксплуатируются имеющиеся уязвимости на уровне приложений или системного программного обеспечения. Но один из наиболее распространенных путей проникновения мошенников в компании — непосредственно через сотрудников. С помощью средств социальной инженерии и того факта, что пользователи не соблюдают даже элементарную цифровую гигиену. Очень часто мошенники подбирают пароль.

— Неужели это до сих пор актуально?

— Да, это до сих пор актуально. Мы пользуемся различными интернет-сервисами, заходим в социальные сети, аутентифицируемся в интернет-магазинах. И когда у человека 100-300 различных аккаунтов, он не может пользоваться везде разными паролями. И ситуация в том, что человек начинает использовать пароль доступа к рабочим ресурсам и в других приложениях, в том числе в сети интернет. А там пароль гораздо легче взломать, чем корпоративную защиту. И после получения этого пароля все остальные оказываются в доступе у злоумышленников.

— Получается, стоит взломать компьютер удаленного сотрудника, и перед мошенниками — вся компания, как на ладони?

— Получение доступа к учетным данным компьютера сотрудника — это компрометация всей корпоративной системы. Теми же средствами удаленной работы, которыми мы пользуемся сами, может воспользоваться и злоумышленник. И в том числе не только для получения доступа к данным на компьютере, но и для прохода на следующую точку, через которую он может атаковать корпоративную систему дальше. То есть, он уже попал внутрь периметра, системы защиты его считают за своего, и он может взламывать вашу систему дальше. И так злоумышленник получает доступ ко всему: к корпоративным, платежным данным, к персональным данным сотрудников и клиентов вплоть до возможности зашифровать наиболее важные корпоративные данные и потом потребовать за них выкуп.

— Получается, во всём виновата «удаленка»?

— Большинство служб корпоративной безопасности не успели вовремя перестроиться. Никто не ожидал, что нужно будет срочно переводить всех на удаленку. Те компании, которые уже имели какой-то штат удаленных сотрудников и выработали методы, имели средства для защиты подобных сотрудников, они гораздо меньше пострадали. А кому-то пришлось это придумывать буквально на ходу, и безопасность уже была на втором месте.


Осторожно! Вас обманывает искусственный интеллект

— Что нового появилось в инструментарии кибермошенников?

— Если говорить про корпоративный сектор, то борьба между атаками и защитой — это вечное соревнование меча и щита. Постоянно появляется что-то новое. Если 10 лет назад это были вирусы, 5 лет назад начались атаки на промышленные объекты, то сейчас стали использовать искусственный интеллект (ИИ). И в атаках, и, конечно же, в защите. Но на самом деле с точки зрения атак ничего особо нового не происходит. Просто средства искусственного интеллекта начали применяться к проверенным методам социальной инженерии. Социальная инженерия появилась из особенностей человеческой психики — то, что мы всегда в общении со своими ближними стараемся помогать друг другу. Известный хакер Кевин Митник написал об этом целую книгу. Если вам звонит какой-то человек, говорит, что он сотрудник из соседнего отдела, никак не может попасть в свою систему, вполне естественно желание ему помочь. Абсолютно из хороших побуждений. И далеко не каждый проверит, действительно ли в соседнем отделе есть такой сотрудник.

— Технологии искусственного интеллекта, должно быть, дорого стоят. Промышленное или корпоративное кибермошенничество — это, вероятно, высокозатратная и высокоинтеллектуальная преступность?

— Неподъемных затрат для организации мошенничества с использованием ИИ, к сожалению, не требуется, если знать, что делать. И порог вхождения в подобные системы все больше и больше снижается. Соответственно, снижается и барьер применения ИИ в средствах, обеспечивающих информационную безопасность.

Более того, в подобных атаках совершенно необязательно использовать большое количество людей. Мы, конечно, слышим о телефонных мошенниках, которые сейчас нас просто заполонили, о целых группировках, которые одолевают пенсионеров. Но проблема в том, что высокие технологии сейчас позволяют организовывать похожие вещи без привлечения колл-центров или кого-то еще, кто будет заниматься этим вручную. Появляются роботы, которые могут общаться с человеком, как живые люди, а не машины, и в автоматизированном виде выведывать информацию. И это используется повсеместно с помощью средств искусственного интеллекта, голосового общения и прочего. Методы те же самые, просто средства новые. Задаются определенные шаблоны общения, общение идет чаще всего не голосом, а в различных мессенджерах, но общую картину разговора, я думаю, мы все себе представляем. Якобы, случилась какая-то проблема у родственника, либо у вас сейчас украдут деньги, с вами связались из службы банка или вам сообщают о каком-нибудь выигрыше в криптовалюте и так далее и тому подобное.


Вымогают не только у бабушек

— В исследовании IBM говорится, что дороже всего бизнесу обходится утечка данных клиентов. А они раскрываются в 80% случаев. Правда ли, что сегодня предприятия так же легко обмануть, как пожилого человека по телефону?

— Получило очень большое распространение именно за 2020 год направление, связанное с вымогательством, с атаками различных криптошифровальщиков на промышленный сектор. Если раньше больше атак было направлено исключительно на получение прямой финансовой выгоды (например, кража денег или информации о платежах), то сейчас все чаще используют вымогательство. Мошенники получают доступ к информационным системам предприятия, после этого ключевая информация зашифровывается, и производственные циклы просто встают. И дальше компания оказывается перед выбором: либо у нее достаточно длительный цикл восстановления всех информационных систем из резервных копий, если они есть, либо она вынуждена заплатить мошенникам внушительный выкуп в криптовалюте.

В 2020 году почти четверть всех атак с использованием шифровальщика была на промышленный сектор. Меньше месяца назад подобная атака произошла на топливно- энергетический сектор в США. Это продолжение общего тренда. В России такие случаи есть, но я не могу их здесь назвать. Ведь далеко не все компании публично распространяют подобную информацию.

— Какой ущерб способны нанести киберпреступники предприятиям? В какой валюте он измеряется?

— Если говорить про ущерб в целом, то интересные исследования провел Ponemon Institute совместно с IBM. В среднем по миру цена одной утечки оценивается в районе 4 млн долларов.

Утечка клиентских данных, включая персональные данные сотрудников и клиентов, информацию о платежах, — это в большой степени еще и публичный ущерб с точки зрения имиджа компании. В определенных странах при такой утечке требуется обязательное оповещение и юридическая защита. Это значит, что на каждого пострадавшего клиента необходимо заложить бюджет, оповестить его, что ваш номер социального страхования или номер паспорта украден, и какие мошеннические действия с ними возможны. Также это могут быть особо важные корпоративные данные, связанные с закупками, ноу-хау и интеллектуальной собственностью, с кражей исходного кода. В прошлом году было несколько громких случаев с кражей исходного кода различных компьютерных игр. И здесь ущерб достаточно трудно посчитать, но чаще всего преступники используют шантаж. Данные шифруются, и компаниям говорят: либо вы их сейчас потеряете, либо заплатите нам 5 млн долларов в криптовалюте. И приходится выбирать, какой ущерб представляется меньшим злом.


Buzzwords, или «Жмите сюда!»

— Аналитики говорят, что наряду с предприятиями, финансовыми и страховыми организациями атакам подвергались учреждения здравоохранения: больницы, фармацевтические компании, производители медицинского оборудования, то есть социальный сектор, наиболее важный и актуальный в период пандемии. Значит ли это, что мошенники играют на трендах?

— Безусловно. Аналитики новых кибератак IBM X-Force отметили еще один тренд. Он менее очевиден. Мошенники использовали так называемые buzzwords (модные словечки и фразы), чтобы привлечь людей к каким-то фишинговым атакам или к «малвари» (вредоносному ПО), мотивировали открывать ссылки и файлы. В 2020 году такой темой, общей для всего населения земного шара, стала пандемия в начале года и вакцинация в конце года. Мошенники не обошли вниманием этот факт и вовсю им пользовались, распространяя письма и сообщения вроде: «Хотите узнать ближайший к вам пункт вакцинации (или о последствиях применения вакцин)? Жмите сюда!».


Принцип нулевого доверия

— Ситуация выглядит так, что ни бизнес, ни государства, ни тем более отдельные пользователи не защищены от глобального мошенничества. В России правоохранительные органы раскрывают в лучшем случае четверть дел, связанных с киберпреступлениями.

— Бизнесу надо понять, что мы сейчас живем в мире, который очень сильно зависит от информационных технологий. А информационная безопасность — это своего рода изнанка технологий. У нас везде идет цифровизация, перевод всего в электронный вид, потому что это позволяет всем получать огромное количество бизнес-преимуществ. Если не воспользоваться цифровизацией, можно потерять конкурентоспособность. Но необходимо знать и о рисках, которые она несет.

Жертвам злоумышленников наиболее правильно обратиться в правоохранительные органы. К сожалению, если мы говорим про реалии жизни, это может быть не самым действенным способом. Но любая незаконная деятельность, безусловно, должна быть в поле зрения правоохранительной системы. А чтобы минимизировать ущерб для компании, важно среагировать как можно раньше. И вот здесь возможность оперативного реагирования на инцидент кибербезопасности может предоставить только собственная система защиты, потому что правоохранительные органы просто не в состоянии обеспечить вам непосредственную, оперативную реакцию на инцидент. Расследование, поиск злоумышленников — да, но это потребует времени. Чем больше времени вы потратите на реагирование на инцидент и устранение последствий, тем больше денег вам этот инцидент будет стоить.

И поэтому нужно развивать свою корпоративную службу кибербезопасности и применять принципы киберустойчивости, то есть правильно сохранять данные, иметь резервные копии, иметь план восстановления в случае кибератаки для того, чтобы вы могли быстро восстановить функционирование вашего предприятия. И в том числе, естественно, защищать данные сотрудников.

— О каких методах защиты вы говорите?

— Главный вопрос не в том, какие методы вы используете сейчас для защиты, а есть ли в вашей корпоративной культуре, системе безопасности процесс адаптации к новым угрозам. Если вы не адаптируетесь, то какая бы у вас классная система сегодня не была, завтра она уже устареет. Адаптация — это выстраивание правильных операционных процессов внутри службы информационной безопасности. Необходимо создавать то, что называется security operations center (SOC) — центр оперативного реагирования на инциденты информационной безопасности. Крупные компании в России начинают вовсю строить подобные структуры. Например, мы еще в 2016 году начинали помогать Сбербанку выстраивать такую структуру.

— А что касается личной безопасности, есть ли золотое правило, которое защитит от мошенников?

— Золотых правил безопасности не существует. Но самое главное и в корпоративной, и в личной безопасности — не доверять словам и тому, что вы не можете проверить. Сейчас в цифровой среде все чаще начинают использовать принцип так называемого нулевого доверия. Когда мы через свой компьютер общаемся с компьютером сотрудника, на удаленном режиме, она может быть скомпрометирована. Или за ней сидит уже другой человек. И тот же принцип — доверяй, но проверяй — можно применять и в реальной жизни. Если от вас требуют какие-то подозрительные действия, которые потенциально могут привести к получению доступа к финансовым ресурсам, инструментам, персональным данным, старайтесь это проверить из независимых источников. Вам якобы звонят из банка? Положите трубку, перезвоните в банк по телефону, который обозначен на сайте банка. Если вам звонит какой-то сотрудник и вы его не знаете, проверьте, что он существует в реальности.

Если мы говорим, например, про проблему паролей, вы можете использовать различные средства, называемые двухфакторной аутентификацией. Когда у вас, кроме пароля, есть что-то еще. Например, USB-токен или возможность ввести код из приложения или смс. Я думаю, что с подобными вещами многие уже сталкивались в личной жизни.

— Можно ли обычному пользователю освоить все эти правила? На это ведь нужно время.

— Естественно, следует говорить о внедрении курсов осведомленности пользователей, потому что все равно эти действия остаются тонким звеном безопасности. При этом надо понимать, что правила должны быть не только строги, но и удобны. Человек не в состоянии запоминать очень сложные пароли, которые меняются каждый месяц. Сотрудник будет их либо забывать, либо записывать на бумажке. А когда он работает из дома, бумажку может увидеть ребенок, он зайдет на рабочий компьютер папы, чтобы поиграть, подхватит вирус — и все, ваша компания потенциально попала на десятки миллионы рублей. Естественно, стоит выполнять программы тестирования корпоративной защиты на проникновение.

— Что делать с паролями? Как их придумывать?

Если же мы говорим про индивидуального пользователя, то здесь и проще, и сложнее. Вы не можете влиять на то, чем вас защищают другие компании. Что вы можете сделать? Запоминать 200-300 паролей — не вариант. Но вы можете воспользоваться различными менеджерами паролей, просто установив подобное программное обеспечение себе на мобильный телефон. Многие операционные системы вроде iOS и Android уже имеют в штатных версиях возможность сгенерировать уникальный пароль для каждого сервиса и использовать его. В таком случае, если вас взломали в какой-то компьютерной игре, вас не взломают в вашем интернет-банке. А это самое главное. И примите за правило использовать для каждого нового сервиса, для каждого нового интернет-магазина новый пароль. Не обязательно сложный, а, например, просто фразой из нескольких слов. Она настолько же безопасна, как какая-то белиберда с буквами, цифрами и знаками препинания. Но ее гораздо легче запомнить.

Не доверяйте никому на слово, пользуйтесь разными паролями, соблюдайте базовые средства цифровой гигиены, в том числе запускайте антивирусы. Старайтесь перепроверять, перезванивать, потому что наш современный мир с кибермошенниками, к сожалению, понемногу ломает прежнюю привычную структуру доверия друг к другу.

Автор: Юлия Воробьева

РБК, 02.06.2021: https://www.rbc.ru/spb_sz/02/06/2021/60b737499a794788e76b0345