Китайские хакеры переключились с США на Россию. По данным "Лаборатории Касперского", только за прошлый год они атаковали 35 российских предприятий. Кроме того, китайские киберпреступники пытались совершить ряд громких "диверсий" и в 2017 году. В апреле, по данным компании FireEye, они попробовали взломать системы противоракетной обороны Южной Кореи. А в июне получили доступ к веб-камерам со всего мира, создав специальную "крак-программу". Какие еще киберугрозы исходят от азиатских стран? А также какие симптомы выявил вирус WannaCry, как повлиял Эдвард Сноуден на киберпространство и где найти "таинственных русских хакеров", атакующих Америку и Катар? Об этом в интервью собственному корр. SevastopolMedia в Москве рассказал член "Валдайского клуба", консультант по стратегии кибербезопасности ПИР-Центра Олег Демидов.
— Олег, расскажите, какую угрозу могут представлять "азиатские хакеры" для России?
— Некоторые киберугрозы исходят сегодня из Китая. И это несмотря на то, что у нас с КНР сейчас выстраивается сотрудничество по вопросам кибербезопасности, на межправительственном уровне есть двусторонние соглашения. Однако российские промышленные предприятия потенциально могут быть подвергнуты атакам из Китая. Дело в том, что в 2015 году "Лаборатория Касперского" зафиксировала трехкратный рост компьютерных атак на российские предприятия, в том числе оборонного, аэрокосмического, топливно-энергетического профиля. След этих атак, как ни странно, вел в КНР.
Киберугрозы идут и из других стран Юго-Восточной Азии. В некоторых из них растет число пользователей гаджетов и устройств. Однако культура кибербезопасности остается низкой. Слабое местное законодательство, регулирующее компьютерные преступления. Такие страны становятся безопасными гаванями для компьютерных мошенников, в том числе для выходцев из стран СНГ. Они могут отсиживаться на территории азиатских стран и совершать оттуда преступные операции и банковское мошенничество на родине. Кибермошенники особенно любят такие страны, как Тайланд и Индонезия.
Олег Демидов. Фото: из архива Олега Демидова
— Ведется ли в России мониторинг кибератак на госучреждения и крупные коммерческие предприятия?
— Конечно, это задача государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак – ГосСОПКА. Она создается усилиями ФСБ. Ее работа координируется Национальным координационным центром по компьютерным инцидентам. Это единая федеральная система противодействия компьютерным атакам. Она направлена на защиту ряда объектов критической информационной инфраструктуры, в том числе частных организаций.
Также мониторинг компьютерных инцидентов проводят частные компании. К примеру, осенью прошлого года "Лаборатория Касперского" создала собственный центр реагирования на компьютерные инциденты на объектах критической инфраструктуры. С 2015 года работает центр реагирования на компьютерные инциденты на объектах в финансовой отрасли. Есть еще центр реагирования, созданный одной частной компанией. Он оказывает услуги на коммерческой основе.
— Есть ли подобные структуры на межгосударственном уровне?
— Да, есть. С 2014 года работает Консультативный центр ОДКБ по обмену информацией по компьютерным инцидентам. К нему планируют присоединиться Киргизия и Казахстан. Центр сегодня превращается из бумажной структуры в действенный механизм обмена информации.
Глобальные ассоциации реагирования на компьютерные атаки есть в Европе. Например, Международный форум реагирования на компьютерные инциденты. На восточно-азиатском направлении тоже ведется работа по укреплению кибербезопасности. В рамках регионального форума АСЕАН проводится работа по созданию многостороннего плана действий в области кибербезопасности. В этом плане есть пункты, касающиеся укрепления сотрудничества и повышения уровня обмена информацией.
— Давайте теперь поговорим о кибертерроризме. Насколько сегодня реальна эта угроза? Имеют ли террористы ИГИЛ (организация запрещена на территории России – ред.) возможности и специалистов, способных проводить кибератаки против западных стран?
— Это скорее пока только потенциальная угроза. Все инциденты, происходившие ранее, не выходили за рамки примитивных DDos-атак. Члены экстремистских группировок забивали канал какого-то ресурса большим потоком мусорного траффика либо проводили примитивные взломы, наподобие "дефейса", когда заглавная страница сайта модифицируется и на ней появляются различные лозунги.
Однако с прошлого года начали появляться экспертные прогнозы, основанные на анализе ведущими компаниями компьютерных инцидентов. Все они сводятся к тому, что
в скором времени – возможно, через год или два – у наиболее мощных радикальных группировок появятся специалисты, способные проводить компьютерные атаки продвинутого уровня.
Они будут нацелены на объекты критической информационной инфраструктуры – на автоматизированную систему управления технологическим процессом на промышленных объектах. В опасности окажутся объекты электроэнергетики, магистральные операторы связи, промышленные предприятия, система командования и обмена данных между военными объектами.
Риск кибератак террористов становится высоким, сгущаются тучи.
— Расскажите о наиболее резонансных попытках террористов атаковать госучреждения.
— Атак террористов, вызвавших нарушение технологического процесса на предприятиях, пока не было. Есть ряд инцидентов, за которыми непонятно кто стоит. Обычно их списывают на работу постоянных группировок, представляющих повышенную опасность, и связывают с работой спецслужб разных стран. К экстремистам их, как правило, не относят. Наиболее громкие атаки на энергетические объекты в Европе и последние инциденты на Украине, в США и в Азии связывают именно с этими группами и спецслужбами. Гораздо реже действия таких групп увязывают с нападением террористов. Это скорее исключение.
— Недавно в таких кибератаках обвинили якобы связанных со спецслужбами России хакеров. Насколько обоснованы такие обвинения? И существует ли некая таинственная группа российских хакеров, совершающая атаки на западные страны?
— Хакеры, сотрудничающие с государством, конечно, чисто теоретически способны провести подобные кибернападения, ничего сверхъестественного в них нет. Как в американском, так и в катарском случае взламывалась не изолированная от интернета инфраструктура. У нее не было максимального класса защиты.
Несмотря на это, данные кибератаки вызвали огромный резонанс. Скрывались ли за ними российские хакеры? Знаете, мочь и делать – это совершенно разные вещи. Да, теоретически они могли это сделать, но внятных доказательств о причастности хакеров из России к этим инцидентам предоставлено не было. У меня их тоже нет.
— В мае во всем мире произошла массовая кибератака с помощью вируса WannaCry. Россия стала одной из стран, лидирующей по числу заражений – пострадали сайты МВД, РЖД, Мегафона. Почему Россия оказалась не готова к этому вирусу?
— Вирус высветил несколько симптомов. Первый: системные администраторы и сотрудники организаций, которые должны заниматься безопасностью на предприятиях, в некоторых странах показали более высокий уровень безответственности и безалаберности, чем в остальном мире. К сожалению, список таких стран возглавила Россия. У нас почему-то сотрудники компаний не считают, что в случае появления реальной угрозы надо принимать действенные меры по ее предотвращению. Они не заходят на сайты обновления информации и не скачивают оттуда "апдейты" для защиты от уязвимости. Надо активнее предпринимать предупредительные меры и закрывать порты для сетевого траффика, какие-то протоколы на серверах при таких атаках. Этого сделано не было.
Вирус WannaCry показал, что в России не очень высокий уровень кибербезопасности и, поскольку число кибератак нарастает, его надо срочно повышать.
Второй симптом, выявленный вирусом WannaCry. Разработки правительственными спецслужбами программ по созданию средств компьютерных атак начинают напитывать рынок компьютерной преступности. WannaCry был основан на "эксплойте" — программе, эксплуатирующей компьютерную уязвимость протокола SMB, под названием Eternal Blue. "Эксплойт" был создан агентством национальной безопасности США для его собственных нужд. Однако описание программы и специальный код был похищен группировкой хакеров и выложен в открытый доступ. В результате эта технология расползлась по рынку компьютерной преступности и начала использоваться в разных вариациях. Это уже не первый эпизод, когда так происходит. За последние 2 года из арсенала американских спецслужб похищались, а затем выкладывались в открытый доступ множество технологий. Это становится тенденцией. Государства развивают собственные арсеналы средств для киберопераций, но не могут обеспечить их конфиденциальность. К примеру, американские спецслужбы работают с большим числом посредников и подрядчиков. Утечки обычно происходят через них. При этом часто происходят утечки передовых средств эксплуатации уязвимости.
— Одна из самых массовых утечек информации за всю историю США была организована программистом Эдвардом Сноуденом. Какие новые тенденции появились после этого инцидента?
— После появления Сноудена в 2013 году на глобальном рынке информационных технологий появились новые решения, новые концепции и сервисы. Главное изменение — повсеместный переход на максимально возможное шифрование трафика в Интернете. До Сноудена число зашифрованного трафика в сети, передававшегося по протоколу https, составляло 26-28%. У людей не было мотивации переходить на этот протокол и шифровать свой трафик. Сноуден показал, что угроза приватности, угроза частной жизни пользователя в сети носит массовый характер и превентивные меры по обеспечению безопасности жизненно необходимы. Это стало катализатором перехода на шифр https и другие средства шифрования траффика.
Сегодня мы уже имеем больше половины глобального траффика, который идет в зашифрованном виде. Его доля быстро растет. Буквально через 2 года, по имеющимся прогнозам, 90% траффика будет зашифровано, а оставшаяся 10% будет "мусорным трафиком" желтых ресурсов.
Кроме того, Сноуден способствовал массовому внедрению сервисов, основанных на сквозном шифровании. Они позволяют пользователю защититься как от самого сервиса, так и от третьих лиц. В сквозном шифровании данные передаются напрямую между устройствами конечных пользователей, а компания, которая предоставляет соответствующий сервис, не имеет доступа к коммуникациям и ключам сквозного шифрования. Без Сноудена рост популярности этого вида шифрования так быстро не произошло бы.
Также после Сноудена стало очень популярно использование VPN и других продвинутых средств по обеспечению безопасности и приватности коммуникаций.
VPN три-четыре года назад был игрушкой для "криптопанков" — крайне ограниченной группы людей. Они использовали его либо из-за чувства паранойи, либо из профессионального любопытства. Сегодня же VPN стал массовым продуктом. Он максимально прост и им пользуются миллионы людей.
И последняя вещь, возникшая после Сноудена. Его разоблачения дали пинок для изменения политики крупных it-компаний. Они начали представлять общественности "отчеты о прозрачности". В этих отчетах содержится информация о том, какие запросы о раскрытии данных пользователей сервер получил в течение года, в том числе со стороны спецслужб. Также там есть информация, какой процент этих запросов был удовлетворен. До Сноудена такие отчеты готовили только некоторые компании с "повышенным чувством совести". Но теперь такая практика стала повседневной. Любая крупная корпорация на западе готовит такие отчеты и их подробно обсуждает общественность.
 |
вступайте в группу SevastopolMedia ВАЖНОЕ в WhatsApp и узнавайте все самые важные новости Севастополя |
