«Киберпреступность по прибыльности обогнала торговлю оружием»

Это становится выгоднее, чем заниматься торговлей оружием

Открывалась конференция секцией «Тренды и угрозы в сфере информационной безопасности», модератор которой, консультант по информационной безопасности компании Cisco Алексей Лукацкий, предложил залу путем голосования выбрать тему для дискуссии — из «регуляторики», «импортозамещения» и «угроз». Большинством голосов была выбрана последняя тема.

В своем докладе Лукацкий привел довольно мрачную статистику Cisco. Цифры, касающиеся спама, исчисляются миллионами сообщений в секунду, миллиардами в день. Само вредоносное ПО становится все умнее и изворотливее, обходя все известные методы защиты. Например, еще оптимистично обсуждавшиеся на IT&Secure форуме «песочницы», оказалось, уже в ряде случаев не работают, запускаемые туда «баги» научились плодиться так, что песочница переполняется ими настолько, что ошибки вываливаются наружу и заражают систему.

Алексей Лукацкий: Ситуация будет только хуже, киберпреступность — это очень хорошая доля рынка. Зачастую это становится выгоднее, чем заниматься торговлей оружием, торговлей алкоголем…

Пессимизм специалистов по безопасности был ярко проиллюстрирован новой реальностью киберпреступности, фактически она оформилась в успешную индустрию, объем рынка которой оценивается в 1 триллион долларов.

— Ситуация будет только хуже, киберпреступность — это очень хорошая доля рынка. Зачастую это становится выгоднее, чем заниматься торговлей оружием, торговлей алкоголем… Это незаметно для многих, многие судьи до сих пор считают эти действия шалостью, а злоумышленники на этом хорошо зарабатывают. Эта индустрия, копирующая все, что делается в любом бизнесе, это свои платежные системы, адвокаты, компании, которые готовы тестировать вредоносный код, свои инструменты, которые гарантируют возврат денег, если код будет обнаружен.

Идеология поменялась, атака используется не только чтобы украсть деньги

Как рассказал «Реальному времени» ведущий аналитик отдела развития компании Dr. Web Вячеслав Медведев, существуют биржи по продаже вредоносов, на которых можно по частям купить и собрать любую конфигурацию вируса.

Организатор конференции, директор компании «Экспо-Линк» Ольга Поздняк отметила, что выбор тем «Кода ИБ» осуществляется по результатам опроса экспертов: «Интересуют конкретно угрозы, «шифровальшики», о которых сейчас очень много говорят. Не сбавляет популярности тема защиты от внутренних угроз — своих собственных сотрудников. Также эксперты отмечали всплеск, киберрынок растет страшными темпами».

Качественные изменения в структуре киберугроз отмечало большинство экспертов, время хакеров-одиночек, писавших для своего удовольствия, ушло.

— Цель атак абсолютно поменялась, если вы посмотрите последние пять лет, то это промышленные предприятия, ядерные реакторы, про банки вообще не говорю — это каждые день. Идеология поменялась, атака используется не только чтобы украсть деньги, а для информационной, политической, геополитической войны. Для того, чтобы столкнуть два государства, две нации, — рассказал Кирилл Ильганаев, менеджер по работе с ключевыми клиентами компании Fortinet.

Вы скорее всего заплатите, тем более если сумма будет не критическая

Алексей Лукацкий в своем докладе кроме всех прочих негативных факторов отметил и необычайную быстроту, с которой формируется черный киберрынок. Например, уже проведены маркетинговые исследования, сколько люди готовы платить за похищенную у них личную информацию. Например, переписку или фотографии. Сумма выкупа для западных стран составляет $300-500, для России — в несколько раз меньше.

— Сами себя поставьте на место человека, которому зададут вопрос: «Сколько вы готовы заплатить за возврат ваших данных?». Нет гарантий, что данные вам вернут, но попробовать, может, и стоит. Если вы обратитесь в правоохранительные органы — с вероятностью 99% ничего не произойдет. Вы скорее всего заплатите, тем более если сумма будет не критическая. Это как раз новая тенденция — злоумышленники проводят то, чего зачастую не делают компании, занимающиеся безопасностью: они уточняют, сколько вы готовы платить.

В правоохранительные органы, несмотря на критику, также постепенно приходит понимание того, что интернет — это среда, которая требует присмотра. Робкие шаги в эту сторону делаются, как заявлял в ходе встречи с предпринимателями прокурор РТ Илдус Нафиков, надзорное ведомство давало поручение ориентировать органы МВД на работу в информационной среде. Хотя это пока и довольно далеко от уровня проблем, которые обсуждались на «Коде ИБ», тем не менее хоть какое-то движение в этом направлении уже есть.

Чтобы оборвать деятельность вируса в самом его разгаре и собрать доказательства — вынуть вилку из розетки

Впрочем, не сидят сложа руки и сами представители отрасли. Отдельный доклад о взаимодействии с правоохранительными органами представил ведущий аналитик отдела развития компании Dr.Web Вячеслав Медведев. Чтобы собрать достаточные для суда улики преступления, нужен целый набор грамотных действий. В качестве прогноза Медведев отметил, что вполне возможно, компаниям придется брать в штат не только специалистов по гражданскому праву, но и по уголовному.

С точки зрения технологического процесса в случае «инцидента» безопасности существует целый набор действий, которые должен совершить специалист. Начиная от того, что выдернуть зараженный компьютер из розетки (поскольку при выключении системы вирус может стереть следы своего присутствия).

— Да, возможны проблемы, но если мы хотим оборвать деятельность вируса в самом его разгаре, чтобы собрать доказательства — вилку из розетки!

После этого необходимы довольно далекие от IT-сферы действия, такие как вызов полиции, приглашение понятых и прочие, которые Медведев призвал делать при помощи подготовленных специалистов. При этом уже есть опыт судебных разбирательств, причем не всегда успешных, когда именно невозможность изолировать компьютер не позволила суду принять улики.

— Компания, которая проводила исследования, поменяла даты на образе — все, суд отверг улики. Для снятия, для того, чтобы суд это принял как доказательства, нужна специальная процедура и желательно специальное железо.

Отдельной проблемой Медведев назвал желание IT-специалистов как можно быстрее решить проблему, то есть уничтожить вирус и восстановить работу системы, что не позволяет собрать доказательства против злоумышленников.

Открытый код — головная боль импортозамещения

Еще одной фундаментальной проблемой в ходе конференции было обозначено использование открытого кода подавляющим большинством российских разработчиков. После ряда инцидентов с западными вендорами импортозамещение в российском IT стало вопросом национальной безопасности. Например, на основе открытого кода татарстанскими специалистами написана программа для ЗАГСа, и в настоящий момент создается аналогичная система для минтруда.

Однако время от времени звучавшие на различных отраслевых форумах и конференциях сообщения об уязвимостях открытого кода приобрели системное описание угрозы безопасности настолько, что проблемой занялись в ФСБ и Федеральной службе по техническому и экспортному контролю (ФСТЭК).

— Отслеживание информации, публикация информации об инцидентах, об уязвимостях — это те тренды, которые задаются уже регуляторами. Регулятор занимается актуальными проблемами и организует свои сервисы по отслеживанию. И ФСТЭК занимается, и ФСБ, — это те тренды, которые внушают оптимизм, — рассказал «Реальному времени» директор по развитию компании «Актив» Владимир Иванов.

Как отмечалось в ходе работы конференции, ФСТЭК активно сертифицирует открытый код. Эксперты в том числе предупредили и о том, что в случае обнаружения уязвимостей сертификаты могут быть и отозваны, что приведет к запрету использования такого ПО государственными структурами.