2016 год наглядно продемонстрировал, что киберпреступники способны не только наносить материальный ущерб, но и влиять на ход политических событий. Их методы становятся все более изощренными, а законодатели, порой, не успевают вовремя реагировать на все новые и новые угрозы. 

Чем активнее развиваются технологии, тем более изобретательными становятся киберпреступники. В ноябре 2016 году аналитики IDC обнародовали прогноз, согласно которому к концу 2016 года мировая экономика потеряет из-за киберпреступлений $650 млрд, а к 2020 – более $1 трлн. ФСБ России также озвучило свою оценку – рубеж потерь в $1 трлн уже пройден. При этом одной потерей денег ущерб не ограничивается – в современном мире доступ к информации может привести к не менее серьезным последствиям.

Векторы кибератак

По данным Positive Technologies, результатом 46% кибератак в прошедшем году стала компрометация данных – например, публикация переписки Хилари Клинтон, которая, по мнению экспертов, сыграла значительную роль в предвыборной борьбе за пост президента США.

Объектами 62% кибератак в 2016 году стали организации. Все большую популярность приобретает проникновение в корпоративную сеть путем социальной инженерии – через сотрудников компании, например, при помощи таргетированного фишинга в виде делового письма. Именно таким образом начинались успешные атаки на финансовые организации России, стран СНГ и Восточной Европы, включая атаку Cobalt.

Одновременно, благодаря широкому распространению Bitcoin, существенно увеличилось число кибератак с требованием выкупа, который преступники требуют за прекращение DDoS или за предоставление информации о найденных уязвимостях. Из российских примеров – атака на бухгалтерию казанского МВД, которая была произведена с помощью трояна-шифровальщика.

В зоне особого риска промышленные системы управления (АСУ ТП). Согласно данным исследования Positive Technologies, практически половина уязвимостей, найденных в АСУ ТП в 2016 году, имеет высокую степень риска. «В целом, среди найденных в сети Интернет компонентов АСУ ТП только две трети можно условно назвать защищенными. При этом самыми распространенными компонентами, доступными через интернет (как правило, с несложным словарным паролем), являются системы для автоматизации зданий (Tridium/Honeywell), а также системы мониторинга и управления электроэнергией, в том числе на основе солнечных батарей (SMA Solar Technology)», – говорят авторы исследования и в качестве примера приводят взломы электросетей Украины в декабре 2015 года и декабре 2016 года, в результате которых тысячи людей остались без электричества.

Примерно в таком же положении находятся пользователи интернета вещей (IoT), например, систем «умного дома», Smart TV. Но если в случае АСУ ТП политики и средства информационной безопасности уже существуют, то рынок IoT абсолютно не защищен как технически, так и юридически.  «Подключенные к сети устройства, работающие в ней без участия людей, стали новым источником угроз в интернете, – говорит Андрей Воробьев, директор Координационного центра доменов .RU/.РФ. – Стремительный рост их количества в сочетании с низкой культурой пользовательской безопасности при обращении с ними, а также с  недостаточными мерами безопасности со стороны производителей, привели к созданию гигантских бот-сетей, таких как Mirai – именно она использовалась при атаке на одну из крупнейших инфраструктурных компаний DYN, в результате которой многим жителям США на некоторое время стали недоступные различные популярные ресурсы, в том числе Netflix и Twitter. Потенциально такие сети смогут наносить еще больший ущерб, и опасность неаккуратного использования устройств интернета вещей будет только возрастать».

Наиболее интересны киберпреступникам финансовые организации – число атак на них растет и будет продолжать расти в среднем на 30% в год. При этом если на Западе большинство подобных инцидентов направлено на клиентов банков, в России злоумышленники атакуют банковские системы всех уровней – от ДБО до АБС. При этом для проникновения хакеры все чаще применяют абсолютно легитимные средства и встроенные функции операционных систем.

Самым популярным объектом нападений остаются веб-приложения, в особенности сайты государственных органов и интернет-магазины. Кибератаки на них чаще всего происходят в ручном режиме, в то время как взломы сайтов промышленных компаний в 98% случаев автоматизированы.

Целый ряд новых трендов проявился в 2016 году и в сфере безопасности телеком-сервисов. Так, многие жители российской столицы заметили подмену GPS-сигнала в районе московского Кремля – по словам экспертов, это делает невозможным использование в этом районе беспилотников. Не остался незамеченным и очередной взлом аккаунтов в мессенджерах Telegram и WhatsApp. А опыт Deutsche Telekom, чьи клиенты остались без интернета в результате атаки на домашние роутеры, наглядно продемонстрировал необходимость тщательной проверки таких устройств перед тем, как предлагать из потребителям.

И, конечно, хакеры не могли обойти своим вниманием смартфоны, планшеты и другие столь популярные носимые устройства. Особенно пострадали в 2016 году пользователи гаджетов на Android, которые были атакованы не только благодаря уязвимостям самой платформы, но и через «дыры» во вполне легитимных приложениях. Кроме того, все большая популярность BYOD позволяет злоумышленникам проникать в корпоративные сети через подключенные к ним мобильные устройства сотрудников, а также использовать их для промышленного шпионажа, включая в нужный момент микрофон или другие сенсоры.

Неожиданностью для многих стали выявленные в 2016 году специалистами уязвимости процессоров Intel, в частности, возможность отключения подсистемы Intel Management Engine (ME) и доступа через USB 3.0 к низкоуровневому отладочному интерфейсу, работающему с гипервизорами, ядром ОС и драйверами.

Трансформация правового поля

Очевидно, что сформировавшиеся в 2016 году тренды в ближайшие годы будут только развиваться. Успевает ли законодательство за хитроумными хакерами? Или проблемы ИБ должны решаться руководителями конкретных предприятий и организаций? По мнению Евгения Царева, судебного эксперта по информационной безопасности, исключительно законодательными инициативами эти вопросы решить не получится. «Проблема безопасности в государственном масштабе комплексна и требует системного решения. Таким образом, все будет зависеть от будущей практики», – говорит он.

«Обеспечение защиты информации – это не только законы, но и международные соглашения, Конституция РФ, федеральные законы прямого действия, отраслевые законы, подзаконные акты, требования уполномоченных органов, – продолжает Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.». – Например, недавно принята новая Доктрина ИБ. Надо привести в соответствие ей всю нормативно-правовую базу, согласовать между собой области и задачи, которые решает каждый закон. Реинжиниринг федеральных законов тоже должен периодически осуществляться».

По мнению Владимира Емышева, менеджера по развитию НИИ СОКБ, основная проблема заключается в том, что после выхода того или иного законодательного акта организациям дается время, зачастую 2-3 года, на приведение информационных систем в соответствие его требованиям. Но технологии развиваются так быстро, что за этот период все может кардинально измениться. «Облачность, мобильность, интернет вещей, новые программные и аппаратные платформы, несущие в себе новые уязвимости, социальная инженерия, ежедневно появляющиеся новые семейства вредоносных программ накладывают свои требования по безопасности к информационным системам. Но далеко не каждое из этих требований учтено в существующих законодательных актах», – говорит он.

В числе основных документов в сфере ИБ опрошенные Digital.Report эксперты называют утвержденную 5 декабря 2016 года доктрину информационной безопасности и принятый в первом чтении законопроект «О безопасности критической информационной инфраструктуры». Они должны стать основой для дальнейшего развития этого направления в российском законодательстве.

Владимир Емышев считает, что прежде всего в связи с появлением новых угроз необходимо внести коррективы в «Методику определения угроз безопасности информации в ИС» от 2015 года. Также изменения, касающиеся интернета вещей, должны появиться в законе «Об информации, информационных технологиях и защите информации» – речь идет о внесении в него понятий «технологические данные» и «инфраструктура технологических данных», а также определении состава такой инфраструктуры на уровне оборудования и ПО. «Кроме того, необходима проработка отдельных документов, регулирующих процессы обеспечения безопасности данных облачными провайдерами, поисковыми системами, онлайн-магазинами, – наподобие директивы NIS для Европейского союза», – продолжает он.

Алексей Сабанов говорит о необходимости принятия в 2017 году закона «О безопасности критической информационной инфраструктуры» и связанных с ним законопроектов «О внесении изменений в законодательные акты РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры» и «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры», а также уже внесенного правительством законопроекта «О внесении изменений в федеральные законы в части наделения федерального органа исполнительной власти полномочием по установлению порядка осуществления государственного контроля за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных».

В списке мер по дальнейшему совершенствованию российского законодательства в сфере ИБ он ставит на первое место его гармонизацию с заключенными международными соглашениями. «Затем можно обратиться к некоторым актуальным проблемам, таким, как законодательное введение риск-менеджмента в критически важных отраслях, создание системы доверия как основного средства противодействия киберугрозам, создание доверенного пространства для обеспечения юридической силы электронным документам и многие другие», – говорит Алексей Сабанов.

В целом, по мнению Алексея Качалина, заместителя директора по развитию бизнеса Positive Technologies в России, все шаги, которые сегодня предпринимает государство в этой сфере, абсолютно правильные. Они направлены на то, чтобы критически важные информационные системы были защищены. «Благодаря им у заказчиков появляются законные основания для закупки тех или иных решений в сфере ИБ, в то время как раньше это могло быть истолковано, как нецелевое расходование средств, – продолжает эксперт. – Думаю, что сейчас в нашем законодательстве уже есть минимально необходимый список мер по обеспечению ИБ, и он будет расширяться с учетом события, которые происходят на этом рынке».

Об авторе

Наталья Рудычева

Работает в ИТ-журналистике более 10 лет. Специализируется на освещении событий в сфере информатизации государственного сектора. Автор многочисленных публикаций как новостного, так и аналитического характера. Принимала участие в подготовке исследований по заказу государственных ведомств и крупных компаний, создании и контекстном наполнении сайтов органов государственной власти.

Написать ответ

Send this to a friend

Перейти к верхней панели