Президент Российской секции МПА Юрий Жданов - о том, чем грозят кибератаки пятой волны
В период пандемии, когда к компьютерам оказались прикованы сотни миллионов людей, кибератаки достигли нового порога, далеко уйдя вперед от банального взлома чужого аккаунта, фишинга или прыжков через фаервол. Преступность в сфере ИТ-технологий бурно развивается и бросает все новые вызовы.
Почему такие атаки стали возможными, в чем их особая опасность и есть ли способы защититься, "Российской газете" рассказал президент Росссийской секции Международной полицейской ассоциации генерал-лейтенант, доктор юридических наук, профессор, заслуженный юрист России Юрий Жданов.
Юрий Николаевич, ведь это не новость - вирусы, взломы программ, хакеры. И для борьбы со всем этим уже давно созданы специальные структуры - типа Управления "К". Они не справляются?
- Им всё труднее. По мере того как организации адаптировались к удаленной работе и всем ее цифровым последствиям, преступники воспользовались глобальным кризисом, чтобы запустить серию крупномасштабных киберпреступлений - кибератак пятого поколения. Это принципиально новый уровень изощренности, позволяющий заниматься и международным шпионажем, взламывать массивы личной информации, глобально нарушать работу интернета.
Насколько велик масштаб новых угроз, в том числе кибератак?
- Достаточно вспомнить самый свежий пример - проведенная недавно беспрецедентно масштабная кибератака, которой подверглись в том числе такие ИТ-гиганты, как Microsoft, FireEye, а также правительство США.
Атака стала возможной в результате взлома программного обеспечения, производимого компанией SolarWinds.
До нападения оно считалось сверхнадежным и суперзащищенным. Именно поэтому его используют большинство крупнейших мировых компаний, таких, к примеру, как Visa, Apple, Nike, а также госучреждения высочайшего ранга.
Теперь многие из клиентов SolarWinds оказались в числе пострадавших. Последствия этого взлома, который уже назвали кибератакой пятого поколения, равно как и ущерб, пока подсчитываются.
Но уже сейчас большинство экспертов приходят к солидарному выводу: это лишь начало. Речь идет о качественно новом витке киберпреступлений. И сегодня никто не застрахован от того, чтобы стать жертвой такого нападения.
Получается, речь теперь идет о хакерских инструментах, так сказать, оружейного уровня?
- Да, и эти инструменты позволяют быстро заражать большое количество предприятий и организаций в огромных географических регионах.
Крупномасштабные многовекторные мегаатаки с явными характеристиками киберпандемии, при которых вредоносная активность распространяется внутри организации за секунды, вызвали потребность в интегрированных и унифицированных структурах безопасности.
Большинство предприятий по-прежнему работают в сфере безопасности второго или третьего поколения, которая защищает только от вирусов, атак приложений и доставки полезной нагрузки.
Сети, виртуализированные центры обработки данных, облачные среды и мобильные устройства остаются незащищенными.
Предприятиям необходимо перейти на безопасность пятого поколения - расширенное предотвращение угроз, которое единообразно предотвращает атаки на всю свою ИТ-инфраструктуру.
Кибератаки пятого поколения уже происходили?
- Да. Наиболее яркий пример - опять же атака на SolarWinds, распространенное программное обеспечение для управления ИТ. Этот инцидент быстро получил звание самой значительной атаки года. Его масштабы стали яснее, когда Microsoft, FireEye, SolarWinds и правительство США подверглись атаке, которая и стала возможной в результате взлома SolarWinds.
Дальнейшее расследование показало, что злоумышленники добавили бэкдор (тайный несанкционированный вход в систему. - Ред.) под названием Sunburst в компонент системы SolarWinds, который затем был распространен среди его клиентов через автоматическое обновление программного обеспечения.
Это предоставило удаленный доступ к нескольким известным организациям, что сделало его одной из самых успешных атак на цепочку цифровых поставок, когда-либо наблюдавшихся.
Его охват был уникально широк - затронул около 18 000 клиентов SolarWinds, включая большинство компаний из списка Fortune 500 (самый авторитетный рейтинг ведущих мировых компаний. - Ред.).
Известно, что в США в этой атаке обвинили Россию?
- Такие обвинения, к сожалению, стали привычными. Наши партнеры, когда не могут что-то понять, в чем-то разобраться, сразу ищут виновного. В Средневековье виновными объявлялись потусторонние силы. Сегодня - мы. Это даже льстит.
Напомню, в начале января агентство по кибербезопасности и инфраструктурной безопасности США (CISA) опубликовало совместное заявление ФБР и ряда других американских спецслужб, что за масштабной кибератакой на клиентов фирмы по компьютерной безопасности SolarWinds, вероятно, стоит Россия.
Целью атаки, которой подверглись в том числе правительственные учреждения США, являлось, как предположили в Вашингтоне, получение разведданных.
Однако впоследствии было заявлено, что доступ к информации чувствительного характера организаторы нападения не получили.
Американцы утверждают, что за атакой стоит хакерская группа APT29, также известна как Cozy Bear, которая якобы работает на Службу внешней разведки РФ.
И, как обычно, не было предъявлено ни одного доказательства. Все на уровне "видимо", "скорее всего", "возможно", "вероятно".
Как отреагировала Россия?
- Известно, что пресс-секретарь президента России Дмитрий Песков отверг эти обвинения и напомнил, что именно Владимир Путин предложил американской стороне согласовать и заключить соглашение о сотрудничестве в области кибербезопасности и информационной безопасности. Это, кстати, полностью совпадает с рекомендациями аналитиков Всемирного экономического форума.
А может, зря мы так нервничаем? Все-таки кибератака - не ракетно-бомбовый удар.
- Увы, киберпространство - это уже совсем не та игровая виртуальная реальность, где "много жизней" и можно "сохраниться", в худшем случае - оказаться на более низком уровне. Здесь уже давно все по-взрослому, и результаты кибератак ощущаются вполне физически.
Кстати, это подчеркивают в своих выводах аналитики Всемирного экономического форума. Они прямо указывают, что киберриски продолжают оставаться в числе глобальных рисков.
Как и любую другую стратегическую социальную проблему, кибербезопасность нельзя решать изолированно. И эту проблему, видимо, мировые лидеры должны рассмотреть и решить в 2021 году.
Охват кибератаки был уникально широк: затронуто около 18 000 клиентов SolarWinds, включая большинство компаний из списка Fortune 500
То есть цифровизация, как ни странно, не осчастливила человечество?
- С одной стороны, цифровизация оказывает все большее влияние на все аспекты нашей жизни и на все отрасли. Мы наблюдаем быстрое внедрение инструментов машинного обучения и искусственного интеллекта, а также растущую зависимость от программного обеспечения, оборудования и облачной инфраструктуры.
С другой стороны, сложность цифровизации означает, что ведутся разные битвы - от "фейковых новостей" с целью повлиять на выборы до кибератак на критически важную инфраструктуру. Например, недавняя волна атак программ-вымогателей на системы здравоохранения.
Жизненно важные процессы, такие как доставка вакцин, в ближайшие месяцы также могут оказаться под угрозой.
Что чаще всего атакуют хакеры?
- Сегодня их главная цель - объекты здравоохранения. Недавнее исследование Check Point показывает, что, например, в США число атак к началу 2021 года увеличилось на 71 процент по сравнению с сентябрем.
Кто следующий в этом списке?
- Затем идут платформы удаленного доступа, в том числе и дистанционного электронного обучения. За год этот сектор испытал 30-процентный рост еженедельных кибератак.
С чем это связано?
Юрий Жданов: Преступники прекрасно понимают, что бум удаленной работы, начавшийся с пандемии, для многих продолжится. Концентрация нескольких поставщиков технологий по всему миру обеспечивает множество точек входа для киберпреступников по всей цепочке цифровых поставок.
Организации работают в экосистеме, которая, вероятно, более обширна и менее определенна, чем многие могут представить. Ожидается, что подключенные устройства достигнут 27 миллиардов к 2021 году во всем мире. Представляете, какое поле действий?
И все же почему киберпреступность столь успешна? Из-за безнаказанности?
- И из-за этого тоже. Действительно, программы-вымогатели - самый быстрорастущий вид киберпреступности в период пандемии COVID-19. И при этом несут мало рисков для злоумышленников.
Так, вероятность обнаружения и судебного преследования киберпреступников в США оценивается как всего 0,05 процента. Во многих других странах этот процент еще ниже.
Даже если не скрывать преступную деятельность с помощью таких методов, как тактика даркнета, порой очень сложно доказать, что конкретный субъект совершил определенные действия.
Вообще же киберпреступность - это растущая бизнес-модель, поскольку все более сложное оборудование в даркнете делает вредоносные услуги более доступными и доступными для всех, кто хочет нанять хакеров. Тут, полагаю, могут помочь политики, работая с экспертами по киберпреступности, чтобы установить международно признанные критерии атрибуции, доказательств и сотрудничества в преследовании киберпреступников и привлечении их к ответственности.
Напомним, что Международная полицейская ассоциация (IPA) создана в 1950 году полицейскими нескольких европейских государств. Членами Ассоциации являются действующие или ушедшие в отставку сотрудники полиции (милиции). Представительство IPA в Российской Федерации было создано в 1992 году под названием "Российская секция Международной полицейской ассоциации".
Сегодня организация имеет региональные отделения в 72 субъектах России и насчитывает свыше 10 000 членов. Российским подразделением МПА руководит доктор юридических наук, профессор, Заслуженный юрист Российской Федерации, Сопредседатель Попечительского совета ИА "Ветеранские вести", генерал-лейтенант Юрий Николаевич Жданов.