Проблемы кибербезопасности, особенно в свете недавних масштабных атак на компьютеры предприятий, банков и государственных учреждений, приобрели чрезвычайную актуальность. В нашей стране в последнее время вопросам информационной безопасности (ИБ) в разных секторах экономики, в том числе в финансово-банковском секторе, уделяется особое внимание.
Информационная безопасность складывается из целого комплекса различных мер и действий. Это, прежде всего, контроль действий различных субъектов бизнес-процессов - рядовых сотрудников компании, привилегированных пользователей, ИТ-аутсорсеров, контрагентов. Кроме того, это четкое разграничение прав доступа внутри компании, использование резервного копирования данных, а также наличие простой, понятной и доведенной до сведения работников политики безопасности. В текущих реалиях защита должна быть гибкой, чтобы обеспечить и достаточный уровень защищенности, и выполнение бизнес-целей.
В Банке России считают, что в целом уровень киберустойчивости в нашей стране находится на соответствующем уровне. Также регулятор ожидает снижения количества успешных кибератак и, соответственно, ущерба от них. По итогам первой половины 2017 года количество успешных атак составило порядка 30 % от уровня прошлого года по физическим лицам и порядка 25 % - по юридическим лицам. Например, атака вирусов-шифровальщиков WannaCry и NotPetya практически не коснулась российской финансовой системы. Были единичные случаи заражения информационной инфраструктуры, но это не вызвало негативных последствий - финансово-кредитные организации продолжили свою работу, не было отмечено случаев каких-либо финансовых потерь их клиентов.
Гипотетические сценарии, которые могут стать реальностью
Согласно информации, которая содержится в совместном исследовании Lloyd’s of London и Cyence, финансовые потери от масштабной кибератаки могут стоить мировой экономике от 15,6 до 121 млрд долларов. Если рассматривать наиболее пессимистический сценарий развития событий, то потери от кибератак могут превысить экономический ущерб от урагана «Катрина», который стал самым разрушительным в истории Соединенных Штатов. Потери от него составили 108 млрд долларов.
В докладе указываются два потенциальных сценария развития глобальной кибератаки: взлом провайдеров облачных хранилищ или использование возможных уязвимостей в операционных системах.
В первом сценарии хакеры модифицируют «гипервизор», управляющую систему облачных хранилищ, в результате чего все хранящиеся файлы оказываются утерянными для пользователя. Во втором варианте рассматривается гипотетический случай, когда кибераналитик случайно забывает в поезде сумку, в которой хранится доклад об уязвимостях всех версий операционной системы, установленной на 45 % всех мировых устройств. Этот доклад впоследствии продается в «даркнете» неизвестным криминальным группам.
Минимальный ущерб при первом сценарии составит от 4,6 до 53,1 млрд долларов в зависимости от продолжительности периода недоступности облачных сервисов, а также от того, какие организации подверглись атаке. Эта сумма при определенном, наиболее негативном раскладе может увеличиться до 121,4 млрд долларов, считают эксперты. При втором сценарии потери составят от 9,7 до 28,7 млрд долларов.
Безопасность должна закладываться в процессах
На многочисленных конференциях, семинарах, круглых столах поднимается тема противодействия современным киберугрозам. Так, недавно в рамках XXVI Международного финансового конгресса (МФК-2017), прошедшего с 12 по 14 июля 2017 года в Санкт-Петербурге, была организована сессия «Информационная безопасность. Современные вызовы и методы обеспечения».
Участники этой сессии обсудили тему информационной безопасности в финансово-банковском секторе и способы противодействия современным киберугрозам, требования к кадрам, в том числе необходимость повышения общего уровня киберграмотности сотрудников компаний и госслужащих.
Президент группы компаний (ГК) InfoWatch Наталья Касперская, выступившая в качестве модератора дискуссии, в своем вступительном слове напомнила, что по результатам исследования Аналитического центра InfoWatch в России в 2016 году был зафиксирован рост количества утечек информации на 80 % по сравнению с 2015 годом. При этом в девяти из десяти случаев утекали персональные данные (ПДн) и платежная информация.
В ходе сессии заместитель председателя правления Банка ВТБ Ольга Дергунова обратила внимание на неготовность российской судебной системы к работе с цифровыми доказательствами. Она отметила, что судебная система фундаментально не готова рассматривать цифровые доказательства киберпреступлений в качестве аргументов ни в арбитражном, ни в уголовном процессе.
Заместитель председателя правления Сбербанка России Станислав Кузнецов, выступивший в ходе дискуссии, отметил, что необходима законодательная основа, которая позволит применять более жесткие меры в отношении киберпреступников, и экосистема кибербезопасности, подключение к которой обеспечит защищенность от киберугроз. «80% успеха при обеспечении кибербезопасности зависит от того, насколько правильно выстроены процессы, и только 20% - от технологий», - заявил эксперт.
Начальник отдела информационной безопасности банка «Глобэкс» Валерий Естехин согласен с последним тезисом. Он считает, что безопасность должна прежде всего закладываться в процессах и только потом начинают эффективно работать технологии, инструменты и ИБ-команда.
Руководитель отдела информационной безопасности ипотечного банка «ДельтаКредит» Всеслав Соленик также полагает, что кибербезопасность в большей степени зависит от правильно выстроенных процессов. «Большинство игроков на рынке используют одинаковые или схожие технологии безопасности, но даже с одинаковыми технологиями одна компания может пострадать от кибератаки, а другая - нет. И не пострадает та компания, которая корректно произвела настройки, поставила обновления на ПО, вовремя обнаружила атаку и среагировала на нее, а это уже операционная составляющая», - отмечает эксперт. Однако Всеслав Соленик делает оговорку, что все вышесказанное справедливо только при условии наличия ресурсов. Если же присутствует значительная недофинансированность или не хватает иных, нефинансовых ресурсов для обеспечения ИБ компании, тогда без должного технологического инструментария процессы будут очень громоздкими и трудоемкими, а значит, неэффективными.
Директор департамента нефинансовых рисков и финансового мониторинга РосЕвроБанка Марина Бурдонова считает, что именно отлаженность процессов является главным компонентом кибербезопасности. «Если система изначально настроена правильно, алгоритм работы понятен всем участникам, то уровень защиты может быть очень высоким. Безусловно, новые технологические решения также существенно помогают повысить уровень эффективности работы, но это инструмент, который должен быть в надежных руках», - предупреждает специалист.
Человеческий фактор
Именно проблема «надежных рук» или, говоря иными словами, квалифицированных кадров по-прежнему является одной из самых насущных. Она имеет особую актуальность на протяжении всех последних лет, потому что на сегодняшний день человек остается самым уязвимым звеном в ИT-инфраструктуре.
«Самое слабое звено в информационной безопасности банка - это сотрудник компании, - уверен Валерий Естехин (банк «Глобэкс»). - Иногда невнимательный, иногда неосторожный, иногда доверчивый, иногда скучающий на работе, иногда корыстный», - перечисляет эксперт возможные варианты возникновения проблем. Во всех перечисленных случаях последствия могут оказаться весьма плачевными не только для сотрудника, но и для организации, в которой он работает.
Марина Бурдонова (РосЕвроБанк) также главным фактором риска считает человеческий. «Если сотрудники не соблюдают правила безопасности, то технологии не смогут помочь защититься», - поясняет она свою точку зрения. Всеслав Соленик (банк «ДельтаКредит») указывает, что при использовании социальной инженерии злоумышленники могут заставить сотрудника организации совершить какое-то действие, которое упростит проведение атаки. «Часто, чтобы подобрать пароль к аккаунту, злоумышленнику не обязательно его взламывать - вся информация о пароле есть в профилях социальных сетей или рядом с рабочим столом. Даже сотрудники на руководящих позициях производят манипуляции, спровоцированные злоумышленниками, что уж говорить о сотрудниках на рядовых позициях. Отдельной строкой можно привести нежелание сотрудников следовать политикам и требованиям по ИБ, потому что это может усложнить их работу. В результате они игнорируют риски, которые таким образом появляются», - подчеркивает эксперт.
По мнению Всеслава Соленика, чтобы минимизировать влияние человеческого фактора, нужно постоянно повышать осведомленность сотрудников в области информационной бе-зопасности, а также внедрять систему контроля и мониторинга соблюдения политик и требований в области ИБ.
Среди основных способов минимизации угрозы ИБ Валерий Естехин называет повышение осведомленности персонала в вопросах информационной безопасности, проведение тестов, деловых игр, киберучений. Наряду с человеческим фактором серьезную угрозу для информационной безопасности компании представляют, по мнению Валерия Естехина, устаревший парк оборудования и не поддерживаемое производителем ПО, отсутствие решений для мониторинга корпоративной сети, утечка баз данных через сотрудников, ИТ-аутсорсеров, разработчиков ПО.
Недооцененные риски
В связи с проблемой рисков, которые несет человеческий фактор, любопытно вспомнить исследование антивирусной компании ESET, опубликованное в июле 2017 года. Четыре компании из пяти недооценивают риски информационной безопасности, связанные с человеческим фактором. Такой вывод сделали сотрудники ESET после опроса интернет-пользователей из России и СНГ.
Респондентам предложили выбрать ответ на вопрос: «Проходили ли вы на работе тренинг по информационной безопасности?». Поразительный для нашего времени факт, но результат был следующим: отрицательный ответ лидирует с большим отрывом. 69 % респондентов никогда не проходили обучение основам кибербезопасности в своих компаниях. Еще 15 % участников опроса сообщили, что их работодатели ограничились минимальным объемом информации. Обучение не выходило за рамки «в случае неполадок перезагрузите компьютер», правила кибербезопасности не затрагивались.
Только 16% респондентов прошли качественные тренинги с подробным рассказом об информационной бе-зопасности и актуальных угрозах.
Для сравнения: больше 60% участников аналогичного опроса в США сообщили, что их работодатели организовали для них обучение по кибербезопасности.
Далее участникам опроса ESET предложили перечислить аспекты компьютерной безопасности, информации о которых им не хватает для обеспечения защиты. Респонденты честно признали наличие пробелов в своих познаниях.
70 % участников сообщили, что недостаточно знакомы с темой безопасности беспроводных сетей, в частности угрозами для Wi-Fi.
Другие категории вредоносного ПО - банковские трояны и вредоносные программы для мобильных устройств - получили по 56% голосов. 57% участников опроса хотели бы знать больше о безопасности паролей, 51% - о защите от «классических» инструментов интернет-мошенников (фишинга и спама).
«Большая часть нарушений информационной безопасности в компаниях связана с ошибками персонала, - комментирует результаты опроса руководитель ESET Consulting Виталий Земских. - На человеческом факторе - социальной инженерии - и старых уязвимостях ПО построены целевые атаки на организации. Снизить риски и найти слабое звено в компании раньше, чем это сделают злоумышленники, позволяет обучение сотрудников, а также разного рода тесты, определяющие внутренние угрозы безопасности».
Кадровый голод ИБ
Эксперты отмечают, что скорость изменения и появления новых технологий стала причиной кадрового голода, а в среде специалистов по ИБ по всему миру наблюдается нулевая безработица.
Заместитель начальника главного управления безопасности и защиты информации (ГУБЗИ) ЦБ РФ Артем Сычев в ходе сессии «Информационная безопасность. Совре--менные вызовы и методы обеспечения» в рамках МФК-2017 подтвердил проблему нехватки кадров в сфере информационной безопасности для финансовой индустрии. Работа современной финансовой системы невозможна без применения принципа security by design (разработка информационных систем, изначально защищенных от различного рода угроз), для чего нужны квалифицированные специалисты.
Говоря о кадровой проблеме, Артем Сычев также отметил необходимость появления новых профессий на стыке ИТ и других дисциплин. Например, требуется совмещение профессии специалиста по безопасности и юриста. Такие специалисты могли бы помочь правоохранительным органам в борьбе с киберпреступниками.
Кибербезопасность - одна из самых динамично развивающихся отраслей, поэтому спрос на кадры очень высокий, подчеркивает Марина Бурдонова (РосЕвроБанк). А образовательный рынок отреагировать на эту тенденцию успел не в полной мере, именно с этим связана данная проблема. Но через 3-5 лет ситуация с кадрами будет значительно лучше, считает эксперт РосЕвроБанка.
«Самые талантливые хотят работать на самые успешные компании, - говорит Валерий Естехин (банк «Глобэкс»). - Приходится довольно долго искать нужных людей, как правило, с опытом, с необходимой квалификацией. Хочется нанимать людей, заряженных на результат, а не нытиков. Требования к квалификации, опыту и компетенциям специалистов диктуются сложностью и многообразием применяемого для защиты информации оборудования и ПО». Ведь, несмотря на помощь интегратора или вендора при внедрении средств защиты, дальнейшая эксплуатация решения лежит на плечах ИБ-команды компании, подчеркивает специалист.
Самые опасные кибератаки
Отчет Cisco по информационной безопасности за первое полугодие 2017 года указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. С появлением интернета вещей (Internet of Things, IoT) все больше операций в ключевых отраслях переводится в онлайн-режим, что расширяет горизонт атак, увеличивает их масштабы и усугубляет последствия.
Недавние атаки WannaCry и NotPetya продемонстрировали скорость распространения вредоносного ПО, которое выглядит как программа-вымогатель, но на самом деле способно вызвать куда более существенные разрушения в информационно-технологической сфере. Это предвещает появление угроз, которые Cisco назвала атаками типа «прерывание обслуживания»: они чрезвычайно опасны потому, что в случае успешного их проведения пострадавший бизнес фактически полностью лишается возможности восстановиться.
Впрочем, есть и другие очень опасные явления в сфере ИБ. Так, Всеслав Соленик из ДельтаКредит самыми опасными считает «тихие» атаки, которые могут долгое время оставаться незамеченными. Цель атак может быть различной - похищение данных, финансовые хищения, проникновение к партнерам, эксплуатация ресурсов или все эти цели сразу. По словам специалиста, уже были зафиксированы прецеденты, когда злоумышленники годами использовали инфраструктуру банковской организации, и сотрудники, отвечающие за обеспечение информационной защиты компаний, даже не догадывались об этом - естественно, до того момента, когда ущерб бизнесу становился реальным и очевидным.
Марина Бурдонова (РосЕвроБанк) полагает, что наиболее опасны те атаки, которые организованы профессионалами, имеющими опыт работы в индустрии ИБ. Например, если речь идет о каких-то спланированных атаках в интересах крупных групп влияния. «В этом случае уровень опасности очень высокий», - подчеркивает эксперт.
«Любая нештатная ситуация - это проверка на профпригодность безопасников, айшников, - говорит Валерий Естехин (банк «Глобэкс»). - Последние события с атаками WannaCry, NotPetya и др. это наглядно показали. Самыми эффективными атаками для средних и малых компаний являются, как ни странно, довольно примитивные и понятные в реализации виды атак, такие как попытки вторжения через уязвимости в ПО, обман или злоупотребление доверием, заражение вредоносным ПО через фишинговые рассылки по каналам электронной почты, целевые атаки на персонал с необходимым уровнем доступа».
Большинство из таких атак можно было бы предотвратить, применяя базовые принципы защиты информации. Среди главных принципов эксперт банка «Глобэкс» называет следующие: использование спам-фильтров в электронной почте, сегментирование корпоративной сети, проверка наличия сертификатов устанавливаемых программ, фильтрация подозрительных URL, исполь-зование патчей и обновлений безопасности для эксплуатируемого ПО, отслеживание запущенных процессов в корпоративной сети, повышение осведомленности персонала. Наряду с этим важно осуществлять сканирование антивирусными решениями (обновление антивирусных баз), настройку поведенческого анализа в антивирусных решениях, использовать файрвол, межсетевые экраны. Конечно, работники компании не должны открывать ссылки в письмах, пришедших из непроверенных источников. Наконец, необходима организация обмена информацией об инцидентах между участниками информационного взаимодействия в рамках центров реагирования на компьютерные преступления.
Наиболее актуальные угрозы
инфор-мационной безопасности банков в последнее время связаны с целенаправленными атаками: на адреса сотрудников рассылаются почтовые сообщения, содержащие вредоносное ПО, прокомментировали ситуацию в пресс-службе банка ВТБ 24. Также актуальными остаются угрозы, связанные с DDoS-атаками и атаками на клиентов систем дистанционного банковского обслуживания (ДБО).
Минимизировать такие риски можно путем внедрения современных систем защиты и эффективных процедур реагирования, выполнения требований информационной безопасности, повышения осведомленности персонала в области информационной безопасности. «При разработке мобильных приложений мы анализируем и пресекаем уязвимости и угрозы в области безопасности, - подчеркивают в пресс-службе банка. - На регулярной основе проводится проверка уязвимости приложений с привлечением внешних специализированных компаний. На наш взгляд, внешний подрядчик с надежной репутацией и опытом работы на рынке априори будет обладать большей компетенцией, в том числе компетенцией по части безопасной разработки. Также в ВТБ 24 внедрена антифрод-система, которая выявляет аномальное поведение клиентов в дистанционном банковском обслуживании (ДБО) и останавливает мошеннические операции. В приложениях ВТБ 24 многофакторная аутентификация работает во всех системах ДБО. В мобильном приложении ВТБ 24 не зафиксировано ни одного случая взлома».
Биометрическая идентификация
В последнее время крупные банки запустили у себя пилотные проекты по использованию средств биометрической идентификации. Конечно, пока еще остается слишком много вопросов в этой сфере. Например, какой из видов биометрии наиболее эффективен и применим на практике, как подойти к внедрению биометрии с технологической точки зрения, а также с точки зрения правового и методологического обеспечения самого процесса идентификации клиентов по биометрическим данным? Ведь перспективы использования биометрических технологий до сих пор сдерживаются пробелами в действующем законодательстве, высокой стоимостью и несовершенством решений. Однако при всем при этом крупные финансово-кредитные институты уже сегодня используют биометрические технологии в целях обеспечения информационной безопасности, противодействия внешнему и внутреннему мошенничеству. Например, банку ВТБ 24 интересна возможность применения биометрических технологий, прокомментировали в пресс-службе организации. «Преимущество биометрии - удобство клиента. Пароли могут быть потеряны или украдены, а биометрические данные уникальны, поэтому можно говорить о надежности метода», - считают специалисты ВТБ 24.
В начале 2017 года ВТБ 24 завершил пилотный проект по голосовой идентификации клиентов при обращении в контактный центр, что позволяет создать удобный для клиента и достоверный для банка процесс подтверждения операций. Это может в разы увеличить объем проверяемых операций и минимизировать риски клиентов и банка, считают в финансово-кредитной организации.
Также ВТБ 24 запустил проект биометрической аутентификации клиентов по внешности в новом типе офисов с безбумажным обслуживанием. При посещении таких отделений клиенты подписывают только электронные версии документов. При этом, помимо традиционной идентификации по паспорту, банк предлагает пройти аутентификацию на планшете, которая дополнительно подтверждает, что именно этот человек в определенный день и время подписал документы.
В розничном бизнесе банка ВТБ и ВТБ 24 уже внедрен сервис использования отпечатка пальца в мобильном банке на вход, а в розничном бизнесе банка ВТБ - еще и на подтверждение операций.
Очевидно, что по мере развития финансовых технологий и их инкорпорирования в банковский бизнес будут возрастать и риски в сфере ИБ, и требования к профильным управлениям и департаментам. Банковские эксперты уверены, что дорогу осилит идущий. С другой стороны, общая их позиция такова: поскольку речь идет о комплексной многосоставной проблеме, то для ее решения необходим и комплексный подход. В деле обеспечения надежной «крепостной стены» для банков не может быть одного-единственного решения или действия, способного раз и навсегда устранить риски ИБ.
Фото Nicholas Vallejos/Flickr.com
Слово «кибербезопасность» в последнее время всё чаще звучит в России. Нельзя сказать, что частота его употребления соответствует серьезности отношения к проблеме и качеству найденных решений. Но глобальные вызовы и локальные изменения заставляют российские власти реагировать и принимать меры. Эти действия активно влияют на многие сферы цифровой жизни, включая медийную экосистему.
Максим Корнев
Кибербезопасность и медиа
Мы живем в неспокойное время, когда медиа стали полем брани. Причем, на всех уровнях: физическом, цифровом, институциональном. Примеров более чем достаточно:
- Хакеры ИГИЛ взламывают аккаунты соцсетей Министерства обороны США и активно осваивают соцмедиа ;
- Гибель французских карикатуристов из Charlie Hebdo обнажает конфликт традиционной исламской и современной постхристианской культур в Европе;
- В полномасштабной информационной войне в связи с событиями на Украине медиа с российским участием становятся мишенями воздействия .
Неудивительно, что оборона информационного пространства – серьезная задача не только для любого развитого государства и культурного общества, но и для различных групп влияния.
Вопросы кибербезопасности обширнее проблем ограничений для медиа. Так же, как тема информационной безопасности ещё шире, чем проблемы кибербезопасности. Но можно сказать, что именно с помощью медиа реализуются угрозы и меры по их устранению в цифровом пространстве. Поэтому медиа – ключевой компонент в системе защиты киберпространства.
Если не вдаваться в терминологические нюансы, то кибербезопасность – это безопасность информации и обеспечивающей инфраструктуры в цифровой среде. Также нужно учитывать, что есть несколько уровней проблем и решений: от частного, связанного с защитой граждан и конкретного человека от злоумышленников разного рода, до государственного и надгосударственного, где решаются задачи национальной безопасности и информационных войн.
Ключевым мероприятием и дискуссионной площадкой по кибербезопасности в России можно смело назвать Cyber Security Forum (в этом году традиционно состоится в феврале). Здесь кроме проблем информационной безопасности обсуждают также безопасность коммуникаций в медиа, вредоносные технологии распространения информации, а также возможности влияния на людей посредством медиа. Важно, что в ходе такого рода встреч участники обсуждают и вырабатывают законодательные решения, которые на базовом, инфраструктурном уровне напрямую влияют на работу медиа, устанавливают границы возможностей и ответственности для авторов публикаций.
Кибербезопасность по-русски: что стало с Концепцией национальной стратегии?
Главным документом по вопросам кибербезопасности должна была стать «Концепция стратегии кибербезопасности Российской Федерации». Она, по идее, могла заложить основы взаимодействия всех участников цифровых виртуальных коммуникаций в России. Но концепция так и осталась в статусе несогласованного проекта, хотя потребность в ней назрела давно. В частности, этой проблеме уделяют много внимания отраслевые эксперты. Поскольку про важность информационной безопасности Рунета, государственной стратегии кибербезопасности России и необходимости международного сотрудничества в 2014 году говорили часто на всех уровнях, в том числе эту тему не раз озвучивал президент Путин .
В конце ноября 2013 года состоялись парламентские слушания «Концепции стратегии кибербезопасности РФ». Дальше проект должен был уйти в Совбез, там получить одобрение, чтобы запустить процесс разработки самой стратегии. Однако на данный момент судьба проекта неясна, и есть основания полагать, что он застрял на стадии утверждения или был отвергнут вовсе. Это косвенно подтверждает тот факт, что Руслан Гаттаров в феврале 2014 года досрочно ушел с должности в Совете Федерации и отошел от разработки концепции, вернувшись в Челябинск. Его место в Совфеде заняла Людмила Бокова , которая также будет курировать вопрос разработки и стратегии кибербезопасности. Ранее она занималась в основном вопросами школьного образования и педагогики.
Кибербезопасность в России и Мире: основные тенденции и чем это грозит медиа?
Таким образом, на данный момент в России нет основополагающего и соответствующего современным реалиям и вызовам документа, который бы объяснял, как быть с кибербезопасностью на национальном уровне. От этого плохо всем, включая медиа.
Вместо структурированной системы регламентов в российской практике есть ряд декларативных документов (Доктрина информационной безопасности , Стратегия национальной безопасности до 2020 года , проект Концепции стратегии кибербезопасности (pdf) и другие), а также пакеты ограничивающих и запрещающих законов и поправок (в том числе, резонансные 139-ФЗ о защите детей от вредной информации , 136-ФЗ об оскорблении чувств верующих , «блогерский» ФЗ-97 и прочие). Подобных мер очевидно недостаточно для создания гибкой и эффективной системы безопасности в киберсреде. Потому впереди большая работа по разработке национальных стандартов и их гармонизации с международными нормами.
Этим мы существенно отличаемся от «западных» подходов к развитию безопасного Интернета. В Европе сеть призвана способствовать развитию общества и мультикультурализму, поддерживать культурно-языковое многообразие, расширять права пользователей и поощрять открытость. При этом Интернет должен быть глобально доступен, открыт, децентрализован в управлении. Соответственно, вопросы кибербезопасности должны исходить из этих с виду простых, но глубоких ценностных предпосылок. Хотя в Европе не всё так ладно с открытостью и мультикультурализмом, но отправные точки и рациональные установки для проектирования будущего есть.
Начать можно с базовых вещей. Прежде всего, в российской практике необходимо развести понятия «информационная безопасность» и «кибербезопасность». Также основным трендом в международной практике становится акцент на сотрудничество государства, бизнеса и гражданского общества, — то есть на создание экосистемы по противостоянию киберугрозам. При этом развитые страны пытаются избежать как чрезмерного регулирования, так и недостаточного внимания со стороны государства.
Примечательно, что национальные стратегии безопасности в сети появились сравнительно недавно. США как один из лидеров в развитии этого направления обзавелись стратегией национальной кибербезопасности только в 2003 году. К примеру, Франция выработала свои нормы и правила только в 2011 году, а единая стратегия для Европейского союза появилась только в феврале 2013 года.
В 2014 году в стратегиях нового поколения существенно сместились акценты. Если раньше государство ориентировалось на защиту граждан и организаций, то теперь – на общество и институты в целом. Это связано с ростом роли Интернета в экономике и госуправлении, а также с потенциальными угрозами от других государств. То есть проблемы кибербезопасности от частных проблем буквально за пару десятков лет выросли до межгосударственного уровня. Поэтому поощряется межведомственное взаимодействие и государственно-частное партнерство внутри стран и межгосударственное сотрудничество снаружи. Роль медиа в данной ситуации можно сравнить с ролью нервной системы в организме человека: передавать импульсы и сигналы, которые приводят к корректной работе всего общественного организма.
Не идеализируя роль общества и медиа, надо отметить, что государственный суверенитет и защита собственных экономических и политических интересов ставится всеми активными участниками процесса на первое место, при этом ценность открытости Интернета, его саморегулирования признаются незыблемыми. В сохранении этого баланса призвано помогать гражданское общество и журналистика как общественный институт: использование гибкой стратегии со стороны государства должно помочь наработать факты и практики для принятия решений (на базе массивов знаний, мониторинга киберугроз и схем реагирования на них). Об этих фактах, в частности, рассказывала на уже упомянутом Cyber Security Forum 2014 эксперт Елена Войниканис из Ростелекома.
В нынешнем 2015 году, очевидно, усилится контроль и борьба с кибертерроризмом, но расширение участия граждан и медиа в построении сетевой системы безопасности пойдет на пользу всем участникам.
Кибербезопасность, проблема сетевого доверия и медиа
Еще одна ключевая проблема, наращивание влияния которой наблюдалось весь 2014 год и продолжается усиливаться, – это проблема доверия между странами. Разоблачительные скандалы с Джулианом Ассанжем , Эдвардом Сноуденом и прослушкой немецких политиков американскими спецслужбами обнажили недоверие и подозрительность стран в отношении друг друга. Доходило до того, что канцлер Германии Ангела Меркель всерьез заговорила о «цифровом суверенитете», а некоторые германские ведомства предлагали вернуться к использованию печатных машинок .
Взаимная неприязнь спецслужб и руководителей стран, сдобренная столкновением интересов в зонах локальных конфликтов и подогретая акциями международных террористов, активно ретранслируется медиа, а также захватывает миллионы людей в социальных медиа. Как выяснилось, Интернет может не только эффективно объединять, но и разобщать и обострять конфликты между людьми по всему миру, разбивая их на противоборствующие лагеря.
В связи с этим специалисты предсказывают возможный распад Интернета на ряд национальных иди даже групповых сегментов. А «общий» интернет превратится в «дикое поле» и маргинальную среду, где не работают законы и царит много опасностей. Это так называемая проблема «балканизации» Интернета , которую в прошлогоднем исследовании Pew Research Center поставили на первое место среди сетевых угроз .
Одним из следствием (или отчасти причиной) можно назвать также проблему «красной кнопки» для Интернета: есть техническая возможность на время отключить какую-то страну от глобальной сети. Но довольно быстро доступ восстановится, а военизация Интернета и киберугрозы из закрытых сегментов нарастают еще больше. К примеру, Саудовская Аравия, Сирия, Иран, Северная Корея, Китай живут с разной степенью закрытости своих «интернетов», и это не идет глобальной сети и мировой безопасности на пользу. Некоторый анализ того, что может быть, если Россию в результате санкций попытаются отключить от Интернета, можно почитать в статье на сайте Экспертного центра электронного государства .
Что же касается российских мер по ограничению свободы в Интернете, то в общем желание властей окультурить сетевое пространство и предложить правила игры понятно. Даже местами приемлемо, но на микроуровне законодательные инициативы часто выражены в запретительной и карательной манере. И это плохо для обеих сторон: власти так и не получают решения проблем, а медиа и активная публика все больше перемещается в «серую» зону, и проблемы уходят из поля зрения, но не снимаются с повестки.
Как показывает практика, попытки ограничить свободу доступа к различным сайтам и масс-медиа малоэффективны, а то и достигают противоположных целей. Например, блог «Шалтай-Болтай» от хакерской группировки «Анонимный интернационал» уже больше года держит в напряжении российский политический истеблишмент. Примерно та же ситуация с сайтом Алексея Навального (navalny.com). Блокировки корневых ресурсов не дают результата, поскольку организованы переадресации и «зеркала» основных ресурсов. Удачный обзор по сетевым запретам «Интернет ушел в тень» опубликовал в середине января на сайте slon.ru Антон Меркуров .
Безусловно, нужны стандарты, надо сотрудничать на международном уровне в борьбе с мошенничеством, терроризмом и преступным контентом. Но недальновидно пытаться строить границы внутри Интернета. В ответ на это получают развитие другие формы сетевой активности или сетевых сообществ, ещё более недоступных для надзора и контроля со стороны властей. Например, развиваются проекты глубинного веба , анонимные сети наподобии Tor , также анонимные соцсети или мессенджеры без подключения к Интернету . И это далеко не все тренды информационной безопасности ближайшего будущего.
Ключевые тренды на 2015 год
Исходя из во многом сбывшихся прогнозов аналитиков РАЭК, GROUP-IB и Лаборатории Касперского по прошедшему году, а также из собственных наблюдений за траекторией развития событий, можно выделить несколько ключевых трендов в кибербезопасности на ближайший год.
- 1. Тенденции регулирования Интернета по всех направлениям будут только усиливаться. Активно продолжатся разработки новых законопроектов и внесения изменений в действующее законодательство в сфере ИКТ и компьютерной информации.
- 2. Актуальность темы цифрового суверенитета РФ продолжит расти, особенно в связи с обострением в отношениях с Западом и санкциями в отношении России.
- 3. Отсюда — приоритетность информационной безопасности критически важных объектов.
- 4. По-прежнему будут использоваться темы безопасности детей в Интернете, защита верующих и нравственности, а также антитеррористическая риторика для преодоления сопротивления общественного мнения в проведении необходимых властных решений.
- 5. Значимость государственных инстанций и их влияния на интернет-индустрию и телеком-компании будет усиливаться, но также активизируется встречное движение со стороны бизнеса и профессионального сообщества в виде инициатив, совместных проектов и решений.
- 6. На бытовом уровне кибербезопасность: мобайл, спам, ботнеты, вирусы, фишинг, борьба с мошенниками и международными преступными группами интернет-мошенников. Всё это приводит к желанию людей ещё больше защитить свою частную жизнь и личную тайну, а потому развитие платформ и сервисов идут в этом направлении.
- 7. Угрозы для бизнеса: кибербезопасность с точки зрения коммерческих интересов становится все более насущной проблемой. Особенно в сфере банковского, IT и медийного бизнеса и защиты персональных данных.
Кибербезопасность в России: на чем базируется и как влияет на цифровые медиа?
Что сейчас прорабатывается вместо «стратегии кибербезопасности» или хотя бы ее «концепции»? На чем базируется кибербезопасность России как внутри страны, так и за её пределами? Эксперты РАЭК помогли ответить на эти вопрос в специальном бюллетене к Cyber Security Forum 2014 (PDF). Ниже приведены основные документы с пояснениями и обновлен статус их актуального состояния.
Концепция стратегии кибербезопасности была призвана сплотить бизнес, государство и гражданское общество для обеспечения кибербезопасности в стране. После Парламентских слушаний в Совете федерации и обсуждения на сайте СФ, документ должен был поступить к Валентине Матвиенко для его дальнейшего движения по цепочке доработок и согласований. Но, похоже, после недолгого обсуждения в сети инициатива заглохла.
Проект «Основы государственной политики по формированию культуры информационной безопасности» . Работа над ним закончена в июле 2013 года, текущий статус документа неизвестен, и даже текст поисковиками найти не удается.
Закон о блокировке «пиратского» контента по требованию правообладателей (№187-ФЗ Федеральный закон «О внесении изменений в отдельные законодательные акты РФ по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях»). Целей регуляторов не достигает, но повысил риски ведения законного интернет-бизнеса в России. В силе с 1 августа 2013 года, формируется правоприменительная практика.
Законопроект об изменениях (их более 15) правил регулирования в сфере персональных данных (№416052-6 «О внесении изменений в Федеральный закон «О персональных данных» и ). Сейчас на рассмотрении в Госдуме и эксперты практически отстранены от влияния и правок его последующих редакций.
Законопроект о защите критической информационной структуры (Законопроект «О безопасности критической информационной инфраструктуры РФ» и ФЗ о внесении поправок в другие законы в связи с его принятием). РАЭК подготовил более 20 комментариев и замечаний к документу , в данный момент на рассмотрении в Госдуме.
Методический документ «Меры защиты информации в государственных информационных системах» . С 11 февраля 2014 года регламентирует меры по защите информационных систем в госучреждениях.
Закон о немедленной блокировке ресурсов с экстремистским содержанием по требованию прокуратуры (№398-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации»). Комиссия РАЭК по правовым вопросам сформулировала свои замечания , но ни одно не было учтено. Закон вступил в силу с 1 февраля 2014 года.
Законопроект об информировании абонентов со стороны провайдеров Интернета о возможностях систем родительского контроля (№231833-6 « »). Отклонен Госдумой в конце апреля 2014 года.
Законопроекты №428884-6 «О внесении изменений в отдельные законодательные акты РФ по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей » (направлен на упорядочение распространения информации и обмена данными между пользователями в Интернете) и № 428896-6 «О внесении изменений в отдельные законодательные акты РФ » (ужесточает требования к электронным денежным переводам). К этим законам у того же РАЭКа было немало профессиональных вопросов, где эксперты указывали на ряд недостатков технико-юридического, концептуального и технологического характеров. Оба закона вступили в силу с мая 2014 года.
Пакет «антитеррористических поправок» нацелен на противодействие террористам. На деле же многие эксперты видят в них формальный повод «закрутить гайки» по различным направлениям: ограничить возможности электронных платежей, распространения неугодной информации в сети и усилить контроль на уровне предоставления доступа в Интернет. В рамках расширения этого же пакета принят «Закон о Блогерах» , который фактически приравнивает активных публикаторов по ответственности к журналистам, при этом не давая ничего взамен (если не считать привилегией, конечно,
Тим Компстон обсудил с Клиффом Уилсоном, ассоциированным партнером подразделения IBM Security Business Unit (Великобритания и Ирландия), основные проблемы кибербезопасности и уязвимости устаревших промышленных систем управления и критически важной инфраструктуры. Он упоминает и кибератаку на энергосистему Украины. Мы подготовили для вас перевод.
Когда мы начинали интервью с Клиффом Уилсоном, ответственным за бизнес-процессы безопасности IBM в промышленном, энергетическом и коммунальном секторах в Великобритании и Ирландии, он выразил обеспокоенность по поводу того, что многие промышленные системы управления были разработаны, созданы и внедрены задолго до появления интернета. Предполагалось, что эти системы будут работать в более или менее закрытой среде, хотя и с подключением к простой широкополосной сети передачи данных.
В настоящее время эти инфраструктуры все чаще подключаются к контрольным и аналитическим системам для конечных пользователей. Многие даже подключены к интернету для удобства и снижения стоимости доступа. Эта новая возможность соединения делает их уязвимыми для кибератак отдельных лиц или государств: «В дополнение к старости, эти системы могут быть очень хрупкими. Таким образом, тестирование на проникновение или другое аналитическое тестирование безопасности должно проводиться осторожно — нетрудно вывести из строя унаследованный программируемый логический контроллер (ПЛК)».
С точки зрения масштабов промышленных систем управления, Уилсон подтверждает, что они играют важную роль в повседневной работе различных объектов: «Имеются ввиду производственные мощности, гражданская атомная энергетика, производство электроэнергии, распределение электроэнергии, коммунальные услуги, очистка воды и ряд других предприятий», — говорит он.
Вспышка серьезных атак
Обращаясь к тенденциям, которые Уилсон и его коллеги из IBM видят в отношении уровня и происхождения кибератак на промышленные системы управления, он отмечает, что это очень смешанная картина.
С одной стороны Уилсон отмечает, что количество атак со стороны так называемой «прыщавой молодежи», которая просто заходит на сайт и пытается проникнуть в систему, сократилось. «Это одна из причин того, что общий график количества атак стремится вниз» С другой стороны, Уилсон указывает на тревожную эскалацию атак более серьезного уровня: «Это такие атаки, как нападение на энергосистему Украины, которая была широко освещена в международной прессе».
Развивая тему кибератаки наУкраины, Уилсон говорит, что кто-то, который как полагалось был третьей стороной, по существу достиг целей и отключил мощности энергосистемы: «Он в значительной степени нарушил энергетическую сеть по всей стране и сделал это так, что операторы энергоснабжения не могли снова включить систему. Можете себе представить, если бы вы жили в стране, где внезапно исчезла вода, исчезло электричество, какое количество страха и паники могло бы это вызвать».
Скрытые угрозы
Уилсон продолжает эту тему, рассказывая мне, что существует также большое беспокойство по поводу того, что вредоносные программы могут существовать на клиентских системах, особенно тех, которые связаны с критической инфраструктурой. Это означает, что потенциальные злоумышленники — отдельные лица или государственные субъекты — могут потенциально нарушить работу критически важных систем и процессов — и никто не поймет, что происходит за кадром: «Такое подозрение возникает в ряде случаев, когда некоторые критически важные инфраструктурные организации подробно изучили свои системы и обнаружили программное обеспечение, которого там не должно было быть, и, действительно, впоследствии было доказано, что это программное обеспечение в некоторых случаях существовало в течение значительного периода времени», — говорит Уилсон.
Судебный анализ
Подчеркнув, насколько легко установить, что такое вредоносная программа, Уилсон признает, что на практике все происходит не так просто, как может показаться на первый взгляд: «Если вы не проведете достаточно глубокий анализ безопасности, как правило, Вы не узнаете, что делает это программное обеспечение. Например, мне известно об одной организации в другой стране. Когда они обнаружили подозрительное программное обеспечение, местное правительственное учреждение рекомендовало не удалять его или что-либо с ним делать, а отслеживать его деятельность, чтобы понять, какова была его цель. Это была фильтрация данных? Связано ли это с какой-то внешней системой управления и контроля? Это просто сбор информации о сети? Иногда просто вырывать подозрительное программное обеспечение, с точки зрения удаления его с любого сервера, не самое умное, что нужно делать».
Построение связей
Попросил прокомментировать, является ли одной из проблем то, что коммунальные предприятия и другие пользователи стремятся к более широкому охвату своих систем с точки зрения бизнеса. Уилсон соглашается с тем, что это действительно «наблюдаемое явление»: «Все больше и больше систем подключается к интернету, поскольку необходимо иметь возможность исправлять прикладное программное обеспечение, извлекать данные журнала, обновлять версии программного обеспечения — независимо от того, что это может быть — а также это возможность извлекать данные операционного процесса для отправки в корпоративные системы управления. Вместо того, чтобы фургон ездил по всей стране возвращаясь на полпути, например, чтобы посмотреть на часть промышленного контрольного оборудования, гораздо проще подключить устройство к интернету и иметь возможность запрашивать его удаленно». Угрозой является то, — говорит Уилсон, — что люди подключают часть старого оборудования к интернету, делая это быстро и просто без учета надлежащей безопасности.
Инструменты поиска
По словам Уилсона, ситуация с промышленными системами управления становится еще более опасной благодаря широкой доступности онлайн-инструментов, которые злоумышленники могут использовать в своих интересах: «Что-то под названием Shodan — программный продукт, который может искать устройства, в том числе промышленные системы управления, и когда он находит, он пытается войти на них, используя различные методы. Он снова выходит из системы, но сохраняет эту информацию в базе данных в интернете, которую каждый теперь может найти». Далее Уилсон объясняет последствия этой информации, которая доступна для общественности. В основном, он говорит, что если кто-то решится проникнуть в системы коммунальной компании, например, они могут быстро выяснить, подключено ли какое-либо оборудование промышленного управления к интернету: «Они просто ищут через Shodan, пока не находят уязвимые устройства».
«Если люди не могут найти что-то в Google, они думают, что это не сможет найти никто. Это не так», – как утверждает Джон Мэзерли, создатель Shodan, самого страшного поискового движка интернета.
В отличие от Google, который ищет в сети простые сайты, Shodan работает с теневыми каналами интернета. Это своего рода «черный» Google, позволяющий искать серверы, веб-камеры, принтеры, роутеры и самую разную технику, которая подключена к интернету и составляет его часть. Shodan работает 24 часа в сутки 7 дней в неделю, собирая информацию о 500 млн подключенных устройствах и услугах ежемесячно.
Просто невероятно, что можно найти в Shodan с помощью простого запроса. Бесчисленные светофоры, камеры безопасности, домашние системы автоматизации, системы отопления – все это подключено к интернету и легко обнаруживается.
Пользователи Shodan нашли системы управления аквапарком, газовой станцией, охладителем вина в отеле и крематорием. Специалисты по кибербезопасности с помощью Shodan даже обнаружили командно-контрольные системы ядерных электростанций и ускорителя атомных частиц.
И особенно примечателен в Shodan с его пугающими возможностями тот факт, что очень немногие из упомянутых систем имеют хоть какую-то систему безопасности.
«Это гигантское фиаско в безопасности», – цитируют Эйч-Ди Мур, директора по безопасности в Rapid 7. Эта компания имеет частную базу данных типа Shodan для собственных исследовательских задач.
Если сделать простой поиск по запросу «default password», можно найти бесчисленное множество принтеров, серверов и систем управления с логином «admin» и паролем «1234». Еще больше подключенных систем вообще не имеют реквизитов доступа – к ним можно подключиться с помощью любого браузера.
Независимый специалист по проникновению в системы Дэн Тентлер в прошлом году на конференции по кибербезопасности Defcon продемонстрировал, как он с помощью Shodan нашел системы управления испарительными охладителями, нагревателями воды с давлением и гаражными воротами.
Уязвимости
Присоединяясь к беспокойству по поводу инструментов поиска, Уилсон подчеркивает, что есть две стороны медали в том факте, что правительства и производители промышленного оборудования для контроля дают в интернете перечень известных уязвимостей, связанных с конкретным оборудованием: «Якобы это делается, чтобы технический специалист мог исследовать вопросы, связанные с оборудованием, находящимся под его контролем, и принять соответствующие меры по исправлению ситуации – например, выпустить обновление или патч, или даже принять решение о замене некоторых устройств. Недостатком здесь является, конечно, то, что злоумышленники будут искать эти же репозитории информации, для них это будет означать, что есть компания, цель, с большим количеством промышленного контрольного оборудования, вот список всех уязвимостей, и их можно просто атаковать», объясняет Уилсон.
Время действовать
Переходя к потенциальным решениям и о том, как IBM работает со своими клиентами над решением проблемы кибербезопасности, Уилсон сообщает, что ее можно решать с разных точек зрения: «Мы проводим тестирование на проникновение и тестирование системных гарантий, особенно в области промышленного контроля, идея состоит в том, чтобы увидеть, насколько трудно на самом деле проникнуть в промышленные системы управления, скажем, в критическую национальную инфраструктурную компанию. Как ни странно, обычно не так уж сложно войти. Мы также ищем то, чего не должно быть, и где есть утечка данных которой не должно быть. Мы также ищем различия между «как-проектировали» и «как построена» система. Мы часто участвуем в консультировании наших клиентов о том, как ликвидировать эти пробелы или закрыть эти «черные ходы» в своих промышленных системах управления и как повысить уровень безопасности».
Уилсон говорит, что один из подходов, который реализован, имеет форму технологии, которая в основном предназначена для обеспечения защитного конверта для этих старых и «скрипучих» промышленных систем управления: «В Великобритании и Ирландии в IBM мы разработали решение безопасности на основе многоуровневого протокола Deep Packet Inspection (DPI), который может быть вставлен практически в любую устаревшую промышленную систему управления любого типа. Решение позволяет поставить современную и надежную систему управления безопасностью вокруг ключевых активов. «Теперь больше нет оправдания наличию уязвимых систем управления», — заключает Уилсон.
Что такое кибербезопасность в нашей стране знают немногие. Чаще всего используется термин "компьютерная безопасность ", но и он у нас не так популярен, как за рубежом. Между тем, практически 20% киберпреступлений в мире в 2012 году пришлось именно на Россию . С целью обеспечения кибербезопасности личности, организаций и государства Временная комиссия Совета Федерации по развитию информационного общества приступила к разработке Стратегии национальной кибербезопасности Российской Федерации . Возглавляет комиссию сенатор Руслан Гаттаров . В рабочую группу входят представители аппарата правительства, Минкомсвязи России, МВД России, МИДа России, ФСО России, Совета безопасности и других заинтересованных органов, а также общественные и некоммерческие организации, среди которых РАЭК и Координационный центр национального домена сети Интернет.
Согласно проекту указанной стратегии, под кибербезопасностью понимается совокупность условий, при которых все составляющие киберпространства защищены от любой угрозы и нежелательного воздействия.
Таблица. Объекты и виды киберугроз
| Объекты угроз | Виды угроз |
| Граждане | Утечка и обнародование частной информации, мошенничество, распространение опасного контента, воздействие на личность путем сбора персональных данных и атаки на инфраструктуру, используемую гражданами в обычной жизни. |
| Бизнес | Воздействие на системы интернет-банкинга, блокирование систем покупки билетов, онлайн-торговли, геоинформационных систем и хакерские атаки на частные сайты. |
| Государство | Атаки на ключевые государственные системы управления (электронное правительство, сайты госорганов), экономическая блокада (масштабное отключение платежных систем, систем бронирования), аппаратная атака на персональные компьютеры, смартфоны граждан и организаций, атаки на бытовые объекты, которые управляются с помощью информационно-коммуникационных технологий, и критически важную инфраструктуру. |
Число киберпреступлений растет ежедневно
По данным Фонда "Общественное мнение ", на осень 2012 года месячная аудитория Интернета в России составляла 61,2 млн человек старше 18 лет, что составляет более 52% всего совершеннолетнего населения страны. Для большинства пользователей Интернет стал повседневным, привычным явлением. Три четверти выходящих в сеть (почти 47 млн человек) делают это ежедневно. По данным TNS в городах с населением более 100 000 жителей у 94% пользователей есть выход в сеть из дома. Интернет-аудитория по-прежнему растет, хотя темпы роста несколько замедляются – с осени 2010 года по осень 2011 года она увеличилась на 17%, а с 2011 года по 2012 год рост составил 12%.
По результатам ежегодного исследования Norton Cybercrime Report 2012 ущерб от киберпреступности за 2012 год оценивается в $110 млрд в год во всем мире и в $2 млрд в год в России. Согласно результатам исследования, каждую секунду 18 пользователей старше 18 лет становятся жертвами киберпреступности. Средний ущерб от кибератаки на одного среднестатистического пользователя составляет $197 (или более 6000 руб.).
По данным Norton Cybercrime Report 2012 каждый пятый человек старше 18 лет становился жертвой кибератаки либо в социальных сетях, либо через мобильные устройства. Большинство пользователей Интернета предпринимают лишь базовые действия по защите информации (удаляют подозрительные электронные письма, с осторожностью раскрывают личные данные), однако не обращают внимания на такую важную меру, как создание сложных паролей и их регулярное изменение.
Неосторожность пользователей порождает новые виды компьютерных преступлений. В настоящий момент среди основных угроз кибербезопасности можно выделить внедрение компьютерного вируса, несанкционированный доступ к информации, ее подделку, уничтожение, блокирование, копированиеи т.д. На практике компьютерные преступления чаще всего являются лишь одним из этапов совершения кражи или мошенничества. Получив неправомерный доступ к персональному компьютеру преступник, как правило, не ограничивается лишь копированием информации о пароле и логине доступа в личном кабинете потерпевшего, который является пользователем услуг интернет-банкинга. Конечной и главной целью злоумышленника является тайное изъятие чужих денежных средств с банковского счета потерпевшего, что квалифицируется как кража.
Проблемы кибербезопасности в России
Проблема кибербезопасности в нашей стране стоит особенно остро во многом из-за слабой нормативно-правовой базы. Фактически, сформулированный и закрепленный целостный подход к национальной проблематике кибербезопасности на сегодняшний день отсутствует. (утв. Президентом РФ от 9 сентября 2000 г. № Пр-1895) морально устарела и требует серьезной переработки. В Указе Президента РФ от 12 мая 2009 г. № 537 " " и упомянутой доктрине повестке кибербезопасности практически не нашлось места. В частности, не урегулированы и нормативно не закреплены проблемы оперативной реакции на инциденты в информационных сетях, использование Интернета в криминальных целях, проблема внутренней безопасности предприятий и организаций (связанная с утечками информации) и т.д.
Цитата
Алексей Раевский , к. т. н., генеральный директор компании Zecurion: "Данная проблема [проблема утечек и ответственности за них – Ред. ] актуальна, поскольку, во-первых, утечки приводят к компрометации больших объемов персональных данных граждан, а, во-вторых, в настоящее время этой проблеме уделяется недостаточно внимания и ситуация с защитой от внутренних угроз в организациях обстоит не очень хорошо. Существующие нормативные документы практически не предусматривают ответственности организаций и должностных лиц за допущенные утечки персональных данных, произошедшие по их вине ". |
Одновременно в России наблюдается неготовность правоохранительных органов расследовать такие категории дел, в частности, из-за отсутствия терминологического аппарата. Для решения этого вопроса приходится прибегать к помощи специалистов, которые поясняют технологические термины, а то и суть самого компьютерного преступления. Их помощь требует определенных денежных и временных затрат.
Субъекты юридической ответственности
При любом распространении информации в Интернете участвуют несколько субъектов: сам автор, собственник сайта (ресурса) и собственник сервера (провайдер). Соответственно, в случае неправомерного распространения информации задача суда при рассмотрении гражданского дела – определить, кто в конкретном деле будет являться ответчиком: собственник информационного ресурса либо хост-провайдер.
В разных странах этот вопрос решается по-разному. Так, в Китае и странах Ближнего Востока провайдер несет ответственность за все действия пользователей. В Европе в соответствии с Европейской директивой по электронной коммерции провайдер освобождается от ответственности за передаваемую информацию в случае, если выполняет определенные условия договора (например, если он при этом не инициирует ее передачу, не выбирает получателя, не влияет на целостность информации). Согласно законодательству некоторых стран (например, США) провайдер не несет ответственности за действия пользователей.
Долгое время в российском законодательстве четко не были определены механизмы привлечения к ответственности провайдеров за размещение на обслуживаемых ими сайтах недостоверной информации, а также не установлена возможность предъявления к ним претензий за качество такой информации. Федеральный закон от 28 июля 2012 г. № 139-ФЗ " " внес некоторую ясность. В целях реализации данного закона была создана единая автоматизированная информационная система "Единый реестр доменных имен, указателей страниц сайтов в сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет" , содержащая информацию, распространение которой в Российской Федерации запрещено. После внесения в данный реестр адресов сайтов последние блокируются.
Споры, в которых участвует иностранный субъект
Также осложнения вызывают информационные отношения, возникающие в киберпространстве, в которых одна из сторон – иностранное лицо. Например, если собственник, потребитель информации и хост-провайдер являются гражданами разных государств. Обычно в таких случаях у субъектов отношений есть право выбора применимого законодательства и места рассмотрения спора. Однако гарантии, что стороны смогут прийти к консенсусу в вопросе подсудности, нет. Аналогичные проблемы могут возникнуть, если ущерб в результате использования сайта причинен на территории иностранного государства, либо информация, размещенная на сайте, нарушает законы иностранного государства об охране прав интеллектуальной собственности.
Уголовная ответственность за киберпреступления
В действующем УК РФ есть только одна глава, которая предусматривает ответственность за киберпреступления – глава 28 "Преступления в сфере компьютерной информации ". Большинство ученых считают помещение компьютерных преступлений в данную главу не совсем удачным и предлагают изменить ее название. Например, Владимир Степанов-Егиянц , к. ю. н., заместитель декана юридического факультета МГУ имени М.В. Ломоносова считает целесообразным переименовать исследуемую главу в "Преступления против компьютерной информации ", поскольку большинство глав УК РФ законодатель начинает со слов "Преступления против...".
Данная глава содержит лишь три статьи, которые привязаны к определенным вредоносным программно-техническим действиям в сети ().
В примечании к сказано, что под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. ВС РФ изложил свое мнение на данное примечание в абз. 29 официального отзыва от 7 апреля 2011 г. № 1/общ-1583 "На проект Федерального закона "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные акты Российской Федерации": "Предложенный в примечании термин "электрические сигналы", на наш взгляд, не вносит достаточной ясности и требует дополнительного пояснения".
"Учитывая, что компьютерные сети сейчас используют для передачи данных оптоволокно, в котором сведения передаются с помощью переноса света, а не электрических сигналов, сложно ответить на вопрос, как на практике будут квалифицироваться деяния, исходя из таких формулировок ", – негодует Владимир Степанов-Егиянц.
Предусмотрена ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ее уничтожение, блокирование, модификацию либо копирование. Следует отметить, что физическое повреждение компьютера, повлекшее уничтожение информации, хранящейся в нем, не влечет за собой последствий, предусмотренных , поскольку объектом преступного посягательства является компьютерная информация, а не носители таковой.
Цитата
Владимир Степанов-Егиянц
, "Целесообразно внести в КоАП РФ статью об ответственности за факт посягательства на компьютерную информацию. В целях единства применения судебной практики считаю желательным обобщение ВС РФ судебной практики для подготовки разъяснений по вопросам, связанных с квалификацией противоправных деяний в сфере компьютерной информации, в том числе и по раскрытию сущности последствий неправомерного доступа к компьютерной информации ". |
Особенно опасным последствием неправомерного доступа к компьютерной информации является ее уничтожение . Для признания преступления оконченным достаточно выполнить специально предназначенные для удаления команды, например "delete " или "format ", независимо от возможности восстановления. В настоящее время учеными широко обсуждается вопрос: образует ли состав рассматриваемого преступления присутствие копии информации у потерпевшего или наличие возможности ее восстановления? Например, Юрий Гаврилин , д. ю. н., заведующий кафедрой уголовно-правовых дисциплин Тульского филиала МосАП, и Валерий Мазуров , к. ю. н., заместитель руководителя регионального научно-методического центра правовой и технической защиты информации АлтГУ, почетный профессор ВКГУ имени С.Аманжолова, полагают, что если у пользователя есть возможность восстановить уничтоженную программу или получить ее у другого лица, виновного такая возможность не освобождает от ответственности; Сергей Бражник , к. ю. н., заведующий кафедрой уголовного права и процесса Академии МУБиНТ, придерживается противоположной точки зрения. "Совершая преступление, лицо не может знать, имеется ли возможность восстановления информации и копия у потерпевшего. Для привлечения виновного к ответственности не имеет значения, обладает ли потерпевший копией и подлежит ли восстановлению уничтоженная информация", – полагает Владимир Степанов-Егиянц.
Вопрос, как долго должно продолжаться блокирование информации , чтобы виновный был привлечен к ответственности, тоже является спорным. Ряд ученых (например, д. ю. н., профессор кафедры уголовного права МГЮА имени О.Е.Кутафина Самвел Кочои ) считает, что блокирование должно продолжаться в течение такого промежутка времени, которого достаточно, чтобы нарушить нормальную работу или создать угрозу нарушения работы пользователей. В науке существует и противоположное мнение, согласно которому виновное лицо подлежит уголовной ответственности за блокирование информации независимо от того, было ли оно временным или постоянным. "Продолжительность блокирования должна быть достаточной, чтобы нарушить нормальную работу пользователей информации. Блокирование информации, длящееся от нескольких секунд до нескольких минут, не может признаваться преступлением в силу своей малозначительности", – считает Владимир Степанов-Егиянц.
Копирование информации, то есть перенос информации с одного носителя на другой, может производится, например, переписыванием или фотографированием с экрана компьютера. Мнения правоприменителей по поводу того, будет ли такое копирование образовывать состав преступления, расходятся.
Аналогичные проблемы, связанные с наличием устаревшего определения компьютерной информации и отсутствием определений уничтожения, блокирования, копирования компьютерной информации, возникают и при применении . предусматривает ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, но на практике практически не используется.
29 ноября 2012 года был принят Федеральный закон № 207-ФЗ " ", который впервые в российской законотворческой практике выделил различные виды мошенничества в отдельные составы преступлений в зависимости от того, в какой сфере они совершены. Благодаря данному закону появились ("Мошенничество с использованием платежных карт") и ("Мошенничество в сфере компьютерной информации"). Очевидно, что в правоприменительной практике в рамках возникнут вопросы о том, какие действия следует относить к вводу и удалению компьютерной информации. Технически удалить компьютерную информацию полностью можно лишь физически уничтожив ее носитель. Применение специальных программ и средств, как правило, позволяет восстановить удаленную информацию.
Для борьбы с врагом XXI века – киберпреступностью – государство предпринимает различные меры, однако чтобы эта борьба была действительно эффективной, не стоит забывать, что соблюдение элементарных правил безопасности при работе в Интернете – дело пользователя.
Рост объёмов информации, компьютерных сетей и числа пользователей, упрощение их доступа к циркулирующей по сетям информации существенно повышает вероятность хищения или разрушения этой информации.
В настоящее время значимость проблемы защиты информационных ресурсов, в том числе личных, определяется следующими факторами:
· развитием мировых и национальных компьютерных сетей и новых технологий, обеспечивающих доступ к информационным ресурсам;
· переводом информационных ресурсов на электронные носители и концентрацией их в информационных системах;
· повышением "цены" создаваемой и накопленной информации, служащей реальным ресурсом социально-культурного и личностного развития;
· разработкой и совершенствованием информационных технологий, которые могут эффективно использоваться криминальными структурами.
Компьютерная преступность стала настоящим бичом экономики развитых государств. Так, например, 90% фирм и организаций в Великобритании в разное время становились объектами электронного пиратства или находились под его угрозой, в Нидерландах жертвами компьютерной преступности стали 20% различного рода предприятий. В ФРГ с использованием компьютеров ежегодно похищается информация на сумму 4 млрд. евро, а во Франции - 1 млрд. евро.
Наибольшую общественную опасность представляют преступления, связанные с неправомерным доступом к компьютерной информации. Известно, рассматриваемое правонарушение имеет очень высокую латентность, которая по различным данным составляет 85-90% . Более того, факты обнаружения незаконного доступа к информационным ресурсам на 90% носят случайный характер.
Преступление данного вида, как показывает мировая практика, наносит огромный материальный и моральный вред. Так, например, ежегодные потери только делового сектора США от несанкционированного проникновения в информационные базы данных составляют от 150 до 300 млрд. долларов.
В современных условиях социально-экономического развития Российской Федерации компьютерная преступность стала реальностью общественной жизни.
Подтверждением роста компьютерных преступлений в России являются статистические данные Совета безопасности Российской Федерации, согласно которым выявлено более 800 000 попыток осуществления компьютерных атак на официальные информационные ресурсы органов государственной власти, при этом более 69 000 из них - на официальное Internet-представительство Президента России.
О динамике и масштабах компьютерных преступлений наглядно свидетельствуют следующие данные. За последние десять лет их число возросло в 22,3 раза и продолжает расти в среднем в 3,5 раза ежегодно. Ежегодный размер материального ущерба от этих преступных посягательств составляет 613,7 млн. руб. Средний ущерб, причиняемый потерпевшему от одного компьютерного преступления, равен 1,7 млн. руб. С определенной долей успеха расследуется лишь около 49% преступлений, обвинительные приговоры выносятся лишь в 25,5% случаев от общего числа возбужденных уголовных дел.
Средний показатель - число уголовных дел, по которым производство приостановлено, составляет 43,5% и ярко отражает низкую степень профессионализма сотрудников правоохранительных органов в деятельности по раскрытию, расследованию и предупреждению этих преступных посягательств.
Для более точного сравнения можно привести следующие данные. По материалам подразделений “К” возбуждено 1673 уголовных дела, что на 45% больше, чем за аналогичный период предыдущего года. Число выявленных преступлений возросло почти на 6% и составило 4295 против 4057 в предыдущем году.
По сообщению Управления “К” МВД России удалось раскрыть свыше 7000 преступлений в сфере высоких технологий, более 4000 из них подпадают под ст. 272 Уголовного Кодекса (УК) “Неправомерный доступ к компьютерной информации”. Основная часть преступлений - это компьютерные преступления, связанные с незаконным доступом к информации и с использованием вредоносных программ. Анализ сложившейся ситуации показывает, что около 16% злоумышленников - молодые люди в возрасте до 18 лет, 58% - лица от 18 лет до 25 лет, около 70% из них имеют высшее либо незаконченное высшее образование.
Выделяются следующие основные тенденции развития компьютерной преступности в России:
а) высочайшие темпы роста;
б) корыстная мотивация большинства совершенных компьютерных преступлений;
в) усложнение способов совершения компьютерных преступлений и появление новых видов противоправной деятельности в сфере компьютерной информации;
г) рост криминального профессионализма компьютерных преступников;
д) омолаживание компьютерных преступников и увеличение доли лиц, ранее не привлекавшихся к уголовной ответственности;
е) рост материального ущерба от компьютерных преступлений в общей доле ущерба от прочих видов преступлений;
ж) перенос центра тяжести на совершение компьютерных преступлений с использованием компьютерных сетей;
з) перерастание компьютерной преступности в разряд транснациональной преступности; и) высокий уровень латентности компьютерных преступлений.
Борьба с киберпреступностью должна стать приоритетной функцией всех правоохранительных органов и силовых ведомств.
Поскольку Интернет в целом никому конкретно не принадлежит, никем конкретно не регулируется, то нет и отвечающей за Интернет административной инстанции, которая могла бы запретить практику размещения на Web-сайтах порнографических картинок. Положение осложняется тем, что информация может храниться на Web-сайтах в другой стране или на другом континенте, где законодательство не готово устанавливать ответственность за хранение и распространение непристойной информации. Проблема должна решаться на международном уровне, возможно в рамках Юнеско.
Результаты анализа характеристики компьютерной преступности позволяют прогнозировать усложнение борьбы с нею ввиду того, что способы совершения компьютерных преступлений с каждым годом приобретают все более изощренный и трудноопределимый характер. К решению этой проблемы необходимо подходить комплексно.
Специалисты выделяют следующие элементы организации деятельности правоохранительных органов в глобальных информационных сетях:
· изучение и оценка обстановки в сетях;
· осуществление оптимальной расстановки сил и средств, обеспечение взаимодействия;
· управление, планирование и контроль; координация действий субъектов правоохранительных органов.
Важным элементом системы мер борьбы с компьютерной преступностью являются меры превентивного характера, или меры предупреждения. Большинство зарубежных специалистов указывают на то, что предупредить компьютерное преступление намного легче и проще, чем раскрыть и расследовать его.
Обычно выделяют три основные группы мер предупреждения компьютерных преступлений: правовые; организационно-технические и криминалистические, составляющие в совокупности целостную систему борьбы с этим социально опасным явлением.
Стратегия международного сотрудничества в сфере противодействия компьютерной преступности и приоритетные направления ее реализации, в том числе: межгосударственные соглашения, организация межгосударственной оперативно-розыскной деятельности, принятие межгосударственного регламента и совершенствование интеграционных процессов в рамках межгосударственных организаций, обоснование необходимости разработки и принятия соответствующей комплексной межгосударственной программы.
Контроль над киберпреступностью
Совокупность потребностей, удовлетворение которых обеспечивает существование и возможность прогрессивного развития каждого гражданина, общества и государства - это часть национальных интересов, без реализации которых невозможно обеспечить стабильное состояние государства и общества, а также нормальное развитие страны как независимого субъекта международных отношений. Все защищаемые интересы в информационной сфере подразделяются на интересы личности, государства, общества. Проблема киберпреступности в настоящее время затрагивает как и целые государства так и отдельных личностей.
Исходя из вышеизложенного, можно сделать вывод, что противодействие киберпреступности- это часть национальных интересов
На рисунке 1.1 продемонстрирована система противодействия киберпреступности.
Рис.1.1 Контроль над киберпреступностью
Выводы
Киберпреступность уже стала большой проблемой для всего мира - и проблема стремительно нарастает. Правоохранительные органы пытаются угнаться за ней - законодатели принимают новые законы, полицейские агентства формируют специальные подразделения по борьбе с киберпреступностью. Киберпреступление, как и любое другое преступление есть не только правовая, но и социальная проблема. Чтобы успешно бороться с киберпреступностью, должны привлекаться IT - специалисты и те в обществе, кого затрагивает, прямо или косвенно преступная деятельность, нашедшая благоприятную среду - виртуальное пространство.
Необходимо создать унифицированную классификацию и формальную модель киберпреступлений, которые облегчат и противодействие, и расследование киберпреступности.
