2018-й стал годом относительного затишья — злоумышленники особо не грабили банки, ФСТЭК и прокуратура не выдвигали серьезных претензий бизнесу за медленное категорирование объектов критической инфраструктуры, лишь за океаном регулярно находили «бесхозную» (без аутентификации) Big Data — БД с миллионами персональных данных клиентов.

Кадровый рынок начал расслаиваться — слабых специалистов не берут и за копейки («у нас и так 10 человек, что учатся»), компенсации лучших исполнителей выросли до сотен тысяч рублей не считая годового бонуса.

Межгосударственные отношения

В нынешнем обзоре автор введет новую, отсутствовавшую в прошлогоднем обзоре, категорию «Межгосударственные отношения». В нее будет входить развитие норм ИБ в области международного права и сотрудничества, а так же актуальная тема киберсанкций.

Нельзя не отметить что в 2018-м в адрес России прозвучали обвинения в кибератаках не только от США, но и от Великобритании, Нидерландов и Норвегии, что усложнило бизнес российских игроков рынка ИБ, но несколько защитило кадровый рынок от массовой скупки специалистов европейцами — не все готовы нанимать «Russian hackers».

Международная ИБ

Россия не первый год продвигает собственную глобальную повестку в сфере ИБ, и 2018-й принес ряд успехов.

17 декабря Генеральной Ассамблеей ООН принята российская резолюция «Противодействие использованию информационно-коммуникационных технологий в преступных целях». Резолюция направлена на запуск транспарентной политической дискуссии по противодействию информпреступности и выработку конкретных практических решений в сфере борьбы с киберпреступностью в условиях отсутствия действенных международно-правовых инструментов.

5 декабря Генеральной Ассамблеей ООН принята российская резолюция по международной информационной безопасности. Документ содержит первоначальный свод из 13 правил, норм и принципов ответственного поведения государств в киберпространстве, в частности четыре обязательства:

  1. использовать ИКТ исключительно в мирных целях;
  2. соблюдать в киберпространстве принцип государственного суверенитета;
  3. сотрудничать в борьбе с применением ИКТ в преступных и террористических целях;
  4. предотвращать распространение скрытых вредоносных функций в ИТ-продукции (т. н. «закладок»).

Кроме того, в этом своде норм зафиксированы следующие ключевые принципы: любые обвинения в злонамеренном использовании ИКТ должны быть доказаны и государства не должны использовать посредников для злонамеренного применения ИКТ.

В случае полноценной реализации упомянутых правил киберпреступности будет гораздо тяжелее реализовывать свои транснациональные операции — прятаться от Фемиды пользуясь разностью юрисдикций.

Киберсанкции

Два года назад в обзоре «Кибербезопасность России: итоги 2016 года и стратегии для 2017-го» автор предупреждал игроков рынка кибербезопасности о том, что санкции пришли всерьез и надолго и с санкционным риском нужно что-то делать. К сожалению прогноз реализовался, и летом 2018-го сразу две заметные российские организации попали под санкции — группа Digital Security (в составе Digital Security, ERPScan и Embedi), а также специализированный ФГУП «НИИ «Квант», подведомственный ФСБ.

Автор не нашел контрактов Digital Security со структурами ФСБ в открытых источниках (что и не удивительно), кроме контракта Digital Security c НИИ Квант «Услуги по оформлению электронных билетов на ZeroNights» от 2016 г.

Учитывая состав участников санкционного списка (в части рынка ИБ: «Цифровое оружие и оборона», Digital Security, НИИ «Квант»), старый тезис «деньги любят тишину» можно на ближайшие года перефразировать как «российское кибероружие любит тишину». Для тех же, у кого модель продаж и маркетинга никак не обойдется без продвижения «практической безопасности» и ZeroNights-подобных конференций, возможно рекомендовать испробованные методики повышения санкционной устойчивости компании. Тем более, что текущие участники санкционного списка вряд ли имеют реально заметные контракты с силовиками — максимум миллионов на сто за последние года три. Очевидно, что на рынке достаточно ИБ-игроков с принципиально бóльшими объемами продаж спецслужбам.

Государство

2018-й должен быть стать годом цифровой экономики (ЦЭ), но, как заявил руководитель службы ИБ Сбербанка (Центр компетенций по ИБ в госпрограмме ЦЭ), в части ИБ финансирование составило 5% от плана. С такой предсказуемостью финансирования судьба направления «Информационная безопасность» государственной программы «Цифровая экономика» не ясна.

Защита критической информационной инфраструктуры и ГосСОПКА

Несмотря на скепсис автора регламентирующие КИИ документы ФСТЭК были приняты в январе 2018 г., и волна категорирования объектов началась. Вперед вырвались медицинские учреждения и энергетика, а вот финансовый сектор намеревается завершить категорирование лишь в 2019-м. В 2019-м же субъекты КИИ — владельцы значимых объектов КИИ должны подключиться к ГосСОПКА, что скорее всего выродится в волну подключений «как нибудь». Предприятия объективно не готовы качественно и полноценно осуществлять мониторинг своих критичных инфраструктур, несмотря на максимально облегченные требования ФСБ — в классических методических рекомендациях приведено всего 12 довольно простых типов инцидентов в стиле «атака на отказ в обслуживании».

Все ключевые владельцы объектов КИИ — государственные органы, крупные промышленные компании и др. начали что-то делать по теме КИИ, что стимулирует развитие рынков центров мониторинга ИБ (SOC) и несколько подхлестывает развитие служб ИБ в государственных органах — теперь эффективность их работы измеряется не только отсутствием замечаний по итогам проверок регуляторов, но и наличием и качеством инцидентов ИБ, которые они передадут в ГосСОПКА. Отдельные субъекты КИИ уже получили запросы «почему так мало инцидентов передаете?».

Интересно, как скажется на обеспечении ИБ федеральных органов государственной власти консолидация Минэкономразвития, Минпромторга и ряда других ведомств в Москва-Сити. В рамках нее ответственным за ИТ-поддержку и ИБ назначен Ростелеком. Впрочем, Ростелеком подготовился — приобрел сервис-провайдера по кибербезопасности Solar Security и сейчас создает «национального провайдера систем и сервисов по кибербезопасности».

Автор отдельно отметит, что все «национальные провайдеры и операторы» являются естественной целью зарубежных спецслужб, поэтому им следует ответственно подходить к своей внутренней ИБ. В частности, США года назад приняли концепцию Computer Network Exploitation, которая подразумевает постоянное нахождение (наличие доступа) американских «зондов» в сетях критической инфраструктуры значимых потенциальных противников — очевидно Россия входит в их число.

Персональные данные — год GDPR

В 2018-м вступила в силу европейская Глобальная директива о защите персональных данных (GDPR), а значит именно в этом году российские дочки транснациональных корпораций и крупный российский бизнес озаботились этим вопросом.

По факту с GDPR все просто: передающий персданные российской компании европеец должен физически находиться на территории ЕС, иначе GDPR не применима. Правда российским дочкам глобальных холдингов выполнять требования GDPR пришлось просто потому, что таковы требования глобальных штаб-квартир.

На практике GDPR сейчас это больше проект редизайна или создания нового набора процессов по работе с персональными данными, проектов же по защите персональных данных (внедрение технологий) пока мало, появляться они будут по мере увеличения количества штрафов.

В 2018 г. даже в ЕС автор отметил лишь десятки штрафов, на суммы до полмиллиона евро. Впрочем уже в январе 2019-го на Google был наложен штраф в 50 млн. евро французским регулятором по ПДн.

Итого: ни один регулятор так и не наказал бизнес по-настоящему (штрафом в виде процента от глобальной выручки), но в случае с Google национальный регулятор Франции оговорился, что их штраф не освобождает Google от ответственности перед другими национальными регуляторами. А значит еще 26 штрафов могут быть впереди, что уже гораздо серьезнее.

Фундаментальная для России связанная с GDPR проблема — необходимость европейских организаций уведомлять национальных регуляторов об утечках. Теперь сор не спрячешь под полой, а значит организации будут уделять ИБ заметно больше внимания и усилят давление на российский кадровый рынок.

Политические атаки

Политически мотивированные атаки не редкость в России начиная с 2012 г., когда в процессе избирательной кампании и проведения выборов были зафиксированы десятки кибератак на сайты СМИ.

Не стали исключением и прошедшие в марте 2018-го президентские выборы. По словам заместителя директора Национального координационного центра по компьютерным инцидентам ФСБ России Николая Мурашова, была проведена атака минимум из 20 тыс. источников (очевидно, ботнет из 20 тыс. узлов. — Прим. автора), нацеленная на срыв работы системы видеонаблюдения за выборами. Эксперт упомянул и атаки во время горячей линии президента РФ (непонятно на какую систему. — Прим. автора).

Стоит ожидать очередного цикла кибератак во время единого дня голосования в 2019 г., поэтому органам государственной власти и избирательным комиссиям нужно готовиться уже сейчас.

Политические проблемы

Осенью 2018 г. журналисты «Коммерсанта» посмотрели рабочие столы компьютеров общего пользования в московских МФЦ и нашли на них много персональных данных граждан — паспорта, СНИЛС и т. п. С рациональной точки зрения, на рабочих столах лежало то, что туда сами граждане и разместили — значит это их проблемы, МФЦ ни при чем. Однако с точки зрения заботы о гражданах — можно было бы запустить простой скрипт и ежедневно чистить рабочие столы, компьютерные клубы до такой практики дошли еще лет 20 назад. Однако симптоматичным стал шум вокруг данной истории, объединяющая МФЦ Москвы структура «Мои документы» даже выступила с опровержением.

А уже в декабре был отмечен инцидент типа directory traversal, когда платежная система mos.ru помещала квитанции в доступные из «Яндекса» каталоги pay.mos.ru.

Возможно именно поэтому уже в феврале 2019-го заместитель руководителя департамента ИТ Москвы Александр Горбатько заявил на «Инфофоруме-2019», что Москва до конца 2020 г. закончит создание Центра кибербезопасности, в зону ответственности которого войдут все столичные органы исполнительной власти. Данное заявление революционно, так как в области ИБ департаменты города Москвы довольно самостоятельны и в принципе система управления городом во многом децентрализована.

Бизнес

2018-й был еще одним относительно спокойным годом для бизнеса в сфере ИБ, в России лишь гремели утечки из-за неправильной настройки ИТ-систем из Сбербанка, ABBYY и структур правительства Москвы, традиционно ломали компании из сферы криптовалют, которые никак не разовьют у себя способность эффективно противостоять кибератакам. Впрочем, упавший курс биткоина несколько переориентировал преступников, и мы увидели расцвет IoT-угроз (см. ниже).

Целевые атаки и инциденты

Основными публичными жертвами целевых атак остались различные криптосервисы. Их снова и снова ломали, похищали десятки миллионов долларов, вследствие чего они открыли много вакансий специалистов по ИБ, но еще не успели достичь уровня защищенности, адекватного сумме своих активов и инвестиций. Фундаментально ключевая криптовалюта биткоин — лакомый кусочек для атакующих: переводы в целом анонимны а значит необходимость в затратах на отмывание денежных средств (money laundering) существенно снижена (обычно киберпреступность тратит на это десятки процентов от суммы).

Из заметных внешних кибератакатак в России: по сообщениям СМИ, осенью была взломана платежная система «Юнистрим», а вот знаковых утечек было заметно больше. К примеру, исследователь Боб Дьяченко нашел в сети сервер ABBYY с доступными из поисковика сотнями тысяч документов — в том числе контрактов и соглашений о неразглашении информации.

Инцидентом года стала утечка данных 421 тыс. сотрудников Сбербанка, в результате которой банку пришлось сообщить Еврокомиссии об утечке данных граждан Евросоюза, а на профильных форумах появились сообщения пользователей об опасениях сдавать Сбербанку биометрические данные, т. к. он «не может обеспечить собственную безопасность».

Массовые кибератаки

В 2018-м осталась актуальной угроза business email compromise — злоумышленники тщательно собирают сведения о предполагаемой жертве и направляют ей фишинговое письмо, например об изменении реквизитов счета для оплаты. В средних и малых компаниях такое письмо может быть принято во внимание, а чтобы усилить эффект злоумышленники пишут от лица «Роснефти» и ряда других крупных холдингов. Киберпреступный бизнес не полагается на авось — по данным компании Cylance, в 2018-м выявили несколько поддельных веб-ресурсов крупных российских корпораций и бирж, с помощью которых собирались сведения для подготовки атак.

Знаковые ИБ-инциденты в мире

В отличие от России в мире знаковые инциденты были реализованы в первую очередь извне, к примеру подверглась кибератаке ИТ-инфраструктура крупной нефтегазовой компании Saipem — по данным агенства Reuters, «сотни компьютеров перестали функционировать».

Но возможно наиболее крупным мировым ИБ-инцидентом стал взлом системы бронирования сети отелей Marriott, в результате которого злоумышленники получили доступ к информации 500 млн. гостей (все, кто забронировали номера до 10 сентября 2018 г. включительно).

Другие категории

Пользователи

Пользователи в 2018-м стали ценной кормовой базой для преступников — криптоугодьями новой цифровой эры. Угодья берегут, поэтому вместо шифровальщиков на персональных компьютерах поселились криптомайнеры и добыча биткоина увеличилась.

Впрочем, упавший в разы курс биткоина говорит, что расслабляться не стоит, резервное копирование все еще актуально и антивирусные системы пригодятся. Неплохим средством повысить свою защищенность будет и изучение памятки от МВД России «Управление „К“ предупреждает!», которая содержит описание и меры самозащиты физических лиц от самых распространенных мошеннических схем в цифровом пространстве (телефонного и с пластиковыми картами) и от вредоносных программ в Интернете.

Роботы и Интернет вещей

Интернет вещей. Чуть больше 30 лет назад червь Морриса атаковал предшественницу Интернета сеть ARPANET, агрессивно подбирая пароли к сервису rsh и используя уязвимости в ПО sendmail и finger.

Сейчас мы имеем фундаментально аналогичную ситуацию — по июльским данным Лаборатории Касперского, количество атак на устройства Интернета вещей в I полугодии 2018-го выросло втрое, а для атаки использовались перебор паролей сервисов Telnet, SSH и уязвимости ПО.

По оценкам Statista, за прошлый год добавилось 3 млрд. IoT-устройств (рост с 20 до 23 млрд.), а всего через 6 лет их будет 75 млрд.

Итого у нас сейчас 23 млрд. слабозащищенных устройств — напомню, в PC-мире Telnet считался слабозащищенным протоколом еще в 1998-м и уже в начале 2000-х (практически 20 лет назад) его рекомендовали отключать из соображений безопасности. Естественно, такое количество очень интересно для «мастеров больших чисел» — создателей ботнетов. И в 2018-м прозвучал сразу ряд ярких имен.

Классический IoT-ботнет Mirai дал жизнь ботнету Torii, который отличается широким спектром поддерживаемых архитектор процессоров (ARM, x86, x64 и др.) — его разработчики явно собираются контролировать как можно больший сегмент Интернета вещей. Еще одним новым «лицом» стал ботнет Hide N‘ Seek (HNS), который в январе собрал для атаки в единый кулак 20 тыс. зараженных устройств (преимущественно IP-камер).

Роутерами продолжили заниматься Mirai, а также еще одна ветка с использованием его кода — ботнеты Satori и Masuta. А вот ботнет на основе вредоноса Chalubo, используя код Mirai, целился уже в том числе на SSH-серверы и системы на базе Linux.

Миру еще предстоит выработать практики противодействия IoT-угрозам, ведь в отличие от ПК и серверов антивирус и другие «накладные» средства защиты на них не установишь и обновлять их удаленно очень непросто, а иногда и экономически нецелесообразно.

Роботы. В робототехнике пока нет столь же ярких ИБ-инцидентов, как в Интернете вещей, но некоторые исследователи действуют на опережение. В частности, в 2018 г. коллективом исследователей ИБ был представлен «Свод знаний по обеспечению ИБ роботов» (Robot Security Framework), который отразил основные механизмы защиты и опасения исследователей на четырех основных уровнях функционирования роботов — физическом, сетевом, уровне прошивки и уровне приложения.

Стратегии

Традиционно хотелось бы сформулировать три актуальные стратегии для обеспечения ИБ бизнеса.

Механизмы координации работы системы ИБ (корпорации)

Большая корпорация состоит из десятков и сотен различных подразделений, каждое из которых руководствуется своими целями, политиками и отличается внутренней субкультурой. Этим стараются пользоваться злоумышленники и аудиторы безопасности (как заметил один из них, «мы точно хакнем большую компанию, какой-то из регионов да облажается»). Для синхронного и результативного движения вперед корпорациям необходимо выработать и применять механизмы координации работы корпоративной системы ИБ.

В частности, создать коллегиальный орган по ИБ (например, комитет по ИБ), разработать и реализовать стратегию ИБ, внедрить ключевые показатели эффективности, выполнение которые влияло бы на финансовую мотивацию руководителей и сотрудников (премии).

Обучение ИБ (все типы организаций)

Информационные системы создают и эксплуатируют люди. Именно они выступают первой линией контакта злоумышленников в большинстве успешных взломов — первым шагом обычно идет поддельное письмо о штрафах ГАИ, просьбах контрагентов и др.

Обучение людей становится одним из ключевых элементов стратегии ИБ организаций всех размеров и форм собственности, тем более что в последние пару лет рынок стал предлагать решения и сервисы на любой вкус — от геймификации до применения психологических доктрин и использования облачного сервиса.

Кадровый голод (СМБ, государственные организации)

Проблемы с защитой крупных организаций стали более понятны их руководству — и они практически «высушили» кадровый рынок ИБ. Хорошим специалистам исполнительского уровня гиганты российской экономики уже предлагают месячные компенсации, измеряемые сотнями тысяч рублей, что делает задачу привлечения серьезной экспертизы для других предприятий почти неподъёмной. Выходом является использование экспертизы Центров компетенций — нишевых ИБ-компаний, Центров мониторинга и реагирования на инциденты ИБ (SOC), ведущих практик по анализу защищенности информационных систем.