Цифровий злочинний світ самоізолювавсяале не пішов на канікули
Майже рік через пандемію коронавірусу ми живемо в епіцентрі глобальної кризи. Шкідливий біологічний вірус змусив нас переглянути своє ставлення до здоров'я, соціальним контактам та звичкам, помітно вплинув на економіку та організацію робочих процесів у компаніях та на виробництві і, зрештою, вніс корективи до нашої свободи пересування та до наших планів.
Але вірус не тільки змінив фізичний світ — він також вплинув на швидкість впровадження цифрових технологій у безліч процесів та ландшафт кіберзлочинності. Країни в основному зуміли (або швидше були змушені) швидко адаптуватися до нової реальності і перенести більшу частину того, що ми звикли робити офлайн (керувати бізнесом, зустрічатися з клієнтами, навчатися, спілкуватися з лікарем, подорожувати, ходити в магазин і т. д.), в онлайн.
Таке зрушення, з одного боку, є відмінним виходом із ситуації, але з іншого — супроводжується численними ризиками і цілком відчутними негативними наслідками.
Йдеться, в першу чергу, про кількість кіберзагроз, що зросла, пов'язаних з новою онлайн-активністю. Можливо, цифровий злочинний світ фізично та самоізолювався, як і всі ми, але не пішов на канікули.
РИЗИКИ ТА ВИДИ ЗАГРОЗ, ОБУМОВЛЕНІ ПАНДЕМІЄЮ
Зараз, коли значна частина людей перейшла на роботу онлайн, компанії наражаються на більший ризик, особливо ті, які спочатку не були готові до таких змін та/або не мають необхідних протоколів безпеки для віддаленого підключення персоналу до корпоративної мережі.
З погляду інформаційної безпеки, співробітник усередині корпоративної мережі та співробітник, що підключається до неї з дому, — користувачі в різних цифрових середовищах.
Наше дослідження показало, що кількість атак на сервери та інструменти віддаленого доступу збільшується зі зростанням їх використання.Перехід на дистанційну роботу підвищив навантаження на корпоративну безпеку за рахунок зростаючої кількості атак на веб-додатки (середня щоденна кількість атак методом брутфорсу - автоматизованого перебору паролів - на бази даних у квітні 2020 року зросла на 23% порівняно з січнем того ж року) та фішингу на тему пандемії коронавірусу (з кінця лютого 2020-го кількість фішингових атак електронною поштою збільшилася більш ніж на 600%).
Прагнучи швидко перебудувати бізнес-процеси, компанії та підприємства по всьому світу поспішили перейти на хмарні рішення, налагодити застосування сервісів відеоконференцій та обміну миттєвими повідомленнями, систем спільного планування та використання файлів. Така гонка не дозволяє замислитись, наскільки безпечні ці сервіси та наскільки надійно захищена інформація, що передається цими каналами. Приклади порушень та витоків даних останнім часом щодня з'являються у новинах. Скажімо, у квітні минулого року у відкритий доступ до мережі потрапило кілька тисяч записів відеодзвінків сервісу Zoom.
За даними The Washington Post, серед них були як приватні розмови користувачів, так і конференції різних компаній. Наслідки подібних витоків можуть бути значно серйознішими і дорогими, ніж витрачений час та зусилля, необхідні, щоб завчасно вирішити питання кібербезпеки. Шахраї масштабно використовують тему коронавірусу для розсилки фішингових повідомлень. Найчастіше посилаючись на проблеми з доставкою (що справді не рідкість), вони буквально змушують одержувачів відкривати листи зі шкідливими вкладеннями чи посиланнями від незнайомих відправників.
Навіть фахівці, навчені розпізнавати фішинг, іноді важко визначити, чи є повідомлення шкідливим або відправленим реальним контрагентом.
Згідно з нашим дослідженням, понад чверть (27%) респондентів повідомили, що під час пандемії отримували шкідливий спам на тему COVID-19 пандемії експлуатують, наприклад, кібершахраї, які стоять за бандою Ginp банківським трояном, який ми вперше виявили минулого року. Після отримання спеціальної команди Ginp відкриває веб-сторінку під назвою "Coronavirus Finder". На ній показується кількість людей, заражених коронавірусом поблизу користувача, і за плату пропонується переглянути їх місцезнаходження. Якщо ви вводите дані своєї кредитної картки, то відправляєте їх безпосередньо злочинцям - і ті отримують доступ до всіх коштів, що знаходяться на рахунку. При цьому шахраї, природно, не надсилають вам інформацію про хворих - у них її просто немає.
Ще одну серйозну проблему для бізнесу, державних організацій, медичних, освітніх та інших закладів у всьому світі представляють програми-вимагачі. Багато хто пам'ятає, що у 2017 році відбулася одна з найвідоміших епідемій шкідливого програмного забезпечення останнього часу — WannaСry. По всьому світу зупинилися заводи, було паралізовано роботу лікарень, постраждали держустанови, банки, телекомунікаційні компанії. Загалом WannaCry заразив понад 200 тис. комп'ютерів у 150 країнах.
За різними оцінками, збитки від епідемії склали від кількох сотень мільйонів до кількох мільярдів доларів. Історично атаки здирників були націлені лише на отримання викупу, але тепер експерти очікують, що зростатиме кількість цільових гібридних атак із крадіжкою документів та подальшою загрозою опублікувати їх у разі відмови платити викуп — або з продажем викраденої інформації в даркнеті. Одну з таких атак ми спостерігали, наприклад, минулого року: творці шифрувальника Maze ransomware погрожували продати або опублікувати вкрадені у компаній дані, а також назвати імена жертв, якщо викуп не буде сплачено.
Від шкідливого ПЗ постраждали десятки організацій, у тому числі такі гіганти, як LG і Southwire, їх конфіденційні дані були розміщені у відкритому доступі в мережі.
Серед відносно недавніх великих атак із викраденням фінансових документів та баз даних, що містять інформацію про користувачів, — кібератаки на японського виробника фотоапаратів Konica Minolta та на компанії Xerox, Orange та Garmin, що сталися минулого літа.
Люди, які стоять за подібними злочинами, ще більше посилюють ситуацію, що склалася, змушуючи заклади охорони здоров'я, освітні, фінансові, державні організації, виробництва та операторів критичної інфраструктури платитимуть за відновлення контролю над даними.
На жаль, найчастіше саме лікарні та інші медичні установи стають ідеальними мішенями для таких атак. Одже для них відсутність доступу до файлів із даними пацієнтів може стати питанням життя та смерті. До того ж вони, як правило, не мають ні фінансових, ні людських ресурсів, необхідних для організації та підтримки належного кіберзахисту.
Наприклад, до кінця 2020 року рахунок лікувальних закладів, уражених атаками операторів угруповання Ryuk, які вимагали викуп за розшифрування файлів, йшов на сотні чи навіть тисячі.
ТЕНДЕНЦІЇ РИНКУ КІБЕРБЕЗПЕКИ НА ШЛЯХУ ДО ЦИФРОВОЇ ЕРИ
Заглядаючи в майбутнє, я виділив би три основні тенденції в області кібербезпеки, які, гадаю, не втратить актуальності в найближчі кілька років. Насамперед пандемія різко прискорила цифрову трансформацію у багатьох сферах, і це докорінно змінює наше життя. Становлення культури віддаленої роботи виявило реальну потребу більш гнучкою архітектурі кібербезпеки.
На перший план виходять такі аспекти, як рівень захисту домашніх мереж та цифрового обладнання, механізми ідентифікації користувачів, хмарні послуги та додатки, які використовуються приватними особами. Крім того, ми спостерігаємо вибухове зростання кіберзлочинності - вона стає масовою, і кількість професійних кіберзлочинців збільшується.
Хакери-початківці швидко навчаються і вливаються в професійні угруповання, які проводять цільові атаки і можуть зламати навіть дуже добре захищені об'єкти. Сьогодні ми ідентифікуємо понад 200 таргетованих шкідливих кампаній, 80% яких є шпигунством, а 20% — кримінал. Також щодня ми збираємо понад 360 тисяч нових унікальних шкідливих файлів. Через 5-10 років атаки кіберзлочинців, за нашими прогнозами, стануть ще витонченішими і складнішими для виявлення.
Третя тенденція пов'язана із захистом критичної та промислової інфраструктури: медичних установ, виробництв,фінансового сектора, транспортних систем, телекомунікацій, енергетики, систем водопостачання тощо.Підприємства стають цифровими: робітників на заводах дедалі менше, а комп'ютерних систем дедалі більше. Через цю модернізацію підприємства виявляютьсябільшою мірою схильні до кіберзагроз. Вже зараз є низка професійних угруповань,що спеціалізуються саме на цільових атаках з явним акцентом на енергетику, машинобудування та промисловість.
Ми також отримуємо все більше звернень від наших партнерів з промислового сектору з приводу кібератак, що почастішали, націлених саме на автоматизовані системи управління технологічним процесом, промислові мережі, інтернет речей та критичну інфраструктуру в цілому.
Усвідомити загальну вразливість у світі, що прямує до
цифрового віку, — наше спільне завдання; заперечувати
цю вразливість означає створювати для себе ще більші проблеми. Компанії, які визнали наявність
кіберзагроз, можуть піти двома шляхами: захистити бізнес, не підключаючи його
до Інтернету, але при цьому безнадійно відстати від конкурентів або йти в ногу
з часом, наражаючи при цьому своє підприємство на різні небезпеки.
МЕТОДИ БОРОТЬБИ З КІБЕРЗАГРОЗИ
2020 наочно показав, що перед організаціями, які не бажають опинитися серед аутсайдерів ринку, гостро стоїть питання цифрової трансформації. Однак залежність інфраструктури від інтернету створює нові загрози, які можуть позначитися не лише на окремому бізнесі, а й на державній економіці загалом. Приклад промислового сектору демонструє, що цифрова трансформація (зокрема об'єднання даних від фізичних пристроїв та корпоративних ІТ-систем) дозволяє компаніям досягти безпрецедентного рівня прозорості та контролю над усіма активами та процесами.
Але, з погляду захисту, традиційний підхід накладеної кібербезпеки (що передбачає поєднання програмно- апаратними засобами і мережами, які створювалися не враховуючи те, що їх потрібно доповнювати засобами кіберзахисту) більше не можна вважати найбільш дієвим. Він, хоч і здатний уберегти фірму від масових кібератак, при захисті від адресних нападів менш ефективний.
Йому на зміну приходить нова концепція "кіберімунітету", в основі якої лежить правило: безпечне майбутнє можна побудувати тільки на безпечному фундаменті. Цей підхід передбачає, що безпека повинна закладатися на рівні архітектури інформаційної системи, а не служити надбудовою над нею, як це відбувається зараз. Самі пристрої повинні проектуватися з урахуванням усіх безпекових політик, що регулюють управління, захист і розподіл цінної інформації та обмежують свободу дій порушника.
Звісно, треба розуміти, що немає ні стовідсоткової гарантії захисту, ні абсолютно захищених ІТ-систем. Тому необхідний рівень захисту, у якому вартість розробки атаки на компанію, пристрій чи користувача перевищить суму можливої шкоди. У такому разі атака буде просто безглуздою для кібершахраїв. Це і є принцип кіберімунітету – основа безпечного цифрового світу.
Важливою перевагою кіберімунних систем є те, що вони можуть знизити ціну людської помилки. Примітивні паролі або їх відсутність, фішингові хитрощі або пастки соціальної інженерії вже не будуть так дорого обходитися компаніям.
Ризик того, що співробітники виконають потенційно небезпечні неавторизовані дії, у тому числі з конфіденційними даними, буде значно нижчою. Людський чинник — головний «вектор» більшості успішних атак — перестане грати критично важливу роль у підготовці та реалізації атак.
В умовах дистанційної роботи будь-яка кібератака на організацію здатна призвести до ще більш катастрофічних наслідків, ніж зазвичай, коли всі працюють у захищеній корпоративній мережі. Тому зараз найважливіше завдання компаній – захистити домашні мережі при віддаленому доступі до корпоративних серверів.
Щоб вирішити її, необхідно перш за все оптимізувати корпоративну мережу та її технічну підтримку. Крім того, потрібно навчитися ідентифікувати кібератаки на ранніх стадіях. Найпростіше, що можуть зробити організації, — використовувати як мінімум сучасні веб-браузери, плагіни, а також ефективні антивірусні рішення.
Усі підключення до корпоративної мережі в ідеалі повинні здійснюватися через VPN з наявністю щонайменше двофакторної авторизації користувачів. Звичайно, жодна мережа не застрахована від кібератак, але такий багаторівневий захист значно знижує ризики стати жертвою кіберзлочинів. У нових реаліях рівень захищеності компанії від кіберзагроз безпосередньо залежатиме і від того, чи підкований персонал у питаннях ІТ-безпеки.
Згідно з нашим дослідженням, з моменту переходу на віддалений формат роботи 73% працівників не проходили необхідного додаткового навчання. І лише половина (53%) опитаних користується службовим VPN при підключенні до корпоративної мережі з дому. Тим часом проведення освітніх програм — один із ключових етапів у розвитку індустрії інформаційної безпеки. Особливо важливий аспект боротьби з кіберзлочинністю та, зокрема, зі складними загрозами глобального рівня - міжнародне співробітництво та обмін експертизою. Щоб створити кібербезпечний світ, ми повинні навчитися діяти не менш ефективно та злагоджено, ніж кібершахраї: опори лише за власні ресурси вже недостатньо.
Необхідно також покращити обмін інформацією та досвідом між приватним та державним секторами на національному та міжнародному рівнях. Фахівці з ІТ-безпеки повинні брати участь в операціях та розслідуваннях, які проводяться глобальною спільнотою їхніх колег, міжнародними організаціями та правоохоронними органами.
Матеріал підготував Володимир Малічевський на основі матеріалів опублікованих в Гарвард Бізнес Ревью