Експерт: кіберзахист - це не параноя
Новинна стрічка щодня містить повідомлення, що свідчать: вплив кібератак на різні сфери життя суттєво посилився по всьому світу. При цьому від кіберзлочинців не тільки не застраховані найпотужніші держави світу, але й, як виглядає, вони перебувають у зоні найбільших ризиків.
Про те, якими новими методами користуються кіберзлочинці і що нового можуть запропонувати фахівці з кібербезпеки, ВВС Україна розповівОлег Колесніков, фахівець українського походження з США, автор книжок в сфері кібербезпеки і викладач кібербезпеки у Північно-східному університеті США.
ВВС Україна:Коли йдеться про новини, пов'язані із кібербезпекою, то у США, згідно з доповіддю спецслужб, йдеться більше про використання соцмедіа і злами ресурсів політичних конкурентів під час президентських виборів. В Україні більше говорять про кібератаки на сайти державних органів і об'єкти інфраструктури. Якими, на Ваш погляд, є останні тенденції у сфері кібербезпеки у світі?
Олег Колеснiков:Останнім часом досить чітко стала проявлятися неформальна різниця між хакерами-кіберзлочинцями (ХК), і "урядовими" (державними) хакерами (ДХ). Категорію урядових, але недержавних хакерів поки що можна винести за дужки.
Уряди і спецслужби деяких держав залучають ДХ для виконання "делікатних" завдань, наприклад, таємного проникнення у комп'ютери осіб чи організацій, у яких зацікавлені спецслужби.
Є багато публікацій про співтовариство ДХ "APT28", відомо ще, як "Fancy Bear", яке багато експертів асоціюють із атаками на Національний комітет Демократичної партії США (DNC) у 2016.
Діяльність ДХ та їхніх співтовариств, на думку багатьох фахівців, має тенденцію до створення настільки серйозних кіберзагроз для звичайних громадян і бізнесу, що президент Microsoft нещодавно запропонував державам ухвалити "цифрову" конвенцію про захист приватного життя громадян і бізнесу від кіберзброї, аналогічну Женевській конвенції 1949 року.
ДХ таємно використовують комп'ютери громадян чи бізнес-структур, які нічого не підозрюють, і які можуть зазнати дій у відповідь від іншої сторони конфлікту, що призводить до матеріальних та моральних збитків громадян і бізнесу. Це аналогічно до того, як від бойових дій сторін, що воюють, потерпає беззбройне цивільне населення.
Це підтверджується також нещодавнім витоком інформації ЦРУ, що у 8761 файлах містить опис секретної глобальної хакерскої програми ЦРУ США зі зламування систем, зокрема пристрої Cisco, телефони з операційною системою iOS і Android, комп'ютери під управлінням Windows, "розумні" телевізори Samsung та навіть автомобілі з електронними компонентами, які можуть атакувати ДХ.
Просунуті здирники
ВВС Україна:А як щодо хакерів-кіберзлочинців?
Олег Колесніков:Що стосується ХК, то однією з останніх тенденцій є зростання кількості кібератак, як прямого джерела отримання ХК незаконних "прибутків".
Один із нещодавніх прикладів - атаки із застосуванням здирницького програмного забезпечення (ПЗ) ransomware, за допомогою якого дані жертви кібератаки шифруються, а злочинці вимагають "викуп" за надання жертві ключа, необхідного для розшифрування її даних.
Кібератаки цього виду у 2016 році зачепили не тільки сотні тисяч комп'ютерів, але й тисячі серверів із даними, наприклад, MongoDB, де данні серверу було зашифровано, а нападники вимагали 0.2 BTC ( близько US$225.85) за розшифровку даних одного сервера.
Відносно невелика сума "викупу" за ключ для розшифровки даних жертви не є випадковою. Деякі експерти вважають незначний розмір "викупу" пов'язаним з тим, аби жертва нападу не зверталася у поліцію через "незначні збитки".
Згідно із звітом McAfee, кількість кібератак із використанням шифрувальників у 2016 році зросла на 80%, і в 2017 очікується подальше зростання кількості атак, включно з новими векторами, наприклад, на мобільні телефони.
Зокрема, на початку 2017 року з'явилася інформація про нового нападника Charger, який шифрує дані мобільного телефону жертви, а потім вимагає гроші за розшифровку.
У поведінці ХК звертаю увагу щонайменше на дві загальні тенденції. Перша - тенденція до зростання інтересу ХК до фінансового ринку і кібератакам, що пов'язані безпосередньо з фінансовим зиском.
Друга - активна еволюція ХК і ДХ. Це є загальною тенденцією до підвищення професійного рівня кібератак - черговий етап "гонки озброєнь" у кіберпросторі між тими, хто атакує, і тими, хто викриває кібератаки.
"Не довіряти навіть урядовим сайтам"
Можу навести приклад однієї з нещодавніх успішних кібератак на банківську систему Польщі. Цю кібератаку все ще розслідують.
Крім високопрофесійного рівня виконання, її здійснювали не тільки із використанням відомого вектору атаки (введення у код польського державного сайту Комісії з фінансового нагляду шкідливого J-скрипта), але й нового хакерського ПЗ, яке поки не має надійної атрибуції.
Як йдеться у звіті BAE systems за 20 лютого 2017 року, було виявлено ознаки того, що ця кібератака здійснена ХК - групою Lazarus, яка раніше атакувала Sony. Але у коді ПЗ нападників помітні спроби приховати справжнє джерело і ускладнити атрибуцію ХК.
У результаті нападу на сайт польської Комісії з фінансового нагляду, зловмисники отримали прихований контроль над критично важливою IT - інфраструктурою близько двох десятків комерційних банків Польщі. Аналогічні кібератаки було зафіксовано на близько 100 банків і великих компаній у понад 30 країнах світу.
Я поділяю думку тих експертів із кібербезпеки фінансових установ, які закликають не довіряти навіть урядовим сайтам.
Польські комерційні банки сприймали державний сайт Комісії з фінансового нагляду апріорі надійним, і були покарані за довірливість.
При завантаженні сторінки із вебсайту Комісії, який перед цим був приховано скомпрометований кіберзлочинцями, польскі банки потрапили під атаку Waterhole.
Коли аномальна поведінка допомагає
ВВС Україна:А у галузі захисту які тенденції?
Олег Колесніков:У галузі захисту від сучасних кібератак одна із новітніх тенденцій -використання аналітичних систем кібербезпеки із застосуванням систем машинного навчання і штучного інтелекту на великих обсягах даних (Machine Learning-based Security Analytics using Big Data).
Ці системи дозволяють помічати відхилення у поведінці систем чи користувачів від норми і, таким чином, виявляти більшість небезпечних кібератак. Перспективним є застосування таких систем для завдань кібербезпеки у вигляді платформ UEBA (User Entity and Behavior Analytics).
Тривіальний приклад: якщо користувач зайшов у систему у незвичний час, почав передавати незвичний обсяг інформації в інтернет, то має місце "аномальна поведінка" даного користувача, і вона автоматично розпізнається платформою кібербезпеки EBUA.
Звісно, ідеальних технічних рішень не їснує, але застосування найбільш сучасних когнітивних технологій кіберзахисту безперечно "піднімає планку вимог" для кіберзлочинців.
ВВС Україна:Чому така високорозвинена країна, як США, із такими потужними ресурсами, як виглядає, не може впоратися із загрозами у сфері кібербезпеки?
Олег Колесников:Я ставив аналогічне запитання на лекції студентам мого курсу із кібербезпеки, і багато студентів висловили упевненість, що попри велику кількість кібератак, про які люди знають із новин за 2016 рік, США, все-таки, дають раду цій проблемі. Крім того, багато з того, що робиться у цій сфері, зі зрозумілих причин не афішується.
На мій погляд, оцінку тому, наскільки "справляються" чи "не справляються" США, можна і потрібно давати на основі чітких критеріїв, певної бази порівняння.
Відомо, що США є високотехнологічною країною, яка має величезні, у порівнянні з ресурсами інших країн, але, все ж таки, обмежені ресурси. Високотехнологічні країни є більш уразливими порівняно з країнами з менш розвиненою інфраструктурою.
Вразливість високотехнологічних країн щодо кіберзагроз є настільки високою, що має сенс у першу чергу спрямовувати ресурси на забезпечення найважливіших об'єктів і даних, успішна кібератака на які могла б привести до неприйнятної шкоди національним інтересам.
Збитки від успішних кібератак на деякі об'єкти і дані США, звісно, мають місце, але поки що не перевищують критичного рівня.
Вижити у світі "Ітернет-всього"
ВВС Україна:Що, з огляду на це, можна було б зробити Україні, щоби краще захистити себе? Адже ресурси України неможливо порівняти із ресурсами США.
Олег Колесников:Вважаю, що Україні,як державі, її громадянам, союзникам варто спільно вирішувати проблему кібербезпеки.
Вважаю, Україна робить правильні кроки у напрямку кібербезпеки, коли звертається до волонтерів і держав-союзників за методичною, ресурсною та іншою допомогою, і раціонально спрямовує її на підвіщення кібербезпеки критичної інфраструктури і даних, своєчасне запровадження адекватних систем і засобів кіберзахисту, підготовки кадрів із потрібною кваліфікацією.
В Україні існує розуміння важливості проблеми кіберзлочинності, і, наскільки мені відомо, рівень протидії їй постійно зростає, виходячи з досвіду і можливостей, які мають держава та її союзники. Якісна підготовка власних фахівців у цій сфері - дуже важливий напрямок.
Але усвідомлюючи зростаючу загрозу кіберзлочинності, доходиш висновку, що обов'язок захисту від неї має поширюватися не лише на державу, але й на рівень громадян.
Це не параноя, але щоб вижити у складному сучасному світі кіберкомунікацій, соцмереж, Інтернет-Речей (IoT), Інтернет-Всього (IoE), який швидко змінюється, треба організувати навчання громадян кібербезпеці на спеціальних курсах. Батьки мають навчати правил кібербезпеки дітей і контролювати їх дотримання.
Має сенс запровадити спецкурс із кібербезпеки у школах.
Впевнений, що прийде час, коли в України знайдуться ресурси, достатні для забезпечення кібербезпеки. А поки їх недостатньо, варто навчитися раціонально використовувати наявні ресурси партнерів і експертів-волонтерів, як це успішно робилося і робиться в інших галузях.
Картки - лише з чіпами
ВВС Україна:Останнім часом в Україні почастішали випадки шахрайства із банківськими картками. Банки та експерти регулярно оприлюднюють поради, як поводитися у таких ситуаціях. Наскільки взагалі можна довіряти українським держструктурам і банкам? Що мають робити банки і державні органи, аби знизити ризики кібершахрайств?
Олег Колесніков:У сфері боротьби із кібершахраями Україні також варто спиратися на досвід дружніх держав, тим більше враховуючи те, що для організованих злочинних угруповань не існує державних кордонів.
Для українських банків ця проблема не в останню чергу зумовлена і відповідним чином вмотивованими інсайдерами. Службам кібербезпеки банків має сенс брати на озброєння системи аналізу поведінки і аналітичних систем кібербезпеки із використанням систем машинного навчання і штучного інтелекту, про які ми згадували раніше.
Сучасні детектори аномальної активності персоналу банку підвищать імовірність виявлення мотивованого інсайдера, що зменшить ризик виникнення інцидентів безпеки карткових платіжних систем.
Звісно, необхідно і надалі впроваджувати систему пластикових карток із чіпом, які дозволять різко звузити можливості кіберзлочинців щодо їхньої підробки у порівнянні із пластиковими картками із магнітною смугою. При цьому поки що невирішеною залишається проблема он-лайн платежів, для яких важливо, аби власник карткового рахунку підтвердив справжність он-лайн транзакції.
Не всі он-лайн платіжні системи запитують перевірку автентичності користувача і власника карткового рахунку (3D-Secure). В такому випадку просте копіювання (підглядання) номера картки та її безпекового коду дозволяє кібершахраям користуватися картковим рахунком власника, який нічого не підозрює. Чіп картки залишається незадіяним у он-лайн платежах, і пластикова картка із чіпом для он-лайн кібершахрая нічим не відрізняється від картки із магнітною смугою.
Тож клієнтам банків-емітентів карток треба суворо дотримуватися вимог кібербезпеки. Зокрема, обмежувати максимальні суми он-лайн платежів, використовувати сповіщення про проведення операції із картковими рахунками та своєчасно реагувати на інциденти із використанням карткових рахунків.
