Илья Сачков: грядет конец эры кибербезопасности

Время для прочтения
менее
1 минуты
Прочитано

Илья Сачков: грядет конец эры кибербезопасности

ноября 18, 2020 - 09:42

Илья Сачков, CEO и основатель Group-IB, международной компании, специализирующейся на предовращении кибератак и расследовании высокотехнологичных преступлений

Илья Сачков рассказал о конце эры кибербезопасности

Справка об авторе:

В 29 лет Илья Сачков вошел в список американского Forbes в категории «Enterprise Tech».

Спикер крупнейших международных и российских мероприятий уровня INTERPOL, World, WEF Cybersecurity в Давосе, встреч министров стран БРИКС, Санкт-Петербургского Международного экономического форума.

Член экспертных комитетов Государственной думы РФ, МИД России, Совета Европы и ОБСЕ в области киберпреступности.

Сопредседатель комиссии по киберпреступности РАЭК, член совета Координационного центра национального домена сети Интернет.

Один из 26 участников Глобальной комиссии по стабильности киберпространства (The Global Commission on the Stability of Cyberspace, GCSC).

Троекратный победитель российского этапа конкурса EY «Entrepreneur of the Year» в различных IT-номинациях.

 

За последнее десятилетие число и уровень сложности кибератак со стороны прогосударственных хакерских групп и киберкриминальных структур значительно возросли. Люди, компании и государственные организации больше не могут быть уверены в безопасности киберпространства, а также в целостности и защищенности своих данных.

Интернет стал кровеносной системой нашей цивилизации. Свобода коммуникаций и глобальные возможности, которые дает Интернет для приватных, деловых или политических дел все чаще оказываются под угрозой: сливы, утечки, кибератаки со стороны враждующих государств – это реалии, в которых живет каждый из нас сегодня.

Начав изучение киберинцидентов более 17 лет назад, все это время мы искали, анализировали и исследовали инфраструктуру атакующих. Каждая новая кибератака, направленная на пользователя, бизнесмена, компанию, политическую партию или объект критической инфраструктуры, давала нам возможность проследить эволюцию киберпреступлений, тактик и инструментов их совершения.

Ведущим и самым пугающим трендом последних лет является использование кибероружия в открытых военных операциях. Конфликт между государствами приобрел новые формы, и киберактивность играет ведущую роль в этом деструктивном диалоге. Атаки на критическую инфраструктуру и целенаправленная дестабилизация сети Интернет в отдельных странах открывают новую эпоху проведения кибератак. Мы уверены, что мирное существование больше невозможно в отрыве от кибербезопасности: этот фактор не может игнорировать ни одно государство, ни одна корпорация, ни один человек.

ИЛЛЮЗИЯ ЗАЩИЩЕННОСТИ

Некоторое время назад я прочитал статью в Forbes об отчете Центра глобализации и стратегии бизнес-школы IESE. Отчет основан на индексе, который учитывает уровень развития 174 городов из 80 стран. Города анализируются по 9 параметрам: человеческий капитал, социальная сплоченность, экономика, окружающая среда, управление, городское планирование, международный охват, технологии, мобильность и транспорт.

Главная мысль: для мировых мегаполисов, многие из которых относятся к категории «умный город», главным приоритетом является обеспечение экономической, социальной и экологической устойчивости. И я согласен, что это важно, но что по поводу кибербезопасности? Мобильность – это хорошо, но что, если вследствие кибератаки на оператора, который является Managed Service Provider, злоумышленники смогут получить доступ к сетям государственных предприятий? Окружающая среда – это очень важно, но что произойдет, если технологии автоматизации, допустим, связанные с переработкой отходов откажут вследствие саботажа, вызванного действиями проправительственной хакерской группы? Транспорт и транспортная доступность – да, транспортные узлы — это объекты критической инфраструктуры, но что, если его работу парализует вирус-шифровальщик? Социальная сплоченность – да. Но для того, чтобы устроить массовую панику в отдельно взятом городе достаточно изменить данные в аварийных датчиках, допустим, крупного торгового центра.

Да, я могу согласиться с теми девятью критериями IESE, но я категорически не согласен с тем, что смарт-сити можно рейтинговать или оценивать без фактора кибербезопасности. Нельзя. Это бессмысленно. Смарт-сити не просто объединяет в себе объекты критической инфраструктуры, он сам становится таким объектом в силу взаимосвязанности и централизации всех его процессов. А значит атака на один, возможно, не самый важный элемент вроде умного холодильника без должной защиты, сможет привести к отключению от электричества, допустим, всего умного небоскреба, где проживает 1000 людей или улицы, где проживают десятки тысяч. Именно кибербезопасность — первый критерий, определяющий успех этой концепции. В мире же зачастую к кибербезопасности приходят тогда, когда уже поздно. Что-то плохое уже произошло. И этот подход надо в корне менять. Пока не случилось катастрофы с необратимыми последствиями.

ФАКТОРЫ ДЕСТАБИЛИЗАЦИИ

Навскидку выделю факторы дестабилизации любого государства:

1. Цифровой терроризм и применения кибероружия.

2. Отключение от глобальной сети Интернет (к интернету будет подключено огромное количество устройств — не только системы умного дома, как сейчас, но и целые умные города: водоснабжение, канализация, системы вывоза мусора, дроны, видеонаблюдение, светофоры и др.), что вызовет нарушение функционирования ключевых городских процессов, а это может привести, в том числе, к человеческим жертвам.

3. Целевая атака прогосударственных хакерских групп на объекты КИИ. Отмечу, что на данный момент в мире действует 38 активных групп прогосударственных атакующих, чья деятельность исследуется и обсуждается в паблике. Из них семь новых групп появились меньше чем за год. Их основной целью является шпионаж в объектах критической инфраструктуры. В основном это группы из России, Северной Кореи, Пакистана, Китая, Вьетнама, Ирана, США, ОАЭ, Индии, Турции и др.

Особенно выделим в этой группе:

• вывод из строя, остановка транспортных узлов с массовым скоплением людей (аэропорт, метрополитен, др.);

• вывод из строя энергетический объектов в регионах с тяжелыми климатическими условиями (Якутск);

• атаки на системы здравоохранения (отключение больниц, роддомов, пунктов скорой помощи, а также отдельных устройств, поддерживающих жизнь миллионов людей).

4. Массовые утечки личных данных граждан.

5. Масштабное заражение устройств, относящихся к категории Интернета вещей (IoT) с целью массированной атаки или перехвата управления.

6. Сбой в системах управления городскими процессами.

7. Атаки на облачные хранилища данных города.

8. Человеческий фактор.

Большинство этих пунктов – понятны. Я бы хотел остановиться на первом из них – самом опасном по масштабу потенциальных последствий. Речь о кибероружии.

СКРЫТАЯ УГРОЗА

В прошлом году американцы официально объявили на сайте Госдепа, что успешно применили кибероружие против «фабрики троллей» в России. Попытаюсь объяснить, почему в этом нет ничего хорошего для самих же американцев. Вот, к примеру, автомат Калашникова. Его создали для военных, но он может применяться и бандитами, и террористами. При этом мы не можем без завода сделать копию и передать террористам, да и госконтроль оружия в целом работает. По ядерному оружию все общества договорились, что оно может быть только у военных и под определенной защитой. С кибероружием все не так. Оно может легко быть создано для финансово мотивированных преступников, шпионов, кибертеррористов. Если кто-то изобрел кусок кода и единожды его использовал, его можно перехватить и использовать повторно уже совсем в других целях. Поэтому такие объявления, как упомянутое мной выше, дают шанс абсолютно безумным очень жестоким людям – например, запрещенной в РФ организации ИГИЛ, которую задавили на земле контртеррористическими операциями, и теперь ее участники активно стремятся в киберпространство. Они могут удаленно отключить любой инфраструктурный объект – ГЭС, завод по производству сжиженного газа, – спровоцировав экологическую катастрофу со множеством жертв. Этим людям не надо даже знать исходный код, чтобы это сделать.

НА ВЫСОКИХ СКОРОСТЯХ

Вторая проблема, связанная с глобальной информационной безопасностью, – скорость. Хакер из Европы заражает компьютер в России за секунду. Даже если он не скрывается и повесил на своем доме баннер «Я совершил кибератаку в РФ», нам потребуется год, чтобы получить официальное разрешение на его арест от властей, допустим, Чехии. Террористы и другие киберпреступники понимают, какая это волокита, и активно пользуются этим, выбирая для своей локации те страны, которые не слишком дружат с теми, на которые они нападают. Многие русские, кто был у нас в розыске, переехали на Украину, и наоборот. Теперь русские с территории Украины атакуют русских, украинцы из России атакуют украинцев, пользуясь политическими разногласиями между странами и оставаясь безнаказанными.

Почему при всем этом мы пока живем в безопасном обществе? Абсолютное большинство киберкриминала мотивированы деньгами, ими движет исключительно финансовая выгода. Такому преступнику, как правило, неинтересно атаковать атомную электростанцию – это не принесет денег и вызовет негативное внимание, расследованием будут заниматься лучшие спецслужбы, и велика вероятность того, что злодея поймают. Если бы кибепреступник атаковал АЭС с тем же энтузиазмом, с которым сейчас атакует банки, у него бы это обязательно получилось. Те, кто защищает инфраструктуру, живут в иллюзии: у них 10 лет нет компьютерных инцидентов, они 10 лет тратятся на кибербезопасность, и их мозг связывает эти явления. Но их просто 10 лет никто не атаковал. А преступников, которые движимы нефинансовыми интересами, становится все больше. Коллеги из Израиля, Америки со мной согласны: в ближайшее время может случиться очень нехорошая история. Мы говорили об этом и в Совете Европы, и на площадке ООН. Но, к сожалению, крупные изменения в международном законодательстве происходят обычно после крупных трагедий. Лига наций возникла после Первой мировой – понадобились такие кошмарные кампании, как Верденская, с невероятным количеством жертв, чтобы люди сели за стол переговоров и договорились о разоружении. Затем политики опять не смогли договориться, случилась Вторая мировая война и образование ООН, затем Карибский кризис и ограничение гонки вооружений, потом история с утечкой сибирской язвы, после чего СССР прекратил испытания бактериологического оружия. Ситуация не должна требовать жертв, чтобы заговорили о недопущении создания кибероружия на уровне стран. Все компьютерные атаки должны быть криминализированы, никаких послаблений – ни одна страна не должна даже во сне видеть себя создающей кибероружие. Каждый инцидент должен расследоваться до конца, а участники – строго караться.

ЛУЧШАЯ ЗАЩИТА – НЕ НАПАДЕНИЕ

Мы поддерживаем инициативы Глобальной комиссии по стабильности киберпространства (The Global Commission on the Stability of Cyberspace, GCSC). Одним из важнейших шагов на пути к киберстабильности является введение международного моратория на использование цифрового оружия. Начиная с 2016 года мы озвучиваем эту идею на заседаниях экспертных комитетов Государственной думы, МИД России, Совета Европы и ОБСЕ. Сейчас этот вопрос актуален как никогда: цифровое оружие при его применении дает возможность неограниченному кругу лиц тиражировать атаку.

Еще один важный шаг — учреждение в каждой стране Министерства кибербезопасности. Ландшафт киберугроз на критически важную инфраструктуру в каждом регионе мира уникален и постоянно меняется — прогосударственные хакерские группы появляются, исчезают, модернизируют инструменты и тактику атак. Как правило, на момент обнаружения хакерской активности, группа могла находиться внутри сети длительное время, поэтому отсутствие данных о кибератаках в стране или на объекте не говорит о том, что их не было. Просто о них пока еще ничего не известно.

Министерство кибербезопасности также естественно и необходимо, как сейчас наличие МВД или Минздрава. На базе ООН нужно отдельное подразделение по кибербезопасности. Также должен быть создан орган, аналогичный Европейскому суду по правам человека, только связанный с кибербезопасностью. В этот орган мог бы обратиться любой человек или компания из любой страны мира за справедливым решением, если его личное киберпространство было нарушено, и он понес ущерб.

ИНЖЕНЕРНЫЙ НЕЙТРАЛИТЕТ

Кибербезопасность — вне политики. Межгосударственный обмен в области данных о киберпреступниках – это и есть залог международной стабильности. И я призываю к этому всех. Политическая ситуация сейчас напряженная, существующих международных механизмов противодействия киберпреступности недостаточно – соответственно преступники используют противоречия между государствами, чтобы успешно скрываться долгие годы. Этому нужно положить конец, пока ситуация не вышла из-под контроля.

Один в поле не воин. В одиночку ни у одного государства нет возможности эффективно бороться с киберпреступностью, которая не имеет границ. Сейчас на международном уровне необходима разработка и синхронизация законов о противодействии киберкриминалу. Нужен обмен оперативной информацией между правоохранительными органами разных стран в режиме реального времени.

Еще раз подчеркну свою мысль: технологии киберзащиты — вне политики. Мы призываем всех, когда дело касается международного расследования киберпреступлений, требующего участия правоохранительных органов нескольких государств, или обмена данными для задержания киберпреступников, отложить политику в сторону. В конце концов, от этого выиграют все. Я хочу, чтобы этот месседж услышали везде: в России, в Европе, Азии и других регионах.

Мы выступаем за инженерный нейтралитет. Group-IB всегда стремилась работать глобально, понимая, что хорошие технологии можно делать, только если ты конкурируешь с самыми сильными игроками. Это вдохновляет и инженеров, если их технологии используются не локально, а востребованы в каждой стране мира. Если ты по-настоящему соблюдаешь инженерный нейтралитет, твоими продуктами пользуются, здесь политика не мешает.

К примеру, все американские глобальные компании по кибербезопасности сильно аффилированы (а значит и ограничены) с одной стороной. Если компания начинает делать для кого-то какие-то исключения, она теряет независимость. Мы считаем, что необходимо кардинально менять подход к защите от компьютерных преступлений — не только в России, но во всем мире. Не стараться адаптировать старую систему под новую реальность, а создать принципиальную новую систему борьбы с киберугрозами на международном уровне.

КИБЕРЗАЩИТА НАЦИОНАЛЬНОГО УРОВНЯ

Прежде всего изучать кто и как вас атакует, какие инструменты для этого использует. Это понимание даст возможность спрогнозировать готовящуюся атаку, а значит у вас появится возможность предотвратить ее. Для этого в концепцию каждого «Умного города» должна быть изначально заложена новая парадигма кибербезопасности, а именно хантинг за атакующими.

Что мы под этим подразумеваем:

1. Постоянный мониторинг инфраструктуры атакующих.

2. Знание тактик и методов злоумышленников.

3. Использование решений для исследования и управления угрозами.

4. Постоянное изучение релевантных угроз для конкретных объектов и города в целом.

Многие говорят о том, что «мы должны быть на шаг впереди киберпреступности», но это время прошло. Одного шага уже не хватит. Для противостояния организованной киберпреступности необходимо переходить на технологии, позволяющие автоматизировать большинство процессов, связанных с Threat Hunting, Incident Response и Malware Research. Принцип хантинга в нашем понимании – не ждать атаки, а уметь прогнозировать ее и исключать саму ее возможность.

Чеклист по готовности государств к киберугрозам я бы обозначил так:

1) Разработан и оттестирован план реагирования на киберугрозы в зависимости от степени критичности.

2) Внедрены средства защиты для упреждающего обнаружения и обнаружения угроз, основанные на глубоких знаниях тактик, инструментов и векторов атак, характерных для конкретных объектов города или для города в целом.

3) Работают и тесно взаимосвязаны на технологическом и организационном уровне различные CERT-группы реагирования на компьютерные инциденты, которые помогают координировать реагирование на киберпространства и служат центрами по вопросам кибербезопасности.

4) Приняты меры по противодействию дестабилизации работы критически важных объектов и пересматриваются на постоянной основе.

5) Проводится регулярное тестирование защищенности технологической инфраструктуры.

6) Ведется системная работа по повышению осведомленности об угрозах в киберпространстве граждан города (школы, обучение).