Государственные органы и обычные граждане практически ежедневно сталкиваются с кибер-угрозами: мошенники пытаются похитить данные, деньги или использовать адреса пользователей. Что будет угрожать кибер-безопасности казахстанцев в ближайшем будущем и какие есть средства защиты – в четырёх вопросах и ответах от главы офиса «Лаборатории Касперского» в Казахстане Евгения Питолина.
Чего ещё ждать в 2018 году? С чем уже столкнулись органы власти Казахстана и Центральной Азии?
Во второй половине 2018 года нас ждёт ещё больше атак на цепочку поставщиков, подрядчиков и дочерних организаций ведомств и министерств. Нередко мы наблюдали ситуации, когда опытные хакеры долго пытались взломать определенную цель и каждый раз уходили ни с чем.
Как правило, опытные и настойчивые злоумышленники, специализирующиеся на целевых атаках на государство, просто так не сдаются — они продолжают искать бреши в обороне, пока не найдут.
Если все предпринятые меры не приносят плодов, злоумышленники временно отступают, чтобы повторно оценить свою цель. В итоге кибер-преступники могут прийти к выводу, что атака на цепочку поставок может оказаться эффективнее прямого наступления. Даже если сеть организации со всех сторон прикрыта наилучшими в мире средствами защиты, её сотрудникам все равно приходится работать со сторонним программным обеспечением. Взломав более простое и уязвимое стороннее решение, можно проскользнуть за надёжные рубежи защиты исходной цели.
К примеру, в марте 2018 года “Лаборатория Касперского” обнаружила активную целевую атаку, направленную на национальный центр обработки данных одной из стран Центральной Азии. Особенной эту атаку делает выбор в качестве мишени именно национального дата-центра: операторы получили доступ сразу к целому ряду правительственных ресурсов.
Также интересно, что в истории фигурирует маршрутизатор Mikrotik – мы полагаем, что он был взломан специально для реализации вредоносной кампании. Это связывает нас сразу и со вторым ожиданием – будет ещё больше взломанного сетевого оборудования – роутеров, точек доступа и модемов. Зачастую эти устройства работают на базе проприетарного ПО, за которым никто не следит и которое никто не обновляет. Эти крохотные компьютеры – важная цель злоумышленников, которые хотят незаметно и надолго закрепиться в вашей сети. В этом году Казахстан уже сотрясали новости о тысячах потенциально уязвимых устройств на сетях связи казахстанских операторов.
Кроме этого, продолжится, по нашим оценкам, проблемы майнинга криптовалюты на рабочих местах и сайтах органов власти — увеличение числа таких атак в Казахстане наблюдается с прошлого года, эти проблемы широко обсуждались в СМИ и социальных сетях.
Наше недавнее исследование продемонстрировало, что во многих случаях кибер-преступники могут имитировать различных пользователей Интернета, маскируя свои действия совершенно другим адресом подключения. Это серьёзное преимущество, особенно с учетом популярности тактик запутывания и операций “под чужим флагом”. Это пересекается и с атакой на сайт Центризбиркома Казахстана в прошлом году — IP-адрес злоумышленников, пытавшихся взломать портал ЦИК, был зарегистрирован в одной из европейских стран. 28 июня 2017 года в день выборов депутатов сената парламента интернет-ресурс ЦИК election.gov.kz подвергся хакерской атаке.
Каковы мотивы злоумышленников? Насколько атаки на государство связаны с теми или иными политическими взглядами преступников?
Политические мотивы распространены меньше, однако в силу своей злободневности чаще попадают в поле зрения общественности. Самым резонансным происшествием, конечно, стала серия атак, едва не сорвавшая церемонию открытия Олимпиады в начале февраля. Ещё до этого, в конце января, министерство обороны США отразило наплыв спама, а в конце марта DDOS-атаку пришлось пережить и их российским коллегам. Говоря о спам-атаках, политический спам занимает в них особое место — в преддверии выборов президента России мы наблюдали политический спам, посвященный этому событию: сообщения с призывами голосовать за того или иного кандидата, а также письма, компрометирующие кандидатов. Тема выборов использовалась и для мошенничества: злоумышленники рассылали письма с предложениями принять участие в опросах общественного мнения (за вознаграждение) и в результате выманивали у пользователей денежные средства.
Также кейсы кибер-угроз могут иметь непредсказуемый политический эффект на всех уровнях. Так, начало 2018 года запомнилось скандалами, связанными с утечкой персональных данных. Самый громкий из них разгорелся вокруг компании Facebook и дошел до разбирательств в конгрессе США, а многие публичные люди призвали отказаться от использования социальной сети. Любовь к информационным войнам в прошлом году вылилась в ряд громких утечек информации и политических скандалов. Никто и представить не мог, что социальные сети станут столь мощным политическим орудием.
Мы ожидаем, что явные злоупотребления будут продолжаться и что крупные бот-сети станут ещё доступнее для использования, в том числе в политических целях. Кроме того, само общение в социальных сетях станет восприниматься публикой в более негативном ключе.
Понятно, когда злоумышленники атакуют напрямую государственные организации, но всегда ли это конечная цель?
Наиболее лакомой целью для злоумышленников являются данные жителей государства, на которые идёт или может идти атака через государственные системы. Казахстан, активно продвигаясь по пути цифровизации, все больше и больше сервисов переводит в онлайн, делая их удобными и доступными для граждан. Из последнего – запущена онлайн-регистрация авто, позволяющая переоформить автомобиль без посещения СпецЦОНа. Надо ли говорить, как подобные сервисы могут привлекать преступников, обративших новые технологии кибер-мошенничества себе на службу?
Последние несколько лет в мире запомнились растущим числом масштабных и даже катастрофических утечек данных, идентифицирующих личность. Проблемы с доступом третьих лиц к данным граждан затронули в прошлом году и Казахстан, потому утечки масштаба компании Equifax, которая затронула 145 миллионов американцев, уже давно никого не удивляют. Государство делает много для защиты принятых в Казахстане средств идентификации пользователей, но если и они в какой-то момент окажутся абсолютно ненадежными, государственные структуры окажутся перед выбором — либо отказаться от использования Интернета в повседневных делах, либо внедрять другие многофакторные решения. Недавно казахстанцам также стала доступна опция блокировки личных данных на портале электронного правительства, мы уверены, что эта эффективная мера позволит исключить из цепочки угроз хотя бы намеренный человеческий фактор.
Есть ли средства защиты для органов власти, которые решают все проблемы с кибер-мошенниками?
Идеально этот вопрос может проиллюстрировать моя любимая героиня историй про кибер-безопасность, теперь уже бывший президент Южной Кореи Пак Кын Хе. Прошедшая через череду медиа-скандалов, суды и процедуру импичмента Пак Кын Хе, могла бы рассказать о том, как важно не выкидывать старые вещи: её история началась классическим образом — из мусорного бака, где журналисты одного из корейских каналов нашли выброшенный планшет без паролей, на котором содержалась секретная информация. История закончилась импичментом и тюремным сроком в 24 года. Ни одно технологическое средство не даст 100% защиты, поэтому ключевая стратегия – начинать не только с инвестиций в инфраструктуру, но в первую очередь воспитывать культуру работы с информацией и уважение к данным, развивать кибер-гигиену, внедрять осознание того, что любая информация имеет ценность и свою цену, привыкать к дополнительной проверке и обдумыванию того, что, как и кому можно раскрывать и передавать – вот базовые принципы защиты цифровых активов компании.
Графики Асылхана Назира на основе данных "Лаборатории Касперского"