Мир за неделю: Европолу мешают объемы данных, а британцам — дефицит регулирования

Британцы помогают исследователям советами по кибербезопасности и придумывают кодекс практики ИИ, Европол «тонет» в терабайтах данных, Техас собирается ударить по хакерам созданием киберкомандования, злоумышленники после атак на банки любят заметать следы, а испанский преступник попался на взломе правительственных и натовских структур.

Великобритания объявляет о «первом в мире» стандарте безопасности ИИ

Правительство Великобритании объявило о новом Кодексе практики ИИ, который, как утверждается, ляжет в основу глобального стандарта безопасности технологии через Европейский институт стандартов в области телекоммуникаций (ETSI). Обозначенный как добровольный, кодекс практики вместе с руководством по внедрению был разработан в тесном сотрудничестве с Национальным центром кибербезопасности (NCSC) и различными внешними заинтересованными сторонами.

13 принципов кодекса охватывают аспекты безопасного проектирования, разработки, развертывания, обслуживания и окончания жизненного цикла ИИ. Они влияют на поставщиков программного обеспечения, которые разрабатывают ИИ, используют сторонний ИИ и предлагают его клиентам, а также на обычные организации, которые создают свои собственные или используют предоставляемые извне услуги и компоненты ИИ.

Кодекс не будет применяться к поставщикам ИИ, которые предлагают или продают модели и компоненты, но не играют роли в их разработке или развертывании. Правительство заявило, что эти организации будут охватываться отдельным Кодексом практики программного обеспечения и Кодексом киберуправления.

В документе приводятся следующие принципы:

1. Повышение осведомленности об угрозах и рисках безопасности ИИ посредством обучения персонала
2. Проектирование систем ИИ для обеспечения безопасности, функциональности и производительности
3. Оценка/моделирование угроз и управление рисками, связанными с использованием ИИ
4. Обеспечение ответственности человека за системы ИИ
5. Выявление, отслеживание и защита активов, включая взаимозависимости/связность
6. Защита инфраструктуры, включая API, модели, данные и конвейеры обучения и обработки
7. Защита цепочки поставок программного обеспечения
8. Документирование данных, моделей и подсказок с четким аудиторским следом проектирования системы и планов обслуживания после развертывания
9. Проведение надлежащего тестирования и оценки
10. Безопасное развертывание, включая предварительное тестирование и информацию для конечных пользователей о том, как их данные будут использоваться, получать доступ и храниться, а также как безопасно использовать, управлять, интегрировать и настраивать ИИ
11. Регулярное обновление безопасности, исправления и смягчение последствий
12. Мониторинг поведения системы с помощью журналов действий системы и пользователя для поддержки соответствия требованиям безопасности, расследования инцидентов и устранения уязвимостей
13. Обеспечение надлежащей утилизации данных и моделей

«Новый Кодекс практики, который мы разработали в сотрудничестве с глобальными партнерами, не только поможет повысить устойчивость систем ИИ к вредоносным атакам, но и будет способствовать созданию среды, в которой могут процветать инновации в области ИИ в Великобритании», — считает технический директор NCSC Олли Уайтхаус.

Великобритания стремится продемонстрировать свое лидерство, устанавливая этот стандарт безопасности и заявляя об укреплении своих цифровых технологий, а также своей позиции как «самого безопасного места для жизни и работы в Интернете». Этот шаг был сделан всего через месяц после того, как правительство объявило о планах криминализировать создание откровенных сексуальных дипфейков.

Европейская полиция: объемы данных и их удаление мешают расследованиям

Европейская полиция испытывает трудности с доступом, анализом и хранением потенциально огромных объемов данных, необходимых для продвижения расследований киберпреступлений, предупреждает новый отчет Европола. Исследование «Общие проблемы киберпреступности» полицейской группы было написано при участии органа по сотрудничеству в области уголовного правосудия Евроюст.

Три из шести проблем, выделенных в отчете, связаны с данными, необходимыми для расследований. Первая — это огромный объем этих данных, который может достигать терабайтов или даже петабайтов, что «затрудняет хранение, управление и эффективный анализ без значительных знаний, вычислительных ресурсов и специализированных инструментов».

В отчете подчеркивается нехватка навыков и технологий, особенно в области науки о данных и цифровой криминалистики, что может привести к задержкам. В нем содержится призыв к лучшему согласованию моделей данных между правоохранительными и судебными органами, стандартным форматам отчетности для поставщиков услуг и стандартному формату запросов для государственных учреждений.

В отчете также выражается сожаление по поводу отсутствия стандартизированной правовой базы ЕС для хранения данных в целях обеспечения соблюдения закона. Это означает, что во многих случаях поставщики услуг уже удалили потенциально важные данные до поступления запросов на доступ к полиции. Также в документе содержится призыв к постоянному доступу правоохранительных органов к закрытой информации WHOIS, «которая является и быстрой, и эффективной».

Европол повторил и часто упоминаемые жалобы на проблемы, с которыми сталкивается полиция при доступе к зашифрованным сообщениям; будь то те, которые предоставляются законной компанией, такой как WhatsApp, или преступным сервисом, таким как EncroChat. Широкое использование криптовалют еще больше запутывает работу по преследованию преступников, а услуги анонимизации, децентрализованный хостинг и распределенное хранение, которые замедляют расследования, мешают удалению незаконного контента и усложняют запросы информации.

Несмотря на то, что «новые законодательные инструменты», такие как пакет электронных доказательств, Закон о цифровых услугах, Закон об искусственном интеллекте и Второй дополнительный протокол к Будапештской конвенции, помогают улучшить ситуацию, требуется все больше работы для их интеграции в существующие структуры, заявил Европол. Он призвал к «непрерывным инновациям, обучению и международному сотрудничеству» для преодоления проблем, изложенных в отчете.

Техас создаст киберкомандование на фоне «драматического» роста числа атак

Губернатор Техаса Грег Эбботт объявил о планах создания техасского киберкомандования, призванного бороться с «драматическим» ростом числа кибератак, нацеленных на штат. Эбботт представил киберкомандование как чрезвычайную меру во время своего обращения к Законодательному собранию штата 2 февраля 2025 года. Он сообщил, что только за предыдущую неделю город, больница и крупный бизнес в Техасе подверглись кибератакам.

«Это происходит каждую неделю, и их становится все больше. Эти атаки исходят из таких мест, как Китай, Россия, Иран и других мошеннических источников по всему миру, — предупредил Эбботт. — Мы не можем больше откладывать принятие энергичных мер по решению этой проблемы. И именно поэтому я призываю к чрезвычайному плану действий для создания техасского киберкомандования, чтобы лучше защитить наш штат от кибератак».

24 января муниципальное правительство округа Матагорда в Техасе объявило о чрезвычайной ситуации после того, как «вирус» проник в сеть округа через несанкционированную точку доступа. Организации в Техасе являются прибыльной целью для киберпреступников и прогосударственных игроков. Этот штат является восьмой по величине экономикой в мире, производит самый большой объем нефти и газа в США, насчитывает больше аэропортов, чем любой другой штат, и 15 крупных военных объектов.

Штаб-квартира Киберкомандования Техаса будет находиться в Сан-Антонио, что позволит ему использовать опыт и ресурсы кампуса Техасского университета в Сан-Антонио, а также близлежащих государственных, местных и федеральных партнеров. Сан-Антонио является крупным центром кибербезопасности в США, где сосредоточено большое количество экспертов и ИБ-компаний.

Киберкомандование будет иметь ряд целей, в том числе:

1. Прогнозирование и обнаружение потенциальных киберугроз по всему штату
2. Обеспечение подготовки к реагированию на инциденты, включая учения и предварительную координацию и планирование с партнерами по критической инфраструктуре
3. Защита от кибератак, эффективное реагирование и смягчение их последствий в масштабах всего штата
4. Предоставление предметной экспертизы, судебно-медицинского анализа и другой поддержки для проведения расследований после атак и усилий по восстановлению
5. Повышение осведомленности о кибербезопасности, профессиональная подготовка и другие меры, ориентированные на персонал

Примерные сроки, в которые ожидается начало работы Киберкомандования, пока не указаны.

Финансовые учреждения испытывают на себе резкий рост числа разрушительных атак

Согласно новому отчету Contrast Security, в прошлом году более половины (54%) мировых финансовых учреждений подверглись кибератакам, в ходе которых злоумышленники уничтожили данные. Специалист по безопасности среды выполнения заявил в своем отчете Modern Bank Heists Report 2025, что эта цифра на 12,5% больше, чем в 2023 году.

Однако вместо того, чтобы уничтожать данные как самоцель — например, для саботажа и нарушения обслуживания — злоумышленники, по-видимому, делают это, чтобы замести следы. Разрушительные атаки в качестве эскалации служат для уничтожения доказательств в рамках реагирования на инциденты. В этих целях предпринимаются такие действия, как шифрование файлов, удаление данных, уничтожение жестких дисков, завершение соединений или выполнение вредоносного кода.

В целом две трети (64%) респондентов признали, что их учреждения сталкивались с киберинцидентами за последний год. Хотя большинство (94%) утверждало, что им удалось успешно обнаружить и отреагировать на эти атаки, в отчете говорится, что 46 «эффективных» атак в месяц были способны обойти брандмауэры веб-приложений (WAF).

Облачные среды и API были названы двумя наиболее распространенными векторами атак, при этом 71% респондентов утверждали, что угрозы нулевого дня являются их самой большой проблемой в отношении защиты приложений и API.

Злоумышленники не только уничтожают данные, чтобы скрыть свои следы; они также стремятся украсть и монетизировать их. Около двух третей респондентов сообщили Contrast Security, что они наблюдали, как взломщики пытались украсть закрытую рыночную информацию, которая может быть использована для инсайдерской торговли и «шокирования». Последнее подразумевает короткую продажу акций перед передачей украденных конфиденциальных данных регулирующим органам, поясняется в отчете.

Еще 48% респондентов заявило, что в 2024 году столкнулось с ростом числа захватов клиентских счетов, а 43% пострадало от атаки «на остров» (когда злоумышленники используют несанкционированный доступ к банку-жертве, чтобы атаковать клиентов и партнеров).

«По мере развития тактики и мотивов финансовым учреждениям необходимо переосмыслить, как они защищают себя, — утверждает консультант по кибербезопасности Contrast Security Том Келлерманн. — Необходимо постоянно отслеживать поведенческие аномалии на уровне приложений, и для этого организации должны внедрить защиту и реагирование на приложения (ADR) для блокировки атак в производстве и выявления уязвимостей в приложениях и API».

Испанская полиция арестовала хакера, атаковавшего НАТО и армию США

Испанская полиция арестовала подозреваемого в киберпреступлении, который взломал и продал данные, украденные у многочисленных правительственных организаций, а также НАТО и армии США. Национальная полиция (Policia Nacional) объединилась с Гражданской гвардией (Guardia Civil) для задержания мужчины в городе Кальпе на побережье Коста-Бланка. Последующий обыск имущества привел к обнаружению различного компьютерного оборудования и более 50 криптовалютных счетов.

Полиция заявила, что этот человек совершил более 40 кибератак на различные цели в прошлом году, включая Гражданскую гвардию, Министерство обороны, Королевский монетный двор, Министерство образования, правительство провинции Валенсия и различные испанские университеты. Его также подозревают в атаках на НАТО, армию США и Международную организацию гражданской авиации (ИКАО).

Под различными онлайн-псевдонимами он, как утверждается, сливал или продавал конфиденциальные внутренние данные и информацию о сотрудниках/гражданах, полученную от этих организаций. Полицейское расследование началось после того, как мадридская бизнес-организация пожаловалась на утечку данных на известном подпольном форуме (предположительно BreachForums).

«Подозреваемый, который обладал обширными познаниями в компьютерах, сумел создать сложную технологическую сеть с помощью анонимных приложений для обмена сообщениями и просмотра, с помощью которых ему удалось скрыть свои следы и, таким образом, затруднить свою идентификацию», — заявила Национальная полиция.

Однако, сотрудничая с цифровыми экспертами из Испанского национального криптологического центра (CCN), Европола и Службы расследований внутренней безопасности США (HSI), они в конечном итоге смогли выследить подозреваемого. Ему предъявлены обвинения в различных преступлениях, включая раскрытие и разглашение секретов, незаконный доступ к компьютерным системам, повреждение компьютеров и отмывание денег.

В 2023 году испанская полиция арестовала 19-летнего молодого человека, который, по их словам, взломал Национальный совет судебной системы (CGPJ) и налоговое агентство и похитил данные более полумиллиона испанцев.

NCSC выпускает руководство по защите британских исследований и инноваций

Два ведущих агентства по кибербезопасности Великобритании опубликовали новое руководство, призванное помочь исследователям и стартапам на ранних стадиях защищать инновации в стране. Национальный центр кибербезопасности (NCSC) сотрудничал с Национальным управлением по защите безопасности MI5 (NPSA) для составления двух онлайн-центров рекомендаций по передовой практике.

Trusted Research предлагает руководство для исследователей, сотрудников университетов и финансирующих организаций, чтобы помочь сохранить конфиденциальные исследования и интеллектуальную собственность в безопасности. Secure Innovation предлагает поддержку технологическим стартапам, стремящимся защитить свою репутацию и конкурентное преимущество.

В Великобритании процветает сектор исследований и стартапов. Университеты королевства вносят 265 млрд фунтов стерлингов в национальную экономику, включая 63 млрд фунтов стерлингов за счет исследований и обмена знаниями. В стране также есть технологический сектор стоимостью более 1 трлн долларов, что делает его третьим по ценности в мире после США и Китая. По данным правительства, здесь базируется более трети европейских «единороговых» предприятий. Свыше 40% нового венчурного капитала, привлеченного за последние пять лет в регионе, также «хранится» в Великобритании.

Однако этот успех привлек пристальное внимание государственных деятелей, конкурентов и финансово мотивированных киберпреступников, предупредил NCSC. Как отметил генеральный директор центра Ричард Хорн, они сталкиваются с постоянными угрозами со стороны враждебных государств и госхакеров, стремящихся воспользоваться их зависимостью от технологий, которые лежат в основе всех аспектов современной жизни.

Материалы Trusted Research разделены на три раздела в зависимости от целевой аудитории: академические круги в целом, старшие руководители университетов и заинтересованные стороны отрасли, которые могут сотрудничать с академическими учреждениями. Также имеются вспомогательные видеоролики, материалы маркетинговых кампаний и советы для ученых о том, как защитить конфиденциальную информацию во время путешествий.

Инициатива Secure Innovation была впервые запущена в прошлом году как проект Five Eyes. Теперь NCSC разработала свои вспомогательные материалы, которые включают краткое руководство, персонализированный план действий, руководство для основателей стартапов/генеральных директоров и руководство для инвесторов на ранних стадиях в новых технологических компаниях. Плюс удобные ресурсы, подробно описывающие, как проводить проверку биографических данных потенциальных партнеров, как защитить информацию при работе за рубежом, а также набор сценариев угроз и мер по их смягчению, призванных более четко осветить эту тему.

Неудачи в управлении рисками третьих лиц делают финансовый сектор Великобритании уязвимым

Согласно исследованию Orange Cyberdefense, более половины (58%) крупных британских финансовых компаний пострадало как минимум от одной атаки на цепочку поставок третьих лиц в 2024 году. Почти четверть (23%) этих компаний пострадала от атак третьих лиц три или более раз.

Исследование выявило существенные пробелы в стратегиях управления рисками третьих лиц в сфере финансовых услуг. Почти половина (44%) этих учреждений признала, что оценивает риск третьих лиц только на начальном этапе подключения поставщика. Аналогичная доля (41%) проводит периодические оценки рисков. Только 14% заявило, что постоянно оценивает риск и использует для этого специальные инструменты.

Была выявлена четкая связь между степенью осуществляемого управления рисками и вероятностью подвергнуться атаке на цепочку поставок. Более двух третей (68%) тех, кто оценивал риск только на этапе адаптации, подверглось атаке на цепочку поставок в 2024 году. Этот показатель снизился до 57% для тех, кто периодически оценивал риск, и до 32% для тех, кто оценивал постоянно и использовал технологии управления рисками.

Опрошенные руководители служб информационной безопасности и лица, принимающие решения в области безопасности, выразили обеспокоенность по поводу отсутствия нормативного соответствия в области ИБ между Великобританией и ЕС. Это следует за недавним принятием ЕС нового важного законодательства, влияющего на финансовые услуги, включая Директиву 2 о сетях и информационных системах (NIS2), Закон о киберустойчивости (CRA) и Закон о цифровой операционной устойчивости (DORA).

Около трех четвертей (74%) респондентов заявило, что позиция и политика ЕС в области безопасности оцениваются лучше, чем во многих других экономических регионах. Схожая доля (77%) отметила разрыв между эффективностью нормативного сдерживания в Великобритании и ЕС. Аналогично, 74% обеспокоено тем, что доверие к регулированию падает, в то время как 72% — тем, что оно становится не таким всеобъемлющим. Кроме того, 76% заявило, что власти страны не предоставляют достаточной нормативной поддержки и руководства. В результате 92% хотело бы, чтобы Великобритания приняла общенациональное регулирование, аналогичное DORA, для обеспечения цифровой устойчивости в финансовом секторе.

Как отметил главный консультант Orange Cyberdefense Ричард Линдси, несмотря на относительную свободу Великобритании от регулирования ЕС, специалисты по кибербезопасности здесь предпочли бы, чтобы политика страны в ближайшем будущем была ближе к политике ЕС. В июле 2024 года новое лейбористское правительство Великобритании представило законопроект о кибербезопасности и устойчивости, который, по-видимому, является попыткой привести правила Великобритании в соответствие с положениями NIS2.