«Почему силовики равнодушны к банкирам?»

ШАМАНСКИЙ ТАНЕЦ

Начну с того, что внутри системы двух участников – банк и клиент – данная проблема не решается. Нужно смотреть на ситуацию более широко и системно. Однако системного подхода к этому вопросу на данный момент не наблюдается. Любой человек, который берется за решение этой задачи, собирает из лоскутков свою картину идеального мира. Большинство этих попыток однобоки и более всего напоминают шаманский «танец дождя»: шаман бьет в бубен, танцует и вызывает дождь. Все составные части гармонично складываются в единую картинку: и танцор замечательный, и звук громкий, одна проблема – к дождю все происходящее не имеет никакого отношения. У нас ситуация часто напоминает этот танец дождя. Мы боремся с технологиями, принимаем законы, запрещающие какие-то технические средства, но забываем о том, что преступления совершают люди, а не технологии!

Выделю ряд элементов, которые, на мой взгляд, являются ключевыми для рассматриваемой проблемы.

Первая большая загвоздка заключается в том, что все попытки ИБ-сообщества доказать свою состоятельность разбиваются об одну вещь: у нас есть мощные инструменты реагирования на инциденты, но по факту регистрации в компании какого-либо события безопасности редко сразу же предпринимаются оперативные действия. Образно говоря, произошла утечка клиентской базы из банка, и оперативные службы отправляются на захват тех, кто в этом участвовал. Мне, конечно, сразу возразят, мол, киберпреступления совершаются в виртуале со скоростью клика, физическому реальному миру таких скоростей не достичь. Отвечу вопросом: а кто пытался хоть что-то сделать в этом направлении? Киберпреступления совершаются быстро, но готовятся долго. Так же и с мерами борьбы: должна быть подготовленная «виртуальная» почва, на которой будет разворачиваться сценарий действий в реале. Что я имею в виду?

 

ПРО ПОЛИЦЕЙСКИЙ УЧАСТОК

Базовый принцип цифрового управления – наблюдаемость процессов. Нам идти и идти к тому, чтобы понимание состояния киберпреступности приблизилось к тому уровню, который мы имеем в отношении реальной преступности. Фактически нужно строить такую же систему. Но сегодня в части киберпреступлений нет даже более-менее достоверной статистики о происходящем. Все понимают, что проблема существует, и пытаются ее оценить со своего «шестка». В результате, сколько шестков, столько и видов статистики… Пожалуй, момент истины наступает в отдельно взятом полицейском участке, куда стекаются заявления от пострадавших граждан. Если туда заглянуть, то можно увидеть, какие стопки дел такого рода лежат на столах оперативных сотрудников МВД – это своего рода визуализация проблемы. А если посмотреть, как эта стопка выросла за год, это дает представление о динамике проблемы. Однако никто не знает, что с этими заявлениями делать. А потому нет единой статистики, нет профилей пострадавших и профилей злоумышленников и т.д. Есть ощущение, что «силы света» не очень-то и понимают, с кем нужно вступать в борьбу. Теперь приведу пример из сферы информационной безопасности.

 

А НА ТЕМНОЙ СТОРОНЕ ЦВЕТЫ… НЕОБЫЧАЙНОЙ КРАСОТЫ

На одной из конференций по ИБ в секции по социальной инженерии я попросил участников из числа тех, кто становился объектом телефонной социальной инженерии, описать, как, по их мнению, выглядел злоумышленник, который находился в тот момент на другом конце провода. Говорили про мужчину, женщину, средний возраст и т.д. Но никто – а это, напомню, были ИБ-профессионалы – даже не предположил, что это могла быть роботизированная цепочка! На дворе – XXI век, а ИБ-профессионалы по-прежнему уверены, что на том конце провода – человек с телефонной трубкой и текстом сценария разводки на бумажке. А ведь на темной стороне задействованы огромные силы: знания лучших психологов, умения талантливых программистов, смарт-контракты, искусственный интеллект, передовые системы обучения. Мы на эти темы только доклады делаем на конференциях, а у них все уже реализовано на практике, вложены конкретные серьезные деньги.

Нельзя выделять один из целого комплекса вопросов, потому что мы живем в мире, в котором все границы стерты. У нас нет отдельно взятой модели атак на конкретный банк. В них всегда задействуется много разных векторов: это могут быть и дети, взятые в заложники, и прослушанные телефоны, и аккаунты в социальных сетях жены, подруги, родственники, подкупленные сотрудники. Все идет в ход, когда есть солидный призовой фонд. Угрозы приходят отовсюду и достигают результата в том месте, которому вы придаете наименьшее значение.

 

ТУПИК

Есть, в частности, одна такая точка, которая находится вне зоны внимания тех или иных служб. Структуры МВД не дернутся с места по факту фиксации утечки из какого-то банка. Силовики объясняют это тем, что они не могут начать действовать, покуда нет заявления от банка, что он пострадал от киберпреступников. Но банк от такого заявления старается устраниться, потому что сразу после этого он из пострадавшего превратится в виновного, и его же, пострадавшего, и накажут. Как минимум дополнительной отчетностью. Тупиковая ситуация, скажем прямо.

И 152-ФЗ, принятый когда-то для того, чтобы персональные данные граждан не утекали на сторону, действует так, что защищает кого угодно, но только не данные граждан. В целом, это большая проблема – отсутствие наработанной практики по делам, связанным с кибер-преступлениями в отношении граждан.

Возможно, ситуация могла бы измениться, если бы такие дела можно было объединять в большую единую историю. Если у одного человека списали 500 рублей с карточки, то это совсем мелкое хулиганство, никто заниматься им не будет. Но если подобные дела будут объединены, то ущерб потянет уже на миллион рублей. И это уже будет хищением в крупных размерах, которое заставляет действовать. Но такой практики у нас, скорее, нет…

 

ВИНОВАТ ТОТ, КТО СЛАБЕЕ

И вот в таких условиях предлагается искать виновного. Конечно, виновным проще считать того, кто слабее, то есть самого пострадавшего гражданина. Но разве это нормальная практика? Я считаю, что к этой ситуации вполне применимо простое житейское правило: в случае ссоры первым извиняется не тот, кто виноват, а тот, кто больше дорожит отношениями. И в этом смысле ближе всего к гражданину бизнес, в частности, банк, со счета которого умыкнули деньги.

 

ПОЧЕМУ ТЫ КИБЕРДЫРЯВЫЙ?

А как выглядит бизнес с этой точки зрения? Посмотрите на количество деловых журналов, которые нас окружают. И в каждом журнале обязательно есть статья на тему, как бизнесу стать здоровым, энергичным и т.д., – в стиле «если ты такой богатый, то почему у тебя офис некрасивый?». Но в этих журналах нет статей на тему: если ты, бизнес, такой богатый, то почему ты такой кибердырявый? Почему клиенты делятся с тобой своим самым сокровенным: деньгами, личной информацией, а твои сотрудники со своих телефонов ходят на какие-то сомнительные сайты, их смартфоны давно взломаны, и данные прослушивают, все, кому не лень? Почему достойный клиент должен тебе верить, доверять свои коммерческие секреты и вообще иметь с тобой дело?

Я думаю, что это очень серьезный момент: бизнес крайне редко занимается созданием образа защищенного надежного партнера. А ведь это составляет существенный кусок того, что сегодня называется кибергигиеной организации. Но этого нет в нынешней бизнес-ментальности. Яркий пример: не так давно на одной из конференций по ИБ один человек из банковской среды спросил: «Что такое кибер-гигиена? Я хорошо знаю про финансовую грамотность, а кибергигиена - это, наверное, что-то из рекламы и маркетинга?». Этот человек, видимо, совсем не имеет представления, что этим словом называется такое состояние ума, при котором мы понимаем, что наша цифровая собственность – это именно собственность, а цифровая личность – это именно личность, которую точно так же, как ив реальной жизни, нужно уважать.

 

НУЖНЫ СИЛЬНЫЕ ГОРИЗОНТАЛЬНЫЕ СВЯЗИ

Мошенники – они на то и мошенники, чтобы не уважать личность, но то, что граждане из легального бизнеса не имеют понятия об уважении к цифровой личности, это реально плохо. Ну, хоть хакеры перестали в последние годы быть персонажами, которыми восхищается юное поколение. Хотя бы в общественном сознании они стали ассоциироваться с мерзавцами, ворующими у людей последнюю копейку. Но нужно, чтобы такое понимание стало всепроникающим: и в бизнесе, и в государстве.

А ведь государство может сыграть свою роль, например, объединить усилия на некотором горизонтальном уровне: с помощью межведомственного обмена данными сделать так, чтобы данные об утечках из финансовой сферы стали доступны для МВД, ФСБ и других органов. Но пока горизонтальные связи и оперативное взаимодействие выглядят крайне слабо и продолжают упираться в банальное «нет заявления от пострадавшего…»

Олег Седов -- Директор направления «Кибербезопасность для населения» (Ростелеком-Солар)

BIS Journal №1(36)/2020

25 марта, 2020

Смотрите также