22 мая, 2014, BIS Journal №2(13)/2014

По преступлению и наказание


Хвастунова Ольга

обозреватель (BIS Journal)

Хакеры всего мира, образовав киберподполье, сходное с террористическим, активно обмениваются опытом и «передовыми методиками»

Со стороны государства, в первую очередь правоохранительных органов, и бизнес-сообщества, прежде всего банковского, заметен рост понимания глобального характера большинства осуществляемых финансовых транзакций. И, как следствие, усиливается осознание важности постоянного и хорошо скоординированного международного сотрудничества в обеспечении IT-безопасности.

 

ГЛОБАЛЬНАЯ КИБЕРЗАКУЛИСА

В отчёте о тенденциях киберпреступности в 2013 году Cost of Cyber Crime Study, подготовленном специалистами Ponemon Institute при поддержке HP Enterprise Security Products, отмечается: среднегодовой уровень ущерба от кибератак достиг $11,56 млн в пересчёте на одну американскую компанию. Показатель оказался на 78% больше, чем 4 года назад, когда был выпущен первый отчёт этой серии. Кроме того, за этот же период среднее время, необходимое для устранения последствий кибератаки, возросло на 130%, а средний уровень затрат на устранение одного вида атак составил более $1 млн.

Согласно последним данным, полученным в ходе глобального опроса, проведённого компанией PriceWaterHouseCoopers (Великобритания), в настоящее время на долю киберпреступлений приходится около половины всех случаев мошенничества, выявляемых в секторе финансовых услуг. По результатам того же опроса 34% респондентов отмечали факты совершения экономических преступлений против их организаций за последние 12 месяцев, почти каждая десятая из этих жертв понесла убытки в размере более $5 млн.

В 2013 году в США DDoS-атакам подверглись такие банки, как Bank of America, JPMorgan Chase & Co, Wells Fargo & Co, PNC и SunTrust Bank«В прошлом году был зарегистрирован не только рост числа кибератак, но также и увеличение скорости их совершения – эти показатели увеличились на порядок», – отмечает Дуг Джонсон, вице-президент Американской ассоциации банкиров по управлению рисками. К тому же за последние несколько лет кибератаки стали гораздо более изощрёнными и опасными. Многочисленные хакеры по всему миру объединились в хорошо организованное и щедро спонсируемое киберподполье, сходное с террористическими ячейками, участники которого активно обмениваются опытом и «передовыми методиками».

Генеральный директор компании Check Point Software Technologies (Россия) Кит Маскелл указывает, что сегодня одну из наиболее значимых угроз сетевой безопасности, с которыми приходится сталкиваться организациям, представляют собой бот-сети. 63% организаций, рассмотренных в исследовании Check Point, инфицированы ботами. При этом большинство компьютерных систем организаций заражены несколькими ботами одновременно. Примечательно, что наборы ботов продаются онлайн по цене менее чем $500, но могут нанести каждому бизнесу миллионные потери.

С помощью ботнетов преступники получают удаленный доступ к информационным ресурсам организации, крадут информацию финансовую, идентификационную для онлайн-банкинга, внедряют самораспространяющиеся вирусы и делают ещё много чего. В 75% организаций раз в 23 минуты каждый хост осуществляет доступ к вредоносным сайтам. По мнению Кита Маскелла, информационная среда сегодня заметно усложнилась. Многообразие устройств, операционных систем, виртуализация, «облачные» технологии, широкое использование интернета – всё это способствует росту количества угроз со стороны киберпреступников и усложняет защиту информации.

ЩИТ И МЕЧ В ЦИФРОВОМ МИРЕ

Практически все аналитики рынка отмечают: киберпреступники уже редко действуют в одиночку, объединяясь в организации, сходные с террористическими ячейками. При этом мотивация преступников становится всё более изощрённой, подчёркивает Кит Маскелл. Если мотив неизвестен, защититься от угрозы сложнее. Поэтому происходящее сегодня, по его мнению, можно называть «гонкой вооружений»: киберпреступники разрабатывают новые способы совершения преступлений, а «по другую сторону фронта» компании создают всё более совершенные методы защиты от киберугроз.

Эксперты также сходятся на том, что кибератаки в банковской сфере проходят на всё более высоком уровне. Сначала целью были учётные записи пользователей, потом мошенники переключились на корпоративные счета, впоследствии перешли на взлом учётных записей сотрудников банков, а теперь нацелились на административные учётные записи, имеющие доступ к платёжным системам организации.

Следующим этапом, как предостерегает ведущий аналитик и вице-президент компании Gartner Research Авива Литан, станут сами платёжные системы, благодаря чему злоумышленники смогут атаковать одновременно несколько банков. Денис Гасилин, руководитель отдела компании SafenSoft, разрабатывающей защитные решения для банков, в свою очередь отмечает: банки США уже начали ощущать одновременные потери при атаках, которые запускаются в один момент широким фронтом. Скорее всего, скоро эту методику примут на вооружение и злоумышленники других континентов.

С другой стороны, массовое внедрение технологий анализа больших данных для выявления и предотвращения мошенничеств осложнено тем, что банки зачастую используют разрозненные или устаревшие платформы. Тем не менее, есть многочисленные примеры того, как сотрудникам, отвечающим за информационную безопасность, удавалось предотвращать мошеннические операции.

Анализируя сотрудничество между правоохранительными органами и бизнесом, Татьяна Тропина, эксперт Института исследований вопросов киберпреступности (Германия), утверждает: государство не может и не должно бороться с киберпреступностью в одиночку. В свою очередь, частный сектор не способен придать своим требованиям к безопасности бизнеса, ведущегося с использованием интернета, силу закона, но заинтересован в соблюдении таких правил.

Другими словами, от всех участников требуется объединить усилия на взаимовыгодной основе: делиться друг с другом информацией, обеспечить единый центр взаимодействия интернет-провайдеров (ISPs) и правоохранительных органов. И, главное, больший упор делать на профилактику, а не на реагирование на уже случившиеся инциденты. Лучший мировой опыт, по мнению Татьяны Тропининой, участники рынка и государственные структуры будут внедрять у себя с охотой.

Осознавая возросшую угрозу со стороны киберпреступников, многие компании по всему миру активно вкладывают деньги в совершенствование своих систем информационной безопасности. Так, растущие инвестиции в ИБ-сектор отмечаются аналитиками компании Forrester Research. Ими было опрошено свыше 2 000 специалистов в области компьютерной безопасности, представляющих самые разные фирмы. Хотя в прошлом, 2013 году, затраты на защиту данных в корпоративных сетях составили примерно 21% общих бюджетов обеспечения безопасности предприятий, 46% опрошенных экспертов ожидают в течение 2014 года дальнейшего увеличения этих расходов.

КРЕПИ ОБОРОНУ IT-СИСТЕМ!

По оценке экспертов, компании, которые заботятся о своей сетевой безопасности, внедряют модель Zero Trust. Эта система позволяет IT-администраторам проводить полную инспекцию сети, соединение за соединением, чтобы убедиться: через соединения, которые не прописаны в сервисах, не проходит ни один пакет.

Согласно другим данным опроса, проведённого аналитиками компании Forrester Research, представители компаний так обрисовали планы повышения информационной безопасности на ближайшие 12 месяцев:

  •  63% будут улучшать системы мониторинга угроз;
  •  57% намерены пользоваться защитными продуктами одного производителя ради большей простоты интеграции и управления;
  •  45% планируют тратить больше денег на повышение уровня компетенций своих сотрудников в IT-безопасности;
  •  35% собираются повышать безопасность своих беспроводных сетей;
  •  32% хотят приобрести новое поколение файерволов;
  •  29% сосредоточатся на самых современных способах выявления вредоносного программного обеспечения;
  •  примерно 28% готовятся вложиться в  средства ИБ-анализа.

Эти же тенденции были выявлены в ходе недавнего опроса, проведенного компанией EY среди 1900 представителей высшего руководства фирм. Выяснилось, что:

  •  93% компаний сохраняют или наращивают значительный объем инвестиций в средства безопасности;
  •  83% при этом не удовлетворены работой внутренних служб;
  •  в 31% компаний за последние 12 месяцев количество инцидентов выросло, как минимум, на 5%.

К подобному выводу пришли и аналитики компании Tech Pro Research, которые провели опрос среди 244 респондентов, представляющих фирмы из различных стран. По словам 41% опрошенных, в 2014 году планируется увеличить долю IT-бюджета, направленную на обеспечение информационной безопасности компаний. В прошлом, 2013 году подобные расходы нарастили лишь 16% фирм, тогда как 11% даже собирались их уменьшить.

Примерно две трети респондентов признались, что начали уделять вопросам информационной безопасности больше внимания после того, как в прессе участились сообщения о взломах компьютерных сетей и кражах данных. Однако лишь крупные компании со штатом более 1000 сотрудников намерены улучшить контроль IT-безопасности. Небольшие фирмы всё менее заинтересованы в этом, говорят эксперты.

Согласно прогнозам аналитического агентства Canalys, к 2017 году мировой рынок решений для обеспечения информационной безопасности будет в среднем расти на 7% в год, и к концу периода его объем в денежном выражении достигнет $30,1 млрд. Естественно, что первоочередное внимание вопросам информационной безопасности уделяется в банковском секторе. Здесь затраты на информационные технологии вырастут на 4,2% в 2014 году и составят $430 млрд. К 2020 году размер этих инвестиций превысит $500 млрд, прогнозируют аналитики компании IDC.

Эта сфера не будет обойдена вниманием и со стороны правоохранительных органов как отдельных стран, прежде всего США, так и международных организаций. Так, в результате анализа состояния информационной безопасности в Комиссии по ценным бумагам и биржам США были вскрыты факты вопиющих нарушений основополагающих требований безопасности, устранение которых поможет снизить уязвимость от кибератак.

В ходе расследования было установлено, что сотрудники Комиссии передавали важную закрытую информацию о крупных финансовых учреждениях через свои личные учётные записи электронной почты. Кроме того, они, в нарушение корпоративных правил, использовали незащищенные ноутбуки для хранения конфиденциальной информации. На этих ноутбуках, хранящих информацию об оценках уязвимости, сетевые схемы и диаграммы, позволяющие получить несанкционированный доступ на биржи, даже не были установлены антивирусные программы.

Расследование также показало, что сотрудники Комиссии пользовались рабочими компьютерами вне работы, для личного пользования – просматривали веб-страницы, загружали музыку, фильмы и другой контент. Кроме того, они подключали ноутбуки, содержащие конфиденциальную информацию, к незащищённым Wi-Fi сетям в общественных местах, например, в гостиницах. Как минимум в одном установленном случае это была гостиница, где проходила встреча хакеров…

ДОВОЛЬНО МИНДАЛЬНИЧАТЬ С ХАКЕРАМИ

В этой связи, а также в свете последних массовых утечек личных данных пользователей, имевших место в сетях Target и Neiman Marcus, Секретная служба Министерства финансов США выступила за введение более строгих законов, которые, по мнению её руководства, могут помочь в борьбе с киберпреступностью.

Выступая на слушаниях в Конгрессе США, посвящённых теме: «Защита персональных данных : можно ли предотвратить утечки?», заместитель руководителя отдела уголовного розыска Секретной службы Уильям Нунан посетовал на отсутствие универсального решения, способного предотвратить утечки персональных данных американских граждан. Далее он отметил необходимость повысить кибербезопасность страны законодательными мерами, которые помогут правоохранительным органам расширить возможности проведения эффективных расследований, тем самым снизив расходы американских компаний на IT-безопасность.

За ужесточение наказаний киберпреступникам выступает и руководство Евросоюза. Так, в начале июля 2013 года Европарламент проголосовал за закон, предусматривающий увеличение сроков тюремного заключения за преступления подобного рода. По новому закону тюремные сроки возрастут с существующего уровня 1–3 года до более чем 5 лет. К преступной деятельности будут относиться незаконные действия – несанкционированная оценка состояния информационных систем, проникновение в них, в базы данных, перехват информации по каналам связи.

Минимальные сроки, 2 года тюремного заключения, будут применяться к разработчикам, продавцам и распространителям программных средств, применяемых для совершения киберпреступлений. Использование ботнетов будет наказываться тюремным заключением на 3 года.

Как известно, на подпольных рынках создатели ботнетов продают или сдают в аренду управление заражёнными устройствами другим злоумышленникам, которые уже непосредственно крадут средства с кредитных карт, атакуют официальные интернет-сайты. За совершаемые хакерскими группировками кибератаки на информационные системы важных объектов, таких, например, как правительственные, будут выноситься приговоры, предусматривающие 5 лет тюрьмы.

Ответственность за киберпреступления вводится и для юридических лиц, в результате чего какой-либо компании уже будет невозможно безнаказанно нанять хакеров для проникновения в базу данных конкурента. Санкции, наложение которых на юридических лиц предусмотрено новым законом, включают исключение из списков получателей субсидий, запрет на проведение коммерческих операций, прекращение деятельности пред-приятия вплоть до ликвидации.

После утверждения Европарламентом закон поступил в Совет министров ЕС, и теперь отдельным странам даётся 2 года, чтобы интегрировать его нормы в национальное законодательство. Таким образом, ответственность за киберпреступления во всех 27 странах членах Евросоюза будет ужесточена до уровня таких стран, как Великобритания, Франция и Германия.

В целом, анализ зарубежного опыта в сфере борьбы с киберпреступностью и совершенствования правового обеспечения IT-безопасности показывает, что многие страны готовы к выработке общих подходов в сфере уголовного права и принятию конкретных мер против компьютерной преступности. Стратегия информационной безопасности разрабатывается и реализуется по 3 основным направлениям:

  • установление правил и процедур,
  • обучение (подготовка кадров – как специалистов, так и пользователей),
  • обеспечение соблюдения действующих требований.

Всё более важным аспектом обеспечения информационной безопасности становится установление соразмерной ответственности за противоправные деяния. Также всё более широко признаётся необходимость разработки согласованного перечня правонарушений в сфере информационной безопасности и видов ответственности за них. Примером такой совместной работы является, в частности, Конвенция Совета Европы о киберпреступлениях и принятый Европарламентом новый закон об ужесточении ответственности за их совершение.
 

 

Смотрите также

И учиться, и учить

17 сентября, 2013
Подпишись на новости!
Подписаться