BIS Journal №1(28)/2018

30 марта, 2018

AntiFraud Russia 2017

Русско- и англоязычное названия мероприятия – VIII Международный форум по борьбе с мошенничеством в сфере высоких технологий AntiFraud Russia – не следует трактовать слишком уж буквально ни на одном из упомянутых языков. На конференции не сказали ни слова о мошенничестве, например, в нанотехнологиях или, скажем, в ядерной медицине. Однако и термин «fraud» слишком узок для того, чтобы в полной мере охарактеризовать круг тем, затронутых на мероприятии.

ЩИТ И МЕЧ

Эксперты и гости форума обсудили не только мошенничество в финансовой сфере и способы борьбы с ним, но гораздо более широкий круг тем, касающихся кибербезопасности, от прорех в законодательстве до блокчейна и искусственного интеллекта.

Широта спектра обсуждений связана с тем, что в нынешнем киберпространстве обитают не только мошенники, но и киберфорточники, взломщики банкоматов и грабители секретных файлов. Их технологическое оснащение перестало быть уделом ремесленников, а превратилось в одну из областей высокотехнологичного и пока, похоже, безнаказанного бизнеса. Возможно, именно эти обстоятельства заставили организаторов форума сформулировать тему панельной дискуссии («Эволюция «щита» и «меча»: что меняется быстрее?») в том ключе, что киберпреступники обладают разящим «мечом», а в руках противостоящих им имеется лишь «щит» - пассивный инструмент защиты.

НАШЛЕПКА ИЛИ ИММУНИТЕТ?

На ущербность такого подхода сразу обратили внимание и ведущий панельной дискуссии Борис Мирошников и эксперт Василий Окулесский. Они аргументировано обосновали, что пришло время киберинфраструктуры, имеющей «природный иммунитет», а не прикрытой от злоумышленников внешними накладками.

Позже на одном из круглых столов, посвящённом технологии блокчейн, дискуссия на эту тему была продолжена. Уместно отметить, что обсуждение блокчейна на форуме резко контрастировало с тем хайпом, который, как выразился эксперт «Лаборатории Касперского» Алексей Маланов, доносится сегодня «из каждого утюга». Был проведён дотошный SWOT-анализ технологии и критически проанализированы возможности ее применение вне сферы генерации электронных денег.

А ИНОГДА НЕ РАБОТАЮТ ЗАКОНЫ…

Из обсуждения практики правоохранительных органов следует, что рост киберпреступности и рост ответных реактивных действий идут «ноздря в ноздрю» в процентном исчислении. Однако процентные успехи правоохранительных органов – это следствие низкой начальной базы этих успехов, а вот выявленные преступления – это лишь верхушка айсберга, масштабы подводной части которого не поддаются точной оценке.

Иногда преступники аккуратно зачищают после себя «поляну». Иногда жертвы не спешат «выносить сор из избы». Иногда образованные киберпреступники не переступают «красные флажки» Уголовного Кодекса. А иногда не работают законы...

В ходе дискуссии был поднят вопрос о реакции на противоправные действия, которые были выявлены и пресечены службой ИБ банка. По таким инцидентам у несостоявшейся жертвы может иметься информация, способная пролить свет на личность киберпреступника. Но будут ли правоохранительные органы заниматься расследованием в такой ситуации?

Откровением показалось заявление о том, что преодоление несовершенства законодательства позволило бы предотвращать последствия кибератак по принципу Рикки-Тикки-Тави, а именно – давить гадов в зародыше. Руководитель Департамента по управлению фродом ОАО «Мегафон» сообщил, что у операторов телекома есть возможность оперативно отключать управляющие сервера киберпреступников и блокировать их СМС-рассылки. Но закон запрещает операторам самостоятельно отключать Интернет-ресурсы… И так же закон стоит на страже тайны переписки.

КВАЛИФИКАЦИЯ ПЕРСОНАЛА ИБ

Была озвучена ещё одна не техническая проблема борьбы с киберпреступностью – несовершенство внутренних регламентов по ИБ и недостаток квалификации сотрудников.

В ходе диалога между руководителем Службы ИБ Сбербанка и начальником ФинЦерта Банка России была озвучена ситуация, в которой Сбербанк своевременно выявил киберугрозу, а ФинЦерт сразу разослал соответствующее уведомление о ней. И, тем не менее, несколько банков понесли многомиллионные потери… из-за нерасторопности или служебного несоответствия сотрудников ИБ, не среагировавших на уведомление.

Нельзя утверждать, что вопросы квалификации персонала не находят понимания. На форуме этой теме были посвящены как минимум два мероприятия. Но проблемы с количественным составом служб ИБ и организационной дисциплиной остаются. Один из подходов к их решению – использовать то, что «лирики» называют искусственным интеллектом, а «физики» – автоматизацией и машинным обучением. Приятно удивило, что эти технологии обсуждались в том объёме, который соответствует их реальному уровню развития.

ГЛАВНЫЙ ИСТОЧНИК РИСКОВ

Был озвучен и бессмертный тезис о том, что главный источник рисков для ИБ – человек.

Обычно после ритуального произнесения слов о человеческом факторе и социальной инженерии начинаются пространные рассуждения о безрассудствах клиентов, играющих на руку киберпреступникам. Реже «под раздачу» попадают сотрудники организаций, ставшие жертвами той же социальной инженерии. И совсем редко говорят о топ-менеджерах, которые сэкономили на инфраструктуре и персонале, а утвердив своим росчерком высосанные из пальца KPI, фактически вынудили подчинённых совершать вредные для безопасности бизнеса действия.

ПОРА ПРИЗНАТЬ!

Однако пришла пора открыто признать, что человеческий фактор как источник киберугроз – это совокупные и неосознанно системные действия сразу нескольких групп людей. В том числе и отличающихся пониженной социальной ответственностью разработчиков «кривых» приложений, а не только потребителей этого дешёвого или «бесплатного» киберширпотреба.

Причём одни потребители с энтузиазмом, достойным лучшего применения, скачивают что ни попадя в XYZStores, оттачивая до автоматизма навыки клика на кнопках «OK» и «Принимаю», а другие используют «сырые» разработки для окучивания клиентов.

В кулуарах форума услышал рассказ, как сотрудник известного банка, оформляя пенсионную карту клиенту, установил на его смартфон приложение, которое банк считает необходимым предлагать в составе своей пенсионной услуги. В результате была фатально нарушена работа другого банковского приложения – действительно необходимого.

Этот инцидент ставился в вину сотруднику банка, дисциплинированно работавшему на свой KPI. Тогда как первопричина зла в этой ситуации – синергия некачественной разработки навязанного приложения и экономии банком на этапе его испытаний.

По уму лидер банковского рынка должен был проверить совместимость навязываемого им ПО с разными смартфонами и сформулировать требования к их допустимым конфигурациям. Понятно, что задача эта затратная, и банк попросту сэкономил.

Приведённый пример призван проиллюстрировать утверждение, что подброшенные флэшки с .exe-файлами и электронные письма с обязывающими к действиям темами – это лишь «надводная часть» зловредной для кибербезопасности социальной инженерии, истоки которой находятся в том числе и в пониженной социальной ответственности разработчиков казалось бы «рутинных» клиентских продуктов и сервисов.

В результате круг виноватых и потерпевших замыкается, и далее киберпреступники заваливают эту «связанную одной цепью» толпу своими инфицированными SMSками, электронными письмами и программами из интернет-магазинов приложений, и зараза распространяется «воздушно-капельным путём»: по сетям и при прямых контактах инфицированных флэшек с USB-разъёмами здоровых ПК.

Впечатления от AntiFraud Russia 2017 (вкупе с другими последними ИБ-мероприятиями) позволяет утверждать, что отечественная экосистема трудовых ресурсов в области ИБ – это взболтанный, но пока ещё недостаточно смешанный коктейль из странствующих рыцарей с заплечными мешками с парой ноутбуков, готовых по первому зову «заштопать» любую «дыру» в системе безопасности ИТ-инфраструктуры, и тех специалистов, которые понимают, что «чисто не там, где убирают, а там, где не мусорят».

Энтузиазм «рыцарей» ИБ заслуживает уважения, но иногда складывается впечатление, что их сообщество скатывается в ИТ-троцкизм, для которого «движение всё, конечная цель – ничто». Тогда как системный подход к повышению культуры проведения ИТ-разработок и их внедрения способен в зародыше подавить многие предпосылки к киберинцидентам. И сыграть решающую роль в формировании такого системного подхода призвана собравшаяся на конференция AntiFraud 2017 интеллигенция ИБ, чей аккуратизм способен переломить эпидемиологическую ситуацию в ИТ-сфере в лучшую сторону.

Смотрите также