Киберугрозы: чего опасаться бизнесу в цифровую эпоху
Вирус, долгое время спавший, в один момент «проснулся», заблокировав доступ к компьютерам по всей стране.
Поражены аэропорты, и самолеты вынуждены с риском для пассажиров срочно менять аэропорт прибытия. Общественный транспорт парализован, потому что отключилась оплата картами, банки работают с перебоями, аварии на энергетических подстанциях приводят к отключению электричества. Выходят из строя даже компьютеры министров. Прямо с заседания члены правительства выкладывают фотографии «синего экрана смерти», пока Facebook и Instagram еще работают. Это типичная страшилка из рассказов о будущем киберпреступности. О… подождите. Это не будущее. Это все случилось в июне 2017 года на Украине и в некоторых других странах, когда по всему миру сработал вирус-вымогатель с ласковым именем Petya.
Можно сказать, всем нам повезло, что вирус не распространился еще более широко, и у злоумышленников не было иной цели, кроме заработка (по $300 с компьютера). Прежде чем адреса, по которым уходили деньги, были блокированы, хакеры смогли заработать только несколько тысяч долларов. А ущерб от их действий составил миллиарды. Легкость, с которой вирус поразил и вывел из строя компьютеры на таких защищенных объектах, как аэропорты, правительственные учреждения и офисы крупнейших российских госкорпораций, поражает. Получается, уже сейчас критически важные объекты беззащитны перед киберпреступностью? Что же будет дальше?
Снаряд и броня
Битва между киберпреступниками и защитниками информации — это классический случай «снаряда и брони». Сначала были ядра, потом ядра побольше, баллистической формы снаряды с гильзами, снаряды из сплава попрочнее, калибром побольше, коммулятивные снаряды, снаряды с урановым сердечником и так далее. Каждый раз улучшение было следствием того, что броня становилась толще и эффективней. Ну, а изготовители брони опирались на военный опыт и делали броню получше, сразу как появлялись более пробивные снаряды. Это постепенное усовершенствование защиты в ответ на новые угрозы. Бесконечный процесс. Petya — это, можно сказать, новый снаряд. Наверняка уже сейчас специалисты по кибербезопасности нашли, как бороться с таким оружием. Так что нас не ждет цифровой апокалипсис из-за какого-нибудь Petya-2. Но в то же время можно не сомневаться, что через какое-то время системы безопасности ожидает новый провал, на который они ответят усилением, и так далее.
Большую часть этой борьбы мы не видим, потому что все реже хакеры оказываются такими вот развеселыми разбойниками с большой дороги, которые пытаются прийти к успеху, запуская вирус куда придется. Наиболее квалифицированные и опасные хакеры неплохо знают, что именно им нужно, часто работают на каких-то влиятельных людей с конкретными целями, и атаки их очень локальны — иногда против правительств, иногда против корпораций. Успешные или безуспешные рейды, как правило, остаются тайной для широкой публики. Корпорации и спецслужбы не любят делиться такими интимными данными, но в этом закрытом мире с каждым годом интересней. И подковерная борьба с киберпреступностью вполне может выйти наружу в ближайшие годы. Просто потому, что виртуальный мир все теснее переплетается с материальным.
Многоступенчатые атаки
Очень часто злоумышленники получают доступ к компьютеру, прислав фишинговое письмо с вредоносным кодом. Открыв вложение в письме, пользователь сам запускает этот код, который производит нужные изменения и ждет своего часа. Системы защиты от спама неплохо научились фильтровать подобные письма. В компаниях, которые заботятся об информационной безопасности, системы еще более строгие, так что просто заслать вирус по почте не получится. Но киберпреступники нашли способ обходить эти препятствия. Системы фильтрации почты, как правило, считают безопасными письма от адресатов, с которыми пользователь уже общался, или письма с корпоративной почты, например, государственного ведомства, медицинского учреждения или известной некоммерческой организации. И атака на конечную цель начинается с атаки на его менее защищенного партнера. Сначала вирус поражает его с целью отправить другой вирус уже по конечному адресу. Это такой электронный коммулятивный снаряд.
По такому принципу была организована недавняя атака на 250 финансовых организаций со стороны хакерской группировки Cobalt. Они рассылали письма от имени известных организаций, либо действительно проникнув в их компьютеры, либо подделывая письма так, чтобы они были похожи на отправленные организацией. А пару лет назад, скорее всего, той же группировкой были проведены 13 успешных атак на российские банки, завершившиеся хищением значительных средств. Фишинговые письма рассылались от имени Центробанка. Эта тактика становится все более изощренной и многоступенчатой. По мере общего усиления безопасности преступникам приходится начинать все более издалека — не с партнера компании-мишени, а с партнера, и так далее. Стопроцентной защиты пока не существует, потому что хоть какое-то слабое звено в цепочке контактов найдется. Компаниям приходится предполагать, что вирус к ним проникнет. И строить работу в компании, распределение прав и внутренние барьеры так, чтобы, если вирус и окажется внутри системы, он не смог нанести вред.
Софт против железа
Чаще всего преступники охотятся за информацией. Это может быть информация о счетах в банке, данные о финансовом состоянии компании или внутренняя переписка иностранных дипломатов. Ведь цель, как правило, — это конкуренция с компаниями, организациями, государствами. Информация — главное оружие в конкурентной борьбе. Но в последние годы все чаще случается так, что взлом программного обеспечения ведет к последствиям на уровне «железа». Попав во внутреннюю сеть компании (например, через ту же многоступенчатую фишинговую рассылку), вирус может взять под контроль управление какими-то системами предприятия. И это будет в полном смысле слова диверсия. Только без взрывчатки и диверсионной группы в костюмах ниндзя.
В конце 2014 года в докладе немецкой Службы информационной безопасности был упомянут случай. Без уточнения, с кем он произошел. Известно лишь, что это крупное металлургическое предприятие. В результате хакерской атаки были заблокированы запорные клапаны на доменных печах завода. Более подробной информации об инциденте нет, но мы понимаем, что выход из строя клапанов доменных печей может привести к чему угодно, — вплоть до того, что расплавленный металл зальет цех. Немецкие спецслужбы рапортовали, что урон был «очень велик», и остается надеяться, что никто не погиб, а имущество было застраховано. В октябре 2016 года стало известно, что подобного рода атака была совершена против атомной электростанции в Германии. Поскольку нового Чернобыля в центре Европы не случилось, можно предположить, что системы безопасности сработали хорошо. Но, честно говоря, кто знает, как они сработают в следующий раз.
Украина стала уже печальным полигоном для испытания кибероружия. Не только Petya ударил по ней сильнее всего. Годом ранее страна пережила мощную хакерскую атаку, в результате которой были перебои с электроснабжением и транспортом. Атаки на системы энергетики были отмечены во множестве стран, в том числе в США и России. В конгрессе уже заговорили о почти неизбежном в будущем «цифровом Перл-Харборе», и эти настроения, может быть, слишком алармистские, все же имеют под собой основания. Потому что все больше вещей присоединяется к единой сети, расширяя фронт, на котором могут наступать виртуальные агрессоры.
Интернет всего
В 2016 году в мире, по данным Gartner, было 6,4 млрд подключенных к интернету устройств. Из них чуть меньше 2,4 млрд — устройства, принадлежащие компаниям, остальное — частные. В 2020 году подключенных устройств будет почти 21 млрд, из них 7,3 — устройства компаний. Это великие изменения. «Интернет вещей» очень сильно повлияет не только на способы взаимодействия с различными объектами, но и на бизнес-практики. При этом с самого начала было понятно, что огромное число подключенных объектов, в том числе коммерческих, промышленных, поставит вопрос о безопасности всей системы. Некоторые считали, что мы погрузимся в киберхаос, — сошедшие с ума устройства начнут охотиться за людьми, как в романах Стивена Кинга. Но на удивление долго ничего не происходило. «Интернет вещей» был очень спокойным. По крайней мере, до конца прошлого года.
Dyn — это американский провайдер интернета и хостинговая компания. Довольно большой и успешный, был в результате поглощен корпорацией Oracle за $600 млн. Он предоставлял услуги многим известным компаниям: Amazon, Airbnb, GitHub, Twitter, а также знаменитым средствам массовой информации — от CNN до BBC и от The New York Times до Fox News. Все они стали испытывать серьезнейшие проблемы с интернетом 21 октября 2016 года. Некоторые полностью ушли в офлайн. Дело в том, что Dyn подверглась массированной DDoS-атаке. Она прошла в три волны, и общее число запросов составляло десятки миллионов. Компания справилась с атакой. Работоспособность ее партнеров тоже была восстановлена. И в целом про инцидент можно было бы забыть, если бы не итог расследования, проведенного специалистами по кибербезопасности. Запросы в рамках DDoS-атаки отправляли не компьютеры и даже не смартфоны, пораженные вирусом, а принтеры, видеоняни и даже гаражные ворота.
Вирус, стоявший за атакой на Dyn и некоторыми последующими случаями, назвали Mirai. Распространители вируса сканируют пространство на предмет дистанционно подключенных к интернету приборов. Поскольку у роутеров, принтеров и прочих подобных устройств часто есть общий пароль по умолчанию (если его не меняет владелец в процессе настройки), то заразить устройство оказывается несложно. Интересно, что код Mirai опубликовали в интернете (благодаря чему распространили подобный тип атак). И анализ его показал, что Mirai умел определять IP-адреса объектов, относящихся к американскому Министерству обороны, Почтовой службе и другим ведомствам, и осознанно не пытался заразить их. Это вызвало споры: то ли американские спецслужбы испытывали кибероружие, то ли создатели вируса просто были достаточно осторожны и не хотели связываться с правительством.
Учитывая, что исходные коды даже настолько изощренных вредоносных программ теоретически доступны любому школьнику (не говоря уже о конкурентах, террористах или северокорейских хакерах, если таковые существуют), не стоит ли остановиться, пока не поздно, и прикрыть всю эту кибервакханалию с «интернетом вещей»?
В работе с киберугрозами есть два подхода: путь контроля и путь рисков. Контроль — это делать сплошь закрытые системы, ставить непроходимые фильтры и контролировать все, что можно, включая поведение собственных сотрудников. Это действительно более безопасно. Но в этом случае компания отказывается от распределенных вычислений, облачных сервисов, постоянного доступа к информации и от прочих вещей, которые составляют конкурентное преимущество нашей цифровой эпохи. Судя по тому, что даже инфраструктурные и оборонные компании все чаще идут по второму пути, киберугрозы пока не так пугают, как технологическое отставание от конкурентов. При этом все отлично понимают, что рано или поздно столкнутся с уроном от кибератак. И это риски, которые бизнес берет на себя.