Семь киберугроз, которые подстерегают компании в кризис
Утечки
В одной из столичных компаний лишились ценного проекта: уходя, сотрудник удалил на рабочем компьютере свою учетную запись в Dropbox — облачном сервисе, на котором хранились все его разработки. Так случается часто. 37% сотрудников российских компаний, опрошенных в 2014 году порталом НeadНunter.ru, копировали и уносили собственные наработки, 19% забирали уникальные методики и разработки, созданные в команде, 11% — базы клиентов и контакты партнеров, 6% — результаты труда коллег, 3% — конфиденциальные сведения о компании.
В кризис, когда в компаниях происходят массовые сокращения, количество утечек данных будет только расти, считает Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch. Он вспоминает 2008 год, когда аналитический центр InfoWatch зафиксировал рост утечек с 29% до 45% по сравнению с предыдущим годом. Основных причин воровства информации несколько, замечает Прозоров: это может быть «козырь» для трудоустройства на новом месте, «слив» информации конкурентам за вознаграждение или шантаж работодателя с целью получения бонусов при увольнении.
Одна из самых востребованных в Москве вакансий — менеджер по продажам со своей клиентской базой, замечает Олег Седов, редактор ассоциации по вопросам защиты информации BISA. Некоторых сотрудников переманивают только из-за того, что они приносят с собой какую-то ценную информацию от конкурентов, говорит эксперт.
Рецепт борьбы с утечками довольно прост и эффективен: минимизация прав доступа, регламентирование обработки и защиты конфиденциальной информации, реализация режима защиты коммерческой тайны, использование специализированных систем контроля и мониторинга пересылаемой и хранимой информации (DLP-системы), напоминает Прозоров.
Если сотрудников демотивировать и притеснять, никакая DLP не поможет — всегда найдутся хитрые способы украсть корпоративную информацию для обогащения или просто из мести, считает Илья Колошенко, генеральный директор швейцарской компании High-Tech Bridge. По его мнению, часто стоимость внедрения и поддержки DLP обходится дороже, чем поддержание комфортных условий работы в компании.
В России встречаются и особые правила игры. В одной из московских фирм, специализирующейся на установке пультовой охраны, система DLP не помогала: увольняясь, топ-менеджеры уносили с собой клиентские базы и документы. «Начальником службы безопасности у нас стал чемпион СССР по регби, и его методы работы были в стиле 90-х — он любил поговорить по душам вне офиса. Это вроде сработало», — рассказывает сотрудник этой фирмы.
Информационные атаки
«Банки СКБ и УБРиР прекращают свою работу! У кого там имеются средства — снимайте немедля!» — написал один из пользователей сети «ВКонтакте» в сентябре 2014 года. Так началась информационная атака на уральские банки — СКБ-банк, Уральский банк реконструкции и развития (УБРиР), ВУЗ-банк и «Нейва». На острие атаки находились соцсети — именно там появились призывы снимать наличность и открывать расчетные счета в других банках.
Из онлайна паника перекинулась в офлайн: у банкоматов и банковских касс растянулись очереди. Уральское отделение Банка России даже вынуждено было выступить со специальным заявлением: распространяется ложная информация, лицензии отзывать не планируют. Представители пострадавших банков не исключили, что «лодку раскачивают» конкуренты: незадолго до этих событий ЦБ отозвал лицензию у ОАО «Банк24.ру» и за клиентскую базу организации — около 35 000 действующих расчетных счетов — развернулась ожесточенная борьба.
«Такие атаки заранее спланированы и хорошо подготовлены: слухи появляются, например, в пятницу вечером, когда службы безопасности разошлись по домам, а в субботу все уже стоят на ушах и развозят по банкоматам наличку на КамАЗах, чтобы сбить панику», — говорит Андрей Масалович, бывший подполковник ФАПСи, создатель информационно-аналитической системы Avalanche. По его словам, служба безопасности и маркетологи банка фиксируют уже развитие атаки, хотя существует возможность выявлять ее зарождение на стадии появления в соцсетях, на форумах, в СМИ и заранее ее нейтрализовывать. Иначе банк ждут большие неприятности — после аналогичной атаки в кризисный 2008-й банк «Северная казна» столкнулся с дефицитом ликвидности.
DDoS-атаки
DDоS-атаки — отказ в обслуживании из-за перегрузки системы — сопровождали все значимые события 2014 года: Олимпиаду в Сочи, переворот в Киеве и войну на юго-востоке Украины, гибель малайзийского «Боинга». Но в период кризиса из-за обострения конкурентной борьбы становится больше коммерческих заказов на DDoS, уверяют эксперты компании Qrator Labs. Согласно их отчету, в 2014 году число атак мощнее 10 Gbps выросло в 3 раза, с 47 до 155 (данные на 1ноября 2014 года), то есть такие атаки фиксируются в среднем через день. Атаки мощнее 100 Gbps происходят в среднем еженедельно, их число выросло в 11 раз, с 7 до 76 за год. Атакуют не только СМИ, но и крупные компании финансового сектора — платежные системы, банки, Forex и их аналоги, интернет-магазины.
Почему атаки становятся массовыми? «Инструменты, реализующие Volumetric-атаки (адресный инструмент против крупных целей), доступные раньше отдельным группам, вышли на массовый «хакерский рынок», — говорит Александр Лямин, руководитель Qrator Labs. Кроме того, услуги дешевеют — стоимость одной такой атаки снизилась до $10-50 в сутки за 1 ГБ полосу.
В конце года хакеры атаковали online-аукцион, на котором выставляются госзаказы. «Некая компания «Ромашка» делает ставку, что выполнит заказ за 800 млн рублей, и в этот момент начинается DDoS-атака на торговую площадку, так что остальные участники торгов не могут сделать свою ставку, — и формально выигрывает «Ромашка». Торги идут три раза в неделю — каждую торговую сессию возникает DDoS-атака, — говорит Игорь Ляпунов, директор центра информационной безопасности компании «Инфосистемы Джет». — Инструменты для кибератак доступны — короткий 15-минутный DDoS стоит $300».
«Такого рода угрозы, точнее готовность к их отражению, лучше всего характеризуют состояние службы информационной безопасности в организации», — считает Михаил Савельев, директор Учебного центра «Информзащита». Олег Седов, главный редактор BISA, замечает, что за вчерашними «озорниками», развлекавшимися атаками на сайты, теперь стоит преступное сообщество. В банках знают, что если идет DDoS-атака, то, скорее всего, кто-то отвлекает внимание и подчищает следы иной более серьезной преступной активности.
Случаев, когда организаторов DDоS-атаки доводят до суда, единицы. Одно из них — дело основателя Chronopay Павла Врублевского, которого вместе с двумя питерскими хакерами осудили за DDоS-атаку на процессинговую компанию Assist, обслуживавшую платежи клиентов «Аэрофлота».
Целевые атаки, промышленный шпионаж
Подаренная на Новый год беспроводная клавиатура может оказаться не милым презентом, а скрытым кибероружием, с помощью которого начинается целевая атака на компанию. Секрет в том, что передатчик в клавиатуре переделан на выдачу мощности сигнала не на штатные 10-15 метров, а на 300 метров. «В итоге всего-то за 3000 рублей — цена такого девайса, — в информационную систему компании можно проникнуть из ближайшего к офису кафе», — говорит Михаил Савельев, директор учебного центра «Информзащита».
Основными мишенями целевых кибератак остаются государственный и финансовый сектор, а мотивом нападения — промышленный шпионаж или кража денег. «В ход идут все средства: и социальная инженерия, и откровенный шпионаж, и подкуп, шантаж сотрудников, — замечает Савельев. — Могут быть и установленные «жучки», и внедренное программное обеспечение, которое будет собирать важную для нас информацию или выполнять нужные действия». Например, случайно найденная возле офиса флешка с «отчетом» компании-конкурента установит на компьютер вирус, который будет собирать и отправлять хозяевам информацию из компьютера из внутренней системы жертвы.
В прошлом году в госсекторе хакеров интересовали ФГУП «Главный центр спецсвязи», ФГУП «Строительное объединение управделами президента», департамент здравоохранения Москвы. Самой изощренной атаке подверглась администрация республики Башкортостан. Для попадания в корпоративную сеть и кражи финансовой информации использовался банковский троян — вредоносная программа была установлена на 5 компьютерах чиновников.
Даже самые высокопрофессиональные хакерские группировки, работающие на правительства или бизнес, сначала ищут легкие пути взлома, замечает гендиректор компании High-Tech Bridge Илья Колошенко. Сейчас «чумой» являются уязвимые веб-приложения и сайты — их безопасности практически никто не уделяет внимания, а их взлом приводит к взлому внутренней сети компании. Все чаще хакеры атакуют не жертву на прямую, а одного из поставщиков ПО, клиентов или партнеров жертвы: они имеют доступ к необходимым данным, но при этом в десятки раз хуже защищены.
Противостоять атакам можно лишь путем «повышения осведомленности пользователей информационных систем», предупреждает Савельев: не кликать на подозрительные ссылки, не открывать сомнительные письма и сообщения, не оставлять без присмотра корпоративные компьютеры и по минимуму выдавать информацию о себе в социальных сетях. Не повредят и «боевые учения» — offensive security (агрессивная защита информации), то есть поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак.
Кражи у банков и их клиентов
Вечером 24 июня 2014 года служащий одного из российских банков получил на корпоративную почту письмо за подписью службы поддержки Центробанка. В нем был вложенный файл и приписка, что в соответствии с федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» всем сотрудникам кредитных и финансовых организаций необходимо ознакомиться с вложенным документом. Никаких подозрений письмо, присланное с адреса «support@cbr.msk.ru», у получателя не вызвало, и сотрудник распаковал файл. Спустя несколько недель со счета банка была списана крупная сумма.
Это один из примеров того, как киберпреступники из группы Anunak заражали банковские компьютеры одноименным трояном и получали доступ к информации. Среднее время от попадания в сеть финансовой организации до вывода средств составляло 42 дня, говорится в отчете Group-IB, специализирующейся на предотвращении и расследовании компьютерных преступлений. В среднем группа Anunak выводила около $2 млн, всего за неполных два года преступникам удалось похитить около 1 млрд рублей — мишенью хакеров стали около 50 банков и пять платежных систем в России и на территории СНГ.
Всего же, согласно отчету Group-IB за 2014 год, в России было зафиксировано около 35 целенаправленных атак на банки. Кроме них, нападениям подверглись «Сколково-Нанотех» и «Тройка Венчур Кэпитал», в платежей системе «Киви» было похищено 80 млн рублей.
«Целевых атак на банки будет больше, и они будут успешнее, история с Anunak показывает новый тренд — киберпреступники чаще будут нападать не на клиентов банков, а на сами финансово-кредитные учреждения», — замечает Илья Сачков, глава Group-IB. Кроме того, по его прогнозам, вырастет количество хищений в онлайн-банкинге на мобильных платформах.
Внутреннее воровство и вредительство
Более 50% случаев корпоративных злоупотреблений и мошенничеств в России приходится на долю топ-менеджмента, говорится в отчете Association of Certified Fraud Examiner и PwC. Расхищается не менее 45% вложенных в бизнес-процессы активов, а 10% топ-мошенников входят в составы советов директоров своих компаний. В кризис аппетиты только растут: работодатели сокращают премии, бонусы, а порой и зарплаты, а банки индексируют выплаты по кредитам в соответствии с ростом курса валют.
На волне кризиса 2008 года сисадмин одной из столичных строительных компаний украл с ее счета 9 млн рублей. Выяснилось это быстро — в офис приехали детективы Group-IB и их руководитель Илья Сачков, случайно заглянув в один из ноутбуков, увидел письмо в Outlook: владелец ноутбука, местный сисадмин, недавно обналичил похищенные в компании деньги.
Кражи покрупнее редко совершаются в одиночку: топ-менеджеру требуются помощники-соучастники. Вскрывать такие синдикаты лучше удается «оперативными» методами, но информационная безопасность тут тоже может помочь. «Используя системы корреляции событий с разных систем — почты, СКУД, телефонии и т.п., — мы можем выявлять устойчивые связи сотрудников, устойчивые цепочки событий (например, отгрузка товара одному из клиентов осуществляется только после созвона ряда менеджеров), видеть нелогичные связи между сотрудниками подразделений», — говорит Михаил Савельев, глава учебного центра «Информзащита».
Не стоит забывать и о внутреннем вредительстве, предупреждают эксперты компании Cisco. При увольнении некоторые сотрудники могут не только унести с собой ценную информацию, но и нанести ущерб работодателю: вывести из строя какие-либо элементы инфраструктуры или установить вредоносные закладки в программное обеспечение.
Прорехи в обороне
В кризис компании начинают экономить: ожидается урезание не только бюджетов на информационную безопасность, но и сокращение профильных специалистов. «Если в 2013 и 2014 годах компании, входящие в неформальные списки очень защищенных, почти все были успешно атакованы и потеряли деньги, что говорить о 2015-м, когда новых решений компании не покупают, специалистов сократили, а потребность в деньгах у преступников и нечестных людей возросла?» — недоумевает Илья Сачков, глава Group-IB.
Даже в тяжелое кризисное время он советует сосредоточиться на обучении и сервисах, которые могут предсказать развитие какой-либо атаки. Проблемой, которая привела ко многим успешным хищениям в 2014 году, стало отсутствие у многих служб безопасности понимания, что делать, если заражение обнаружено. «Должны выстраиваться профессиональные процессы реагирования и локализации инцидента, но в большинстве организаций реагирование сводится к антивирусной зачистке. При этом в 86% хищений на компьютере стоит антивирусное ПО», — замечает глава Group-IB.
«Среди «безопасников» встречается порой феерическая неграмотность, — подтверждает Игорь Ляпунов, директор центра информационной безопасности компании «Инфосистемы Джет». — Для некоторых безопасность упирается лишь в выполнение нормативных требований, сертификации средств защиты, а мира киберопасности для них как бы не существует: мы в телескоп смотрели, но инопланетян не видели».