Согласно данным МВД, в 2021 году в Татарстане было совершено более 17 тысяч цифровых преступлений. Только 9 тысяч из них — дистанционные мошенничества, а кражи с банковских счетов составили почти 6 тысяч. Отмечались инциденты и на объектах критической информационной инфраструктуры. На ресурсы правительственного ЦОДа совершалось 72 тысячи хакерских нападений. Как показывает практика, атаки на цифровые системы продолжают происходить, но чтобы не произошло утечек баз данных и приостановки производства, необходимо постоянно повышать уровень информационной безопасности.

В Татарстане работает множество крупнейших предприятий — это заводы нефтеперерабатывающего, химического и энергетического сектора, которые могут быть атакованы иностранными службами в целях нанести критический ущерб и остановить производство. Для того, чтобы проверить готовность предприятий к таким атакам, и создается киберполигон, на котором работают этичные хакеры — специалисты, которые проверяют защищенность системы с точки зрения потенциального злоумышленника, фактически действуют как та самая иностранная спецслужба и пытаются сломать систему. 

Полигон от защиты хакеров

Как объяснил в разговоре с журналистом KazanFirst руководитель направления сервисов киберзащиты ГК Innostage Владимир Дмитриев, киберполигон — это цифровой двойник реального объекта со своей действующей системой, но без прямого подключения к критичному производству. Цифровой двойник снабжен системой защиты и мониторинга, в точности повторяющей реальную. 

— Когда мы приходим на реальное производство, никто, разумеется, не даст нам дойти до конца. Даже если мы сломали периметр и зашли в систему, никто не позволит нам нажать на кнопку и перекрыть вентиль. Тут возникает вопрос: настолько ли эта угроза важна? — рассказал Дмитриев. — Может быть, там сработают дополнительные механизмы защиты, может, там есть другие вентили и механизмы сброса, которые помогут предотвратить эту угрозу. 

Нельзя тренироваться на большом предприятии, где идут безостановочные процессы, — это попросту опасно. Приостановка работы — это еще самое малое, на что способны хакеры. Они способны запускать механизмы, которые могут привести к настоящему взрыву. Поэтому и нужен цифровой двойник, на котором все этапы взлома можно пройти до конца и нажать красную кнопку или перекрыть вентиль. Но, в отличие от тренировки на реальном производстве, ничего непоправимого не произойдет.

Помимо отработки киберугроз, на учениях присутствуют представители государственных компаний, которые отвечают за информационную безопасность. Этичные хакеры показывают, как взламывают систему, а специалисты используют это в своей работе — придумывают новые изощренные способы ее защиты.

Дмитриев сравнил отработку атак злоумышленников с заносами на дороге.

— Можно прочитать много книг или посмотреть много роликов о том, как выходить из заносов, но если мы этого не сделаем сами, мы этому не научимся, — объяснил собеседник. — А как мы обычно учимся? Идем в школу экстремального вождения, там нас ведут на специальную арену, и уже тогда мы отрабатываем навыки вождения. Для этого и нужен киберполигон — чтобы дойти до конца и допроверить то, что мы не можем сделать в реальной жизни. 

Дмитриев заметил, что Татарстан занимает лидирующие позиции с точки зрения цифровизации. Новые цифровые платформы внедряются на государственном уровне, многие из них появляются на крупных предприятиях. По мнению эксперта, Татарастан как ведущий цифровой регион нуждается в киберполигоне не только ради того, чтобы отработать риски и устойчивость предприятий в плане безопасности, но и ради межрегионального сотрудничества.

— Мы хотим построить на базе республики некое комьюнити, чтобы другие регионы приходили к нам и получали тот же опыт, — делится планами собеседник. — Мы готовы стать центром компетенции не только на базе республики, но и на базе Приволжского федерального округа и страны. 

Пользователь создаёт цифрового двойника

Только за последние полгода в СМИ неоднократно мелькали новости об утечках данных с Госуслуг. Мы спросили о них руководителя центра кибербезопасности CyberArt Антона Кузьмина — он заверил нас, что использования «утекших» данных в корыстных целях можно не бояться, поскольку информация давно устарела и перестала быть актуальной. 

Если приводить в пример не Госуслуги, а другой абстрактный сайт, откуда может произойти утечка данных, то это может нести для пользователя неприятные последствия в виде подделки цифрового профиля.

— Все, что вы публикуете в интернете, формирует вашего цифрового двойника, — сказал Кузьмин. — Чем больше данных вы отдаете, тем точнее копия вашего двойника. С учетом новых регуляторных технологий, в том числе с появлением биометрических данных, стало возможно заказывать услуги с помощью голоса, видео и какого-то подтверждения. Соответственно, если все эти ваши данные будут в руках злоумышленников, они могут на вас оформить кредиты, государственные услуги. 

Но есть одно но: нужно собрать абсолютно все данные, начиная от паспортных и заканчивая образцами голоса и изображениями лица. На данный момент весь объем данных, необходимых для формирования полноценного цифрового двойника, сейчас не хранится ни в одной системе. В аккаунте Госуслуг не хранятся биометрические данные — они ограничены той информацией, которую пользователь туда внес. С точки зрения Кузьмина, сайт находится на хорошем счету по кибербезопасности.

— С одной стороны, они являются лакомым куском для атак, но, с другой стороны, за счет того, что они ввели дополнительный фактор аутентификации и факторы подтверждения, в этом плане они на достаточно хорошем уровне, — рассуждал Кузьмин.

Он напомнил, что обязательства по контролю обеспечения безопасности контролируются Федеральным законом № 152 «О персональных данных».

Некоторые государственные услуги можно получить только при предоставлении личных данных (паспортные данные, СНИЛС, номер полиса и т.д). Чтобы обезопасить себя, Кузьмин советует удалять эти данные после получения услуги. Он напомнил об основах цифровой гигиены. Эти правила предписывают не публиковать в интернете сканы документов, фотографии с отметкой геопозиции, использовать сложные пароли и не использовать одни и те же пароли на разных сайтах. 

— Всегда нужно понимать, что вы публикуете и для чего. Подумайте, хранить на Госуслугах данные СНИЛС вам жизненно необходимо? Просто получите услугу и после этого удалите оттуда эти данные. Тогда в случае взлома ваши данные никуда не утекут, — рекомендовал Кузьмин.

Защита данных — ваше дело

Говоря о банковских экосистемах, нужно еще раз повторить, что не стоит бездумно делиться своими данными, потому что всегда есть вероятность, что вас взломают не через мобильное ДБО (дистанционно банковское обслуживание. — Ред.), а через какое-либо другое приложение. 

Кузьмин объяснил, что в банковской сфере есть три регулятора, которые контролируют состояние безопасности. Это Центробанк, Федеральная служба по техническому и экспортному контролю и Роскомнадзор, которые контролируют сохранность персональных данных. 

— И за счет того, что все три регулятора довольно разные (по уровню зрелости, информационной безопасности), все банки находятся на достаточно высоком уровне в плане защиты данных и финансовых операций, — заявил Кузьмин.

Но это не относится к экосистемам — им по остаточному принципу может просто не достаться финансирования на достойную систему охраны данных. Поэтому доверять им безоговорочно нельзя.

Вероятно, каждый хоть раз в жизни видел уведомление «наш сайт использует cookies» и кнопку «принять», не нажав которую зачастую невозможно пользоваться платформой. Что же такое файлы кукис? Это временные файлы, в которых хранятся данные о вашем устройстве, которое вы используете на данный момент. Компьютер передает сайту данные о местоположении, языке, сохраняет информацию о действиях на сайте (например, товары, добавленные в корзину). 

— Если вы не вводите персональные данные, используете разные пароли на разных сайтах и используете сложные пароли, авторизуетесь под уникальным паролем, злоумышленники не смогут перехватить ваши данные с этого сайта и использовать их для взлома остальных ваших аккаунтов. Каждый ресурс должен иметь уникальную учетную запись. Это парадигма, к которой детей нужно приучать с детства, — настаивает Кузьмин. 

Выходит, что если вы используете один и тот же логин и пароль на всех сайтах в интернете, с вероятностью 99,9% где-то он утечет. То же самое относится к вводу персональных данных, данных о картах в первую очередь на ресурсах, которые не проверены. В целом Кузьмин рекомендует придерживаться политики zero trust — относиться ко всем ресурсам как к непроверенным и трижды думать, прежде чем вводить на сайте свои данные.

Атаки происходят практически на ежедневной основе, так или иначе утекают данные пользователей из крупных корпоративных компаний, историями о том, что с очередного пользовательского ресурса утекли очередные данные, никого не удивишь. В основном все компьютерные атаки совершаются либо по ошибке администратора или эксплуатирующей команды, либо по вине неправильно выстроенной инфраструктуры, позволяющей при появлении новой уязвимости сразу дойти до конечной системы, которая является целью для атаки.

Нам удобно, но есть риск

От слива данных гарантированно никто не защищен, напомнил директор филиала Киберпротект в ОЭЗ «Иннополис» Алмаз Валиуллин. Но все же у компаний, которые выстраивают свои системы и процессы с учетом этой угрозы, шансов защититься гораздо больше. И поэтому регуляторы сегодня пытаются мотивировать компании выстраивать систему защиты персональных данных через ФЗ-152 о персональных данных. Однако ответственность оператора персональных данных зачастую остается символической, и здесь есть потенциал для усиления этого закона.

— Вторая сторона вопроса, на мой взгляд, более интересна – как распоряжается оператор персональными данными и передает ли он их третьим лицам, — рассуждал Валиуллин. — И здесь в действительности возникает дилемма. С одной стороны, нам самим удобно — данные передаются автоматически и нам не приходится каждый раз заново вводить свои данные при обращении за услугой. С другой стороны, возникает риск, что если оператор будет бесконтрольно распоряжаться вашими данными, то они могут попасть и тем, кому мы не хотели бы их передавать. 

В этом вопросе сегодня основные усилия регуляторов во всем мире направлены на то, чтобы у нас с вами появилась возможность самим решать, кому наши данные могут быть переданы, а также отозвать ранее данное право.

— Именно на этот аспект делает акцент регламент GDPR в Европе. В России на государственном уровне с учетом этих принципов строится Цифровой профиль гражданина. Главной его особенностью будет то, что для передачи наших данных банку, в котором вы, например, хотите взять кредит, потребуется ваше явное согласие на передачу этих данных в рамках информационной системы, — резюмировал эксперт.