В начале июня на сайты государственных органов Татарстана совершалось рекордное количество кибератак. Не открывались портал президента Татарстана, министерств, портал правовой информации. Прилег отдохнуть и сайт мэрии Казани. Пресс-секретарь президента Татарстана Лилия Галимова, комментируя кибератаки на правительственные сайты, заметила, что DDoS-атаки на ресурсы органов власти совершаются с завидной регулярностью. Кроме того, атакам подверглись сайты СМИ. Читатели KazanFirst так же могли заметить, что некоторое время наш сайт был недоступен, но все нападки удалось отразить. 

— Соответствующие службы, обеспечивающие функционирование сайтов, ведут работу, вопрос находится у них на контроле, — добавила Галимова в разговоре с журналистами.

Подобные прецеденты случались и раньше. Например, в конце мая в транспорте Казани перестала работать оплата банковскими картами. Тогда, по данным АО «Транспортная карта», была совершена DDoS-атака на инфраструктуру банка. Кондукторы громко предупреждали пассажиров, чтобы те готовили транспортные карты или наличные деньги, а в некоторых автобусах тех, у кого не было ни того, ни другого, даже высаживали.  

Если сайты взламывают, значит, это кому-нибудь нужно

Руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин заметил, что интенсивность атак на российские информационные ресурсы, в том числе объекты критической информационной инфраструктуры, действительно увеличилась. 

— С начала марта в коммерческом сегменте было зафиксировано и отражено свыше тысячи DDoS-атак. Одной из мишеней злоумышленников является банковский сегмент: зафиксировано свыше 500 атак, рост более чем в четыре раза. Однако главный вектор проведения компьютерных атак нацелен на государственные ресурсы информационной инфраструктуры, — сообщил он.

Мотивы кибератак носят разнообразный характер, объяснил Кузьмин. Некоторые хакеры ищут финансовую выгоду, кто-то заинтересован в уроне репутации атакуемого объекта, не исключен в том числе саботаж. Об этом говорят действия хакерских групп, которые публично объявили кибервойну нашей стране. Злоумышленники, как правило, преследуют цель полного выведения из строя веб-приложений, а также предпринимают попытки проведения таргетированных атак, так называемых целевых — то есть злоумышленник проникает в сеть организации для получения доступа к конфиденциальным данным. Государственные и финансовые учреждения как раз чаще всего становятся объектами целевых атак, так как у них большая база данных, которая представляет большую ценность. 

Операционный директор Group-IB в ОЭЗ «Иннополис» Ярослав Каргалев рассказал, что большинство атак, о которых в последнее время можно было узнать из СМИ, проводятся или для дестабилизации обстановки, или привлечения максимального внимания к деятельности злоумышленников. 

— Кто стоит за ними? Во-первых, хактивисты — децентрализованная группа внешне независимых хакеров, некий синтез социальной активности и хакерства, особый всплеск которого мы и наблюдаем в последнее время. Жертвами таких «активистов» могут становиться, как правило, государственные учреждения, крупный околоправительственный бизнес, СМИ, а поводом для атак всегда являются политические конфликты, массовые беспорядки и войны, — пояснил Каргалев. 

По его словам, уровень подготовки таких хакеров сравнительно невысок. Большая часть их атак не наносит какого-либо значительного ущерба, чаще всего их значимость раздувается искусственно самими инициаторами атак. 

Но иногда за такими атаками стоят прогосударственные хакерские группы, спецслужбы или военные подразделения. Их целями становятся не только государственные объекты в классическом понимании, но и объекты критической информационной инфраструктуры — энергетика, в том числе атомная, тяжелая и военная промышленность, телекоммуникации, финансовые учреждения, различные значимые социальные объекты. 

— Успешные атаки сравнимы с диверсиями — могут привести к остановкам производства,  физическому уничтожению инфраструктуры и даже к человеческим жертвам, — предупредил Каргалев.

Он заметил, что в последнее время эти два различных источника киберугроз могут объединяться общей задачей.

Аналитик Zecurion Мария Ефремова вспомнила, когда произошла утечка в Гемотесте, общество удивлялось: «Зачем кому-то знать мои анализы?», но и подобные базы тоже кому-то нужны. Она обратила внимание, что те утечки, которые попадают в СМИ, – это небольшая часть от того, что происходит на самом деле. 

— Помимо злоумышленников, которые взламывают системы, есть еще и инсайдеры – собственные сотрудники компаний, которые также занимаются сливом конфиденциальной информации. Часть таких утечек происходит случайно (человек случайно без злого умысла отправил конфиденциальные документы не туда), а часть — намеренно. И причин намеренной кражи информации может быть несколько – неприятности в компании, конфликты, подкуп конкурентов, слив баз за деньги на черном рынке, — перечислила Ефремова.

Чтобы защититься от специальных и случайных утечек внутри, компании используют системы класса DLP — они контролируют всю информацию, которая перемещается внутри периметра сети и за его пределами. Помимо этого киберграмотность людей все еще остается на низком уровне и многие компании также страдают и от фишинговых атак, когда сотрудник запускает вирус, просто открыв нежелательное письмо. Для того, чтобы избежать этого, необходимо постоянно проводить обучение сотрудников и обучать относиться к данным бережно, обратила внимание эксперт.

По словам аналитика ФГ «Финам» Леонида Делицына, основная цель противника (как, по крайней мере, ее формулируют западные СМИ) состоит не в том, чтобы нанести нам краткосрочный урон, а в том, чтобы замедлить развитие в принципе. Поэтому целью хакеров является формирование негативного восприятия работы нашего электронного правительства, создание привычки к негативной оценке этой работы. 

При этом эксперт уверен: если бы государственные порталы были плохо защищены, то было бы достаточно атаки, чтобы все перестало работать. 

— Защита от взлома, как правило, является уже не задачей разработчиков сайта, так же, как охрана здания не является задачей его строителей. Можно наказывать строителей крепости за недостаточно высокие башни и недостаточно толстые крепостные стены, но если атакующие применят дроны-камикадзе, то каменщики ничего не смогут с этим поделать, — пояснил Делицын. — Новые способы атак разрабатываются постоянно, и даже собственного департамента IТ-безопасности может быть недостаточно. К примеру, Центробанк РФ рекомендовал средним и небольшим банкам нанимать для защиты специализированные сертифицированные компании сферы кибербезопасности. Радикальным решением были бы альтернативные протоколы глобальных сетей. Но такое решение будет еще дороже.

Кибератаки будут значительно увеличивать издержки на поддержание работоспособности электронного правительства. В этом их цель – сделать работу электронного правительства дорогой и низкокачественной. Рассказывая о мотивах киберпреступников, Делицын привел в пример город времен Гражданской войны, по которому снуют банды, совершающие налеты на банки, суды и правительственные учреждения. 

Какие данные крадут хакеры? 

Кроме сайтов правительства страдают и обычные граждане. Практически каждый день в новостях мелькают заметки о данных пользователей очередного сервиса, клиентами которого были тысячи, а то и десятки тысяч людей. Так, в сеть утекли данные пользователей агрегатора доставки еды Delivery Club, школы программирования GeekBrains, школы управления «Сколково» и многих других. 

— Кибервойна, объявленная нашей стране, проходит по всем фронтам: взлом публичных сервисов и компаний, громкие утечки в РФ, в том числе под удар попадают и персональные данные наших граждан. При этом это было и по-прежнему остается прибыльной деятельностью. В даркнете продаются и покупаются подобные украденные базы, — сказал директор департамента продвижения собственных продуктов ГК Innostage Илья Петров. 

Он напомнил, что помимо безобидных сведений, например, о том, сколько еды заказал человек в месяц, достоянием общественности может стать, к примеру, адрес проживания, в том числе временного, что уже само по себе наносит большой удар по приватности и неприкосновенности частной жизни. Наиболее опасные последствия кроются в применении «слитых» данных для планирования целевых мошеннических атак и фрода (телефонных мошенничеств). Злоумышленник, выдавая себя, например, за сотрудника банка, обладая всеми вашими данными, может повысить доверие к себе, принудить скомпрометировать данные ваших платежных карт и впоследствии вывести с них деньги.

Недавно Group-IB исследовала около полусотни баз данных российских компаний, выложенных в даркнете в мае и начале июня. Аналитики компании обнаружили интересную закономерность. Если раньше многие крупные утечки баз данных, выставленных на продажу, оказывались компиляцией старых баз или агрегацией нескольких баз из открытых источников, то в последнее время на хакерских форумах публикуются актуальные и весьма информативные базы данных популярных сервисов, которые бесплатно выкладываются в паблик, — мотив у злоумышленников не столько заработать, сколько нанести как можно более серьезный ущерб компаниям.  

— По нашему мнению, кроме очевидных причин утечек — действия инсайдеров и увеличения количества кибератак после 24 февраля, проблема такого огромного числа инцидентов — в недостаточной защищенности цифровых активов и в отсутствии адекватной ответственности за утечку на законодательном уровне перед своими клиентами. Сегодня компании проще заплатить несущественный штраф за утечку, а не вкладывать средства защиты на ее предотвращение, — сказал Ярослав Каргалев. 

В чем угроза? Обнаружив доступную базу данных, злоумышленники могут украсть конфиденциальную информацию или использовать ее как точку входа для дальнейшего продвижения по сети. А персональные данные могут быть использованы в дальнейших кибератаках и в мошеннических схемах.

Как обезопасить себя?

Каргалев посоветовал в независимости от того, оказались ли сейчас ваши персональные данные в списке слитой базы или нет, принять такую мысль, что ваши данные рано или поздно могут оказаться в руках мошенников, поэтому необходимо всегда проявлять осторожность при работе в интернете и оставаться начеку. 

Главные рекомендации, как защитить себя, будут заключаться в правильном разграничении и контроле данных, которые вы используете в интернете:

— У вас есть основная банковская карта, чаще всего она же и зарплатная, — не используйте ее при совершении покупок в интернете, заведите для этих целей отдельную карту, например, виртуальную, с лимитом на покупки. 

— У вас есть электронный почтовый адрес, чаще всего он используется при регистрации в соцсетях и других значимых для вас сервисах, — не используйте его при регистрациях на сомнительных ресурсах, заведите отдельный почтовик для не важных для вас сервисов.

— Не используйте одинаковые и простые пароли и даже не пытайтесь держать их в голове. Заведите для этих целей менеджер паролей и там их храните. 

— Везде, где это возможно, активируйте двухфакторную аутентификацию, например, по СМС или push-уведомлению, а еще лучше воспользуйтесь отдельным приложением для одноразовых паролей. В случае, если сервис, который вы активно используете или только регистрируетесь, не предоставляет возможность применения второго фактора защиты, откажитесь от этого сервиса и посмотрите в сторону альтернативных (но официальных) вариантов, которые озадачились безопасностью вашей учетной записи.

Илья Петров из ГК Innostage констатировал — рядовой пользователь ни на что не может повлиять. Доверяя свои данные сервису, он должен принимать на себя риск, что с ними может что-то случиться. Однако за систематическое пренебрежительное отношение к своим данным пользователь вполне может наказать рублем. Компании и сервисы, не способные надлежащим образом защитить данные, будут терять клиентов.

— Однако кое-что все же может сделать и рядовой пользователь. Мы живем в цифровом мире, поэтому нужно быть готовым к цифровым атакам, — предупредил Петров. — Повышение цифровой грамотности для всех пользователей — это то, что поможет защитить себя в первую очередь. 

Он призывает быть готовым к тому, что в любой момент могут позвонить мошенники, и всегда помнить о том, что незнакомый человек на другом конце провода может быть не тем, за кого себя выдает. Должен работать принцип «доверяй, но проверяй»: нужно связываться с компанией только по официальным каналам. То же самое касается СМС-сообщений и электронной почты — нельзя бездумно переходить по ссылкам и вводить данные банковской карты в подозрительной форме. В наше время вы всегда должны находиться в режиме повышенной готовности, подчеркнул Петров.

— Когда вы узнали об утечке ваших данных в сеть, нужно разобраться, что это за данные. Предположим, хакеры взломали интернет-магазин и украли вашу платежную информацию. В таком случае желательно незамедлительно заблокировать банковскую карту и перевыпустить новую, — объяснил порядок действий эксперт. — Важно это делать самостоятельно, по личному обращению в службу поддержки банка. Ведь не исключен сценарий, когда после утечки данных вам будет звонить мошенник и предлагать перевыпустить банковскую карту. Если речь идет об утечке номера телефона, почты или адреса проживания, вспоминаем про тотальную цифровую грамотность и настороженно относимся ко всем входящим обращениям. Очень часто встречается ситуация, что пользователь не знает, что его данные кем-то украдены или они вообще есть у какого-то сервиса. Чтобы обезопасить себя, мы советуем навести порядок в своей цифровой активности.

Киберполигон для этичных хакеров

Согласно данным МВД только за 2021 год в Татарстане было совершено более 17 тысяч цифровых преступлений. Причем 9 тысяч — дистанционное мошенничество, а кражи с банковских счетов составили 6 тысяч. Отмечались инциденты и на объектах критической информационной инфраструктуры. На ресурсы правительственного центра обработки данных совершалось 72 тысячи хакерских нападений. 

В начале 2022 года министр цифровизации Татарстана Айрат Хайруллин анонсировал создание киберполигона для отработки киберугроз. Базироваться он будет на территории нового IТ-парка «Спартак». 

В республике работает множество крупнейших предприятий — это заводы нефтеперерабатывающего, химического и энергетического сектора, которые могут быть атакованы иностранными службами в целях нанести критический ущерб и остановить производство. Для того, чтобы проверить готовность к таким атакам, и создается киберполигон, на котором будут работать этичные хакеры — специалисты, которые будут тестировать защищенность системы с точки зрения потенциального злоумышленника. 

Задача киберполигона — подготовка к эффективному реагированию на инциденты информационной безопасности в рамках практических тренингов специалистов по кибербезопасности и проверке средств и подходов к защите от атак.  

Ярослав Каргалев подчеркнул: чтобы киберполигон был эффективен и полезен, на нем нужно отрабатывать ситуации по предотвращению и реагированию на актуальные киберугрозы, то есть имитировать тактики и техники, которые применяются реальными киберпреступниками и прогосударственными атакующими, «здесь и сейчас» и с учетом прогноза на будущее. 

— Также хотелось бы добавить, что оценивать киберполигон необходимо не количественным показателем «как много» киберугроз будет эмулироваться, а качеством экспертизы в расследовании киберпреступлений организацией, разрабатывающей задачи, — резюмировал эксперт.