№5(64)(2017)

Согласно официальным данным, число преступлений в украинской сфере интернет-коммуникаций – хакерские атаки, финансовые махинации и обыкновенное мошенничество, основанное на низкой компьютерной образованности пользователей, растет с каждым годом. В прошлом году на 7 % увеличилось количество зарегистрированных преступлений в области информационной безопасности и безопасности компьютерных систем, а также постоянно растет их уровень общественной угрозы, сообщил Департамент киберполиции Национальной полиции Украины.

Наибольший удельный вес (56 % от всех зарегистрированных преступлений в этой сфере) составляют действия, связанные с несанкционированным вмешательством в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи, что приводит к утечке, потере, подделке, блокированию информации. На втором месте – несанкционированные действия с информацией, совершенные лицом, имеющим право доступа к ней (37 %).

Особо распространенные преступления в сфере кибербезопасности подразделяют на два типа. Первый нацелен на завладение денежными средствами, которые находятся на банковских счетах, платежных карточках, электронных кошельках. Второй тип – на уничтожение данных или вывод из строя компьютерных систем и интернет-ресурсов.

Также к таким преступлениям относят кибертерроризм, угрозу физической расправы (если она передана по электронной почте), киберпреследование, киберсталкинг (противоправное сексуальное домогательство и преследования другого лица через Интернет), кибершпионаж, распространение в Интернете детской порнографии, спама и вирусных программ.

О размерах финансового ущерба поступают обрывочные сведения, не позволяющие сложить целостную картину, т. к. многие структуры, подвергшиеся кибернападениям, заинтересованы в неразглашении информации. Так, в одном из последних интервью начальник департамента безопасности «МТС Украина» Дмитрий Винцевич утверждает: «Самым ярким примером последних лет стала «работа» группы из пяти молодых людей возрастом 27–37 лет, которая за 2,5 года нанесла ущерб операторам «МТС Украина» и Life:) на сумму порядка 15 млн гривен»… А по данным главы украинской киберполиции Сергея Демедюка, ущерб от киберпреступлений в Украине за восемь месяцев прошлого года составил около 27 млн грн (в 2014-м – 39 млн, в 2015-м – 10 млн). По его словам, самое популярное (60 % всех инцидентов) преступление – «продажа» несуществующих товаров через интернет-магазины, когда деньги переводятся, а товар не высылается. По данным Нацполиции, при раскрываемости 50 % преступлений реальные сроки за кибермошенничество в Украине получили единицы.

8–9 июня в Киеве пройдет международная конференция на тему «Внутренний контроль, вопросы борьбы с коррупцией и мошенничеством». Организатор – Институт внутренних аудиторов Украины – уже не первый год популяризирует такие актуальные вопросы, как кибербезопасность государственных и частных предприятий, борьба с хакерством, новые технологии и практики по защите информации.

Среди приглашенных докладчиков – эксперты из Италии, Кипра, Австрии, Португалии, Турции, Великобритании, Польши, Словении, России, Армении и Грузии, представители центробанков этих стран, производственных ассоциаций, инвестиционных и страховых компаний, руководители служб безопасности, риск-менеджеры, специалисты по предотвращению мошенничества, аудиторы.

Один из участников конференции – гость из Армении Комитас Степанян – любезно согласился ответить на вопросы «Независимого АУДИТОРА». Господин Комитас окончил Ереванский государственный университет, получив специальность физика-лазерщика. Начинал карьеру в ереванском филиале американской ИT-компании в качестве инженера волоконно-оптической связи. В 2005-м был приглашен в Центральный банк Республики Армения как специалист по информационной безопасности. С 2007 г. руководил отделом ИT-аудита банка. В 2012 году проходил обучение в Школе права и дипломатии Флетчера (США) по программе «Государственная политика и государственное управление» (направлена на развитие госорганов Армении, спонсируется американцем армянского происхождения). Сегодня – замначальника департамента внутреннего аудита Центробанка.

Уважаемый г-н Комитас, позвольте ознакомить Вас с одним из последних сообщений на тему «Киберпреступность в Украине». Сайт «Лига» от 21.02.17 информирует: «Международная компания в сфере безопасности CyberX обнаружила следы проведения широкомасштабной операции по кибершпионажу в Украине. Эту операцию назвали BugDrop. Используется программа, которая может дистанционно записывать разговоры в украинских организациях и компаниях с помощью вмонтированных в ноутбуки и прочие гаджеты микрофонов. Технический директор CyberX Нилл Гиллер говорит о 70 жертвах, включая критически важные объекты инфраструктуры, средства массовой информации и научно-исследовательские институты. Злоумышленники стремятся завладеть разного рода конфиденциальной информацией: аудиозаписями разговоров, снимками экрана (скриншотами), документами и паролями, сохраненными в браузере. По мнению CyberX, цели атаки – компании, разрабатывающие системы дистанционного мониторинга для инфраструктур нефте- и газотранспорта, международные организации по правам человека, борьбы с терроризмом, научные институты и редакторы украинских газет».

То есть речь идет о том, что шпионом может стать твой личный ноут. Некий вирус активизирует его камеры, микрофоны и записывающие устройства. Признаюсь, лично я не вполне доверяю подобным сообщениям, полагая, что множество киберугроз раздуваются как раз для пущей значительности «бизнеса а-ля Касперский» и привлечения финансов на бессмысленные мероприятия.

Ведь в целом общественность живет с ощущением, что мобильные операторы, банки, крупные финансовые корпорации противостоят поползновениям киберпреступников весьма успешно, поскольку сообщений о серьезных или массовых «кидках» абонентов и пользователей, о воровстве средств с мобильных телефонов не так уж и много. Вы готовы разделить это мнение?

Нет, я с вами не соглашусь. Здесь надо понимать, что далеко не все банки и финансовые организации станут обнародовать информацию о проникновениях в их сети, о взломах и кражах. Если рассказать о том, что из банка похищено $100 млн, какой будет эффект? Люди просто перестанут доверять этой структуре, из-за чего произойдет ее крах. Поэтому большинство крупных компаний, волнуясь о своей деловой репутации, пытаются устранить последствия кибератак собственными силами.

Но Вы правы: эта тематика наполнена большим количеством мифов. Скажем, многие руководители предприятий сегодня считают, что, если они приобретут и установят компьютерные технологии последнего поколения, суперсерверы, антивирусные программы, то застрахуются от всех проблем. Это большое заблуждение и самообман. Столь же ошибочно считать, что современный хакер – это исключительный знаток ИТ-технологий, очень грамотный, образованный программист, коих в мире несколько десятков. А ведь стать хакером сегодня вообще несложно. Даже в Google или YouTube вы без труда отыщите различные уроки по взломам, проникновению в чужие компьютеры.

Чему будет посвящен Ваш доклад на конференции по кибербезопасности в Киеве?

Первая часть – именно этому вопросу. Буду говорить о нереальности обеспечения стопроцентной безопасности информации и защиты компьютерных систем. Увы, невозможно сделать так, чтобы ваш мобильник, ваш компьютер, ваши фирма, семья, страна были полностью защищены от внешних вторжений. Я приведу ряд фактов и продемонстрирую присутствующим на конференции, как простым способом, используя соединения Wi-Fi, можно заполучить различную информацию, включая юзернейм и пароль из мобильных устройств тех, кто недостаточно осведомлен о рисках, про которые я буду говорить.

Сегодня не нужно обладать большими познаниями, чтобы увидеть, что в данный момент читает человек, сидящий с гаджетом за соседним столиком.

Вы наверняка знаете, что после парижских терактов во Франции в 2015 году в этой стране на законодательном уровне внедряются инициативы по запрету использования бесплатных публичных Wi-Fi-сетей и так называемых анонимайзеров, позволяющих вести тайные переговоры. Ранее аналогичные ограничения вводились только в Иране и Китае. А еще вчера между некоторыми государствами даже велась своеобразная конкуренция, у кого свободного Интернета больше.

Вторая часть моего доклада будет посвящена самому слабому звену в обеспечении кибербезопасности – людям, т. е. нашим сотрудникам, членам наших семей. Скажем, моя 13-летняя дочь, уже имеющая Facebook-аккаунт и другие социальные профили, без знаний основ киберзащиты может попасть в ряд неприятных ситуаций, ведь в сетях очень много обманщиков и мошенников, умело играющих как на чувствах подростков, так и на их доверии. Например, для афериста не составит труда завести аккаунт с моими именем и фамилией, чтобы вынудить дочь совершить определенные действия – выслать «папе» файл, «напомнить» пароль…

Во всем мире крутятся в день 15 млн имейлов от спам-разработчиков. 22–25 % из них достигают конечного юзера. Несмотря на спам-фильтры и антивирусы, 11 % кликают их. Хотя хорошо известно, что существуют вирусные программы, позволяющие по клику на определенную ссылку получить доступ к вашему аккаунту. Но я готов поспорить, что на линк новой фотографии американской звезды армянского происхождения Ким Кардашьян кликнут 90 % армян мужского пола. (Смеется.)

С развитием социальных сетей многие просто перестают опасаться вторжения в личное пространство. Наоборот, нынче – мода на откровенные дневники. Люди рассказывают и о том, что происходит в их семьях, и о своих передвижениях по миру, и о планах на завтра. Может, этого не следует так уж опасаться, приняв, как свершившийся факт эволюции общественного сознания. Или стоит ждать подвоха?

Да, в открытый доступ выкладываются целые массивы личной информации. А на смену нашему поколению идет поколение «без тормозов». Когда молодой человек не краснеет, рассказывая всему свету о том, как и с кем провел ночь. Когда даже обмен сексуальными партнерами становится в порядке вещей. «Нет ничего собственного» – такая формируется «мораль».

С таким мышлением молодые люди из институтов приходят в структуры власти. Это, конечно, создает определенные проблемы. А молодежь надо обучать обращению с информацией. Как и ребенка с пеленок учат тому, какая пища полезная, а какую кушать нельзя, так и школьников со студентами надо целенаправленно и постоянно просвещать относительно пользы и вреда интернет-информации. К сожалению, такая работа сегодня практически не ведется.

К тому же среди молодых людей много таких, которые страдают манией публичного обнажения – они выкладывают информацию о себе каждые пять минут: «я заказал пиццу», «вот, сижу, жду пиццу», «пиццы пока нет», «пицца доставлена». Самый простой способ проникнуть в дом такого человека – купить пиццу и прибыть по его адресу. И он даже не задумывается, что вместо продавца к нему в дом может проникнуть вор или убийца.

Кстати, недавно я ознакомился с научной статьей группы исследователей из Кембриджского и Стенфордского университетов о том, что Facebook может лучше определять психологию людей, чем их лучшие друзья, родственники, супруги и, в некоторых случаях, они сами. По 20–25 лайкам в Facebook уже можно распознать тип вашего характера и интересы. По 150–300 лайкам Facebook сможет описать вас лучше, чем члены вашей семьи. Т. е. мы пришли к тому, что социологам и психотерапевтам понадобится гораздо больше времени для составления вашего психологического портрета, чем «мозгу» социальной сети.

Вы работаете в Центральном банке Армении. Что скажете о хакерских поползновениях в эту структуру?

Думаю, Центробанк – одно из самых защищенных от кибервторжений учреждений в нашей стране. Не вся информация такого рода публичная, не обо всех случаях я могу говорить, но что касается последних атак на финансовые институты Армении, то в прошлом году хакерская группировка одной из постсоветских стран пыталась «выудить» из наших банкоматов деньги, воспользовавшись липовыми банковскими картами. Личность трех иностранных граждан, совершивших преступления, была установлена Службой национальной безопасности страны.

Кстати, на том же YouTube есть видео с указанием места на банкомате, где следует установить, а затем взорвать газовый баллончик, чтобы «Сим-Сим открылся». В международной практике используются различные средства для решения подобных проблем, и Центробанк сейчас движется в этом направлении, разрабатывая документ, обязывающий коммерческие банки оборудовать банкоматы емкостями со специальной краской, чтобы в случае взлома она испортила деньги, сделав невозможными их использование. Все наши банки должны применить такую меру.

Заглянем в небанковскую отрасль. Я недавно посетил конференцию по мошенничеству в агробизнесе, где с грустью выслушал следующую базисную идею: «Склонность к воровству есть у всех людей. Верить нельзя никому». Вы с этим согласны?

Конечно. Я уже десять лет работаю в сфере аудита, а у аудиторов есть такое правило: «Мы доверяем только Богу, всех иных проверяем». В этом – смысл нашей работы. Извините, но когда речь идет об информационной защите, я перестаю верить жене и близкому другу. Особенно общению с ними через Интернет. Хотя бы потому, что у меня нет и не может быть стопроцентной уверенности в том, что все действительно написано ими.

Как ни горько это осознавать, если есть возможность присвоить то, что плохо лежит, человек сделает это. Согласно международным стандартам безопасности, организация должна предварительно проверить потенциальных сотрудников до принятия на работу. Считаю, этого недостаточно, так как мотивация сотрудников может меняться. Поэтому очень важно предусмотреть ее изменения у того, кто работает с важными данными или деньгами, – не возникли ли у него проблемы с кредитами, со здоровьем, не заболел ли кто-то из его родственников. Недавно работник центробанка Голландии пытался украсть €750 тысяч. Представляете, какие там стоят защитные системы, но он решился на это. К сожалению, такова жизнь: каждый честный человек завтра может пойти на воровство.

У Вас есть личная страничка в Facebook? Что Вы как представитель Центробанка Армении не станете там писать?

Во-первых, на личной странице я не пишу, что я сотрудник центробанка. У работника банка Комитаса Степаняна Facebook-страницы нет. Но у меня есть профиль в LinkedIn (сеть сугубо профессиональных и деловых контактов. – Прим. авт.). Во-вторых, у нас в стране – свобода слова, поэтому написать я могу все, что угодно. Могу возмутиться, если улицы не убраны. Или что правительство не выполняет поставленных обязательств. Но, скажем, писать, что наш президент коррумпирован, не подкрепляя это фактами (а так поступают многие, чтобы получить за это несколько лайков), не стану. Это неэтично.

Критика различных президентов стала такой ходовой, что мало кто эту критику воспринимает всерьез.

Для этого и создали Facebook, наверное. (Смеется.)

Что бы Вы поставили на первое место в рейтинге киберпреступлений века?

Как профессионал, работающий в финансовом секторе, выделю киберпреступление в Бангладеш, когда хакеры сумели украсть из банка $82 млн. Лишь опечатка в реквизитах получателя при электронном банковском переводе помогла предотвратить кражу приблизительно $1 млрд.

Сегодня возникают частные агентства, предлагающие свои услуги в сфере ИT-безопасности. Например, украинская частная Лаборатория компьютерной криминалистики расследует хищения через системы интернет-банкинга, атаки на нотариусов (оказывается, фиксируются инциденты, связанные с внесением от имени нотариусов незаконных изменений в реестры Минюста), выявляет и анализирует вредоносные и шпионские программы... Как, на Ваш взгляд, развивается такое бизнес-направление?

Согласно статистике «Форбс», в начале 2016 года в мире было открыто около 1 млн вакансий для специалистов, работающих в сфере кибербезопасности. Ожидается, что рынок кибербезопасности вырастет с $75 млрд в 2015-м до $170 млрд до 2020-го года. Так что огромная проблема для любой страны, отрасли, бизнеса – именно острейший дефицит действительно квалифицированных профессионалов в сфере кибербезопасности. При этом замечу: 85 % хакерских атак ведутся через давно известные «дырки».

Что Вы скажете о кибертехнологиях, направленных на подрыв работы институтов власти, сбои жизнеобеспечивающих систем? Так, в конце 2015 года СБУ обвинила Россию в организации атаки, приведшей к отключению 80 тысяч домохозяйств клиентов «Прикарпатьеоблэнерго». Это первый случай обесточивания вследствие кибератаки. Как сообщил по этому поводу Reuters, в министерстве национальной безопасности США пришли к выводу, что был использован компьютерный вирус BlackEnergy, который проник в украинскую систему вследствие открытия инфицированного приложения Microsoft Word.

Я не уверен, что это сделали российские хакеры. Как и не уверен, что это сделали хакеры из США или Китая. Но, увы, такого рода атаки могут происходить каждый день – вот в чем главная проблема! Вы смотрели американский фильм «Военные игры» (WarGames) 1983 года? Там молодой хакер Дейв Лайтман взламывает компьютерную сеть военного ведомства США, находит игру-стратегию «Глобальная термоядерная война» и начинает в нее играть, хотя, на самом деле, эта программа игрой не является.

Еще в конце прошлого века такие происки хакеров воспринимались как любопытная фантастика, а сегодня из-за них мы слышим о сотнях потерянных миллионов. Теперь это наша реальность.

Мы должны осознать, что информационные технологии касаются каждого аспекта ежедневной жизни: быта, здравоохранения, экономической сферы. Наши смартфоны, сетевая инфраструктура, да и жизнь тоже, в разы сложнее, чем были десять лет назад. Даже участие в политической деятельности на сегодняшний день весьма и весьма «оцифровано», общественная зависимость от цифровых технологий также сильно возросла. И мы обязаны обращать внимание не только на возрастающие угрозы от того, что мошенники берут на вооружение технологии социальной инженерии, но и успевать реагировать на экстраскорости технологических прорывов. И методам, позволяющим противодействовать этим явлениям, необходимо обучать, начиная с младшей школы – с того момента, как ребенок становится пользователем компьютера.