Кибермошенники становятся все более изощренными, отмечает коммерческий директор «Лаборатории Касперского» в Центральной Азии Валерий Зубанов. Например, пытаются использовать легитимное программное обеспечение, которое не детектируется стандартными средствами защиты. Корреспондент центра деловой информации Kapital.kz побеседовал с Валерием Зубановым о мерах для предотвращения кибератак, бюджете на информационную безопасность в период пандемии и диверсификации кибергруппировок.
- Валерий, с какими киберугрозами чаще всего сталкиваются предприниматели Казахстана в период пандемии?
- Во время коронакризиса вектор мошенников нацелен на клиентов компаний, финструктур. Тем более казахстанцы стали чаще использовать дистанционные каналы при осуществлении банковских операций. В Казахстане сейчас активно развивается социальная инженерия. По нашим наблюдениям, клиентам банков стали чаще звонить мошенники, которые просят их скачать какое-либо банковское приложение. Но де-факто, человек, даже не подозревая об этом, устанавливает приложение или программу удаленного доступа к своему устройству. Таким устройством может быть как смартфон, так и ноутбук.
Расскажу подробнее, как происходит обман пользователей. Человеку предлагают установить приложение и после просят его на какое-то время перевернуть свой смартфон экраном вниз. Это делается для того, чтобы пользователь не видел, что с помощью средств удаленного управления мошенник заходит в его мобильный банкинг, получает sms и перенаправляет средства с его счета на другой счет.
В этом году, как и в 2020 году, были распространены также случаи, когда казахстанцам через WhatsApp предлагали сдать ПЦР тесты на COVID-19 по очень низкой цене: за 2 тыс. тенге. Тогда как такой тест стоил около 6-7 тыс. тенге. Также через сообщения мошенники предлагали приобрести поддельные справки о сдаче ПЦР-теста, паспорта вакцинации. По нашим данным, около 96% таких фишинговых рассылок происходило через WhatsApp. То есть в большинстве случаев у пользователей даже не пытались украсть какую-то финансовую информацию, важны были их персональные данные: ИИН, номер платежной карты и так далее.
- Сейчас казахстанцам поступает много звонков от мошенников, которые представляются сотрудниками банков. Многие предполагают, что произошла утечка персональных данных с базы банков. Насколько эти опасения обоснованы?
- Утечка данных может быть из любой базы, не обязательно банковской. Например, утечка информации может произойти из социальной сети, где некоторые казахстанцы оставляют свой телефон во время регистрации. Также утечка данных может произойти у партнера банка, подрядчиков и субподрядчиков, у колл-центра, телеком-оператора. Например, банк может привлечь для коммуникаций с клиентами сторонний колл-центр, у которого система безопасности может быть на низком уровне.
- Как можно избежать утечки персональных данных? Только повышая цифровую грамотность?
- Не только. Чтобы решить эту проблему, компаниям необходимо поставить перед собой две глобальные задачи. Во-первых, внедрить системы защиты и контроля от утечки информации. Это когда действия оператора какой-либо информационной системы фиксируются и записываются. За счет этой инициативы компания может максимально снизить риск какого-либо внутреннего вторжения в любую систему.
Во-вторых, необходимо повысить социальную ответственность компаний, которые подверглись кибератакам. Например, во многих странах Западной Европы организации, которые допустили утечку персональных данных, обязаны сообщать об этом. Если же они не проинформируют общественность о таких случаях, то на организацию налагается штраф в размере порядка 10% от годового оборота. Но, к сожалению, в казахстанском законодательстве отсутствует норма, которая бы обязывала организации информировать о кибератаках.
Хотя, думаю, что компаниям важно информировать общественность о «токсичных» киберинцидентах, по какой схеме они были реализованы. Таким образом, они сообщают участникам рынка, что появилась такая-то киберугроза и необходимо предпринять такие-то меры для ее ликвидации. Если компания не будет придавать огласке факт утечки персональных данных своих клиентов, то злоумышленники попытаются продать их в даркнете (теневой сети) и максимально их использовать.
- В прошлом году фишинговые сайты набирали обороты. Мошенники создавали клоны популярных интернет-магазинов, приложений банков, сецсетей для получения реквизитов платежных карт. Насколько выросло число таких случаев в этом году?
- Конечно, всеобщая самоизоляция побудила людей больше взаимодействовать онлайн, а злоумышленники с удовольствием пользуются этим трендом, ведь таким образом шансы «поймать» жертву увеличиваются.
Сегодня интернет-мошенники активно используют актуальную повестку для создания новых схем обмана. Например, рассылки о СOVID-19 и вакцинах.
Мы постоянно блокируем фишинговые сайты. Чтобы не попасть на удочку мошенников, пользователи сети должны обращать внимание на адрес сайта – нет ли там лишней буквы или замены какой-нибудь буквы адреса. Например, в 2016 году один из американских IT-экспертов зарегистрировал в сети название сайта Apple юникодом (похожими символами). То есть визуально адрес сайта выглядел так же, как адрес самой компании. Но для всемирной паутины это были две разных платформы. Сейчас мошенники также создают сайты, которые сложно визуально отличить от легальных. Они стараются подменять английскую «i» на «l».
- Можно ли говорить о том, что компании стали наращивать свои бюджеты на информационную безопасность и это им как-то помогло….
- Конечно. В Казахстане, по моим оценкам, в среднем организации увеличили такие бюджеты на 50-100%. Причем этот тренд затронул многие отрасли. Бизнес стал чаще инвестировать в те сегменты, защита которых ранее откладывалась до лучших времен.
Приведу в пример мировую статистику. Пока по прошлому году, ведь 2021 год еще не закончился. Если в 2019 году доля расходов МСБ на информационную безопасность от IT-бюджета в среднем не превышала 23%, в 2020 году этот показатель достиг 29%. В среднем одна компания сектора МСБ, если рассматривать статистику за последние 11 лет, в результате киберугроз потеряла около 101 тыс. долларов.
Если говорить о крупном бизнесе, то в 2019 году доля расходов на информационную безопасность в общих затратах на IT выросла с 26 до 29%. А ущерб от одной кибератаки корпораций исчисляется 1 млн долларов. Около 71% компаний малого и крупного бизнеса, которых мы опросили, считают, что доля затрат на противостояние киберугрозам в ближайшие три года будет только расти.
- А если говорить о казахстанских организациях...
- По моим оценкам, они направляют на IT-безопасность около 22-25% своего IT-бюджета.
- Какие тенденции вы наблюдаете в мире?
- Один из ярких трендов, который сейчас прослеживается, – диверсификация кибергруппировок. Если раньше этапы проработки какого-то вредоносного вируса, формы кибератак разрабатывались одной кибергруппировкой, то сейчас в этом процессе участвует несколько групп. Это гораздо быстрее и дешевле.
Например, одна группировка может специализироваться на написании вредоносного кода, другая – может мастерски написать скрипты для социальной инженерии. По моему опыту могу сказать, что мошенники могут писать такие письма своим пользователям, которые невозможно не прочитать, они могут так подстраивать свой тембр голоса, что это вызывает доверие. Также есть группировки, которые занимаются исключительно похищением информации, другие группы – ее продажей. И, конечно, есть организаторы таких схем, которые координируют эти группы.
К тому же технологии по разработке киберугроз с каждым годом становятся все дешевле. Во многих странах развиваются подразделения кибервойск. Они занимаются разработкой действительно уникальных вредоносных технологий для кибершпионажа. Предположим, какая-та из компаний обнаружила такую кибератаку. И что делают дальше разработчики вируса? Они пытаются его перепродать хакерам, которые ниже по статусу или после апробирования технологии на крупном бизнесе масштабируют ее на средний. Таким образом, такие технологии становятся все дешевле.
Еще одна из тенденций, которую наблюдаем, - мошенники становятся все более изощренными. Сейчас они пытаются использовать легитимное программное обеспечение, которое не детектируется стандартными средствами защиты. Например, антивирусами.
- Какие ошибки делают компании при противостоянии мошенническим атакам?
- Их множество, но остановимся на одной. Недавно встречался с руководством компании из нефтеперерабатывающего сектора, мы обсуждали проблемы отрасли. Выяснилось, что самый распространенный миф, который существует среди промышленных компаний, – кибермошенники не могут инициировать атаки на объекты, где нет интернета. Но это не так, ноутбук или любое другое устройство на предприятии может подхватить вредоносную программу. Например, предприятие для перенастройки оборудования может привлечь подрядную организацию. И вот через свои устройства, например, ноутбук, подрядчик может занести в систему компании вредоносный вирус. Эта ситуация может привести к сбою работы оборудования.
По нашим данным, порядка 60% киберинцидентов в сфере промышленности случайны, но зачастую они могут привести к катастрофическим последствиям: техногенным катастрофам, человеческим жертвам и так далее. Относительно недавно Казахстан обратил внимание на эту проблему и разработал специальные инструкции для предприятий.
Чтобы снизить киберриски, в первую очередь, нужно обратить внимание не на программно-технические средства защиты, а на административные меры. Прежде всего, нужно обратить внимание на кибергигиену сотрудников компании, потому что 95% всех киберинцедентов происходит из-за беспечности человека. Например, чтобы сесть за руль автомобиля, водитель должен подтвердить свои навыки экзаменом, а после он получает водительские права. Но когда компании принимают на работу сотрудника, который не является IT-специалистом, у него никто не спрашивает сертификат, которым он мог бы подтвердить свои навыки по сохранению данных. Хотя практически любой сотрудник имеет доступ к информационным системам организации и по неосторожности может занести в нее вирус. На рынке есть компании, где можно пройти обучение по цифровой гигиене, в том числе у нас, с возможностью получения такого сертификата.
- В первом квартале 2021 года «Лаборатория Касперского» выпустила отчет, где говорилось, что Казахстан вошел в топ-5 стран, где наиболее часто фиксировались атаки майнеров. Расскажите, что из себя представляют такие кибератаки, чем они опасны?
- Для начала поясню, что майнеры в таком случае - это программа для генерации (майнинга) криптовалюты. Эмиссия большинства криптовалют осуществляется децентрализованно при помощи создания новых блоков «денег» по определенным правилам. Генерация каждой новой единицы валюты требует значительных вычислительных ресурсов. Майнеры используют ресурсы устройства, чтобы за вознаграждение создавать новые суммы. Программа-майнер, которая установлена на устройство без согласия его владельца, является зловредом (то есть троянцем-майнером). В результате заражения компьютер или смартфон начинает жутко тормозить и перестает нормально справляться даже с простыми задачами.
По
нашим данным, Казахстан по итогам первого квартала вошел в пятерку стран, где
наиболее часто фиксировались атаки майнеров. В марте по всему миру резко
выросло число атак майнеров — более чем в четыре раза по сравнению с февралем. Предполагаем, что причины в росте стоимости криптовалют, в частности биткоина.
- Дефицит таких специалистов – это огромная боль для всего региона Центральной Азии. Это связано с тем, что востребованность в таких кадрах растет огромными темпами, компании открывают все новые и новые вакансии, а достойных специалистов не хватает. Сегодня на одного IT-специалиста могут претендовать сразу несколько работодателей, поэтому зарплаты в данном секторе зачастую выше других. При этом вузы выпускают все еще недостаточное количество IT-специалистов для такого ажиотажного спроса, а также есть проблема оттока мозгов в другие страны с более высоким уровнем заработка.
По моим оценкам, в каждой организации среднего бизнеса количество таких специалистов должно быть не менее четырех. Почему 4, а не 2? Потому что обычно злоумышленники атакуют серверы, программное обеспечение ночью, в пятницу вечером или в праздничные дни. А чтобы не пропустить кибератаку, необходимо, чтобы специалисты работали посменно.
Обычно зарплата таких сотрудников на рынке Казахстана в среднем составляет 3-3,5 тыс. долларов.
- Как вы считаете, как будет развиваться рынок кибератак?
- Как и сейчас, мошенники будут активнее диверсифицировать свои кибергруппировки, которые будут ориентироваться на разработку отдельных программ, скриптов. И соответственно, такие разработки будут становиться дешевле.