Авторский блог Владимир Овчинский 07:07 19 июня 2020

Киберпандемия уже здесь?

как ей противостоять?

Киберпандемия столь же неизбежна, как и пандемия будущих заболеваний. К такому выводу приходят многие ведущие эксперты в сфере кибербезопасности.

Интернет стал важной частью нашей глобальной инфраструктуры, и атаки на его основные функции, особенно в контексте кризиса COVID-19, должны рассматриваться как экзистенциальные угрозы, которыми они являются.

Для справки:

термин «киберпандемия» родился не сейчас. Ещё в 2016 году антивирусная лаборатория PandaLabs компании Panda Security опубликовала «белую книгу» о «киберпандемии» - компьютерных атаках в сфере здравооохранения.

Пандемия коронавируса придала этому термину новое звучание. «По существу мы имеем дело с двумя пандемиями. Одна - это биопандемия, связанная с распространением коронавируса, гибнут люди, и сейчас это приоритетная тема. Но параллельно с ней углубляется и другая глобальная проблема и она наверняка рукотворная - это то, что я бы назвал киберпандемией. Под киберпандемией я понимаю возможность втягивания человечества в киберконфронтацию и даже кибервойну», - заявил 7 апреля 2020 года директор Департамента международной информационной безопасности МИД России Андрей Крутских в рамках онлайн-дискуссии клуба "Валдай".

Он пояснил, что проявлениями киберпандемии являются хакерство, кибертерроризм, кибервмешательство в частную жизнь и развитие государств. "Это все следствие развития негативных тенденций при совершенствовании кибертехнологий", - отметил Крутских.

«Сюда же я отношу и то, что ряд государств провозглашают доктрины права на нанесение так называемых упреждающих киберударов даже по потенциальному противнику, когда ничья вина еще не доказана»,- добавил дипломат.

При этом он подчеркнул, что вынужденный перевод многих сфер жизни "на удалёнку" в условиях пандемии коронавируса наглядно показывает необходимость обеспечения международной информационной безопасности и выработки общих мер борьбы с киберугрозами.

«Мы должны выработать не только единый язык терминологически, не только выработать общее понимание, но и общие стандарты безопасности. Нужно не опоздать с нахождением решений до того как разразится очередной - на этот раз киберкризис», - предупредил Крутских.

Признаки киберпандемии

С начала марта 2020 года в мире наблюдается беспрецедентный глобальный рост вредоносной кибер-активности. Фишинговые атаки, направленные на кражу денег или секретов у работников домашнего офиса, более чем удвоились по сравнению с прошлым годом, а в некоторых местах они выросли в шесть раз. Было также предпринято несколько попыток кибератак на критически важной инфраструктуре, включая аэропорты, электросети, порты и объекты водоснабжения и канализации. Даже больницы, которые лечат пациентов с COVID-19, стали мишенью, и сама Всемирная организация здравоохранения сообщила о пятикратном увеличении количества атак на её сети (Facing the Cyber Pandemic, PS, 11.06.2020).

Для справки:

За январь – май 2020 года общее количество преступлений в России, совершённых с использованием информационно – телекоммуникационных технологий (ИТТ) или в сфере компьютерной информации, увеличилось в сравнении с тем же периодом прошлого года на 85,1% и превысило 180 тыс. преступлений. Количество преступлений, совершённых с использованием расчётных (пластиковых) карт возросло в 4,7 раза – почти 64 тыс. преступлений; с использованием средств мобильной связи – вдвое (более 76,5 тыс. преступлений).

Самый большой рост преступлений, совершённых с использованием ИТТ, отмечается в Москве, Санкт – Петербурге, Московской, Калининградской, Новгородской, Ростовской областях, Республиках Ингушетия, Бурятия, Башкортостан, Еврейской АО (ГИАЦ МВД России).

Злоумышленники в мае 2020 года чаще всего рассылали россиянам банковские трояны, программы для заражения устройств и для скрытого майнинга криптовалют, говорится в исследовании компании Check Point.

«В России в мае самым активным был троян Emotet, атаковавший 7% российских организаций. За ним следуют RigEK и XMRig с охватом 6% каждый», - говорится в документе. Троян Emotet может рассылать фишинговые письма, содержащие вредоносные вложения или ссылки, RigEK содержит опасные программы для Internet Explorer, Flash, Java и Silverlight, а XMRig используется для майнинга криптовалюты Monero.

Топ-3 активных вредоносных ПО в мире в мае 2020 года - банковский троян Dridex, поражающий ОС Windows (используется для перехвата персональных данных, а также данных банковских карт), Agent Tesla (используется для кражи паролей Wi-Fi и умеет получать учетные из Outlook с целевых ПК) и XMRig. В мае 2020 года Dridex затронул 4% организаций во всем мире, XMRig и Agent Tesla –– по 3% каждый.

Эксперты также обнаружили несколько вредоносных спам-кампаний, в ходе которых распространялся по электронной почте троян Ursnif (нацелен на получение доступа к конфиденциальным данным почты и данным банковских аккаунтов). В мае 2020 года он поднялся в рейтинге самых активных вредоносных ПО в мире с 19-го места до пятого.

«Учитывая, что в мае 2020 года банковские трояны Dridex, Agent Tesla и Ursnif вошли в топ-5, становится очевидно, что сейчас киберпреступники сосредоточились на использовании вредоносных программ, которые позволяют им монетизировать конфиденциальные данные пользователей», - считают руководители группы киберразведки Check Point.

Что касается скрытого майнинга, то ещё в конце марта 2020 года стартап Acronis опубликовал результаты опроса сотрудников IT-индустрии. Было установлено, что 87% работников отрасли опасаются увеличения масштабов скрытого майнинга (криптоджекинга).

13% сотрудников заявили исследователям, что если мощности их компьютеров в результате поражения вирусом-майнером существенно не снизятся, то их не беспокоит угроза криптоджекинга.

По данным аналитиков стартапа, за последние два года масштабы скрытого майнинга в мире увеличились более чем на 30%. 88% опрошенных сказали, что помимо вирусов-майнеров они опасаются атак со стороны вымогателей, которые также резко активизировались в 2019 году.

Для справки:

криптоджекингом специалисты называют несанкционированное использование чужого устройства для добычи криптовалюты. Таким устройствами могут быть компьютеры, смартфоны или целая сеть вычислительного оборудования.

Хакеры внедряют вредоносное программное обеспечение, когда жертва устанавливает какое-либо приложение или посещает сайт в интернете. После поражения устройства вирус начинает использовать его вычислительные мощности для добычи монет.

Причём очень часто пользователь даже и не подозревает, что его компьютер или смартфон используется для скрытого майнинга. Однако человек сталкивается с проблемой резкого падения производительности своего устройства.

Уроки для киберпандемии

Время, чтобы начать думать об ответе на киберпандемию, как всегда, - вчера. Чтобы начать этот процесс, важно изучить уроки пандемии COVID-19 и использовать их для подготовки к будущей глобальной кибератаке. Так справедливо считают эксперты Всемирного Экономического Форума (ВЭФ) Николас Дэвис и Алгирд Пипикэйт (WEF, 01.06.2020). Они полагают, что уроки для киберпандемии следует извлечь из пандемии коронавируса.

Урок № 1. Кибератака с характеристиками, аналогичными коронавирусу, будет распространяться быстрее и дальше, чем любой биологический вирус.

Коэффициент репродукции - или R0 - COVID-19 находится где-то между двумя и тремя без какого-либо социального дистанцирования, что означает, что каждый зараженный человек передает вирус паре других людей. Это число влияет на скорость распространения вируса. Число зараженных людей в штате Нью-Йорк удваивалось каждые три дня до закрытия.

Напротив, оценки R0 кибератак 27 и выше. Один из самых быстрых червей (вредоносных программ) в истории, червь Slammer / Sapphire 2003 года, удваивался примерно каждые 8,5 секунд, распространяясь на более чем 75 000 зараженных устройств за 10 минут и 10,8 миллиона устройств за 24 часа. Атака WannaCry 2017 года использовала уязвимость в старых системах Windows, чтобы нанести ущерб более чем 200 000 компьютеров в 150 странах; он был остановлен аварийными исправлениями и случайным обнаружением «выключателя убийства».

Кибер-эквивалент COVID-19 был бы самораспространяющейся атакой с использованием одного или нескольких эксплойтов (программные коды, использующие уязвимости) «нулевого дня», методов, для которых еще не доступны специальные коды (сигнатуры) антивирусного программного обеспечения. Скорее всего, он будет атаковать все устройства, работающие под одной операционной системой или приложением.

Так как атаки нулевого дня редко обнаруживаются сразу - Stuxnet использовал четыре отдельных эксплойта нулевого дня и скрывался в системах в течение 18 месяцев, прежде чем приступить к атаке - потребуется некоторое время, чтобы идентифицировать вирус и даже дольше остановить его распространение. Если бы вектор был популярным приложением для социальных сетей, скажем, с 2 миллиардами пользователей, вирус с репродуктивной скоростью 20 может занять пять дней, чтобы заразить более 1 миллиарда устройств.

Урок № 2. Экономическое воздействие широко распространенного цифрового отключения будет такой же или даже больше, чем то, что мы наблюдаем в настоящее время.

Если бы Cyber-COVID отразил патологию нового коронавируса, 30% зараженных систем были бы бессимптомными и распространяли бы вирус, а половина продолжала бы функционировать с сильно ухудшенной производительностью - цифровым эквивалентом того, чтобы быть в постели в течение недели. Между тем 15% будут «стерты» с полной потерей данных, что потребует полной переустановки системы. Наконец, 5% будут «замурованы», что сделает само устройство неработоспособным.

Конечный результат: миллионы устройств будут отключены в течение нескольких дней.

Единственный способ остановить экспоненциальное распространение Сyber-COVID - это полностью отключить все уязвимые устройства друг от друга и от Интернета, чтобы избежать заражения. Весь мир может испытать кибер-блокировку, пока не будет разработана «цифровая вакцина». Все деловое общение и передача данных будут заблокированы. Социальный контакт будет ограничен людьми, с которыми можно связаться лично, по медной линии связи, по почте или по радио.

Один день без интернета обойдётся миру более чем в 50 миллиардов долларов. 21-дневная глобальная кибер-блокировка может стоить более 1 триллиона долларов. Кибер-локализация также создаст новые проблемы для экономически зависимых стран.

Во время австралийских лесных пожаров в 2020 году перебои в подаче электроэнергии и повреждение инфраструктуры мобильных телефонов дали гражданам новую оценку радиоприемникам с батарейным питанием. Но если бы Сyber-COVID разорил страну, какие радиостанции все еще работали бы без цифровых систем записи и передачи? Смогут ли выстоять такие страны, как Норвегия, которая завершила переход на цифровое радио?

Урок № 3. Восстановление после повсеместного разрушения цифровых систем будет чрезвычайно сложным.

Замена 5% подключенных устройств в мире потребует около 71 миллиона новых устройств. Производители не смогут быстро наращивать производство для удовлетворения спроса, особенно если будут затронуты производственные и логистические системы. Для систем, которые выживают, будет существенное узкое место в исправлении и переустановке.

Географическая концентрация производства электроники создаст другие проблемы. В 2018 году Китай произвел 90% мобильных телефонов, 90% компьютеров и 70% телевизоров. Указание пальцем на источник и мотив кибератаки, а также конкуренцию за первенство в поставках неизбежно приведет к геополитической напряженности.

Как мы можем подготовиться к Cyber-COVID?

1. Широко распространенные системные кибератаки не просто возможны или правдоподобны, они должны быть ожидаемыми. Как мы видели с COVID-19, даже небольшая задержка в ответе может вызвать экспоненциальный ущерб.

2. Успех Новой Зеландии в борьбе с пандемией свидетельствует о том, что ранние решительные действия и четкая и последовательная коммуникация повышают устойчивость. Невозможно подготовиться к каждому потенциальному риску, но как государственный, так и частный секторы должны инвестировать в сценарии, чтобы сократить время реакции и оценить ряд стратегических вариантов в случае атаки.

3. COVID-19 показал важность международной координации между заинтересованными сторонами. Сотрудничество между лидерами государственного и частного секторов также имеет решающее значение, особенно когда речь идет о смягчении последствий.

4. Подобно тому, как COVID-19 подтолкнул людей и организации к поиску цифровых заменителей физического взаимодействия, правительственные и бизнес-лидеры должны подумать об обратном. «Цифровой откат» и планы обеспечения непрерывности необходимы для обеспечения того, чтобы организации могли продолжать работать в случае внезапной потери цифровых инструментов и сетей, о чём стало известно во время кибератаки NotPetya в 2017 году, когда было изъято 49 000 ноутбуков и принтеров и стерты все контакты со своих телефонов, синхронизированных с Outlook.  Необходимая часть цифрового преобразования - хранение и доступ к конфиденциальной и важной информации в физической печатной форме.

Нужна новая международная конвенция

Никто в мире не возразит против азбучной истины о том, что борьба с киберпандемией требует качественно нового уровня международного сотрудничества. Ещё в декабре 2019 года Генеральная Ассамблея ООН приняла резолюцию России по разработке новой международной конвенции для борьбы с киберпреступлениями.

Тогда же в своих выступлениях на Генассамблее представители МИД России подчёркивали, что Москва не противопоставляет свою инициативу уже существующей европейской (Будапештской) конвенции, а предлагает её «как можно больше осовременить».

Генассамблея постановила «учредить специальный межправительственный комитет экспертов открытого состава, представляющий все регионы, для разработки всеобъемлющей международной конвенции о противодействии использованию информационно-коммуникационных технологий в преступных целях».

Предполагается, что в ходе работы над конвенцией будут в полной мере учитываться «предпринимаемые на национальном и международном уровнях усилия по борьбе с использованием информационно-коммуникационных технологий в преступных целях». В частности, планируется использовать «итоги работы межправительственной группы экспертов открытого состава для проведения всеобъемлющего исследования по киберпреступности».

Несмотря на то, что решение Генассамблеей принято, его исполнение наталкивается на всё нарастающее противодействие со стороны США и ряда европейских стран. Это противодействие сопряжено с оголтелой антироссийской кампанией в СМИ о «русских хакерах» и «русском кибер-вмешательстве во внутренние дела США и европейских стран». Бесконечные «сенсационные» доклады и статьи об этом в период борьбы с пандемией коронавируса буквально заполонили интернет. И уже сами стали фактором киберпандемии.

Вместо принятия нормального всестороннего конвенционального документа на уровне ООН, например, Глобальная комиссия по стабильности киберпространства - сокращённо GCSC (учреждена по инициативе голландского правительства; её возглавили сопредседатели из Эстонии, Индии и США, а в состав вошли бывшие правительственные чиновники, эксперты из гражданского общества, а также учёные из 16 стран) явно в противовес усилиям России продвигает восемь норм, которые, по их мнению, важны для кибер-стабильности:

Первая норма — невмешательство в публичное ядро Интернета. Авторитарные и демократические государства могут не соглашаться по поводу свободы слова или регулирования онлайн-контента, но они могут договориться не вмешиваться в базовые элементы Интернета, например, в систему доменных имён, без которой невозможны предсказуемые взаимные подключения внутри сети сетей, которой является Интернет;

Вторая - государственные и негосударственные структуры не должны поддерживать кибер-операции, нацеленные на нарушение нормальной работы технической инфраструктуры, которая нужна для проведения выборов, референдумов или плебисцитов;

Третья - государственные и негосударственные структуры не должны тайно вмешиваться в разработку и производство товаров и услуг, если такое вмешательство может существенно нарушить стабильность киберпространства;

Четвёртая - государственные и негосударственные структуры не должны использовать общие публичные ресурсы в качестве «ботнетов» (кибер-роботов, которые базируются и действуют в чужих устройствах без ведома или согласия их владельцев);

Пятая - государства должны создать процедурно прозрачные системы, позволяющие оценить, насколько необходимо и когда надо раскрывать публичные уязвимости или недостатки в информационных системах или технологиях;

Шестая - разработчики и производители товаров и услуг, от которых зависит стабильность киберпространства, должны делать акцент на безопасности; предпринимать разумные шаги для гарантии, что в их продукции нет существенных уязвимостей; устранять недостатки, когда они обнаруживаются, и действовать в этих случаях прозрачно. Все стороны обязаны делиться информацией об уязвимостях, чтобы помочь противодействовать кибер-деятельности со злыми умыслами;

Седьмая - государства должны принимать соответствующие меры, в том числе утверждать законы и регламенты, которые будут гарантировать элементарную кибер-гигиену. Подобно тому, как вакцинация помогает предотвратить распространение заразных болезней, например, кори, также и элементарная кибер-гигиена может серьёзно помочь, лишая кибер-злоумышленников лёгкой добычи, которая их привлекает;

Восьмая - негосударственные структуры не должны участвовать в атакующих кибер-операциях, а государственные структуры должны предотвращать подобные деяния и реагировать в тех случаях, если они совершаются.

Любой специалист, ознакомившись с этими «нормами», сразу понимает, что они, во – первых, мягко говоря, далеки от совершенства, и, во – вторых, никоим образом не могут заменить международную конвенцию, на разработке которой настаивает Россия.

В этих условиях пока следует полагаться на национальные усилия и такие апробированные механизмы международного сотрудничества как Интерпол.

Подписывайтесь на наш канал в Яндекс.Дзен!

Нажмите «Подписаться на канал», чтобы читать «Завтра» в ленте «Яндекса»

Комментарии Написать свой комментарий

К этой статье пока нет комментариев, но вы можете оставить свой

1.0x