ИБ-итоги 2019: год утечек и социнженеров

ИБ-итоги 2019: год утечек и социнженеров

ИБ-итоги 2019: год утечек и социнженеров

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», вспоминает главные ИБ-тренды уходящего года и дает прогноз на следующий.

 

 

 

 

 

 

 

  1. Введение
  2. Производители увязли в разработке...
  3. ...а власти — в законах
  4. Утечки с добавкой
  5. Социнженерия — великая и ужасная
  6. GDPR и слабый голос отечественных законотворцев
  7. Не регулировать, а контролировать
  8. Выводы

 

Введение

. Многие перспективные технологии остаются вне правового поля, потому что регуляторы не успевают за их развитием. Расскажем об итогах года и технологических трендах с точки зрения безопасности.

 

Производители увязли в разработке...

Череда громких заявлений в IT поутихла — это стало заметным несколько лет назад, а в 2019-м оказалось совсем очевидным. Год не удивил принципиально новыми технологиями, рынок двигался по проторенным дорожкам: наращивал скорости передачи данных (вспомним 5G и Wi-Fi 6-го поколения по стандарту 802.11ax), скорость и объемы их обработки (BigData и глубокая аналитика). Тем временем многообещающие «премьеры» прошлых лет всё никак не «выстрелят».

Показательный пример — беспилотный транспорт. Хотя он стабильно удерживает внимание инвесторов, пока производители увязли в разработке. В течение года прошло много испытаний легковых и грузовых беспилотных автомобилей, аэротакси, дронов для сельскохозяйственных нужд, но по большей части это — прототипы. Для массового внедрения всем беспилотным системам, увы, пока не хватает надежности.

Беспилотники реализуются на системах компьютерного зрения, использующих глубокое обучение. В Gartner прогнозируют, что к 2022 году 30% всех кибератак будут нацелены на порчу «тренировочных» данных для нейросетей и кражу готовых моделей машинного обучения. Тогда, например, беспилотники неожиданно могут начать принимать пешеходов за другие объекты. И речь пойдет не о финансовом или репутационном риске для производителей, а о жизни и здоровье людей.

 

...а власти — в законах

Потребители, даже не представляя возможные сценарии атак, чувствуют риск: беспилотникам не доверяют. А в правовом поле по-прежнему не решили вопрос: чья вина, если от «умного» автомобиля страдают люди?

То же можно сказать и о блокчейн-технологиях. Хотя блокчейн справедливо назывался самым безопасным методом для обеспечения онлайн-транзакций, инвестиции в такие проекты упали. Одна из причин — ресурсозатратность. Под технологию нужно адаптировать инфраструктуру, к тому же она потребляет много электроэнергии. Но главная проблема — в отсутствии регулирования: нигде в мире пока нет технических стандартов и законодательной базы для внедрения блокчейна.

Отставание регулирования от развития технологий заметно во всём, что касается сбора и обработки биометрических данных. В России эту тему продвигает Центробанк, активно тестируются технологии в городской инфраструктуре. Возникают первые правовые коллизии, которые разрешаются не в пользу владельцев персональных данных. Так, москвичка Алена Попова пожаловалась в суд на использование камер с функцией распознавания лиц. Девушка настаивала, что камеры собирают ее данные без согласия, этот процесс не регулируется по закону, и она не в курсе, кто имеет к ним доступ. Суд не усмотрел в этом вмешательства в частную жизнь, сославшись на несовершенство технологии — камеры якобы не позволяют установить личность, так как у государства пока нет единой базы «биометрии» россиян.

Главное — остается вопрос защищенности биометрической информации. В ноябре замминистра финансов России Алексей Моисеев публично высказал тревогу по поводу утечек данных, а вероятность инцидента с биометрическими сведениями и вовсе назвал «катастрофой». При этом беспокоиться, судя по всему, есть о чём. В начале декабря СМИ сообщили о продаже данных с московских камер наблюдения на черном рынке. Но об утечках поговорим подробнее.

 

Утечки «с добавкой»

Год запомнится масштабами утечек. Эксперты насчитали 5183 сообщения о «сливах» по всему миру, в общей сложности на 7,8 млрд строк, и назвали 2019-й худшим годом в истории с этой точки зрения. Рекордной стала компрометация 1,2 млрд «наборов» персональных данных, в том числе полных профилей пользователей Facebook, Twitter и LinkedIn, обнаруженная в конце ноября. Хотя сами по себе утечки — не новость, интересны общественный резонанс и скорая реакция средств массовой информации, писавших об инцидентах ИБ чаще, чем в прошлом году.

Тенденция затронула и Россию. Так, летом пресса сообщала, что 360 тыс. записей, в том числе персональные данные политиков и крупных бизнесменов, оказались в открытом доступе из-за брешей на государственных порталах. Тогда же РЖД потеряли данные 706 тыс. сотрудников — и публично признали утечку в СМИ. В октябре и ноябре гремели «сливы» из Сбербанка: официально банк подтвердил компрометацию данных 5 тыс. клиентов, журналисты и эксперты заявляли о 60 млн. Тогда же сообщали об утечке информации, затронувшей 9 млн клиентов проводного интернета «Билайна», и о компрометации базы ФНС на 20 млн человек.

Помимо того, что утечки бьют по репутации компаний, они становятся прямой угрозой для их клиентов. Подтверждая «сливы», компании, с одной стороны, предупреждают пострадавших о возможной опасности, а с другой — дают злоумышленникам сигнал, что слитые данные являются «живыми» и могут использоваться для атак. Причем мишенью могут стать не только отдельные пользователи, но и целые организации: зная достоверную информацию об одном сотруднике, злоумышленники способны провести таргетированную атаку на всю компанию.

 

Социнженерия — великая и ужасная

Как следствие, главной «угрозой-2019» стала социальная инженерия — во всех возможных формах. В финансовом секторе указывают, что на социнженерию приходится от 70% (по данным Райффайзенбанка) до 88% (Сбербанк) случаев мошенничества против клиентов. В корпоративной среде расцвели BEC-атаки (Business Email Compromise), когда мошенники под видом коллег или контрагентов выманивают у сотрудников деньги компании через скомпрометированные email-адреса, используя для верности «внутреннюю» информацию — источником которой также могут быть утечки. По похожей схеме развивается уэйлинг (от англ. whale — «кит») — особый вид фишинга, направленный на топ-менеджмент.

При этом социнженерия становится более технологичной. В 2019-м впервые зафиксировали атаку с помощью обученной нейросети для подделки голоса: под видом гендиректора международной компании мошенники позвонили руководителю иностранного филиала и убедили перевести им 243 тысячи долларов. Технология общедоступна, в 2020 году стоит ожидать массового распространения таких атак.

Если говорить о том, куда направлен их вектор, то здесь заметен еще один тренд. В 2019 году мошенники стали чаще нацеливаться на малый и средний бизнес. По подсчетам Verizon, 43% всех кибератак в мире были направлены против МСБ-сегмента; относительно прошлого года это — более чем в 5 раз (+425%) чаще.

Небольшие компании — в зоне риска, так как хуже защищены. «СёрчИнформ» выяснил, что в России эту проблему признают 75% ИБ-специалистов в корпоративной среде. 22% связывают это с недостаточной технической оснащенностью, почти половина жалуется на нехватку кадров. Хотя об остром кадровом голоде говорит только восьмая часть опрошенных, 79% констатируют, что на поиск достойного специалиста приходится тратить много времени.

 

GDPR и слабый голос отечественных законотворцев

Вроде бы выручает, что власти и регуляторы повсеместно усилили внимание к ситуации с защитой данных. На мировой арене ждали первых штрафов по GDPR — и получили их. Уже в январе под санкции попал Google: за отсутствие прозрачности при хранении и обработке пользовательских данных компанию оштрафовали на 50 млн евро. Но рекордного штрафа в Европе «удостоилась» авиакомпания British Airways, которая допустила утечку данных 380 тыс. пассажиров. В июле стало известно, что штраф составит 183 млн фунтов (около 204,1 млн евро). Вне GDPR компаниям тоже приходится несладко: в США Facebook за нарушение конфиденциальности пользователей заплатит 5 млрд долларов. И это — только самые громкие случаи, «под раздачу» попал десяток других, менее известных компаний.

В России до такой практики еще далеко, но риторика явно сменилась, потому что о необходимости защищать персональные данные заговорили на высоком уровне. Когда в общем доступе оказались паспорта Аркадия Дворковича, Анатолия Чубайса и Владимира Соловьева, вице-спикер Госдумы Петр Толстой поднял вопрос о необходимости более аккуратного обращения с информацией. Позже этот вопрос еще несколько раз поднимался в публичном поле, и процесс ужесточения регулирования пошел.

Впервые нарушения оценили дороже, чем в несколько тысяч рублей. Но наказывают по-прежнему не за утечки данных или их незаконный сбор. Приняты поправки в КоАП, которые предполагают наказание для бизнеса за хранение персональных данных россиян за границей — от 6 до 18 млн рублей.

Одновременно Роскомнадзор получил право без суда блокировать ресурсы, которые нарушают закон «О персональных данных» в части их сбора, хранения и обработки. Всё это происходит на фоне создания Единого реестра информации о населении на базе ФНС, который должен стать эталонной базой со всеми сведениями о гражданах РФ. Однако в документе очень обтекаемо прописаны меры по защите данных.

 

Не регулировать, а контролировать

И, конечно, ключевой документ, который определяет вектор развития «цифры» в России на долгие годы: с ноября действует закон о т.н. «суверенном Рунете». Он должен обеспечить стабильность и независимость российского сегмента Сети. На практике он определяет требования к отечественным операторам связи — в том числе для анализа и фильтрации пользовательского трафика.

В том же духе составлен закон об ужесточении наказания за непредоставление ключей шифрования в ФСБ. Его под самый занавес года подписал президент — теперь повторный отказ влечет за собой штраф от двух до шести миллионов рублей.

Но кроме мер контроля в 2019 году звучали и инициативы, призванные поддержать и даже защитить отечественный IT-сегмент.

Принят закон об обязательной предустановке отечественного «софта» на гаджеты, предназначенные для продажи в России — и это может сказаться на всём рынке умных устройств, ведь не все производители (особенно Apple) готовы менять свои продукты в соответствии с локальными требованиями. В последние дни осенней сессии в Госдуму внесли инициативу по ограничению иностранного владения «значимыми IT-ресурсами». В первой редакции предлагали долю не выше 20%, затем увеличили ее до 50%. По признанию самих авторов, законопроект в первую очередь нацеливался на контроль «Яндекса» и Mail.Ru Group — и первый уже пересмотрел структуру управления, создав «Фонд общественных интересов» с правом вето в совете директоров.

Отечественное программное обеспечение по новым требованиям должно стать «еще более отечественным» — изменились критерии включения продуктов в Единый реестр российских программ. Теперь все они должны поддерживать отечественные базы данных и операционные системы. Но системного «софта» собственной разработки в стране немного. В итоге исполнить предписание сложно и вендорам, и организациям, которые по закону обязаны перейти на отечественное ПО: значительно сократится число «подходящих» продуктов.

В общем, курс на локализацию, изоляцию, самодостаточность на рынке IT стал в уходящем году еще более очевидным, чем в прошлом. 

 

Выводы

В целом год не принес поражающих воображение прорывов — мы не колонизировали Марс и не создали полностью независимый от человека искусственный интеллект. Но при этом технологии стали массовыми, «цифра» начала уверенно проникать в нетипичные для нее ранее области. И при таких космических темпах развития рынка — особенно в части IoT и интернет-сервисов — производители и регуляторы не успевают обеспечить защиту.

Да, ИБ-решения тоже активно развиваются, но не становится меньше ни уязвимостей, ни угроз — просто потому, что по экспоненте растут объемы данных.

Но хорошая новость — в том, что цифровая грамотность пользователей будет неизбежно расти: потребность созрела на волне участившегося мошенничества и станет только усиливаться. И это — безусловно положительный тренд. Дело за профессиональным сообществом: IT-компаниям стоит вкладываться в просветительские проекты, ИБ-специалистам в других бизнесах — не жалеть времени на обучение коллег.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru