В этом году выросло количество результативных атак на банки?
Илья Сачков: За последние несколько лет вырос общий уровень безопасности в российской банковской системе благодаря действиям Центрального банка и тому, что банки сами стали понимать риски от целевых атак. При снижении количества успешных атак напрямую на банки сильно возрос сегмент атак на конечных пользователей. Такие атаки не всегда приводят к прямым последствиям для финансовой организации, поскольку не все банки выплачивают клиентам компенсации за украденные средства. Это происходит от случая к случаю. Тем не менее это все равно влияет на экономическую составляющую работы банковской системы, потому что любая удачная кибератака приводит к оттоку клиентов и уменьшению доверия к онлайн-сервисам со стороны потребителей, потере репутации.
Если еще в 2016 году мы наблюдали рост ущерба финансовых организаций от целенаправленных атак на 300%, то уже с 2017 года началось падение - ущерб снизился уже на 33%. Все преступные группы, атаковавшие российские банки, постепенно переключили свое внимание на другие страны и регионы: США, Европу, Латинскую Америку, Азию и Ближний Восток. По данным за прошлый год, потери банков от целенаправленных атак сократились по сравнению с предыдущим периодом почти на 93%, до 93 млн рублей. А 2020 год показал еще большее падение ущерба от целевых атак в банковском секторе: основные группы, атаковавшие банки в 2016-2018 годах, двинулись дальше. Многие из них сменили тактику и вступили в так называемые партнерские программы с операторами вирусов-шифровальщиков. Те в свою очередь начали "партнериться" с продавцами доступов в скомпрометированные сети компаний. Эта коллаборация привела к тому, что по минимальным подсчетам ущерб от атак шифровальщиков в мире достиг 1 млрд долларов, а рынок продажи доступов к взломанным сетям вырос в четыре раза и составил 6 189 388 долларов.
Как раскрываются киберпреступления?
Илья Сачков: Глобально расследование компьютерных преступлений состоит из трех этапов, которые могут происходить либо параллельно друг другу, либо друг за другом.
Первый этап - техническая работа по изучению того, как произошло преступление. Например, если мы говорим о хищении денег в системах интернет-банкинга, то это проведение криминалистического исследования на пострадавших объектах. Это работа сразу нескольких людей - компьютерного криминалиста, специалистов по исследованию вредоносного кода, аналитика, который может скоррелировать большое количество данных из различных систем, построить цепочку рассуждений для того, чтобы понять, каким образом произошел инцидент и имело ли место преступление.
Второй этап - работа, которую проводят подразделения министерства внутренних дел. Это проведение предварительной проверки по факту совершения преступления. Сотрудник органов должен принять заявление и проверить факт того, что преступление действительно произошло. В соответствии с российским законодательством ему нужно провести исследование, опросить специалистов, которые имеют специальные навыки и знания, чтобы подтвердить факт компьютерного преступления. После этого начинаются оперативно-разыскные мероприятия.
Следующий этап - возбуждение уголовного дела. Следователь назначает экспертизы, исследования. Продолжаются оперативно-разыскные мероприятия. Происходят обыски, аресты, допросы, потом решение суда.
Фундаментально важно понять: если технические работы, которые описаны в первом этапе, проведены плохо, это приведет либо к невозбуждению уголовного дела еще на первом этапе, либо развалит дело в момент того, когда оно будет возбуждено. Можно сказать, мы находимся на переднем крае.
Вы говорили о том, что антивирусы не слишком нужны обычным пользователям. Как в таком случае защищаться от вирусов самым обычным людям?
Илья Сачков: Не то чтобы не нужны. Наличие антивируса минимально гарантирует то, что вирус будет обнаружен. Инженерная мысль, которая с этим связана, очень проста. Допустим, у нас на одной операционной системе есть две программы. Антивирус - это легальная программа, которая может использовать только легальные средства, библиотеки, правила. Вирус же может вести любую нечестную игру, использовать уязвимости, недекларированные возможности. Поэтому с точки зрения обычного программирования из двух программ, которые борются за один и тот же ресурс на одной операционной системе, выигрывает та, которая может играть нечестно. С 2010-х годов все преступления, которые расследуем мы и наши коллеги из разных стран, происходят на компьютере, на котором стоит антивирусная программа. Человек думает, что если он поставил антивирус, на этом вся история закончилась - он в безопасности. Ответ - нет. Нужно понимать, как происходит компьютерное преступление, почему с человеком это может произойти и для чего он может быть нужен злоумышленникам. Если человек хочет чувствовать себя уверенно в Сети, ему необходимо соблюдать цифровую гигиену и хотя бы на базовом уровне понимать, как все работает. Для этого достаточно потратить два-четыре часа на обучение, курсы или мастер-классы от специалистов. Если речь идет о защите "умных домов", корпоративных сетей, стоит использовать решения, которые обнаруживают злоумышленников еще на раннем этапе атаки и не относятся к классу антивирусов.
Какой мессенджер вы считаете наиболее защищенным и почему?
Илья Сачков: Ни один из популярных. Безопасность в первую очередь зависит от того, как пользователь понимает компьютерную гигиену, в том числе и безопасность переписки. Какое бы шифрование, способ передачи данных ни использовал мессенджер, если вы свое устройство заразили вирусом, то важно понимать, что этот вирус видит все то же самое, что вы видите на экране. Чем более распространен мессенджер, тем больше стандартных способов получить доступ к нему. С другой стороны, чем шире рынок для мессенджера, тем больше специалистов по компьютерной безопасности, людей, которые разбираются в уязвимостях, постоянно что-то находят в нем, участвуя в программах Bug Bounty. То есть со всего мира приходит информация об уязвимостях. Cамым опасным мессенджером я бы назвал СМС, потому что оно не связано с каким-либо производителем. Соответственно, контролировать то, как и куда идет СМС, сложно. Поэтому по-прежнему, как и в предыдущих вопросах, я бы рекомендовал больше уделять внимания не безопасности мессенджера, а тому, как вы пользуетесь любыми устройствами, на которых этот мессенджер работает.
Эксперты рекомендуют отключать геолокацию на смартфоне, если навигация не используется. Но любого абонента можно отследить по мобильным вышкам с точностью до нескольких десятков метров. Что делать пользователю, если он хочет оставаться в тени?
Илья Сачков: Если специалист по кибербезопасности дает такой совет, вы должны от него убежать. В вашем же вопросе есть ответ. Если вы пользуетесь средством геолокации либо мобильным интернетом - ваше местоположение известно. Если вы пользуетесь смартфоном, то о вас известно все. Посмотрите пользовательское соглашение с операционной системой, с социальной сетью, мессенджером, который вы используете. Бесплатных сервисов не существует - если вы не платите деньги за товар, то товар - это вы.
Восьмизначный пароль, в котором нет специальных символов, взламывается с помощью метода подбора всего за 12 минут. Чем можно заменить пароли в будущем и какие методы идентификации личности вы считаете наиболее защищенными?
Илья Сачков: Пароли, даже со спецзнаками, с большими и маленькими буквами, уже описаны в таблицах. При использовании любых методов, которые их заменяют - отпечаток пальца, изображение вашего лица, биометрия, пароль останется. Например, если вы потеряли голос - вас попросят ввести пароль и т.д. Поэтому про безопасный пароль нужно помнить в любом случае при использовании любой системы, которая заменяет пароль. Правила все те же: пароль должен быть сложным - со спецсимволами, с большими и маленькими буквами, с цифрами. Для каждого сервиса пароль должен быть разным, и его необходимо менять хотя бы четыре раза в год. Я не считаю, что с течением времени биометрия станет более безопасной, поэтому как минимум 70 лет мы будем пользоваться именно паролями в качестве метода аутентификации. От того, насколько мы усвоим базовые правила цифровой гигиены, еще долго будет зависеть наша с вами личная кибербезопасностъ.
Как бороться с тем, что сейчас практически любой может купить готовые инструменты для взлома и почувствовать себя хакером?
Илья Сачков: Тезис очень простой: нужно бороться не с последствиями, а с причиной киберпреступлений. То, что это продается, с этим ничего не поделаешь. Нужно бороться с людьми, которые являются производителями вредоносного программного обеспечения. Этих людей нужно уметь отслеживать, "связывать" их с инструментами, которые используются для атаки, атрибутировать атаки и в итоге выявлять группы, которые проводят атаки, или конкретных физических лиц, которые к этим атакам причастны. А дальше - сажать. "Охотиться" за ними (Threat Hunting - охота за угрозами, англ.) - это единственный способ победить преступность. То есть блокировать сайты, которые это распространяют, не то чтобы бесполезно, но на самом деле технически заблокировать все невозможно. Преступность все равно найдет способ, как обойти запреты.
В обществе по-прежнему есть некое непонимание того, что компьютерное преступление - это самое настоящее преступление. И с самого раннего возраста необходимо объяснить ребенку, что это социально опасное действие. В период пандемии, когда с апреля некоторые школы перешли на удаленное обучение, количество компьютерных преступлений, начиная с простого хулиганства - взломать страничку в социальной сети своего одноклассника, учителя, сделать поддельный сайт школы - и заканчивая более серьезными компьютерными преступлениями, связанными с финансовой мотивацией, среди школьников выросло просто драматически. Поэтому ответ на вопрос очень простой: люди, которые продают любые нелегальные услуги или вредоносный код и особенно кибероружие в интернете, должны быть идентифицированы и привлечены к ответственности.
Вы призывали к введению моратория на кибероружие на международном уровне. Удалось ли продвинуться в этом направлении?
Илья Сачков: К сожалению, пока единого консенсуса в этом вопросе нет. Профильные ведомства (спецслужбы) в разных странах, не понимая возможных последствий, продолжают создавать кибероружие для своих военных операций. Кибероружие - это просто программный код, позволяющий проводить атаки с целью шпионажа, саботажа или полного уничтожения объекта атаки. Так вот дублировать кибероружие сильно проще: не нужно строить военный завод и не всегда нужно обладать теми же самыми техническими знаниями, чтобы создать это кибероружие. Именно поэтому школьник может купить готовый инструмент, прочитать не очень большой документ о том, как он работает, и запустить его, несильно понимая или вообще не понимая, как это создается и как работает. Из всего количества компьютерных преступников, наверное, меньше одного процента тех, кто придумывает новые инструменты, новые способы распространения и доставки вредоносных программ. Все остальные - это люди, которые покупают, арендуют, модифицируют, повторяют либо совершают простейшие с инженерной точки зрения компьютерные преступления.
Русскоязычные хакеры действительно настолько талантливые, как их любит расписывать западная пресса?
Илья Сачков: Есть когнитивное искажение, связанное с "русскими хакерами". Исторически есть понятие "русскоговорящий хакер": есть люди, которые общаются на русском языке в интернете, но живут в разных странах мира и далеко не всегда являются гражданами России. В 2000-е годы многие новые типы преступлений придумывались русскоговорящими людьми, и оттуда тянется шлейф, что русскоговорящим хакерам приписывают некое лидерство. Можно с уверенностью сказать, что русскоговорящая преступность, которая находится во всем мире, а не только в России, это наиболее креативный преступный класс. При этом многие хакерские группы, говорящие на других языках, находятся на русскоговорящих хакерских форумах и используют разработки, придуманные русскоговорящими людьми. В последние лет семь можно выделить и китайскоговорящих хакеров, англоговорящих хакеров. Я для себя, наверное, уже пять лет не атрибутирую хакеров по языку, на котором они говорят. Произошла полная глобализация.