Атакуют по всем фронтам
В первом квартале Воронежская и Орловская области вошли в число регионов ЦФО с повышенным количеством атак киберпреступников на сайты бизнеса и госорганов, сообщили в МТС со ссылкой на данные собственного исследования. При этом самой распространенной мишенью стали компании в IT и телекоме, на которые пришлось 39,5 процента всех отраженных DDoS-атак. На втором месте оказался госсектор (почти 30 процентов атак), на третьем - промышленные предприятия (9,3 процента).
Всего за этот период МТС отразила свыше 6200 DDoS-атак на веб-ресурсы заказчиков - в полтора раза больше, чем за второе полугодие 2023 года. Больше всего инцидентов было зафиксировано в Поволжье, на второй позиции - Центральный федеральный округ.
- В последнее время мы отмечаем рост не только длительности и интенсивности DDoS-атак, но и технической подкованности их организаторов. Например, при проведении самой мощной мартовской атаки, которая длилась больше 20 часов, злоумышленники целились не в произвольные серверы компании, а в роутер, чтобы отрезать доступ в интернет сразу для максимального числа ресурсов. Поэтому надежная защита от DDoS-атак является "гигиеническим минимумом" для компании любого масштаба, - подчеркнул директор филиала ПАО "МТС" в Воронежской области Василий Голуб.
В 2023 году в целом по стране произошло около тысячи кибератак на организации финансового сектора. Более 40 процентов из них составили DDoS-атаки, направленные на снижение операционной эффективности. Остальное пришлось на фишинговые рассылки и рассылки вредоносного программного обеспечения, следует из анализа ЦБ.
- Новым трендом стал значительный рост количества компьютерных атак, направленных на эксплуатацию уязвимостей системы управления веб-сайтами. Также участились атаки на разработчиков и интеграторов. Причем хакеры не ограничивались кражей данных, а пытались удаленно подключиться к клиентам. Распознать такую атаку достаточно сложно: подключение с известных адресов в доступную для подрядчика среду сегмента сети воспринимается как легитимное, и его не спешат прервать. Поэтому многократно взрастали риски вывода из строя информационных систем и кражи информации, в том числе персональных данных, - рассказал заведующий сектором защиты информации воронежского отделения Банка России Сергей Чупахин.
Атаки на физлиц стали прицельнее: преступники черпают сведения из открытых источников, в частности соцсетей, и из украденных баз данных. Это позволяет делать уже не веерные звонки и рассылки наудачу, а действовать более точечно. Во втором квартале 2024 года мошенникам удалось провести 257 тысяч операций на сумму около 4,8 миллиарда рублей.
- Количество хищений по сравнению с предыдущими периодами снизилось, но ущерб вырос. То есть увеличился средний размер кражи. Вспомним новости о том, как люди продают недвижимость, берут миллионные кредиты… Примечательно, что из похищенных 4,8 миллиарда на бизнес приходится 135 миллионов. Все остальное выманили у граждан, - констатировал Чупахин.
В основном киберпреступники орудуют по телефону, все чаще звонят через мессенджеры. Обмануть бдительность собеседников помогают психологические методы, основанные на злоупотреблении доверием. Сюжеты разговоров постоянно адаптируют к повестке дня.
Пополняют арсенал
Что можно противопоставить такому натиску?
Один из ключевых механизмов защиты - банковские антифрод-системы. За тот же второй квартал 2024 года финансовые организации смогли предотвратить 16,3 миллиона мошеннических операций (в полтора раза больше, чем за предыдущий период) на сумму 2,3 триллиона рублей.
Другое действенное средство - блокировка телефонов, которые используют мошенники. По статистике ЦБ, в 2023 году она затронула 576 тысяч номеров. Кроме того, по инициативе Банка России был органичен доступ почти к 35 тысячам мошеннических интернет-ресурсов (подавляющее большинство - фишинговые сайты), 4,5 тысячам страниц в соцсетях и 35 поддельным мобильным банковским приложениям.
И, конечно, серьезные шаги принимаются на уровне законодательства.
- В прошлом году вступил в силу закон о взаимодействии между Банком России и МВД, который позволяет сократить сроки получения информации в рамках расследований по делам о киберпреступности. В июле этого года начал действовать закон, по которому банки обязаны приостанавливать переводы, если информация о получателе денег содержится в базе данных Банка России о случаях и попытках мошеннических операций. Если человек перевел деньги на реквизиты, которые находятся в этой базе, банк будет обязан заморозить операцию на два календарных дня и уведомить клиента. Это время дается на то, чтобы человек одумался и отменил операцию. Если же счет был в базе данных регулятора, но банк не приостановил перевод и не уведомил клиента, а потом человек оспорил эту операцию, то банк обязан будет возместить ему деньги сам. Кроме того, теперь банки обязаны отключать доступ к дистанционному обслуживанию так называемым дропперам - людям, которые занимаются выводом и обналичиванием похищенных денег. Их карты должны блокироваться, если от полиции поступили сведения об участии человека в мошеннической схеме. А с марта 2025-го вступает в силу закон, предусматривающий возможность установить самозапрет на выдачу кредитов. Благодаря этому любой человек сможет обезопасить себя от ситуации, когда мошенники взяли деньги на его имя и оставили с долгами, - напомнил Сергей Чупахин.
Куратор проекта "Технологии" в "РГ", эксперт Регионального общественного центра интернет-технологий (РОЦИТ) Олег Капранов отметил, что рынок кибербезопасности в России сопоставим с объемом ущерба от цифровых мошенничеств.
- Для эффективной защиты необходимо решать задачи импортозамещения, поскольку невозможно выстроить еще один контур безопасности на оборудовании других стран, учитывая, что при атаках нередко используются ресурсы зарубежных спецслужб, - полагает он.
Эксперт подтвердил, что тренд на звонки с подменных номеров, ставший заметным год назад, пошел на спад, зато злоумышленники стали активнее использовать мессенджеры. На законодательном уровне приняты определенные меры против таких вариантов мошенничества. Но очевидно, что как только они дадут эффект - появятся новые схемы.
- Скажем, в 2022 - начале 2023 года мы видели массовые кибератаки по крупным государственным и коммерческим структурам. Это заставило вводить очень серьезные, радикальные ограничения для защиты критической инфраструктуры, которые принесли плоды, что позволит постепенно смягчать действующие условия. Однако мошенники тем временем переключились на малый и средний бизнес: данные те же, защита слабее, а значит, надо меньше усилий на взлом. Невозможно предложить единое решение, которое будет доступно всем - от федеральных сотовых операторов до магазинов цветов. Важно развивать инфраструктуру работы с данными, чтобы обеспечить их сохранность, - подчеркнул Капранов.
По его словам, осенью одной из главных тем для отрасли будет создание института уполномоченных по персональным данным, которые будут в том числе обеспечивать защиту данных, изъяв их из непосредственного оборота малого и среднего бизнеса. Для компаний это, правда, означает дополнительные издержки. Также будет продолжена дискуссия по поводу оборотных штрафов за утечки данных.
- Нужно понимать, что делается это не ради пополнения бюджета, а ради того, чтобы побудить бизнес следить за безопасностью клиентов. И здесь важна позиция регулятора, потому что необходима четко работающая цепочка: регулирование, стимулирование, санкции и сервис, которая позволит создать определенную "рамку" для этого рынка, - добавил эксперт. - Значимость вопросов кибербезопасности подтверждается и тем, что им посвящен отдельный блок в новом нацпроекте "Экономика данных".
"Спящие" риски
Истории о крупных потерях от кибератак, казалось бы, у всех на слуху. Но зачастую компании не понимают масштаба и уровня угроз, которые перед ними встают, заявил министр цифрового развития Воронежской области Денис Волков:
- Мы знаем случаи, например, полной шифрации бухгалтерских баз у очень крупных компаний - региональных и даже федеральных сетей. Вектор атаки с инъекцией кода в легитимное ПО казался им фантастикой, хотя это уже совершенно не редкость, и мы знаем, к сожалению, целую серию таких инцидентов. Давным-давно нам рассказывали об этих угрозах эксперты по информационной безопасности. И способы противодействия известны, их важность за минувшие годы только усилилась. Особое значение приобрело импортозамещение ПО. Нравятся нам иностранные программы или нет, но когда они скачиваются с пиратских ресурсов, это очевидный риск с точки зрения "вредоносов". То программное обеспечение, которое взламывает серийные номера и механизмы регистрации, почти всегда содержит майнеры или вредоносы, которые ждут сигнала управляющего центра.
Анализ кадрового рынка в IT-сфере показывает, что специалисты по продуктам иностранных компаний по-прежнему очень востребованы, а запрос на тех, кто умеет работать с российскими операционными системами и программными продуктами, почти отсутствует. Такое наблюдение Денис Волков сделал, изучив данные рекрутинговых платформ.
- Значит, импортные технологии продолжают использоваться. Через какое-то время мы придем к полному обновлению версий программного обеспечения. Таким образом, что работать на старом, лицензионном будет просто невозможно, а все новое иностранное будет "ломанным". Со всеми вытекающими рисками, - подчеркнул министр цифрового развития. - В этой ситуации единственным разумным выходом будет миграция на легальное программное обеспечение - импортозамещенное.
Особое значение данный вопрос приобрел для компаний, которые обслуживают объекты жизнеобеспечения. На Нововоронежской АЭС заверили, что для управления энергоблоками используется только отечественный софт.
- В нем реализованы те принципы, которые являются базовыми для атомной отрасли: резервирование, независимость, модульность - все это служит для того, чтобы не допустить простоя по общим причинам, по внешнему факту отказа, - пояснил начальник смены блока НВАЭС Александр Тихонов.
Развивать интеллект
Многие компании пытаются использовать технологичные решения для борьбы с хакерами. Так, в "МТС" применяют собственный продукт на основе искусственного интеллекта, который позволяет автоматизировать пентесты - проверки систем безопасности путем моделирования взломов, в том числе с применением вирусов-шифровальщиков. Эффект есть, но надо понимать, что подобным ПО, только самописным, могут пользоваться и сторонние компании, напомнил директор филиала ПАО "МТС" в Воронежской области Василий Голуб:
- Мошенники точно так же опираются на искусственный интеллект. К примеру, все фишинговые рассылки сегодня строятся на основе генеративного ИИ - содержание писем подбирается под социальный портрет потенциальной жертвы. Необходимо уделять больше внимания обучению сотрудников, чтобы они могли распознать мошенническую рассылку. Для этого в подразделения "МТС" используют собственные продукты. Также ведется мониторинг на основе искусственного интеллекта для выявления киберрисков в корпоративных системах. Сейчас наши продукты для защиты от DDos-атак, мониторинга кибербезопасности, повышения киберграмотности персонала, шифрования каналов связи и многие другие - успешно работают по всей стране. А в Воронежской области только за последние два месяца мы помогли пяти компаниям избежать взлома корпоративных систем.
Увы, заподозрить неладное, получив письмо от "начальника" или "службы безопасности", способны далеко не все. Это показали прошлогодние учения с участием 370 организаций. Сотрудникам направили послания по типовым темам, используя два десятка доменных имен. Более чем в 40 организациях люди не только перешли по ссылкам из писем якобы от госорганов, но и ввели в открывшихся формах свои данные.
- C одной стороны, есть техническая защита с программным обеспечением, управлением уязвимостями и прочим. С другой стороны - есть люди, с которыми нужно работать, потому что вот он - сбор информации о внутренней структуре компании. Организациям нужно повышать киберграмотность сотрудников. Сейчас есть много различных просветительских материалов. Например, Банк России разработал бесплатный онлайн-курс по финансовой грамотности для взрослого населения. В нем большое внимание уделяется теме информационной безопасности, - рассказал Сергей Чупахин.
В целом уровень финграмотности россиян растет, но ИИ тоже не стоит на месте. Если раньше "подметное" письмо, составленное машиной, можно было отличить по паре признаков, то теперь тематика и стилистика может быть на высоте.
Один из путей, по которому идет бизнес для борьбы с фишингом, - ужесточение внутренних регламентов. Заставить россиян соблюдать все ограничения, предписанные работодателем, довольно сложно. Но реально - как показывает опыт тех же атомщиков.
- У нас поведение сотрудников регулируется очень жестко. Все подчинено протоколам. И когда человек пользуется интернетом внутри контура станции, то его действия прописаны для всех возможных ситуаций. Не буду скрывать, нам пытаются делать фишинговые рассылки. Но сотрудники знают, как и кому такие сообщения переадресовать, - убежден Александр Тихонов.
Для защиты от дипфейков, которые стали развитием фейковых аккаунтов, эффективно применять внутренние корпоративные мессенджеры, добавил руководитель IT ГК "Олимп здоровья" Антон Поротиков.
Нужен киберполигон
Для обеспечения информационной безопасности ключевой вопрос - кадры, настаивает декан факультета компьютерных наук ВГУ Александр Крыловецкий. В университете соответствующие навыки дают в рамках стандартного курса, дополнительно - проводят соревнования для студентов.
- Можно сказать, что мы готовим "белых хакеров", которые могут искать слабые места в цифровом контуре конкретной компании и защищать ее от реальных атак. Эта часть подготовки кадров ведется в значительной степени за счет бюджетного финансирования. Что логично, поскольку мы государственный университет, но проблематично, поскольку мы почти не чувствуем поддержки компаний, которые потом борются за наших выпускников. Уже на втором-третьем курсе многие ребята трудоустроены, что говорит о тотальном дефиците кадров в IT. Но их обучение - дело очень затратное, потому что нужно дорогое и мощное оборудование. И за счет бюджета обеспечить необходимую инфраструктуру на факультете сложно. На мой взгляд, бизнес мог бы вложиться в создание киберполигона - лаборатории для студентов, от которых потом будет зависеть его безопасность, - заявил Крыловецкий.
Реализовать эту идею он предложил в рамках тех проектов государственно-частного партнерства, которые уже существуют в ВГУ ("Приоритет 2030", передовая инженерная школа).
Однако адекватную IT-подготовку должны получать и студенты непрофильных специальностей, подчеркнул Александр Крыловецкий. Пока же их цифровая грамотность, в том числе в сфере информационной безопасности, близка к нулю, считает декан ФКН. Образовательные стандарты для филологов, экономистов или юристов не учитывают масштабов проникновения IT во все сферы жизни. Возможно, соответствующие знания нужно в большем объеме давать еще со школьной скамьи.
Если лет 15 назад стандартным требованием к кандидатам были компетенции "опытного пользователя ПК", то теперь к ним добавятся навыки информационной безопасности, отметил Антон Поротиков.
- Большая часть населения абсолютно безграмотна в плане понимания цифровых технологий. Невозможно предугадать, как поведет себя конкретный специалист того же банка или государственного органа, потому что он ничего не понимает в том, как работают компьютерная система. Он действует по каким-то однажды усвоенным алгоритмам. А хакеры то и дело придумывают новые ходы. Образование - единственное, что способно нас спасти. Я имею в виду и ссузы, и вузы, и программы ускоренной подготовки кадров в сфере информационной безопасности. Но решить проблему будет невозможно без широкого участия бизнеса, - резюмировал Крыловецкий.
Представители бизнеса тут же сделали поправку, выразив недоверие ускоренным курсам для айтишников. Директор департамента IT-инфраструктуры ООО "Стерх" Дмитрий Дмитриев пояснил, что после них люди безосновательно считают себя специалистами:
- Доходило до того, что выпускник не мог отличить силовой кабель от витой пары. Все-таки обучением должны заниматься государственные вузы. Нужно как-то брать под контроль эти "однодневные" курсы, которые выдают дипломы, но никак не снимают острый дефицит кадров. Так же от слова "совсем" нет специалистов по машинному обучению. При запуске проекта "Робот-официант" в кофейне "Шоколадница" не смогли найти специалиста в Воронеже. Пришлось силами своих сотрудников изучать в короткие сроки это направление для запуска проекта.
Что думает машина?
Нехватка специалистов - бич не только IT-отрасли, и в перспективе проблема будет только нарастать. Снизить нагрузку на действующих сотрудников, которым приходится выполнять все больший и больший объем работы, надеются с помощью AI-решений.
К примеру, в Воронеже вынашивают идею внедрить интеллектуальные системы видеонаблюдения для многоквартирных домов.
- По нашему запросу программисты прописали сценарии обнаружения тех или иных тревожных ситуаций при анализе видеопотоков с сотен камер. Это может быть пожар, ДТП, драка, выброшенный из окна мусор и другие события, актуальные для управления недвижимостью. Мы предполагаем, что нейросети помогут сотрудникам оперативно реагировать на такие сигналы, - сообщил руководитель ООО "Управляющая организация "Смайл" Дмитрий Батищев.
На Нововоронежской АЭС применяют систему поддержки операторов, где информационная система дает рекомендации по поводу оптимальных действий персонала при отклонениях от заданных параметров. Применение такого решения безопасно - оно создано специально для атомной станции, использует ее оборудование. Наполнение базы данных ведет только внутренний персонал.
Ряд AI-сервисов для здравоохранения, образования, госуправления и работы с обращениями граждан разработал "Сбербанк". Врачам, к примеру, предлагается заполнять медкарты пациентов, диктуя текст через обычную гарнитуру. Нейросеть распознает его и вносит информацию в нужные разделы.
- Решение апробировано в поликлиниках и больницах Липецкой и Тамбовской областей. Отзывы положительные. Далее мы предлагаем развернуть его на сервере медицинской информационной системы региона, - рассказал директор управления по работе с органами власти Центрально-Черноземного банка ПАО "Сбербанк" Евгений Лесных. - Также у нас разработан "цифровой ФАП" в виде чемоданчиков с "умными" тонометрами и электрокардиографами, анализаторами крови и мочи… Туда можно добавить отоскоп, портативный УЗИ-аппарат, флюорограф, рентген-аппарат, прибор для снятия суточной ЭКГ и другое оборудование. Смысл в том, чтобы фельдшер мог провести исследования и автоматически передать результаты профильному врачу в поликлинику или больницу. Для этого нужен скоростной интернет, а он есть в большинстве поселений, даже отдаленных. Пациенту не придется ехать на первичный прием, и отсутствие врача в селе не помешает составить план лечения.
Другое ИИ-решение, которое уже закупают клиники, позволяет на основе анамнеза определить три наиболее вероятных диагноза. Эта система служит для врача аналогом "второго мнения". Известна также программа для анализа снимков легких. Прогнав через нее изображения, собранные в период пандемии коронавируса, удалось выявить у части пациентов признаки рака. Врачи могли не заметить эти изменения, так как были нацелены на поиск пневмонии.
- В Воронеже в частной школе "Вектор" тестируют наш продукт для проверки работы учителя. Идет речевая запись урока, в конце система выдает краткий конспект и подсчитывать, сколько времени человек говорил не по теме или бессодержательно, - добавил Лесных.
Впрочем, не редки случаи, когда модный инструмент себя не оправдывает.
- Нам предлагают довольно много продуктов, основанных на искусственном интеллекте. Можно выделить два типа систем - для описания изображений снимков, результатов УЗИ) и системы помощи принятия врачебных решений. От всех вариантов мы в итоге пока отказались, - сообщил руководитель IT-отдела ГК "Олимп здоровья" Антон Поротиков. - В части лучевой диагностики все разработчики признают, что их AI-модель хорошо справляется с простыми случаями, а сложные должен смотреть врач. Обработка изображений при этом проходит в облаке, вне закрытого контура сети клиники. Очень велик соблазн поддаться - разгрузить врачей, увеличить поток пациентов и прибыль. Но где гарантия, что модель даст верное описание? Никто не знает, что у нее "под капотом" и на каких данных происходило обучение. Цена ошибки очень высока. Примерно такие же сомнения у нас вызвали те системы помощи принятия врачебных решений, которые нам демонстрировали. Кто будет прав в случае противоречий между рекомендациями искусственного интеллекта и живого специалиста?..
Интеллект без ума
Необдуманное внедрение ИИ-решений чревато проблемами с безопасностью: в сторонних продуктах могут быть использованы инфицированные датасеты, модели непонятной сборки, добавил Олег Капранов. Другое дело, когда обучение нейросети организовано как внутренняя работа компании - скажем, Сбер реализовал такой проект совместно с Сибуром. Они представили его в этом году на ЦИПР.
Александр Крыловецкий призвал не возлагать на AI-решения чересчур больших ожиданий, напомнив о том, что на текущей стадии "ни о каком интеллекте речи не идет:
- Это современные технологии машинного обучения, помноженные на мощность оборудования. Но уровня человеческого мышления они не достигли и неизвестно, достигнут ли когда-либо. Нейросети хорошо умеют искать информацию, это "умные" справочники. Генеративные сети могут имитировать рассуждение, комбинируя и преобразуя готовые фразы по правилам конкретного языка, но понимания смысла там нет и быть не может. Поэтому может получиться абсолютный бред. В медицине или атомной энергетике ИИ может использоваться только как поисковая система. Скажем, надо посмотреть все похожие случаи, все варианты лечения в запутанной ситуации. Но чтобы разобраться в результатах поиска, нужен еще более квалифицированный врач, чем раньше.
Эксперт подчеркнул, что развитие технологий искусственного интеллекта упирается в наличие суперкомпьютеров. Чем мощнее оборудование, тем быстрее обработка информации. В этой "гонке вооружений" Россия отстает. На федеральном уровне поставлена задача развивать компьютерную инфраструктуру. В Воронеже суперкомпьютер есть, но чтобы его модернизировать - а это неподъемно дорого для вуза - опять же, нужно софинансирование от бизнеса.
- Наука только начинает понимать, как работает мозг. Прорыв в области создания искусственного интеллекта возможен на стыке биологии и квантовой физики, на новых физических принципах. Пока же, генеративный ИИ несет опасность разрушения образования, - считает Крыловецкий. - Преподаватели не знают, как реагировать на то, что задание за студентов делает ChatGPT. Первокурсники поручают ему писать программы на лабораторных работах. И по стилю кода видно, что работал не человек. Особенно если десять ребят "сделали" таким образом одно и то же задание… Цифровизация образования больше разрушает его, нежели выводит на более высокий уровень. Технологии отвлекают молодежь от обучения. Эту проблему общество еще не осознало. Что мы будем делать с искусственным интеллектом при отсутствии естественного?