Индустриализация киберпреступности

Хакеры-одиночки уступают зрелому бизнесу

В настоящее время киберпреступность является зрелой отраслью, действующей по принципам, во многом схожим с принципами законного бизнеса в погоне за прибылью. Борьба с распространением киберпреступности означает разрушение бизнес-модели, в которой используются простые в использовании инструменты для получения высокой прибыли при низком риске.

Давно ушли в прошлое легендарные хакеры-одиночки конца 1980-х, когда демонстрация навыков компьютерного мастера 99-го уровня была главной причиной для проникновения в компьютеры других людей. Переход к получению прибыли, начавшийся в 1990-х годах, постепенно захватил хакерскую сферу, создав современную индустрию киберпреступности со всеми атрибутами обычного бизнеса, включая рынки, биржи, специализированных операторов, поставщиков аутсорсинговых услуг, интегрированные цепочки поставок и так далее. Несколько национальных государств использовали одну и ту же технологию для разработки высокоэффективного кибероружия для сбора разведданных, промышленного шпионажа и разрушения уязвимых инфраструктур противников.

Эволюция

Киберпреступность разрастается, даже несмотря на то, что предложение высококвалифицированных специалистов отстает от растущей технической сложности, необходимой для безнаказанного совершения прибыльных взломов. Передовые инструменты и автоматизация восполнили этот пробел. За последние два десятилетия хакерские инструменты претерпели впечатляющую эволюцию. В 1990-х годах так называемое тестирование на проникновение для поиска уязвимостей в компьютерной системе было в моде в профессии. Большинство доступных в то время инструментов были простыми, часто создавались на заказ, и их использование требовало значительных знаний в области программирования, сетевых протоколов, внутренних компонентов операционных систем и различных других глубоко технических предметов. В результате лишь немногие профессионалы смогли найти уязвимые места, которыми можно воспользоваться.

По мере того, как инструменты становились все лучше и проще в использовании, менее квалифицированные, но мотивированные молодые люди, в насмешку называемые “скриптовыми детишками”, начали использовать их с относительным успехом. Сегодня для запуска фишинговой операции, то есть мошеннической практики отправки электронных писем, которые, как представляется, от уважаемого отправителя, с целью обмана людей с целью раскрытия конфиденциальной информации, требуется лишь базовое понимание концепций, желание и некоторая наличность. Взлом стал простым делом (см. диаграмму).

Общеизвестно, что киберриск трудно поддается количественной оценке. Данные о потерях скудны и ненадежны, отчасти потому, что нет стимула сообщать о потерях в киберпреступности, особенно если инцидент не попадает в заголовки газет или нет страховки от киберстрахования. Быстро меняющийся характер угроз делает исторические данные менее релевантными для прогнозирования будущих потерь.

Сценарное моделирование, рассчитывающее издержки четко определенного инцидента, влияющего на определенные экономики, дает оценки в десятки или сотни миллиардов долларов. Лондонский Lloyd’s оценивает убытки в 53,05 миллиарда долларов из-за отключения облачных сервисов продолжительностью от 2 до 3 дней, затронувшего страны с развитой экономикой. В ходе моделирования МВФ средний совокупный годовой убыток в базовом варианте составил 97 миллиардов долларов, а в наихудшем – около 250 миллиардов долларов.

Причины и последствия

Преступность в физическом мире — с целью зарабатывания денег – как правило, мотивируется просто прибылью, потенциально намного большей, чем в легальном бизнесе, которую преступники рассматривают как компенсацию за высокий риск. В мире киберпреступности аналогичные или даже более высокие прибыли возможны при гораздо меньшем риске: меньше шансов быть пойманным и успешно привлеченным к ответственности и почти нет риска быть застреленным. Доходность фишинга оценивается в высокие сотни или даже более тысячи процентных пунктов. Мы можем только предполагать о прибылях, которые становятся возможными благодаря краже интеллектуальной собственности, осуществляемой самыми изощренными субъектами киберугроз. Основы, однако, схожи: эффективный инструментарий и исключительное соотношение риска и вознаграждения приводят убедительные доводы и, в конечном счете, объясняют резкий рост и индустриализацию киберпреступности.

Киберпреступность порождает системный риск в нескольких отраслях. Хотя различные отрасли затрагиваются по-разному, наиболее уязвимым, вероятно, является финансовый сектор. Относительно новую угрозу представляют злоумышленники, мотивированные разрушением. Стремясь дестабилизировать финансовую систему, они выбирают наиболее перспективные цели. Инфраструктура финансового рынка наиболее уязвима из-за своей ключевой роли на мировых финансовых рынках. Учитывая зависимость финансового сектора от относительно небольшого набора технических систем, побочные эффекты от дефолтов или задержек из-за успешных атак могут быть широко распространенными, с потенциально системными последствиями.

Учитывая неотъемлемую взаимосвязь участников финансового сектора, успешное нарушение платежных, клиринговых или расчетных систем — или кража конфиденциальной информации – приведет к широкомасштабным побочным эффектам и поставит под угрозу финансовую стабильность.

К счастью, на сегодняшний день мы не сталкивались с кибератаками с системными последствиями. Однако политики и финансовые регуляторы проявляют все большую осторожность, учитывая недавние инциденты, в результате которых были выведены из строя сети банкоматов и атаки на системы онлайн-банкинга, центральные банки и платежные системы.

Финансовый сектор десятилетиями зависел от информационных технологий и имеет историю поддержания строгих условий контроля за ИТ, предусмотренных нормативными актами. Хотя финансовый сектор, возможно, больше всего подвержен риску кибератак, такие атаки также сопряжены с более высоким риском для киберпреступников, отчасти из-за повышенного внимания со стороны правоохранительных органов (точно так же, как старомодные ограбления банков). Финансовый сектор также лучше справляется с поддержкой правоохранительных органов — например, путем ведения обширных записей, которые ценны для судебных расследований. Увеличение бюджета часто может привести к созданию эффективных решений в области кибербезопасности. (Недавним заметным исключением является Equifax, взлом которой, возможно, стал следствием режима регулирования кибербезопасности, который не был пропорционален его риску.)

В здравоохранении ситуация иная. За исключением самых богатых стран, сектор здравоохранения, как правило, не располагает ресурсами, необходимыми для эффективной киберзащиты. Это очевидно, например, по атакам программ-вымогателей в этом году, которые были нацелены на компьютерные системы компании Allscripts, занимающейся электронными медицинскими записями, и двух региональных больниц в Соединенных Штатах. Несмотря на то, что она также жестко регулируется и подчиняется строгим правилам защиты данных, здравоохранение не так сильно полагается на ИТ, как финансовый сектор, и, следовательно, не развило аналогичную культуру строгого контроля за ИТ. Это также делает сектор здравоохранения более восприимчивым к кибератакам. Что больше всего беспокоит в этой слабости, так это то, что, в отличие от финансового сектора, могут погибнуть люди, если, например, злоумышленники нанесут удар по компьютеризированным системам жизнеобеспечения.

Коммунальные предприятия, особенно электросети и сети связи, часто упоминаются в качестве следующих секторов, где крупномасштабные кибератаки могут иметь серьезные последствия. Однако в данном случае главной проблемой является нарушение или проникновение в системы конкурирующих государств либо напрямую, либо через доверенные организации. Ярким примером может служить массированная атака 2007 года на интернет—инфраструктуру Эстонии, в результате которой были отключены онлайн—финансовые сервисы, СМИ и правительственные учреждения. – Чем более развита экономика, основанная на Интернете, тем более разрушительными могут быть кибератаки. Эстония входит в число наиболее оцифрованных обществ в мире.

Контрмеры

Если затрагивается критически важная инфраструктура — скажем, электросеть – или телекоммуникационные и транспортные сети, или атака мешает правительствам собирать налоги или предоставлять критически важные услуги, могут возникнуть серьезные сбои с системными экономическими последствиями, которые потенциально представляют угрозу общественному здоровью или безопасности. В таких случаях совокупный риск для мировой экономики может превышать сумму рисков отдельных лиц из-за глобального характера ИТ-сетей и платформ, национального характера структур реагирования, неэффективного международного сотрудничества или даже присутствия национальных государств среди злоумышленников.

Международное сотрудничество в борьбе с киберпреступностью и судебном преследовании за нее значительно отстает от глобального характера угрозы. Лучший способ борьбы с киберпреступностью – атаковать ее бизнес-модель, которая основывается на исключительном соотношении риска и вознаграждения, связанном с неэффективным судебным преследованием. В этом контексте бизнес-риск киберпреступности должен быть значительно повышен, но это возможно только при улучшении международного сотрудничества.

Операции по киберпреступности могут охватывать несколько юрисдикций, что затрудняет их выявление и судебное преследование. Некоторые юрисдикции медлительны, неэффективны или просто отказываются сотрудничать в борьбе с киберпреступностью. Более тесное сотрудничество позволило бы быстрее и эффективнее выслеживать подозреваемых и предъявлять им обвинения.

В финансовом секторе регулирующие органы разработали конкретные стандарты оценки, установили осуществимые ожидания и контрольные показатели, а также поощряют обмен информацией и сотрудничество между фирмами и регулирующими органами. Банковские регуляторы проводят проверки ИТ, которые учитывают готовность к кибербезопасности при стресс-тестировании, планировании решений и надзоре за безопасностью и обоснованностью. Для определения устойчивости к атакам некоторым требуются имитированные кибератаки, разработанные специально для каждой фирмы с использованием разведданных и опыта правительства и частного сектора. Компании также увеличили инвестиции в кибербезопасность и включают обеспечение готовности к кибербезопасности в управление рисками. Кроме того, некоторые пытались передать часть рисков с помощью киберстрахования.

Нынешний ландшафт кибербезопасности остается разрозненным и децентрализованным, а риски рассматриваются в основном как локальные специфические проблемы. Существуют некоторые механизмы сотрудничества, и правительства и регулирующие органы активизируют свои усилия, но выбор кибербезопасности во многом определяется корпоративными потребностями — “каждому свое”. Это должно измениться, чтобы обеспечить в целом повышенную устойчивость к киберугрозам. Необходимы решительные превентивные меры как на нормативном и технологическом уровнях, так и во всех отраслях. Среди наиболее важных из них – соблюдение минимальных стандартов кибербезопасности, которые координируются регулирующими органами. Усиленные тренинги по повышению осведомленности в области кибербезопасности помогут защититься от основных технических недостатков и ошибок пользователей, которые являются источником большинства взломов.

Кибератаки и нарушения кибербезопасности кажутся неизбежными, поэтому нам также необходимо сосредоточиться на том, как быстро мы обнаруживаем нарушения, насколько эффективно реагируем и как скоро возвращаем операции в нужное русло.

Author: admin