— 2020 год выдался крайне необычным во многих смыслах. Изменился ли характер хакерских атак во время пандемии?
— Киберпреступники практически полностью подстроились под обстоятельства. Они активно использовали всю тематику пандемии, компании и темы, которые эксплуатировались наиболее часто. Здесь можно начать с фишинга: в период пандемии было огромное количество рассылок, сайтов с якобы медицинскими товарами, информацией о вирусе, информацией о стимулирующих выплатах.
Кроме того, они активно атаковали все сервисы и компании, которыми наиболее часто пользовались люди на удаленке: онлайн-кинотеатры, сервисы доставки, сервисы для проведения занятий онлайн. Также хакеры использовали тот факт, что многие компании были вынуждены перевести сотрудников на удаленку.
Еще один интересный момент — в первом квартале 2020 года хакеры стали использовать новую тактику.
Перед шифрованием баз данных жертвы злоумышленники извлекают большие объемы коммерческой информации и угрожают опубликовать ее, если не будет заплачен выкуп. Иногда они действительно публикуют ее часть. Эти сведения –– козырь хакеров: они знают, что за утечку информации компаниям, согласно законодательству GDPR, придется заплатить огромные штрафы.
Иными словами, к атаке добавляется дополнительный этап — получается двойное вымогательство. Это оказывает дополнительное давление на организации и мотивирует выполнять требования хакеров.
— Сообщения об атаках на разработчиков вакцин, медицинские центры и больницы появляются в прессе пугающе часто. Неужели это наша новая реальность?
— Коронавирус еще не скоро уйдет из новостной повестки, а значит, злоумышленники будут пользоваться этой темой и всем, что с ней связано – они всегда используют повестку дня для своих атак. Атаки на больницы, исследовательские лаборатории, особенно в такой период –– это возможность для злоумышленников получить выкуп или внимание.
— В чем цель злоумышленников, атакующих медицинские учреждения? Чего они добиваются?
— Цели могут быть разные – как получение финансовой выгоды, так и нанесение вреда, получение широкой огласки. Медицинские записи продаются в дарквебе по цене до 1000 долларов за запись, поэтому скомпрометированные электронные медицинские карты – очень привлекательные цели. Больницы тратят в среднем 430 долларов для устранения каждой украденной медицинской записи.
— Каковы последствия подобных атак — от самых безобидных до критических?
— Программы-вымогатели уже вызывали ранее перебои в работе больниц по всему миру, подвергая опасности тысячи жизней.
Следующими целями могут быть медицинские устройства –– инъекторы инсулина, кардиомониторы, кардиостимуляторы.
Больницы очень подвержены рискам. Во-первых, в них есть огромное количество незащищенных устройств жизнеобеспечения — на каждую кровать приходится от 10 до 15 медицинских устройств, а новые умные кровати контролируют до 35 показателей, включая показатели крови, уровень кислорода и давление. Однако поскольку многие из этих устройств были разработаны с минимальным учетом требований безопасности или вообще без них, они могут иметь стандартные пароли, что упрощает взлом любым лицом, имеющим физический или сетевой доступ.
Еще две проблемы безопасности — недостаточная аутентификация пользователя и отсутствие шифрования в беспроводной связи.
Во-вторых, мы можем говорить об устаревших операционных системах — почти половина подключенных медицинских устройств работает на неподдерживаемых ОС, которые больше не получают обновления безопасности.
К ним относятся ультразвуковые аппараты, МРТ и многое другое, что делает их крайне заманчивыми целями для кибератак, например, с помощью программ-вымогателей.
Исследователи Check Point продемонстрировали легкость, с которой ультразвуковой аппарат, работающий на старой операционной системе Windows, может быть взломан, раскрывая всю базу данных изображений пациентов. Неудивительно, что в последние месяцы наблюдается рост числа атак программ-вымогателей на медицинские учреждения на 75%.
— Как менялось отношение к кибербезопасности в связи с переходом на удаленную работу? Действительно ли компании стали уделять ей больше внимания?
— Многие компании пересмотрели роль информационной безопасности в бизнесе. Те руководители, которые до конца не понимали значение технологий, скорее всего, теперь осознали это в полной мере. Эксперты по защите информации вышли на первый план: теперь от них зависело, сможет ли компания в таких экстремальных условиях поддерживать такую же непрерывную эффективную работу, как и раньше.
Компании просто не могли не обращать внимание на кибербезопасность.
Главными угрозами для бизнеса были и остаются утечка конфиденциальных данных и проникновение злоумышленников в сеть компании.
Через одного невнимательного сотрудника злоумышленники могут получить доступ ко всем данным. Как потом распорядятся злоумышленники полученными данными –– известно только им. Компания могла потерять важную информацию, получить требование о выкупе и прочее.
Сейчас ИБ-эксперты могут помочь бизнесу пересмотреть подход к организации работы: например, перевести большую часть команды на работу из дома и сэкономить на аренде офиса.
— Возможно ли обеспечить тотальную безопасность сотрудника, пока он работает из дома?
— Когда весной компании экстренно переводили своих сотрудников на домашний режим работы, было невозможно сразу обеспечить полную кибербезопасность.
Проблемы начинаются с того, что не каждый работодатель знает, как вообще выглядит идеально безопасное удаленное рабочее место. И, конечно, далеко не каждая компания готова такое идеальное рабочее место обеспечивать.
Примерно 70-80% пользователей работали с личных устройств, которыми они пользуются совместно с другими членами семьи.
И, согласно нашим опросам, половина устройств не имела даже элементарной защиты.
Мы все больше осознаем риск киберугроз. В то время как в физическом мире один заболевший может заразить в среднем двух человек, что считается очень опасным, в кибермире один зараженный компьютер может проникать через 20-30 устройств каждую секунду. Поэтому мы должны быть уверены, что у нас есть инструменты, которые смогут с этим бороться, а не люди, потому что мы не можем конкурировать со скоростью киберпредприятий.
Обеспечить полную безопасность удаленного сотрудника реально, но придется поработать.
Для ИБ-команд это будет серьезное испытание. Важно использовать решения защиты бизнес-уровня: VPN для защиты коммуникаций, решения для защиты смартфонов и ПК. Не последнее значение имеет уровень киберграмотности пользователей. Человек по-прежнему остается самым уязвимым фактором во всей системе.
Для того, чтобы удаленная работа была безопасной, нужен комплексный подход: как использование решений защиты бизнес-уровня, так и работа со своими сотрудниками, рассказ о правилах безопасности.
— Считаете ли вы, что пандемия повлияет на стратегию киберзащиты во всем мире? Изменятся ли ее принципы? Какие новые технологии будут использоваться в кибербезопасности для защиты от злоумышленников?
— Раньше для компаний было важно защищать свою локальную сеть, периметр – но сейчас его больше нет, границы очень размыты. Люди работают в офисе, потом идут в кофейню и работают там, по дороге домой отвечают на письма со своего смартфона. Поэтому современная защита должна быть комплексной, охватывающей всю ИТ-инфраструктуру, в ней должны быть объединены технологии для безопасности сетей, рабочих станций, облаков, IoT, мобильных устройств.
Нужно защищать каждый гаджет, с которого или при помощи которого сотрудник заходит в корпоративную сеть.
Важно будет сменить ментальность: многие компании считают, что если они быстро обнаружили заразу внутри периметра, то это успех. На самом деле это показывает, что они опоздали: нельзя вообще допускать попадания злоумышленников в сеть.
— Какие новые вызовы в ИБ-сфере ожидают нас в 2021 году?
— COVID-19 стал настоящим «черным лебедем» — крайне редкое, но необычайно серьезное событие в одночасье подорвало бизнес. Что можно предположить для 2021 года? Во-первых, так как коронавирус и борьба с ним – изучение вируса, работа над вакцинами и лекарствами -— будут по-прежнему занимать человечество, то с большой долей вероятности атакам будут подвергаться фармацевтические компании, работающие над разработкой вакцины, лекарств.
Во-вторых, пока школьники и студенты учатся из дома, скорее всего, системы дистанционного обучения тоже будут интересовать хакеров.
В-третьих, можно ожидать, что в атаках будут все чаще использоваться ботнеты. Хакеры уже трансформировали множество существующих вредоносных приложений в ботнеты, чтобы создать целые армии из зараженных компьютеров для кибератак.
Четвертый ожидаемый пункт –– кибервойны будут на глобальном уровне. Исследователи Microsoft заявили, что за этот год хакеры только трех стран осуществили 89% кибератак государственного масштаба. Атаки были чрезвычайно распространены, а их целью становились события разного уровня — от выборов до Олимпийских игр. И также в 2021 году мы ожидаем мы ожидаем активное использования дипфейков. Их могут применять для производства контента, способного манипулировать мнением людей, стоимостью акций или гораздо более серьезными вещами.