ИБ-итоги 2019: Год утечек и социнженеров
27.12.2019
Вернуться к списку статей2019 год запомнится масштабными утечками и рекордными штрафами в наказание. Правда, последнее все еще не про Россию. Но не утечками едиными – появились новые способы мошенничества и кибератак. Многие перспективные технологии остаются вне правового поля, потому что регуляторы не успевают за их развитием. Расскажем об итогах года и технологических трендах с точки зрения безопасности. Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», вспоминает главные ИБ-тренды уходящего года и дает прогноз на следующий.
Производители увязли в разработке
Череда громких заявлений в IT поутихла – это стало заметно несколько лет назад, а в 2019-м стало совсем очевидно. Год не удивил принципиально новыми технологиями, рынок двигался по проторенным дорожкам: наращивал скорости передачи данных (вспомним 5G и Wi-Fi 6-го поколения по стандарту 802.11ax), скорость и объемы их обработки (BigData и глубокая аналитика). А многообещающие «премьеры» прошлых лет все никак не выстрелят.
Показательный пример – беспилотный транспорт. Хотя он стабильно удерживает внимание инвесторов, пока производители увязли в разработке. В течение года прошло много испытаний легковых и грузовых беспилотных автомобилей, аэротакси, дронов для сельскохозяйственных нужд, но по большей части это прототипы. Для массового внедрения всем беспилотным системам, увы, пока не хватает надежности.
Итоги интернет-опроса, проведенного «СёрчИнформ» в декабре 2019 года (респонденты могли выбрать несколько вариантов ответа)
Беспилотники реализуются на системах компьютерного зрения, использующих глубокое обучение. В Gartner прогнозируют, что к 2022 году 30% всех кибератак будут нацелены на порчу «тренировочных» данных для нейросетей и кражу готовых моделей машинного обучения. Тогда, например, беспилотники неожиданно могут начать принимать пешеходов за другие объекты. И речь пойдет не о финансовом или репутационном риске для производителей, а о жизни и здоровье людей.
А власти – в законах
Потребители, даже не представляя возможные сценарии атак, чувствуют риск: беспилотникам не доверяют. А в правовом поле по-прежнему не решили вопрос: чья вина, если от «умного» автомобиля страдают люди?
То же можно сказать и о блокчейн-технологиях. Хотя блокчейн справедливо назывался самым безопасным методом для обеспечения онлайн-транзакций, инвестиции в такие проекты упали. Одна из причин – ресурсозатратность. Под технологию нужно адаптировать инфраструктуру, к тому же она потребляет много электроэнергии. Но главная проблема в отсутствии регулирования: нигде в мире пока нет технических стандартов и законодательной базы для внедрения блокчейна.
Попробовать бесплатно продукты «СёрчИнформ»
Отставание регулирования от развития технологий заметно во всем, что касается сбора и обработки биометрических данных. В России тему педалирует Центробанк, активно тестируются технологии в городской инфраструктуре. Возникают первые правовые коллизии, которые разрешаются не в пользу владельцев персданных. Так, москвичка Алена Попова пожаловалась в суд на использование камер с функцией распознавания лиц. Девушка настаивала, что камеры собирают ее данные без согласия, этот процесс не регулируется по закону и она не в курсе, кто имеет к ним доступ. Суд не усмотрел в этом вмешательства в частную жизнь, сославшись на несовершенство технологии – камеры, якобы, не позволяют установить личность, так как у государства пока нет единой базы «биометрии» россиян.
И главное, остается вопрос защищенности биометрических данных. В ноябре замминистра финансов России Алексей Моисеев публично высказал тревогу по поводу утечек данных, а вероятность инцидента с биометрическими данными и вовсе назвал «катастрофой». При этом беспокоиться, судя по всему, есть о чем. В начале декабря СМИ сообщили о продаже данных с московских камер наблюдения на черном рынке. Но об утечках поговорим подробнее.
Утечки с добавкой
Год запомнится масштабами утечек. Эксперты насчитали за год 5 183 сообщения о «сливах» по всему миру, в общей сложности на 7,8 млрд строк, и назвали 2019-й худшим в истории утечек. Рекордной стала компрометация 1,2 млрд «наборов» персональных данных, в том числе полных профилей пользователей Facebook, Twitter и LinkedIn, обнаруженная в конце ноября. Хотя сами по себе утечки – не новость, интересен общественный резонанс и скорая реакция СМИ, которые чаще, чем в прошлом году, писали об инцидентах информационной безопасности.
Тенденция затронула и Россию. Так, летом пресса сообщала, что 360 тыс. записей, в том числе персональные данные политиков и крупных бизнесменов, оказались в открытом доступе из-за брешей на госпорталах. Тогда же РЖД потеряла данные 706 тыс. сотрудников – и публично признала утечку в СМИ. В октябре и ноябре гремели «сливы» из Сбербанка: официально банк подтвердил компрометацию данных 5 тыс. клиентов, журналисты и эксперты заявляли о 60 млн. Тогда же сообщали об утечке информации о 9 млн клиентов проводного интернета Билайна и компрометации базы ФНС на 20 млн человек.
Итоги интернет-опроса, проведенного «СёрчИнформ» в декабре 2019 года
Кроме того, что утечки бьют по репутации компаний, они становятся прямой угрозой для их клиентов. Подтверждая «сливы», компании с одной стороны предупреждают пострадавших о возможной опасности, с другой – дают сигнал злоумышленникам, что слитые данные «живые» и могут использоваться для атак. Причем как на отдельных пользователей, так и на целые организации: зная достоверную информацию об одном сотруднике, злоумышленники могут провести таргетированную атаку на всю компанию.
Социнженерия – великая и ужасная
Как следствие главной угрозой-2019 стала социальная инженерия – во всех возможных формах. В финансовом секторе указывают, что на социнженерию приходится от 70% (по данным Райффайзенбанка) до 88% (Сбербанк) случаев мошенничества против клиентов. В корпоративной среде расцвели BEC-атаки, когда мошенники под видом коллег или контрагентов, для верности используя «внутреннюю» информацию (источником которой также могут быть утечки), выманивают у сотрудников деньги компании через скомпрометированные email-адреса. По похожей схеме развивается уэйлинг (от англ. whale – «кит») – особый вид фишинга, направленный на топ-менеджмент.
Статья в тему. Как распознать фишинговое письмо. Читать.
При этом социнженерия становится более технологичной. В 2019-м впервые зафиксировали атаку с помощью обученной нейросети для подделки голоса: под видом гендиректора международной компании мошенники позвонили руководителю иностранного филиала и убедили перевести им 243 тысячи долларов. Технология общедоступная, в 2020 году стоит ожидать массового распространения таких атак.
Статья в тему. Когда подделка аудио и звука для социнженерии станет массовой угрозой. Читать.
Что касается того, куда направлен их вектор, здесь заметен еще один тренд. В 2019-м мошенники стали чаще нацеливаться на малый и средний бизнес. По подсчетам Verizon, 43% всех кибератак в мире были направлены против МСБ-сегмента, это более чем в 5 раз (на 425%) чаще, чем в прошлом году.
Итоги интернет-опроса, проведенного «СёрчИнформ» в декабре 2019 года (респонденты могли выбрать несколько вариантов ответа)
Небольшие компании в зоне риска, так как меньше защищены. В России проблему признают 75% ИБ-специалистов в корпоративной среде, выяснил «СёрчИнформ». 22% связывают это с недостаточной технической оснащенностью, почти половина жалуется на нехватку кадров. Хотя об остром кадровом голоде говорит только восьмая часть опрошенных, 79% признают, что на поиск достойного специалиста приходится потратить много времени.
GDPR и слабый голос отечественных законотворцев
Вроде бы выручает, что власти и регуляторы повсеместно усилили внимание к ситуации с защитой данных. На мировой арене ждали первых штрафов по GDPR – и получили. Уже в январе под санкции попал Google: за отсутствие прозрачности при хранении и обработке пользовательских данных компанию оштрафовали на 50 млн евро. Но рекордного штрафа в Европе удостоилась авиакомпания British Airways, которая допустила утечку данных 380 тыс. пассажиров. В июле стало известно, что штраф составит 183 млн фунтов (ок. 204,1 млн евро). Вне GDPR компаниям тоже приходится несладко: в США Facebook за нарушение конфиденциальности пользователей заплатит 5 млрд долларов. И это только самые громкие случаи, под раздачу попал десяток других менее известных компаний.
В России до такой практики еще далеко, но риторика явно сменилась, потому что о необходимости защищать персональные данные заговорили на высоком уровне. Когда в общем доступе оказались паспорта Аркадия Дворковича, Анатолия Чубайса и Владимира Соловьева, вице-спикер Госдумы Петр Толстой поднял вопрос о необходимости более аккуратного обращения с информацией. Позже этот вопрос еще несколько раз поднимался в публичном поле, и процесс ужесточения регулирования в сфере пошел.
Впервые нарушения оценили дороже, чем в несколько тысяч рублей. Но речь по-прежнему о наказании не за утечки данных или их незаконный сбор. Приняты поправки в КоАП, которые предполагают наказание для бизнеса за хранение персданных россиян за границей – от 6 до 18 млн рублей.
Одновременно Роскомнадзор получил право без суда блокировать ресурсы, которые нарушают закон «О персональных данных» в части их сбора, хранения и обработки. Все это на фоне создания Единого реестра информации о населении на базе ФНС, который должен стать эталонной базой со всеми сведениями о гражданах РФ. Хотя в документе очень обтекаемо прописаны меры по защите данных.
Не регулировать, а контролировать
И, конечно, ключевой документ, который определяет вектор развития «цифры» в России на долгие годы – с ноября действует закон о т.н. «суверенном интернете». Он должен обеспечить стабильность и независимость российского сегмента Сети. На практике он определяет требования к отечественным операторам связи – в том числе для анализа и фильтрации пользовательского трафика.
В том же духе звучит закон об ужесточении наказания за непредоставление ключей шифрования в ФСБ. Его под самый занавес года подписал президент – теперь повторный отказ влечет за собой штраф от двух до шести миллионов рублей.
Но кроме мер контроля в 2019 году звучали и инициативы, призванные поддержать и даже защитить отечественный IT-сегмент.
Итоги интернет-опроса, проведенного «СёрчИнформ» в декабре 2019 года (респонденты могли выбрать несколько вариантов ответа)
Принят закон об обязательной предустановке отечественного софта на гаджеты, предназначенные для продажи в России – и это может сказаться на всем рынке умных устройств, ведь не все производители (особенно Apple) готовы кастомизировать свои продукты в соответствии с локальными требованиями. В последние дни осенней сессии в Госдуму внесли инициативу по ограничению иностранного владения «значимыми IT-ресурсами». В первой редакции предлагали долю не выше 20%, затем увеличили до 50%. По признанию самих авторов, законопроект в первую очередь нацеливался на контроль Яндекса и Mail.Ru Group – и первые уже пересмотрели структуру управления, создав Фонд общественных интересов с правом вето в совете директоров.
Отечественный софт по новым требованиям должен стать «еще более отечественным» – изменились критерии включения продуктов в Единый реестр российских программ. Теперь все они должны поддерживать отечественные базы данных и операционные системы. Но системного софта собственной разработки в стране немного. В итоге исполнить предписание сложно и вендорам, и организациям, которые по закону обязаны перейти на отечественное ПО – значительно сократится число «подходящих» продуктов.
Так что курс на локализацию, изоляцию, самодостаточность на рынке IT стал в уходящем году еще более очевидным, чем в прошлом.
Выводы
В целом год не принес поражающих воображение прорывов – мы не колонизировали Марс и не создали полностью независимый от человека искусственный интеллект. Но при этом технологии стали массовыми, «цифра» начала уверенно проникать в нехарактерные ранее области. И при таких космических темпах развития рынка – особенно в части IoT и интернет-сервисов – производители и регуляторы не успевают с защитой.
Да, ИБ-решения тоже активно развиваются, но не становится меньше ни уязвимостей, ни угроз – просто потому, что по экспоненте растут объемы данных.
Но хорошая новость в том, что цифровая грамотность пользователей будет неизбежно расти: потребность созрела на волне участившегося мошенничества и будет только усиливаться. И это безусловно положительный тренд. Дело за профессиональным сообществом: IT-компаниям стоит вкладываться в просветительские проекты, ИБ-специалистам в других бизнесах – не жалеть времени на обучение коллег.