Подготовка к кибервойнам началась: грядущие изменения законодательства России
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
2016 год наглядно продемонстрировал, что киберпреступники способны не только наносить материальный ущерб, но и влиять на ход политических событий. Их методы становятся все более изощрёнными, а законодатели, порой, не успевают вовремя реагировать на все новые и новые угрозы.
Чем активнее развиваются технологии, тем более изобретательными становятся киберпреступники. В ноябре 2016 году аналитики IDC обнародовали прогноз, согласно которому к концу 2016 года мировая экономика потеряет из-за киберпреступлений $650 млрд, а к 2020 – более $1 трлн. ФСБ России также озвучило свою оценку – рубеж потерь в $1 трлн уже пройден. При этом одной потерей денег ущерб не ограничивается – в современном мире доступ к информации может привести к не менее серьёзным последствиям.
Векторы кибератак
По данным Positive Technologies, результатом 46% кибератак в прошедшем году стала компрометация данных – например, публикация переписки Хилари Клинтон, которая, по мнению экспертов, сыграла значительную роль в предвыборной борьбе за пост президента США.
Объектами 62% кибератак в 2016 году стали организации. Все большую популярность приобретает проникновение в корпоративную сеть путём социальной инженерии – через сотрудников компании, например, при помощи таргетированного фишинга в виде делового письма. Именно таким образом начинались успешные атаки на финансовые организации России, стран СНГ и Восточной Европы, включая атаку Cobalt.
Одновременно, благодаря широкому распространению Bitcoin, существенно увеличилось число кибератак с требованием выкупа, который преступники требуют за прекращение DDoS или за предоставление информации о найденных уязвимостях. Из российских примеров – атака на бухгалтерию казанского МВД, которая была произведена с помощью трояна-шифровальщика.
В зоне особого риска промышленные системы управления (АСУ ТП). Согласно данным исследования Positive Technologies, практически половина уязвимостей, найденных в АСУ ТП в 2016 году, имеет высокую степень риска. "В целом, среди найденных в сети Интернет компонентов АСУ ТП только две трети можно условно назвать защищёнными. При этом самыми распространёнными компонентами, доступными через интернет (как правило, с несложным словарным паролем), являются системы для автоматизации зданий (Tridium/Honeywell), а также системы мониторинга и управления электроэнергией, в том числе на основе солнечных батарей (SMA Solar Technology)", – говорят авторы исследования и в качестве примера приводят взломы электросетей Украины в декабре 2015 года и декабре 2016 года, в результате которых тысячи людей остались без электричества.
Примерно в таком же положении находятся пользователи интернета вещей (IoT), например, систем "умного дома", Smart TV. Но если в случае АСУ ТП политики и средства информационной безопасности уже существуют, то рынок IoT абсолютно не защищён как технически, так и юридически. "Подключенные к сети устройства, работающие в ней без участия людей, стали новым источником угроз в интернете, – говорит Андрей Воробьёв, директор Координационного центра доменов .RU/.РФ. – Стремительный рост их количества в сочетании с низкой культурой пользовательской безопасности при обращении с ними, а также с недостаточными мерами безопасности со стороны производителей, привели к созданию гигантских бот-сетей, таких как Mirai — именно она использовалась при атаке на одну из крупнейших инфраструктурных компаний DYN, в результате которой многим жителям США на некоторое время стали недоступные различные популярные ресурсы, в том числе Netflix и Twitter. Потенциально такие сети смогут наносить ещё больший ущерб, и опасность неаккуратного использования устройств интернета вещей будет только возрастать".
Наиболее интересны киберпреступникам финансовые организации – число атак на них растёт и будет продолжать расти в среднем на 30% в год. При этом если на Западе большинство подобных инцидентов направлено на клиентов банков, в России злоумышленники атакуют банковские системы всех уровней – от ДБО до АБС. При этом для проникновения хакеры все чаще применяют абсолютно легитимные средства и встроенные функции операционных систем.
Самым популярным объектом нападений остаются веб-приложения, в особенности сайты государственных органов и интернет-магазины. Кибератаки на них чаще всего происходят в ручном режиме, в то время как взломы сайтов промышленных компаний в 98% случаев автоматизированы.
Целый ряд новых трендов проявился в 2016 году и в сфере безопасности телеком-сервисов. Так, многие жители российской столицы заметили подмену GPS-сигнала в районе московского Кремля – по словам экспертов, это делает невозможным использование в этом районе беспилотников. Не остался незамеченным и очередной взлом аккаунтов в мессенджерах Telegram и WhatsApp. А опыт Deutsche Telekom, чьи клиенты остались без интернета в результате атаки на домашние роутеры, наглядно продемонстрировал необходимость тщательной проверки таких устройств перед тем, как предлагать из потребителям.
И, конечно, хакеры не могли обойти своим вниманием смартфоны, планшеты и другие столь популярные носимые устройства. Особенно пострадали в 2016 году пользователи гаджетов на Android, которые были атакованы не только благодаря уязвимостям самой платформы, но и через "дыры" во вполне легитимных приложениях. Кроме того, все большая популярность BYOD позволяет злоумышленникам проникать в корпоративные сети через подключенные к ним мобильные устройства сотрудников, а также использовать их для промышленного шпионажа, включая в нужный момент микрофон или другие сенсоры.
Неожиданностью для многих стали выявленные в 2016 году специалистами уязвимости процессоров Intel, в частности, возможность отключения подсистемы Intel Management Engine (ME) и доступа через USB 3.0 к низкоуровневому отладочному интерфейсу, работающему с гипервизорами, ядром ОС и драйверами.
Трансформация правового поля
Очевидно, что сформировавшиеся в 2016 году тренды в ближайшие годы будут только развиваться. Успевает ли законодательство за хитроумными хакерами? Или проблемы ИБ должны решаться руководителями конкретных предприятий и организаций? По мнению Евгения Царёва, судебного эксперта по информационной безопасности, исключительно законодательными инициативами эти вопросы решить не получится. "Проблема безопасности в государственном масштабе комплексна и требует системного решения. Таким образом, все будет зависеть от будущей практики", – говорит он.
"Обеспечение защиты информации – это не только законы, но и международные соглашения, Конституция РФ, федеральные законы прямого действия, отраслевые законы, подзаконные акты, требования уполномоченных органов, – продолжает Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.". – Например, недавно принята новая Доктрина ИБ. Надо привести в соответствие ей всю нормативно-правовую базу, согласовать между собой области и задачи, которые решает каждый закон. Реинжиниринг федеральных законов тоже должен периодически осуществляться".
По мнению Владимира Емышева, менеджера по развитию НИИ СОКБ, основная проблема заключается в том, что после выхода того или иного законодательного акта организациям даётся время, зачастую 2-3 года, на приведение информационных систем в соответствие его требованиям. Но технологии развиваются так быстро, что за этот период все может кардинально измениться. "Облачность, мобильность, интернет вещей, новые программные и аппаратные платформы, несущие в себе новые уязвимости, социальная инженерия, ежедневно появляющиеся новые семейства вредоносных программ накладывают свои требования по безопасности к информационным системам. Но далеко не каждое из этих требований учтено в существующих законодательных актах", – говорит он.
В числе основных документов в сфере ИБ опрошенные Digital.Report эксперты называют утверждённую 5 декабря 2016 года доктрину информационной безопасности и принятый в первом чтении законопроект "О безопасности критической информационной инфраструктуры". Они должны стать основой для дальнейшего развития этого направления в российском законодательстве.
Владимир Емышев считает, что прежде всего в связи с появлением новых угроз необходимо внести коррективы в "Методику определения угроз безопасности информации в ИС" от 2015 года. Также изменения, касающиеся интернета вещей, должны появиться в законе "Об информации, информационных технологиях и защите информации" – речь идёт о внесении в него понятий "технологические данные" и "инфраструктура технологических данных", а также определении состава такой инфраструктуры на уровне оборудования и ПО. "Кроме того, необходима проработка отдельных документов, регулирующих процессы обеспечения безопасности данных облачными провайдерами, поисковыми системами, онлайн-магазинами, – наподобие директивы NIS для Европейского союза", – продолжает он.
Алексей Сабанов говорит о необходимости принятия в 2017 году закона "О безопасности критической информационной инфраструктуры" и связанных с ним законопроектов "О внесении изменений в законодательные акты РФ в связи с принятием ФЗ "О безопасности критической информационной инфраструктуры" и "О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ "О безопасности критической информационной инфраструктуры", а также уже внесённого правительством законопроекта "О внесении изменений в федеральные законы в части наделения федерального органа исполнительной власти полномочием по установлению порядка осуществления государственного контроля за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных".
В списке мер по дальнейшему совершенствованию российского законодательства в сфере ИБ он ставит на первое место его гармонизацию с заключенными международными соглашениями. "Затем можно обратиться к некоторым актуальным проблемам, таким, как законодательное введение риск-менеджмента в критически важных отраслях, создание системы доверия как основного средства противодействия киберугрозам, создание доверенного пространства для обеспечения юридической силы электронным документам и многие другие", – говорит Алексей Сабанов.
В целом, по мнению Алексея Качалина, заместителя директора по развитию бизнеса Positive Technologies в России, все шаги, которые сегодня предпринимает государство в этой сфере, абсолютно правильные. Они направлены на то, чтобы критически важные информационные системы были защищены. "Благодаря им у заказчиков появляются законные основания для закупки тех или иных решений в сфере ИБ, в то время как раньше это могло быть истолковано, как нецелевое расходование средств, – продолжает эксперт. – Думаю, что сейчас в нашем законодательстве уже есть минимально необходимый список мер по обеспечению ИБ, и он будет расширяться с учётом события, которые происходят на этом рынке".