Противостояние киберугрозам — одна из ключевых проблем современности. Подвергнуться атаке могут как частные лица, так и крупные компании или государства. О том, с какими проблемами сегодня сталкиваются специалисты в этой сфере, какие виды мошенничества наиболее распространены в России и почему сотрудничество с хакерами может быть полезно, «Известиям» на полях ВЭФ рассказал заместитель председателя правления Сбербанка по кибербезопасности Станислав Кузнецов.
«Одна из главных киберугроз — это хищение данных»
— Вы — один из ведущих экспертов по кибербезопасности в стране. Буквально накануне здесь, на форуме, в интервью с Сергеем Лавровым мы говорили о том, что вопросы кибербезопасности относятся к одной из ключевых проблем как для России, так и для всего мира. Откуда исходит основная угроза?
— Если говорить о трендах в мире, то, к сожалению, они, как мы и предсказывали, не очень хорошие. Сегодня все наши предположения и предсказания, прогнозы в этом смысле полностью сбылись. Мы предполагаем, что сегодня общий мировой ущерб, связанный с проблемами в сфере кибербезопасности, может составлять где-то около $2,5 трлн. Что касается России, то, к сожалению, мы тоже находимся в плохом тренде, и на сегодняшний день даже общими усилиями мы не смогли переломить эту ситуацию.
— Но какие-то шаги в этом направлении были предприняты?
— Да, и те программы, которые сегодня запущены в рамках нацпроекта «Цифровая экономика», дают свои плоды. Во-первых, появились четкие правила, было ужесточено законодательство, появились новые инструменты для сотрудников правоохранительных органов. Но, самое главное, что те крупные компании, которые инвестировали в кибербезопасность, сегодня более или менее защищены и могут делиться задокументированной информацией с правоохранительными органами в части поиска мошенников и их задержания, тем самым предотвращая также новые преступления.
— Для России сегодня какие угрозы являются ключевыми?
— В России в 2019 году в том, что касается киберугроз, тренд несколько изменился. Сегодня, если проанализировать ход событий первой половины года, можно выделить два направления. Сами по себе они новые, но сейчас их можно выделить как ключевые тренды именно для России. Первый — это утечка данных. Хищение данных либо человека, либо корпоративных данных компании. Это направление приобрело сегодня новое звучание и с точки зрения объемов, и с точки зрения качества исполнения. Мошенники собирают очень много данных. Фактически сегодня около 80% «продуктов», которые продаются в теневом сегменте интернета, — это именно такая информация. И в том числе информация о банковских продуктах.
— Почему это настолько важно? Казалось бы, ну узнают покупатели мою фамилию и что?
— Дело в том, что мошенники таргетированно собирают данные для их последующей монетизации, используют для различных мошеннических действий, в том числе в сфере социальной инженерии, которая именно в России сегодня на самом деле лидирует с точки зрения роста и распространения как одна из самых явных и заметных категорий киберпреступлений.
И второе направление — киберпреступники сегодня атакуют тех, кто меньше всего защищен. В данном случае мы можем подтвердить, что в первой половине 2019 года самым незащищенным оказался малый бизнес и большая часть представителей среднего бизнеса. Они сегодня не защищены или защищены очень плохо: согласно выводам наших аналитиков, какие-то элементарные инструменты защиты сегодня имеют лишь около 2% компаний малого и среднего бизнеса.
— Причина — в их собственной беспечности или такие продукты им просто недоступны?
— И то и другое. Во-первых, в этих компаний нет соответствующих правил, которые они обязаны бы были соблюдать. Они не понимает, что и физический, и виртуальный мир сегодня очень изменился. Ни одна компания сегодня не может позволить себе не инвестировать усилия в кибербезопасность. Причем не средства, а именно собственные усилия. Потому что, по моим оценкам, обеспечить надежный уровень безопасности в любой компании можно и без существенных финансовых вложений, важнее прописать четкие инструкции. Около 85% всех усилий приходится именно на изменение внутренних процессов. Ну и, во-вторых, конечно, сегодня на рынке не так много продуктов для того, чтобы можно было взять штекер, присоединиться к какому-то облачному ресурсу… На Западе подобные тренды уже явно монетизируются. Примерно 4–5 компаний на Западе лидируют в этой области, но я думаю, что в этом году в России появится как минимум два подобных ресурса (в числе которых будет и ресурс, который будет предоставлять компания BI.ZONE), которые смогут предоставлять подобного рода сервисы для компаний и физических лиц.
«Русские хакеры — это, конечно, миф»
— Киберпреступность транснациональна или у нее все-таки есть какие-то четкие географические центры?
— Конечно, центры есть, транснациональной ее называют по той простой причине, что киберпреступники используют так называемую распределенную сеть серверов…
— Это, собственно, способ их защиты…
— И если посмотреть на те страны, где больше всего развиты облачные технологии, ЦОДы — центры обработки данных — то, собственно говоря, с их «территорий» и происходят атаки, в том числе с территории США. Но это совсем не значит, что все преступники находятся в Соединенных Штатах Америки. Просто они используют сервисы, которые легко можно получить на территории этих стран.
Мы считаем, что в Азиатско-Тихоокеанском регионе (АТР) есть такой разнонаправленный тренд — с одной стороны, здесь около 85% девайсов, присоединенных к интернету, если считать весь мир. С другой стороны, на эти ресурсы проводится очень небольшое количество атак, причем нельзя говорить о защищенности, потому что здесь огромный дефицит специалистов в области кибербезопасности. Но есть экспертная гипотеза о том, что в ряде стран АТР сегодня находятся некоторые организованные преступные группы, которые атакуют, к сожалению, и другие страны.
— Русские хакеры — это миф, реальность или повод для гордости?
— Такая проблема точно не может быть поводом для гордости. Но при этом сами по себе русские хакеры — это, конечно, миф. Есть очень много преступных группировок, в том числе, как нам известно, и в Корее, и в Китае, и на территории Турции, и на территории Бразилии, в Соединенных Штатах, в ряде стран Европы, которые действуют от имени русских хакеров, используя этот образ в качестве своеобразной ширмы. Но эксперты считают, что Россия входит даже в первую десятку стран, граждане которых действительно занимаются кибермошенничеством.
— Задача сформировать цифровую экономику расценивается как некий вызов, как прорыв, но при этом уже растет поколение гаджетоманов, для которых обитание в цифровой среде является естественным. Можно ли говорить о том, что это поколение подвергается куда большей угрозе?
— Безусловно. Также, как безусловно и то, что это поколение обладает куда большими знаниями о том, как защищаться. И это поколение уже сегодня значительно шире использует необходимый минимальный набор знаний для того, чтобы не допустить утечек, не размещать материалы на незащищенных ресурсах, не менять свои пароли и многое другое. Это поколение сегодня имеет более высокий уровень киберкультуры по сравнению с нашими гражданами в среднем.
— Возвращаясь к вопросу о транснациональности киберпреступности, означает ли это, что и законодательство в области кибербезопасности должно быть наднациональным, общемировым?
— Очень хороший вопрос, мне кажется, сегодня это серьезная общемировая проблема. На данный момент из нормативных документов существует только лишь Венская конвенция 2001 года по кибербезопасности и больше ничего, ни одного инструмента на уровне, например, Организации Объединенных Наций (ООН) нет. Инициатива, которую Россия выдвинула полтора года назад, на самом деле очень востребованная — именно на уровне ООН надо принять некие элементарные правила, касающиеся того, как мы все вместе должны себя вести для того, чтобы противодействовать киберугрозам. Потому что если у одной страны высокий уровень киберустойчивости, а у другой его нет, это означает, что преступники имеют возможность для более широкого маневра и могут, к сожалению, добиваться своих целей.
— Нежелание других стран двигаться в направлении, предложенном Россией, — это осознанная политика или просто непонимание угрозы?
— Мне кажется, что, конечно, политика. Сегодня та геополитическая турбулентность, которую мы наблюдаем, не способствует налаживанию взаимодействия в этой области. Фактически сотрудничество, направленное на объединение усилий в этой области, сегодня близко к нулю на официальном, политическом уровне. Тем не менее на уровне бизнеса мы, наоборот, видим разнонаправленный тренд. Те компании, которые сегодня всерьез занимаются кибербезопасностью, объединяются со своими партнерами, научились взаимодействовать, научились внедрять одинаковые платформенные инструменты по обмену данными. И то, что делает сегодня Всемирный экономический форум в Давосе, заслуживает только одобрения. Потому что именно Давосский форум создал очень внятный, действенный инструмент обмена информацией для противодействия киберпреступлениям.
— Означает ли всё это, что сцены из фантастических фильмов, в которых хакеры перехватывают управление ракетами, атомными электростанциями и прочими сверхстратегическими объектами, — не фантастика, а реальная угроза?
— К сожалению, вы правы.
«Мы хотим взаимодействовать с «белыми» хакерами»
— Давайте вернемся к теме социальной инженерии и преступности. Как в этом случае защищаться? Например, в случае звонков от имени сотрудников банков — они сейчас очень распространены.
— Смотрите, если говорить о преступлениях с использованием методов социальной инженерии, сегодня, к сожалению, мошенники используют более изощренные методы. Например, представляются сотрудниками безопасности банка, создают фон якобы колл-центра, чтобы это выглядело правдоподобно. Затем предлагают перевести собеседника на робота, потому что роботу, по их словам, можно рассказать те заветные цифры, которые не должен знать сотрудник-человек. В результате все эти уловки — и аргументы, звуковой фон и актерское мастерство мошенников, — к сожалению, приводят к тому, что люди передают им свои данные.
Если говорить о мерах, которые всем известны и о которых мы, собственно говоря, достаточно активно рассказываем, сотрудники Сбербанка могут позвонить клиентам только в трех случаях. Первый — сотрудник может напомнить о том, что есть необходимость заплатить проценты, то есть выполнить свои обязательства перед банком. Второй — предложить какие-то новые продукты. Третий — это тот самый звонок, когда вас спрашивают, совершали вы такую-то операцию или нет, потому что есть подозрения о мошеннических действиях. Но никогда сотрудник нашего банка не будет спрашивать номер вашей карточки, уточнять остаток на вашем счету или просить назвать CVV-код, пин-коды, даты завершения действий карт и так далее. Это сразу выдает мошенников. Что можно сделать для своей защиты? Повесить трубку и перезвонить, например, в колл-центр Сбербанка на номер «900». Там вам точно помогут.
— Цифры цифрами, но всегда есть личный фактор. Данные может украсть не только хакер, но и сотрудник. Что с этим делать?
— Это уже вопрос уровня киберграмотности и киберкультуры внутри каждой компании. Мы разработали специальную политику в части того, как этому можно противостоять. Во-первых, у нас есть технологические системы, которые не допустят подобных действий. Во-вторых, все сотрудники проходят специальные курсы обучения. Мы проводим специальные учения, в том числе фишинговые атаки, специально организованные для того, чтобы тренировать наших сотрудников. Такие тренинги мы проводим с периодичностью точно не реже раза в месяц. И если говорить о цифрах, то по нашим данным, например, сегодня в среднем около 25–30% сотрудников кредитных организаций могут заходить на фишинговые письма, а сотрудники Сбербанка имеют показатель 0,2–0,3%. При этом те, кто повелся на такие письма, проходит дополнительный специальный курс обучения.
— И последний вопрос — о явлении, которое лично мне кажется скорее легендой. Правда ли, что иногда хакеры, которые занимались кибератаками, затем начинают работать с крупными компаниями уже не в качестве киберпреступников, а в качестве киберзащитников?
— Это не легенда. Есть такое слово «хакер», и для большинства людей этот образ стопроцентно негативный. Но есть так называемые черные хакеры, это преступники и мошенники. А есть хакеры, которые занимаются поиском уязвимостей в системах безопасности, — это называется этичный или «белый» хакинг. И, конечно же, мы хотим взаимодействовать с теми профессионалами, которые занимаются этичным хакингом, они помогают нам искать бреши в наших системах.
Кроме того, мы создали у себя команду, она называется Red Team, которая проводит независимое тестирование любых разработок и после запуска также продолжает тестировать все системы на предмет возможного проникновения. Мы несем ответственность за наши системы, за средства наших клиентов, и сегодня для нас слово «надежность» — ключевое. И мы отвечаем за то, что не то что рубль, ни одна копейка не уйдет из Сбербанка к мошенникам. Именно поэтому мы вынуждены применять вот именно такие разнонаправленные меры для обеспечения защиты всех наших систем и обеспечения надежности банка.