В 2023 году только банки отразили 34,8 млн попыток похитить деньги у граждан, подсчитали в Центробанке. Однако часть атак достигают цели, и сообщения о миллионах, переведенных на счета злоумышленников, появляются каждый день. Интерес у мошенников вызывают не только деньги обычных людей, но и данные крупных корпораций и небольших компаний. О том, как бизнесу и людям обезопасить себя, рассказали на круглом столе «Фонтанки» специалисты в области информационной безопасности.
Все приемы для киберпреступлений можно разделить по тому, какие каналы для этого используются.
— Самые популярные уловки — это разновидности фишинга. На них приходится более 50% финансовых потерь, — комментирует главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. — Это вишинг — голосовые звонки, смишинг — СМС и сообщения в мессенджерах. Сейчас набирает популярность квишинг, когда ссылка предоставляется в виде QR-кода.
По его словам, существует несколько типовых схем, которые постоянно повторяются с разными вариациями. Так, при вишинге платежные данные обычно «выуживаются» при помощи социального инжиниринга. Тема общения может быть абсолютно любая: от получения налоговых льгот и вычетов до спасения денег от злоумышленников путем перевода на «безопасный счет». При смишинге и квишинге задача такая же, как и в классическом почтовом фишинге, — завлечь жертву на сайт и там уже украсть доступ к телефону, аккаунту в социальных сетях, на Госуслугах или к онлайн-банку. Очень часто просят ввести платежные данные по карте. Фишинговые сайты маскируются под настоящие и добывают платежные данные и пароли для доступа.
— Основной набор мошеннических схем с годами все тот же, изменяется только информационный повод: бронирование отелей, оплата авиабилетов, билеты на мероприятия, налоговые вычеты. Эти темы сезонные и повторяются из года в год, — добавил Дмитрий Овчинников.
При этом мошенники идут по пути наименьшего сопротивления, считает Егор Леднев, директор по сервисам компании Roox.
— Если для взлома аккаунта не нужно организовывать кол-центр из реальных людей или подключать искусственный интеллект для дипфейков, а можно просто воспользоваться базой утечек учетных данных, они с удовольствием так и сделают, — поясняет он. — Если же дело дошло до звонка конкретному человеку, это значит, что базовую защиту злоумышленник обойти не смог и ему требуется «помощь» самого владельца денег. При таких звонках мошенники пользуются особым отношением рядовых людей к представителям любой власти (это может быть как страх, так и излишняя доверчивость), а также давят на необходимость все решить быстро и в одиночку, никого не привлекая.
Из свежих уловок Егор Леднев привел в пример, как мошенники используют искусственный интеллект, чтобы на основании данных в открытом доступе сгенерить голос или даже изображение человека, присутствие которого склонит жертву к нужным действиям. Например, звонок от начальника с распоряжением провести финансовую операцию.
Защита, но неполная
Конечно, для того чтобы защищаться от таких атак, у банков и операторов связи есть антифрод-системы, которые позволяют оперативно блокировать счета дропперов и телефоны мошенников.
— Подобные меры позволяют существенно снизить потери клиентов, однако полностью нейтрализовать эту угрозу не представляется возможным, так как технических средств защиты от методов социальной инженерии нет, — комментирует Дмитрий Овчинников. — В последние 10 лет стали активно использовать средства двухфакторной аутентификации — это во многом защищает рядовых пользователей от взлома. Благодаря повсеместному введению шифрования и использования протокола HTTPS получение доступа к данным пользователей в сети Интернет стало более трудоемким.
По его словам, лучшая защита — это осведомленность и базовые навыки в части интернет-гигиены.
— Для этого совершенно не надо получать высшее техническое образование в области ИБ, — добавил Овчинников, — достаточно не поддаваться панике при звонке, не доверять посторонним, знать в общих чертах, как работает банк, как получают налоговые выплаты, владеть другими актуальными знаниями. Разум, аккуратность и осведомленность — вот самая лучшая защита от мошенников.
— Важно свести общение с мошенниками к минимуму, не пытаться переиграть, не тешить себя мыслью, если вы задержите его на звонке, то он не обманет в это время кого-то еще, — говорит Егор Леднев. — Как только вы поняли, что звонит мнимый «сотрудник службы безопасности», нужно вешать трубку. К сожалению, некоторым людям, особенно пожилым, это сложно сделать, так как это кажется им невежливым.
В идеале, по его словам, не нужно общаться совсем — с этим может помочь определитель номера, который умеет предупреждать, что звонок идет со скомпрометированного номера. Также может помочь оформление самозапрета на совершение определенных финансовых операций без физического присутствия человека или даже полный запрет — например, на выдачу кредитов. Возможность устанавливать таковой на онлайн-операции — взятие кредитов и денежные переводы — есть у жителей России с 1 октября 2022 года, а возможность полного самозапрета на кредиты должна появиться 1 марта 2025 года (согласно принятому в начале 2024 года закону).
— Что касается владельцев финансовых сервисов, то им мы предлагаем добавлять возможность адаптивной аутентификации с оценкой рисков взлома в режиме реального времени, анализ легитимности операции на основании предыдущего поведения пользователя и некоторые другие методы, — рассказал Егор Леднев. — Пользователям мы рекомендуем в том числе использовать разные и достаточно длинные пароли для разных сервисов (но этой простой рекомендации следуют единицы), подключить многофакторную аутентификацию, отзывать доступы с гаджетов, которые уже потеряны, проданы или сломаны. Это гигиенические меры, которые могут осложнить жизнь злоумышленникам.
От санкции до санкции
В сфере инфобезопасности процесс импортозамещения начался уже давно, и на рынке уже были отечественные решения, заточенные под российское законодательство и актуальные требования по ИБ, сообщил Дмитрий Овчинников. Сейчас же этот процесс сильно ускорился и набрал ход.
— В целом события последних лет очень здорово подстегнули импортозамещение ПО и оборудования, — добавил он. — Если говорить про программные средства, то уход иностранных компаний освободил место под развитие локальных игроков, и многие отечественные компании ринулись осваивать рынок ИБ.
Егор Леднев предложил условно разделить эволюцию рынка решений по управлению доступом на три фазы:
Первая началась достаточно давно, когда доступ к информационным системам компаний стали получать не только сотрудники, но и клиенты — появились интернет-банки и личные кабинеты различных сервисов. Системы управления доступом тогда разделились по типу пользователей — для внутренних сотрудников и внешних пользователей нужны были разные принципы проектирования, внедрения и эксплуатации.
Дальнейшая цифровизация расширяла спектр пользователей. К системам начали подключаться подрядчики, поставщики, партнеры, среди сотрудников стали появляться полевые или аутсорсинговые, работающие вне безопасного периметра офиса. И наконец, пандемия оказалась причиной массового перехода офисных работников на «удаленку». Тогда подразделениям ИТ и инфобеза пришлось решать задачу безопасного доступа средствами, которые были под рукой.
В последние два года произошел существенный всплеск количества кибератак, были приняты нормативные документы, ограничивающие использование иностранного ПО и оборудования, возросло число проверок. Например, Роскомнадзор увеличил число плановых проверок организаций на соответствие законности обработки и легитимных процессов обработки персональных данных в среднем с 500 в год до 2022-го до более 1200 за 2022-й (по данным с официального сайта Роскомнадзора).
— Это еще больше ускорило рост спроса на отечественные ИБ-решения, а также на квалифицированные кадры для их интеграции и обслуживания, — отметил Егор Леднев.
Кадровый вопрос
Спрос на решения в сфере инфобезопасности увеличил и потребность в кадрах. Тем более, по словам Егора Леднева, этот сектор требует обширных знаний, опыта и проницательности даже от начинающих специалистов, не говоря уже о более высоких позициях.
— Быстрая переквалификация «неайтишников» или «просто айтишников» с помощью месячных курсов по информационной безопасности может подготовить кадры для начальных должностей, но спрос бизнеса на более опытных специалистов вырос сильнее, — подчеркнул он.
— Проблема наличия обученных людей стоит достаточно остро. Еще до начала импортозамещения ощущалась нехватка кадров, — комментирует Дмитрий Овчинников. — Раньше проблема решалась просто сманиванием сотрудников из других компаний. Теперь, когда заработные платы достигли своего потолка, а нехватка кадров осталась, компании перешли к обучению вчерашних студентов. Это оказалось намного выгоднее, чем завлекать уже готовых специалистов.
Рост числа вакансий, связанных с ИБ, был зафиксирован на Headhunter уже в 2021 году.
— В 2022-м произошли изменения, которые привнесли динамику в этот процесс: последовали серьезные утечки данных, усилилась роль и активность регулирующих органов в отношении требований к информационной безопасности, — продолжил Егор Леднев. — Это привело ещё к большему увеличению числа вакансий в этой области в 2023 году — а дефицит IT-специалистов в этот же период оценивался экспертами в 500–700 тысяч человек.
По его словам, один из возможных путей решения этой проблемы заключается в модернизации учебных программ вузов. Так, в сентябре 2023 года Министерство цифрового развития России объявило о полном пересмотре стандартов подготовки специалистов в области информационной безопасности.
— Более ориентированный на бизнес подход высших учебных заведений позволит готовить молодых специалистов с учётом актуальных технологий и киберугроз, — считает Леднев. — Это поможет хотя бы отчасти справиться с дефицитом на рынке информационной безопасности.
Подбор кадров важен не только непосредственно для должностей, напрямую связанных с обеспечением информационной безопасности, уточнил Дмитрий Овчинников.
— Если произойдет утечка информации через инсайдера, то это уже событие ИБ, — подчеркнул он, — поэтому многие процессы внутри компании неявно, но влияют на общую защищенность.
В целом же, по словам Дмитрия Овчинникова, считается, что на безопасность тратится не больше 7% от общего бюджета на информационную систему. Но поскольку затраты на обеспечение ИБ — довольно широкое понятие, то, как можно видеть из примера выше, не все сводится к деньгам.
Прогресс без опаски
При этом цифровизация продолжается, а значит, задач по инфобезопасности меньше не становится.
— При грамотном планировании, постановке реалистичных задач и правильном подборе исполнителей задача по созданию безопасного цифрового окружения будет успешно решена, — уверен Дмитрий Овчинников. — Полной неуязвимости мы не достигнем, те или иные инциденты будут всегда. Это абсолютно нормальная общемировая практика. Главное, чтобы такие происшествия не носили характер недопустимых событий, а их количество не влияло на стабильность работы цифровых систем в нашей стране. Аккуратность, дотошность, внимательность, а также умение признавать ошибки и своевременно исправлять их — важные факторы на пути к успешной цифровизации.
Егор Леднев выделил три пункта — они помогут компаниям решать вопросы инфобезопасности в среде, где цифровизация играет все большую роль:
Рекомендуется выбирать систему с учетом всех требований информационной безопасности. Далее, если нет возможности обосновать затраты на применение такого комплексного решения, развивать направление бюджетных пилотных внедрений, решая последовательно самые «горящие» задачи и наращивая функциональность постепенно.
На фоне роста киберугроз в 2022–2023 годах возникли повышенные требования к компетенциям сотрудников в области обеспечения кибербезопасности. Такую экспертизу невозможно быстро нарастить внутри компании, но и полностью отдавать вопросы DevSecOps подрядчику в настоящее время неразумно. В этом случае рекомендуется режим «гибридной разработки» с участием заказчика и вендора.
Также рекомендуется выбирать продукты, которые придерживаются принципов открытого API и соответствуют стандартам. Такие продукты позволят не только проще интегрировать продукт в существующую инфраструктуру, но и, как правило, дают больше возможностей по его кастомизации.