УДК 343.7
ПРОГНОЗИРОВАНИЕ РАЗВИТИЯ КИБЕРАТАК И КОНЦЕПЦИЯ ЗАЩИТЫ ОТ НИХ
Е.Э. Турутина, Н.Р. Шевко
Современные технологии открывают безграничные возможности для формирования новаций во всех сферах жизнедеятельности людей. Но вместе с этим прогрессирует и киберпреступность, разрабатывающая новые виды атак, инструменты и методы, позволяющие злоумышленникам проникать в сложные контролируемые среды, наносить весомый материальный ущерб. В статье представлены результаты исследования тенденций и закономерностей кибератак, зарегистрированных по всему миру за последние годы. С появлением новых способов совершения преступлений ситуация в этой области такова, что приходится говорить о недостаточности мер, направленных на противодействие этому виду современного криминала. Особо обозначена проблема распространения вредоносных программ, представляющих угрозу государственным и транснациональным информационным ресурсам. Результативность борьбы с этими угрозами обусловлена эффективностью применяемых государством правовых и организационных мер в целом. Авторами предложены контрмеры, которые следует применять для обеспечения повышения уровня информационной безопасности.
Ключевые слова: кибератаки; киберпреступность; Интернет; информационная безопасность; сеть; угрозы; риски; вредоносная программа.
E.E. Turutina, N.R. Shevko. FORECASTING THE DEVELOPMENT OF CYBER ATTACKS AND THE CONCEPT OF PROTECTION AGAINST THEM
Modern technologies open up limitless opportunities for the formation of innovations in all spheres of human activity. But at the same time, cybercrime is also progressing, developing new types of attacks, tools and methods that allow attackers to penetrate complex controlled environments and cause significant material damage. The article presents the results of a study of trends and patterns of cyber attacks registered around the world in recent years. With the emergence of new ways of committing crimes, the situation in this area is such that we have to talk about the insufficiency of measures aimed at countering this type of modern crime. The problem of the spread of malicious programs that pose a threat to state and transnational information resources is highlighted. The effectiveness of the fight against these threats is due to the effectiveness of the legal and organizational measures applied by the State as a whole. The authors propose countermeasures that should be used to ensure an increase in the level of information security.
Keywords: cyber attacks; cybercrime; Internet; information security; network; threats; risks; malware.
Широкое использование в современной жизни компьютерных технологий и телекоммуникационных систем привело к тому, что ки-берпространство стало активно использоваться для совершения преступлений. Количество, сложность и последствия киберпреступлений продолжают расти и представляют собой серьезную угрозу как для отдельных лиц, предприятий, так и государственных учреждений. К видам преступлений, в которые может быть вовлечен киберпреступник, следует отнести взлом, кражу личных и банковских данных, онлайн-мошенничество, создание и распространение вредоносных программ или атаки на компьютерные системы и сайты [5]. Такие инструменты, как высокоскоростной Интернет, одноранговый обмен файлами (распределение
данных с использованием сетевой технологии P2P) и сложные методы шифрования используются преступниками для осуществления своих действий.
Различные исследования были проведены на основе изучения и анализа большого количества атак, отобранных в интернет-сетях, а также на основе сообщений следующих крупных компаний индустрии безопасности и консалтинга: Cenzic, CISCO, ФБР, FireEye, Kaspersky, McAfee, Mandiant, Sophos, Syumantec, Verizon, PriceWaterhouseCoopers и hackmageddon.com.
В отчете специалистов лаборатории McAffee «Threats Predictions» подтверждается тот факт, что в области совершения кибе-ратак будет прослеживаться тенденция к росту шпионажа и кибервойн, которые подкрепля-
ются усовершенствованными стратегиями и программными инструментами хакеров для сокрытия своей личности, местонахождения, получения персональной информации и конфиденциальных данных. Результаты показывают, что злоумышленники постоянно разрабатывают новые способы использования сетей, программ и данных.
Как показали исследования, основные причины нарушения безопасности - предполагаемая атака, человеческая ошибка и уязвимость системы. Соответственно, успех атаки обусловлен не только навыками и знаниями злоумышленника, но и уязвимостью со стороны жертвы (неисправные программы, человеческие ошибки и недостаточный уровень контроля безопасности). Наиболее распространенными атаками оказались следующие: отказ в обслуживании, вредоносные коды, вирусы, черви и трояны, вредоносные программы и инсайдеры, украденные устройства, фишинг (получение доступа к конфиденциальным данным пользователей логинам и паролям), социальная инженерия, веб-атаки. В зависимости от цели атаки их можно разделить на четыре категории: киберпреступность, кибершпио-наж, кибервойна и хактивизм.
В последнее время целями кибератак становились компании различных сфер деятельности: от государственного сектора (правительственные, правоохранительные органы, образование, здравоохранение) и некоммерческих организаций до частных компаний из области финансов, средств массовой информации (далее - СМИ), онлайн-сервисов, туризма, телекоммуникаций, розничной торговли, безопасности, энергетики и коммунальных услуг. Таким образом, Интернет и секторы онлайн-услуг становятся мишенью кибератак. Что касается географического разделения атак, то они сосредоточены на двух аспектах: географическом источнике атак и месте назначения.
Результаты показывают, что наиболее распространенными источниками атак являются Соединенные Штаты Америки, Россия, Нидерланды, Германия, Великобритания, Украина, Франция, Вьетнам, Канада, Румыния.
Последствия кибератак чаще всего связаны с потерей информации, сбоями в работе, потерей доходов и повреждением оборудования. К наиболее распространенным типам атак можно отнести несанкционированный доступ к личной информации, включающей имена, личные идентификаторы, адреса, медицинские записи, номера телефонов, финансовые данные, адреса электронной почты, учетные данные (имена пользователей, пароли), информацию о страховании. Невозможно точно оценить затраты, необходимые организациям для восстановления своего бизнеса, доверия клиентов и имиджа.
Исследование позволило выявить довольно интересные результаты, тенденции и закономерности. Во-первых, результаты демонстрируют относительную корреляцию между бизнес-сектором и некоторыми типами атак. Так, например, кибершпионаж, скорее всего, нацелен на секторы правительства, СМИ и правоохранительные органы. Он маловероятен для других секторов бизнеса (розничная торговля, телекоммуникационные компании, онлайн-сервисы и т. д.). В последнее время подчеркивается относительно сильная корреляция между типами атак и отраслями (рисунок).
Корреляция показывает, что государственный сектор (правительство, правоохранительные органы, образование и т. д.), скорее всего, является целью кибершпионажа, кибервойн и методов хактивизма, а киберпреступность нацелена на все секторы бизнеса. Кибератаки происходят не только из-за внешних хакерских атак, но и вследствие внутренних факторов, связанных с компанией (партнеры, нынешние или бывшие сотрудники, руководство и т. д.).
Государственные учреждения Медицинские учреждения Промышленно сть Наука и образование Сфера услуг 1Т-компании Другие Без привязки к отрасли
^Ш 8% 1 5% 1 5% 1 4%
Кибератаки по отраслям промышленности
Необходимо отметить постоянное увеличение количества мобильных атак, что можно считать закономерным, учитывая распространение смартфонов, оказывающихся легкой мишенью из-за практически постоянного подключения к Интернету, использование ряда социальных, банковских сетей и других приложений, а также тот факт, что они почти не выключаются и содержат много личной информации. На основе результатов можно полагать, что несанкционированный физический доступ постоянно уступает место несанкционированному логическому доступу к данным.
В настоящее время против кибератак борется ряд таких некоммерческих организаций, как Secure Domain Foundation (SDF), Международная ассоциация по предотвращению ки-берпреступлений (IACP). Они информируют общественность (компании и отдельные лица) о рисках, атаках, которым они могут быть подвержены. Помимо некоммерческой организации, Google также развивает собственную команду под названием Project Zero, предназначенную для анализа ошибок и уязвимостей в своих кодах, а также кодах других компаний, чтобы принять все необходимые меры по улучшению программных продуктов, снижающих риск кибератак.
Одним из важных аспектов при обсуждении киберпреступности и безопасности является юридический аспект [2]. Постоянно разрабатываются законы и правила для предотвращения или киберпреступлений, однако они географически ограничены спецификой законодательства различных стран, штатов, регионов и т. д., несмотря на доступ в Интернет, который является всемирным и международным.
В настоящее время ухудшение международного сотрудничества правоохранительных органов привело к увеличению кибератак на страны, которые считаются противниками. Организации столкнулись с такими новыми рисками, как снижение качества обнаружения угроз из-за сбоев связи между разработчиками информационной безопасности (которые находятся в странах, в настоящее время конфликтующих); снижение качества информации об угрозах, что ведет к неподдерживаемой атрибуции и попыткам правительств контролировать информацию об инцидентах и угрозах.
В зависимости от размера, географического расположения, сектора ведения бизнеса каждая компания имеет собственную степень риска. Соответственно, она должна выполнять ряд мероприятий для внедрения средств контроля безопасности, включая идентификацию угроз, уязвимости, рисков, а также разработку и
внедрение средств контроля безопасности, направленных на устранение этих рисков. Компаниям важно следить за тем, чтобы все оборудование, включая защитное программное обеспечение (например, антивирусные программы), всегда было обновлено, установлены последние исправления. Кроме того, компании должны иметь соглашение о программном обеспечении, предоставляемое третьими сторонами. Оно должно охватывать услуги по обслуживанию и обновлению. В зависимости от оценки риска доступ к программам и данным компании может быть защищен исключительно паролем. Однако для удаленного доступа или веб-приложений можно порекомендовать использование более сложных средств аутентификации, сочетающих как минимум два из следующих средств: пароль, устройство, генерирующее случайный PIN-код, биометрическая аутентификация. Следует учесть, что уязвимость и риски чаще вызваны нарушениями основ информационной безопасности (даже непреднамеренно) собственными сотрудниками компаний. Таким образом, документирование процессов и средств контроля в виде формализованного набора инструкций и правил, а также обеспечение осведомленности персонала может быть полезным для улучшения и поддержания информационной безопасности [4].
Компании также должны обеспечить надлежащее ограничение и своевременное прекращение доступа для уволенных сотрудников, подрядчиков, аудиторов или других третьих лиц, которым ранее требовалось подключение к сети компании. Эти риски можно устранить с помощью широкого спектра средств контроля: от ручных средств управления (например, периодическая проверка всех прав доступа пользователей) до автоматизированных средств контроля (например, автоматическое отключение учетных записей домена, которые не подключались к сети в течение определенного периода). Самый простой способ избежать нарушения информационной безопасности - удалять данные, больше не требующиеся для повседневных операций. Архивирование должно обеспечивать хранение данных в течение необходимого времени в резервных серверах, выделенных в архивах, и их своевременное удаление из сети компании. Данные действия позволяют уменьшить риск несанкционированного доступа к конфиденциальной информации, учитывая, что исследование выявило тот факт, что более 20 % украденной информации составляли данные, о которых жертва не знала, что они хранились в сети компании.
В настоящий момент «Лаборатория Кас-
150
вестник Российского университета кооперации. 2023. № 1(51)
перского» является международной компанией, специализирующейся на разработке систем защиты от компьютерных вирусов, спама, хакерских атак и киберууроз. Эксперты «Лаборатории Касперского» прогнозируют изменение активности постоянных угроз в отношении промышленных организаций в новых отраслях и регионах. Такие реальные секторы экономики, как сельское хозяйство, логистика, транспорт, энергетика, производители высоких технологий, фармацевтики и медицинского оборудования, скорее всего, столкнутся с новыми атаками в следующем году. При этом останутся традиционные мишени - военно-промышленный комплекс и государственный сектор [2].
Исследователи «Лаборатории Касперского» перечислили основные методы и тактики, которые, по их мнению, будут распространены в 2023 г.:
- фишинговые страницы и скрипты, встроенные в законные сайты;
- использование неработающих дистрибутивов с упакованными внутри троянами, пат-чей и генераторов ключей для широко используемого и специализированного программного обеспечения;
- фишинговые письма о текущих событиях с особо драматической тематикой, в том числе о политических событиях;
- широкое использование документов, украденных в ходе предыдущих атак на партнерские организации, в качестве приманок в фишинговых электронных письмах;
- распространение фишинговых писем со взломанных почтовых ящиков сотрудников и партнеров, замаскированных под рабочую переписку;
- уязвимость N-day (они будут закрываться еще медленнее, так как обновления безопасности для некоторых решений становятся менее доступными на некоторых рынках);
- злоупотребление базовыми ошибками конфигурации по умолчанию (например, использование паролей по умолчанию) и легкой уязвимостью нулевого дня в продуктах «новых» поставщиков, в том числе местных;
- использование облачного сервиса в качестве числового программного управления (даже после обнаружения атаки жертва может быть не в состоянии заблокировать атаки, поскольку важные бизнес-процессы могут зависеть от облачного хранилища);
- использование уязвимостей в законном программном обеспечении, перехват DLL, к примеру, для обхода защиты конечных узлов;
- распространение вредоносного про-
граммного обеспечения через съемные носители для преодоления воздушных зазоров.
В зависимости от рисков, которые необходимо устранить, может быть использовано несколько средств контроля для обеспечения конфиденциальности, целостности и доступности данных. Средства контроля отличаются между компаниями и классифицируются следующим образом:
- превентивный контроль - меры безопасности, предотвращающие любые угрозы (например, ограничение доступа к сети, программам и данным компании может предотвратить несанкционированный доступ);
- детективный контроль - контроль, направленный на обнаружение любой угрозы информационной безопасности (например, при совершении несанкционированного доступа система обнаружения вторжений отслеживает сетевой трафик и выявляет подозрительный доступ);
- корректирующий контроль - контроль, направленный на исправление выявленных нарушений (например, восстановление бизнеса после атаки).
Таким образом, вместе с технологической эволюцией развиваются существующие угрозы, связанные с ними риски, а также возможные меры контроля для их устранения. Наличие независимых систем безопасности, охватывающих различные области, может помочь обнаружить нарушения безопасности, поддержать реализацию или улучшение мер безопасности.
Полагаем, что для решения проблемы роста киберпреступности необходимо повышать осведомленность и уровень грамотности населения в области цифровизации различных областей жизнедеятельности.
Одним из препятствий является правовое законодательство в том смысле, что в каждой стране, штате или регионе имеется свой собственный свод законов и нормативных актов в области кибербезопасности [1]. На сегодняшний день практически отсутствует официально закрепленный целостный подход к данной проблеме. Интернет является международным инструментом для злоумышленников, поэтому единственный способ победить ки-берпреступность - сделать так, чтобы власти думали и действовали на глобальном уровне, поддерживая тем самым права и безопасность граждан всего мира. Таким образом, каждый человек, компания или орган власти должны нести ответственность за обеспечение разработанного уровня информационной безопасности.
Список литературы
1. Уголовный кодекс Российской Федерации: федер. закон от 13.06.1996 № 63-Ф3 (в ред. от 29.12.2022). Доступ из справ.-правовой системы «КонсультантПлюс». URL: http://www.consultant. ru/document/cons_doc_LAW_10699 (дата обращения: 13.01.2023).
2. О безопасности критической информационной инфраструктуры Российской Федерации: федер. закон от 26.07.2017 № 187-ФЗ. Доступ из справ.-правовой системы «Консультант-Плюс». URL. https://www.consultant.ru/cons_doc_ LAW_220885 (дата обращения: 13.01.2023).
3. Турутина Е.Э. Риски информационной безопасности в сетях // Техника и технологии: пути инновационного развития: сб. научных трудов 9-й Междунар. науч.-практ. конф. (30 июня 2020 г.). Курск: Юго-Зап. гос. ун-т, 2020. Т. 2. С. 165-169.
4. Турутина Е.Э. Система уголовно-правовых и комплексных мер предупреждения компьютерных преступлений // Проблемы уголовной политики в современной России: сб. материалов науч.-практ. конф. (26 мая 2011 г.). Казань: КЮИ МВД России, 2011. С. 31-34.
5. Шевко Н.Р., Турутина Е.Э., Каримов А.М. Преступления, совершаемые с использованием высоких технологий и коммуникаций: учеб. пособие. Казань: КЮИ МВД России, 2017. 80 с.
References
1. Ugolovnyj kodeks Rossijskoj Federa-tsii [The Criminal Code of the Russian Federa-
tion]: feder. zakon ot 13.06.1996 № 63-FZ (v red. ot 29.12.2022). Dostup iz sprav.-pravovoj sistemy «KonsuFtantPlyus». URL: http://www.consultant. ru/document/cons_doc_LAW_10699 (Accessed 13.01.2023).
2. O bezopasnosti kriticheskoj informatsionnoj infrastruktury Rossijskoj Federatsii [On the security of the critical information infrastructure of the Russian Federation]: feder. zakon ot 26.07.2017 № 187-FZ. Dostup iz sprav.-pravovoj sistemy «KonsuFtantPlyus». URL. https://www.consultant. ru/cons_doc_LAW_220885 (Accessed 13.01.2023).
3. Turutina E.E. Riski informatsionnoj bezopasnosti v setyakh // Tekhnika i tekhnologii: puti inno-vatsionnogo razvitiya [Risks of information security in networks // Engineering and technologies: ways of innovative development]: sb. nauchnykh trudov 9-j Mezhdunar. nauch.-prakt. konf. (30 iyunya 2020 g.). Kursk: Yugo-Zap. gos. un-t, 2020. T. 2. S. 165-169.
4. Turutina E.E. Sistema ugolovno-pravo-vykh i kompleksnykh mer preduprezhdeniya kompyuternykh prestuplenij [The system of criminal law and comprehensive measures to prevent computer crimes] // Problemy ugolovnoj politiki v sovremennoj Rossii: sb. materialov nauch.-prakt. konf. (26 maya 2011 g.). Kazan: KYul MVD Rossii, 2011. S. 31-34.
5. Shevko N.R., Turutina E.E., Karimov A.M. Prestupleniya, sovershaemye s ispoFzovaniem vyso-kikh tekhnologij i kommunikatsij [Crimes committed using high technologies and communications]: ucheb. posobie. Kazan: KYul MVD Rossii, 2017. 80 s.
ТУРУТИНА Елена Эдуардовна - кандидат педагогических наук, доцент кафедры правовой информатики, информационного права и естественнонаучных дисциплин. Казанский филиал Российского государственного университета правосудия. Россия. Казань. E-mail: eturutina@ list. ru.
ШЕВКО Наиля Рашидовна - кандидат экономических наук, доцент, доцент кафедры уголовно-правовых дисциплин. Казанский филиал Российского государственного университета правосудия. Россия. Казань. E-mail: [email protected].
TURUTINA, Elena Eduardovna - Candidate of Pedagogy, Associate Professor of the Department of Legal Informatics, Information Law and Natural Sciences. Kazan branch of the Russian State University of Justice. Russia. Kazan. E-mail: [email protected].
SHEVKO, Nailya Rashidovna - Candidate of Economics, Associate Professor, Associate Professor of Department of Criminal Law Disciplines. Kazan branch of the Russian State University of Justice. Russia. Kazan. E-mail: [email protected].