Открывая конференцию CyberCrimeCon, главный исполнительный директор Group-IB Илья Сачков особое внимание уделил не технологиям обеспечения безопасности киберпространства, а отношению к киберпреступности. Он заявил, что к киберпреступникам нельзя относиться мягко, положительно или даже нейтрально, например поддерживать в соцсетях «лайками» действия людей, которые кого-то обхитрили или что-то украли. Киберпреступление — такое же преступление, как и совершенное без использования интернет-технологий. Киберпреступления угрожают и непосредственно людям, когда речь заходит о личных данных, местоположении пользователей и др. Не только бизнес, но и государство должны озаботиться информационной безопасностью граждан. Кроме того, сейчас необходимо много работать с детьми, новым поколением, которое растет со смартфоном в руках. Во-первых, необходимо заложить в них ценности, которые не позволят им сейчас и в будущем совершать преступления. Во-вторых, следует реформировать систему образования. В данный момент она нацелена на то, чтобы производить нужное количество выпускников — сначала в студенты, а затем в профессию. Многие подростки стремятся поступить в престижные вузы, выбирают перспективные профессии, которые не обязательно лежат в сфере их интересов, в конечном итоге разочаровываясь в своем выборе и посвящая себя поиску «легких» денег.
Последовавшие вслед за этим выступления были посвящены вопросам обеспечения безопасности различных аспектов деятельности в киберпространстве.
Одна из новых мишеней для хакеров — все, что связано с криптовалютами. Помимо исключительно высокой доходности, их привлекает анонимность, один из базовых принципов новой отрасли. Технический директор блокчейн-платформы Blackmoon Crypto Илья Ремизов на собственном опыте рассказал, как подготовиться к ICO (Initial Coin Offering). Прежде всего, надо подготовить ИТ-инфраструктуру: приспособить ее к нагрузке, географическому масштабированию, рассчитать, найдутся ли у провайдера ресурсы в случае необходимости развернуть отдельные узлы и сервисы и провести проверку их работы. Стартапы (а именно среди них большинство претендентов на ICO) также должны установить четкие роли в команде, найти финансирование еще до запуска и подготовиться к быстрому течению проекта и изменениям правил игры. Другими словами, нужно защитить не только инфраструктуру, но и людей и процессы.
Руководитель направления безопасности облачных технологий Microsoft Андрей Иванов на конкретном примере показал, как можно использовать машиное обучение в борьбе с киберперступностью. В компания столкнулись с тем, что сложно определить, когда вход со своего аккаунта совершил легитимный пользователь облачных сервисов, а когда — злоумышленник. Анализ занимал много времени и достаточно часто давал неверные разультаты. Проблему решили с помощью машинного обучения. Во-первых, поделили всех клиентов на группы по их основному местоположению и используемому оператору (Москва, Тверь, МТС, «МегаФон» и т. д.). Во-вторых, проследили перемещения пользователей и просчитали, кто, откуда и как часто пользуется услугами связи. По этим данным составили матрицу возможных вариантов изменений в группах. Если пользователь вдруг отклонился от группы, например появился в том месте, куда физически не мог бы попасть, система бьет тревогу. Таким образом, процент ошибок сократился до 0,001%.
По словам Иванова, для того чтобы использовать машинное обучение, необходимо иметь в своем распоряжении данные, экспертов, алгоритмы, а также постоянно следить за изменениями. Впрочем, предупредил эксперт, машинное обучение не поможет справиться с угрозами, если в компании не используют антивирусы, не обновляют системы, не проверяют сайты, на которые заходят, и не следят за физической безопасностью.
Руководитель службы по противодействию интернет-угрозам «Яндекса» Сергей Пименов отметил, что и злоумышленники, и добропорядочные интернет-пользователи в своем противостоянии постоянно совершенствуются. К примеру, десять лет назад интернет-компания обнаруживала значительное количество вредосносных программ, нежелательной рекламы, фальшивых сервисов, навязанных мобильных подписок, попыток фишинга и прочих угроз, которые злоумышленники пытались распространять через систему интернет-поиска. Команда «Яндекса» немало поработала над их устранением, сотрудничая с антивирусными компаниями и операторами сотовой связи.
В настоящее время злоумышленникам стало сложнее. Новые платформы им не так просто использовать для своих целей. Разработчики сайтов, создатели интернет-магазинов изначально продумывают необходимые функции безопасности.
Наибольшую угрозу представляют реклама, вредоносные сайты, загрузки мобильных приложений, расширений для браузеров и другого контента, а также спам. Чаще всего злоумышленники модифицируют сайты (например, реклама появляется там, где ее не должно быть) или попросту крадут информацию пользователя. Делается это через браузерные расширения, прокси-серверы и драйверы.
Помимо ненужного контента и потери личных данных, пользователи еще могут лишиться денег, когда переводят их на непроверенные сайты, покупают там что-либо (скажем, билеты на самолет) или платят за загрузку видео или музыку, которые никогда не получат. Также следует быть осторожными и с предлагаемыми «легкими» деньгами, которые якобы можно заработать за один клик, открыв счет в банке или получив пожертвование миллионера.
Нейтрализовать угрозы порой бывает сложно. Так, пользователи часто не обращают внимания на предупреждения об опасности при переходе по ссылкам, не жалуются при небольших денежных потерях, в то время как на массовости таких вложений и наживаются преступники, некоторые вирусы бывает сложно отследить. «Яндекс» предлагает компаниям следующие шаги по улучшению ситуации: сотрудничать (в том числе обмениваясь информацией) при разработке решений, быстрее отвечать на действия молниеносно адаптирующихся мошенников и создавать такой софт, который бы давал меньше возможностей для обмана пользователей.
Такие разные киберпреступники
Во время пресс-конференции исполнительный директор Interpol IGCI Нобору Накатани, глава департамента Group-IB Threat Intelligence Дмитрий Волков и главный исполнительный директор Group-IB Илья Сачков, отвечая на вопрос о портрете типичного киберпреступника, признались, что злоумышленники бывают настолько разными, что сложно выделить какие-то общие черты. В то же время, как правило, злоумышленники работают организованно, а не поодиночке, и за их действиями не стоит никакой идеологии, только получение прибыли. Самые отсталые и, напротив, самые развитые в плане противодействия преступникам страны также не удалось выделить: если в национальном законодательстве явно не прописано соответствующих мер, это еще не значит, что страна не может с ними бороться. Информационные технологии лишь инструмент для совершения преступлений, сами же преступления (например, мошенничество) обычно отражены в уголовном кодексе.
