Почему непрерывно растут потери от киберпреступников и что с этим делать, пытались разобраться на панельной дискуссии «Эволюция щита и меча», состоявшейся в рамках международного форума Antifraud Russia 2017 по борьбе с мошенничеством в сфере высоких технологий. Однако в ходе дискуссии сложилось впечатление, что большинство участников оправдывались и кивали друг на друга. Одни сетовали на пассивность силовых структур, другие – на безответственность банков, третьи – на безграмотность граждан, и все вместе – на законодательство.
«Для нас технические вопросы перестали быть проблемой. Мы научились бороться с вирусами, хакерами и предотвращаем попытки мошенничества с высокой эффективностью. Сейчас основную опасность представляет социальная инженерия, на которую приходится 80% всех атак на клиентов», — заявил Сергей Лебедь, глава службы кибербезопасности Сбербанка. По его данным, за 2016 год в МВД зарегистрировано 60 тыс. киберпреступлений. Однако подавляющее число преступников остаются безнаказанными. Только 19% дел было направлено в суд, и 45% из этих дел развалились уже в суде по различным причинам.
За год в «черных списках» Сбербанка накапливается около 50 тыс. записей по мошенникам, но эта информация не востребована правоохранительной системой. «Ситуация парадоксальная: мы знаем мошенников и номера их телефонов, а операторы связи – личности владельцев телефонов и их местоположение, и даже видят в своих каналах банковские трояны. Но все попытки передать информацию, которая имеется в огромном количестве, не находят понимания», — подчеркнул Лебедь. По его мнению, проблема в том, что МВД отказывается заниматься профилактикой преступлений.
«Мы оказываемся на месте преступления, когда в стене безопасности зияет огромная дыра, и наша задача – найти пушку и тех, кто из нее выстрелил. А вот для укрепления стены надо действовать вместе, и эффективность зависит от обмена информацией, но делиться ею желают далеко не все», — принял эстафету Александр Вураско, заместитель начальника отдела БСТМ МВД России. К сожалению, расследование даже самых банальных преступлений в сфере ИТ – гораздо более сложный и долгий процесс, чем их совершение.
Как отметил Вураско, масштабные атаки шифровальщиков стали возможными благодаря революции в способах распространения троянов. Следует обратить внимание на популярность концепции «преступление как сервис» (Crime as a Service), активное развитие которой привлекает в преступный бизнес огромное количество неподготовленных людей. Любой человек может приобрести в Интернете готовый инструментарий, позволяющий совершать технически сложные преступления. Трояны для банкоматов продаются с видеоинструкцией по использованию, и стоят они около 5 тыс. долл. – вполне подъемную сумму. А если кто-то хочет совершить атаку на мобильные устройства, ему не нужно задумываться о том, как технически это реализовать, — можно арендовать ботнет с «дружественным» интерфейсом. Не меньшую проблему составляет использование злоумышленниками социальной инженерии. Затраты минимальны, охват жертв – колоссален.
«Оператор связи может делать очень многое. К сожалению, когда мы продумываем свои мероприятия по борьбе с преступниками и защите клиентов, приходится думать еще и о том, чтобы нас за это в лучшем случае не уволили, а в худшем – не посадили», — высказался Сергей Хренов, руководитель департамента по гарантированию доходов и управлению фродом «МегаФона». Оператор связи может легко блокировать серверы управления клиентской программой, обезвредив все трояны, но не имеет права делать этого: над ним висит дамоклов меч лишения лицензии. Он может делать очень интересные алгоритмы блокировок мошеннических SMS-рассылок, но не имеет права обращаться к текстам сообщений: статья 138 УК РФ предусматривает ответственность за разглашение тайны связи. Есть много нюансов, которые требуется урегулировать на законодательном уровне.
«Не имея официальных рычагов, мы вынуждены договариваться с банками. Хорошее взаимодействие – одно из следствий плохого законодательства», — резюмировал Хренов.
Защищают не тех?
Как отметил Василий Окулесский, независимый эксперт в области информационной безопасности, значительная часть проблем являются следствием методологического противоречия. Говоря о борьбе с мошенничеством, все подразумевают защиту интересов банков, тогда как атаки проводятся на их клиентов. Пока разрыв будет сохраняться, пока сам объект атаки не защищен, социальная инженерия будет процветать.
«Мы пытаемся решить сверхзадачу: защитить от мошенничества тех, кто защищаться не хочет. Банки должны работать с клиентами, защищая их, но хотят ли клиенты знать то, что до них хотят донести?», — задался вопросом Алексей Сизов, руководитель направления противодействия мошенничеству компании «Инфосистемы Джет». Большинство людей просто не знают, как устроен процессинг операций по банковским картам, не понимают смысл оказываемых им услуг и их работу на техническом уровне. В результате клиенты банков, вооруженные теми или иными платежными инструментами, выглядят примерно так же, как человек, который сложил все свои сбережения в прозрачный полиэтиленовый пакет и вышел с ним на улицу, при этом время от времени оставляя его без присмотра на скамейке. К сожалению, ни в одном банковском договоре вместе с описанием услуг не указывается список соответствующих рисков.
На европейских рынках ситуация радикально меняется – ожидается вступление в силу GDPR, общего регламента защиты персональных данных в странах ЕС, предусматривающего жесточайшие штрафы за его нарушения. На Западе уже пришли к осознанию совершенно другой ценности персональных данных, и наши законодатели будут вынуждены на это отреагировать. К осени 2018 года 152-ФЗ «О персональных данных», скорее всего, сильно изменится.
