Угрозы кибербезопасности могут исходить от самых различных лиц и групп. Вот справочник по основным из них.

Киберпреступники бывают столь же разными, как и другие пользователи Интернета. Если бизнесу Всемирная паутина позволяет продавать и обмениваться информацией в глобальном масштабе, то мошенникам она предоставила возможность обворовывать своих жертв в любом месте и создавать криминальные сети, существование которых прежде было невозможно.

Всемирная паутина стала главным условием беспрепятственной работы экономики наиболее развитых стран. Характер киберпреступлений тоже изменился. Если 15 лет назад большинство совершаемых в цифровой форме преступлений фактически представляло собой онлайновый вандализм, то основная масса сегодняшних преступлений через Интернет преследует цель наживы. 

Это требует от компаний и потребителей значительных затрат. «Исследование потерь от взлома данных в 2016 г.» (2016 Cost of Data Breach Study), которое провели IBM и Ponemon Institute, показало, что за 2015 г. средние потери 383 обследованных компаний от взлома данных выросли с 3,79 млн. долл. до 4 млн. долл.; средняя сумма, уплаченная за каждую утраченную или украденную запись, содержащую секретную и конфиденциальную информацию, увеличились с 154 долл. до 158 долл. Все обследованные организации пережили хищения данных в объеме от 3 тыс. до 101,5 тыс. взломанных записей. Большинство утечек было вызвано атаками с использованием вредоносного кода. (Как и в случае с преступлениями многих других типов, затраты на очистку от него могут значительно превышать добычу хакера.)

Хищения данных — не единственные потери бизнеса от онлайновых преступников. По расчетам ФБР, махинации с электронными сообщениями от имени генеральных директоров, в которых мошенники выступают от имени руководителей компаний и убеждают финансовых менеджеров перевести крупные суммы на фиктивные банковские счета, затронули десятки тысяч компаний и с января 2015 г. обошлись им более чем в 3,1 млрд. долл.

Защита от атак тоже дорого обходится бизнесу. Согласно аналитической фирме Gartner, мировые расходы на продукты и сервисы безопасности увеличатся в этом году до 81,6 млрд. долл. (62,8 млрд. ф. ст.), или на 8% по сравнению с прошлым годом из-за все более изощренных угроз и нехватки специалистов по кибербезопасности.

Мотивом большинства интернет-преступлений является стремление к наживе — хищение банковских данных либо интеллектуальной собственности или же вымогательство, например. Однако по мере роста онлайновой преступности она также превратилась (или мутировала) в совокупность нередко пересекающихся групп, которые представляют разнообразные угрозы для организаций разного размера.

Эти группы имеют разные инструменты, цели и специализацию. Понимание этого может помочь защититься от них.

Неорганизованная преступность

«Основная масса киберпреступников — это такие же стремящиеся к получению выгоды воры, которые действуют в реальном мире», — говорят эксперты. Это те мошенники, с которыми у вас больше всего шансов столкнуться или, по крайней мере, испытать последствия их действий, мелкие преступники онлайнового мира. Они могут рассылать спам, предлагать доступ к сетям ботов для совершения атак типа «отказ в обслуживании» или пытаться вовлечь вас в мошеннические схемы с предварительной оплатой, когда неосмотрительным людям обещают большую выплату в случае внесения авансом некоторой суммы (иногда значительной).

Одним из быстро растущих направлений является вымогательское ПО. «В криминальной экосистеме прибыль от инвестиций гораздо выше, если вы можете заставить свои жертвы платить за их собственные данные», — сказал специалист по изучению глобальных угроз Йенс Монрад, сотрудничающий с компанией FireEye.

Однако часто достаточно базовой системы ИТ-безопасности, чтобы держать такого рода преступников на расстоянии. Шифровать данные, использовать антивирусные технологии и устанавливать свежие обновления означает «быть в достаточно хорошей форме».

Организованная преступность

«Цифрового преступника XXI века лучше всего охарактеризовать как безжалостно эффективного предпринимателя или генерального директора, действующего на высокоразвитом и быстро развивающемся черном рынке... Это генеральный директор, не ограниченный ни регуляторами, ни моралью», — такое предупреждение содержится в недавнем докладе KPMG и BT под названием «Переходя в наступление» («Taking the Offensive»).

Такие группы имеют сложную организацию и могут использовать множество подрядчиков. Одни будут специалистами по разработке хакерских инструментов и поиску уязвимостей, другие будут осуществлять атаку, третьи — отмывать деньги. В центре паутины находится босс киберпреступности, выдвигающий идеи, определяющий цели и поддерживающий контакты.

Эти группы обладают возможностями для совершения атак против банков, юридических фирм и других крупных компаний. Они могут совершить мошенничество от имени генерального директора или просто украсть важные файлы и предложить выкупить их (или продать их недобросовестным конкурентам).

Согласно «Оценке угрозы со стороны организованной интернет-преступности в 2015 г.» (2015 Internet Organised Crime Threat Assessment) полицейской службы ЕС (Европол), сейчас инструменты и технологии организованной преступности и поддерживаемых государствами хакеров частично совпадают. Причем «обе категории используют социальную инженерию, специализированные вредоносные программы и общедоступное криминальное ПО». Организованные киберпреступные группы все чаще осуществляют также долгосрочные целенаправленные атаки вместо беспорядочных неприцельных кампаний, сообщает Европол.

Если государства применяют некую технологию, то обычно через полтора-два года она попадает к серьезным организованным преступникам. «Одна из проблем для рядовой компании заключается в том, что противник становится все более изощренным, поскольку может получить доступ к большему числу технологий, чем в прошлом», — сказал партнер подразделения кибербезопасности KPMG Джордж Квигли.

И риску подвергаются не только крупные компании. «Вам, как представителю малого бизнеса, простительно думать так: „Я не из тех парней, зачем кому-то может потребоваться моя сеть?“. Но вы являетесь участником чьей-то цепочки поставок», — отметил эксперт.

Хактевисты

Это могут быть отдельные лица или группы, имеющие определенную цель, возможно, решение конкретной задачи или проведение более широкой кампании. В отличие от большинства киберпреступников хактевисты стремятся не получить деньги с помощью своих эксплойтов, а скорее опозорить организацию либо человека и приобрести известность. Они вполне могут стремиться получить доступ не к системе учета или базе данных клиентов компании, а к сообщениям электронной почты генерального директора, других руководителей компании, представляющим их в невыгодном свете.

Террористы

Несмотря на шумиху, угроза со стороны кибертеррористов остается невысокой. В основном из-за того, что у этих групп отсутствуют навыки, деньги и инфраструктура для разработки и развёртывания эффективного кибероружия, которое могут надеяться создать только крупнейшие государства. «Возможно, симпатизирующие террористам осуществят низкоуровневые кибератаки по заданию террористических групп и привлекут внимание СМИ, которые могут преувеличить возможности этих людей и представляемую ими угрозу», — сказал в сентябре прошлого года директор Национальной разведки США Джеймс Клаппер, оценивая всемирные киберугрозы.

Поддерживаемые государствами хакеры

Хотя подавляющее большинство киберугроз исходит от обычных преступников, в последние годы широко обсуждается использование Интернета хакерами, которые пользуются поддержкой государств. Многое из этого принимает форму кибершпионажа — попыток выкрасть данные о государственных служащих или о дорогостоящих оборонных проектах. Правительства будут тратить миллионы на разработку практически не поддающихся обнаружению способов проникновения в системы других государств (или в системы военных подрядчиков, в важнейшую государственную инфраструктуру). На разработку таких проектов могут уйти годы.

«Иностранные правительства и преступники ищут уязвимости в сетях, которые управляют значительной частью нашей важнейшей инфраструктуры, в т. ч. финансовыми системами и электрическими сетями», — предупреждал в прошлом году президент США Обама, обвиняя иранских хакеров в целенаправленных атаках на американские банки и Северную Корею — в атаке на Sony Pictures, в результате которой были уничтожены данные и выведены из строя тысячи компьютеров.

Как и хактевисты, поддерживаемые государствами группы обычно не ищут финансовых выгод. Скорее, они стремятся как-то поддержать политику своих правительств. Например, поставить другое правительство в неловкое положение, раскрыв его секреты, или получить потенциальное стратегическое преимущество.

Хуже то, что поддерживаемые государствами хакеры могут быть заинтересованы в том, чтобы с помощью электронных средств вызвать физические эффекты. Например, вывести из строя электрическую сеть или открыть затворы плотины в неурочное время. В таких случаях киберпреступление превращается в кибервойну.

«Управление важнейшей инфраструктурой и ее эксплуатация будут и впредь зависеть от кибернетических информационных систем и электронных данных. Зависимость от электрических сетей и телекоммуникаций также продолжит увеличиваться, как и число векторов и площадь атаки, ввиду сложности этих систем и возросших уровней подключенности благодаря интеллектуальным сетям. Защита этих систем и данных жизненно важна для обеспечения доверия общественности и общественной безопасности», — пишет Европол.

С появлением Интернета вещей, в результате чего предметы повседневного обхода — от термостатов до домашних охранных систем — могут управляться через Интернет, возрастает риск того, что хорошо финансируемые группы попытаются взломать эти устройства. Если вашу организацию атакуют поддерживаемые государствами группы, противостоять им крайне сложно. Вам следует подумать, как ограничить ущерб с помощью, например, сегментации сетей и шифрования секретных данных. Концентрации усилий на блокировании атак по периметру сети будет недостаточно.

Инсайдерские угрозы

Может ли случиться так, что компании, сосредотачиваясь на внешних угрозах, забывают об опасности, источник которой находится гораздо ближе?

«В последнее время гораздо больше проблем создавали инсайдеры. Одна из трудностей заключается в том, что когда люди думают о чем-то кибернетическом, они автоматически думают о чем-то внешнем», — говорит Квигли. Хранение конфиденциальных документов компании на коллективно используемых носителях и слабый внутренний контроль за тем, кто может получить доступ к данным, означают, что недовольный или жадный инсайдер все еще может стать источником одного из самых больших рисков для компаний. «Им следует обращать на инсайдеров гораздо больше внимания, чем они это делают», — предупреждает Квигли.

Размытые границы

В реальности эти группы во многом пересекаются по своему составу, используемым инструментам и выбору целей. «Картина киберугроз все больше затрудняет определение источников или объяснение атак», — говорит Монрад.

Однако большинство взломов начинается одинаково, утверждает эксперт Дэвид Эмм. «Общее у них то, как они получают первоначальный доступ, обманом заставляя людей делать то, что ставит безопасность под угрозу: щелкнуть по ссылке, открыть вложение, выдать некую конфиденциальную информацию». Важно обучить персонал и закрыть явные дыры. Согласно Gartner, до 2020 г. 99% используемых уязвимостей по-прежнему будут известны специалистам по безопасности и ИТ по крайней мере на протяжении года.

Что можно утверждать с уверенностью, так это то, что по мере дальнейшего возрастания роли Интернета в нашей повседневной жизни возможности киберпреступников делать деньги будут только расширяться.