В последние дни главной новостью в украинских СМИ стала кибератака на крупнейшего оператора связи «Киевстар». В результате атаки почти 25 миллионов абонентов внезапно остались без связи. Ситуация набрала критические обороты, когда стало ясно, что восстановление связи займет не час и не два, а до недели. В ответ на это люди в спешке выстраивались в длинные очереди за сим-картами других операторов. Сейчас ситуация постепенно налаживается, но прецедент, как шоковая терапия, останется в памяти украинцев.
Кто совершил крупную технологическую диверсию по отношению к компании «Киевстар» вроде как бы и не секрет, поскольку группа хакеров под названием «Солнцепек» взяла на себя ответственность за произошедшее. И хотя эксперты утверждают, что работала одновременно не одна группа хакеров, а несколько, то это не отвечает на вопрос и не проясняет, что же делать, чтобы этого не произошло в будущем и как можно было бы этого избежать в принципе?
«Только атаки дилетантов нацелены на машины, атаки профессионалов нацелены на людей»
Брюс Шнайер
Глава стратегического совета Института Информационной Безопасности Слободянюк Константин Владимирович, сфера научных интересов которого также включает и безопасность предприятий, в ответ нашему журналисту довольно неожиданно заявил, что это событие ожидаемое и оно должно было произойти с какой-то из достаточно глобальных украинских компаний в силу «мнимой безопасности», что сегодня является диагнозом для всего украинского бизнеса.
— Что же такое «мнимая безопасность»?
— Это когда руководство компании и ее владельцы уверены в том, что в структуре сформирована команда, которая способна защитить ее от подобных инцидентов. При этом, внимание сотрудников сконцентрировано исключительно на инженерной системе компании, и на это направлены все усилия и вложения. Таким образом, защищают инженерные системы от внешних людей. Подчеркиваю: инженерные системы от людей. И практически нулевой акцент на том, что главной угрозой в технологической системе является человек. А это американская парадигма, которую культивируют в Украине. И сейчас мы наблюдаем крах этой парадигмы.
— Действительно, как пояснил позднее президент компании «Киевстар» Александр Комаров, проникновение в инфраструктуру компании произошло посредством взлома учетной записи одного из сотрудников. И со слов того же Комарова, это доказывает, что даже самая защищенная инфраструктура может быть поражена. Может это показывает и доказывает, что подход к организации безопасности неверен? Есть ли другой подход?
«Компании тратят миллионы долларов на брандмауэры, шифрование и устройства безопасного доступа, и это деньги впустую; ни одна из этих мер не затрагивает самое слабое звено в цепочке безопасности — человека»
Кевин Митник
— Есть американский нонконформист, один из первых людей, спроектировавших антивирусное программное обеспечение — Джон Макафи. Он говорил: «взламывают не системы, взламывают людей». Поэтому неверно выбранная парадигма — главная проблема украинского бизнеса, вследствие чего подобные инциденты будут происходить все чаще, а последствия — плачевнее. Мой шеф, который является научным руководителем Института Информационной Безопасности — Олег Мальцев, всегда акцентирует внимание на одном главном вопросе: «на кого мы можем рассчитывать в компании и до какой степени?» Но в Украине очень маленькое число компаний задаются подобными вопросами. Сотрудников компании считают активом компании, но не рассматривают потенциальные угрозы, источником которых они могут стать. В результате они вынуждены нести огромные убытки, как, например, сейчас вынуждена возмещать их компания «Киевстар».
«В такой сфере как безопасность деловых кругов очень важно быть всегда на несколько шагов впереди соперника как технологически, так и информационно. Класс должен быть многократно выше»
Олег Мальцев
— Иными словами компании сосредоточены на внешних угрозах, а внутренним угрозам не уделяют внимания? В ситуации с компанией «Киевстар» мы видим, что даже те сотрудники, которые должны обеспечивать защиту, стали угрозой, поскольку со слов экс-руководителя компании «Киевстар», Петра Чернышева, они просто «расслабились».
— Не хочу сейчас вдаваться в подробности проблематики человеческого фактора, которому должного внимания не уделяется в компаниях. В прошлом году в Институте Информационной Безопасности проходила конференция по этой теме, в ней приняли участие ученые из разных стран мира и была сформирована новая парадигма безопасности, и резолюция по ней представлена в свободном доступе. И некоторые бизнес-структуры взяли ее для себя за основу. Это как европейские компании, так и компании Украины, посредством чего и минимизируется тот самый человеческий фактор. Из украинского сегмента можно привести пример компании Meest China.
В Meest China заботятся о своих сотрудниках и клиентах, а руководство и собственники объективно оценивают ситуацию, в которой сейчас работает любой бизнес. Они понимают, что атака только в онлайн формате на дистанции практически не реализуема, поэтому всегда происходит комбинация онлайн методов и оффлайн. Поэтому за год сотрудничества компании с Институтом Информационной Безопасности было проведено два глобальных теста на проникновение. Тест на проникновение включает в себя группу сценариев, согласно которым происходит атака на компанию этическими хакерами не только на коммуникативные сети компании, но и с применением методов социального инжиниринга.
«Самым слабым звеном в цепи безопасности является человеческий фактор»
Кевин Митник
— А какие методы оффлайн могут использовать при атаках на компанию?
— Тут речь идет, в том числе, о так называемом «взломе сотрудника» или методах социального инжиниринга. Здесь важно понимать, кого из сотрудников легче всего взломать. Массимо Интровинье, итальянский социолог религии и коллега научного руководителя Института Информационной Безопасности Олега Мальцева говорит, что существует такая категория лиц, как отступники. Эта категория лиц не просто не лояльна по отношению к компании, а может проявлять и враждебные настроения. Следовательно, у них есть мотив совершить против компании действия вредительского характера, а чаще всего и преступные. Поэтому крайне актуальный вопрос: «Сколько людей, уволенных из компании, остались после этого недовольными?» Или: «А сколько вообще, на данный момент, в вашей компании работает недовольных сотрудников?». Все эти моменты крайне важны, когда речь идет об атаке на компанию. И в завершении беседы хотелось бы отметить, что тем компаниям, деятельность которых всецело зависит от инженерных технологических систем, после инцидента с компанией «Киевстар» следовало бы кардинальным образом пересмотреть свой подход к организации безопасности компании. Для компании «Киевстар» это событие стало нокдауном, после которого компания вполне может подняться, но для многих это может стать нокаутом.