«Противовирусное средство» для безопасности цифровой экономики

Логотип компании
По данным Pricewaterhouse Coopers, в 2016 году киберпреступления по их количеству заняли второе место среди видов экономической преступности с долей 32% (24% — в 2014 году). Это больше, чем отмывание денег, коррупция и другие традиционные правонарушения...

Пожалуй, никто уже не будет спорить с утверждением, что жизнь множества людей во всех уголках мира незаметно для них самих во многом переходит в виртуальное пространство. И это явление, безусловно, ежедневно несёт в себе всё более новые угрозы. Чем больше человечество использует Интернет во всех сферах своей жизнедеятельности, тем больше растут возможности у киберпреступников для совершения всевозможных кибератак. Рост киберпреступности лавинообразен, связан он как с внешними атаками, так и с внутренними факторами. Любая перспективная инновация мгновенно может стать инструментом атаки, в то время как разработка защиты занимает время. Поэтому решить проблему киберпреступности, реагируя лишь на уже существующие угрозы и тенденции, невозможно.

Итоги 2016 года и первого полугодия 2017-го показывают ошеломительный рост преступлений в киберпространстве и утечек данных через системных администраторов.

По оценкам The Boston Consulting Group, к концу 2016 года Интернетом пользовалось почти 3,5 млрд человек, подключено к нему было около 10 млрд устройств. К 2020 году прогнозируется двукратное увеличение этих показателей.

По оценкам экспертов, в 2016 году киберпреступления нанесли мировой экономике ущерб в размере 1% мирового ВВП. По данным международных исследовательских и консалтинговых компаний, таких как Allianz Global Corporate & Specialty (AGCS) и International Data Corporation, ущерб составил от $575 до $650 млрд. На первом месте по потерям стоит Германия — здесь они составляют 1,6 % ВВП ($59 млрд), на втором — США с 0,64 % ВВП ($108 млрд), далее — Китай с 0,63 % ВВП ($60 млрд). Россия потеряла от киберпреступлений 0,25 % ВВП и находится на пятом месте, по данным AGCS. И данные показатели имеют тенденцию к неуклонному росту.

По данным Pricewaterhouse Coopers, в 2016 году киберпреступления по их количеству заняли второе место среди видов экономической преступности с долей 32% (24% — в 2014 году). Это больше, чем отмывание денег, коррупция и другие традиционные правонарушения.

Количество противоправных действий, совершаемых с использованием Интернета и коммуникационных устройств, продолжает непрерывно расти. Всё большую распространённость получают кибермошенничество, информационные блокады, компьютерный шпионаж и иные посягательства, представляющие повышенную опасность для общества. Всемирная Сеть широко используется для пропаганды различных экстремистских идей и движений. Например, по данным Генеральной прокуратуры РФ, в 2016 году в России две трети преступлений экстремистской направленности и каждое девятое преступление террористического характера совершены с использованием Интернета. В ходе мониторинга российских и иностранных социальных сетей выявляются многочисленные материалы, оправдывающие и пропагандирующие деятельность террористических и экстремистских сообществ. По требованию прокурора, направленному в федеральный орган исполнительной власти, эти сайты блокируются во внесудебном порядке. Соответствующие полномочия предоставлены прокуратуре законодательством о защите информации и информационных технологий. За 3,5 года с момента введения указанной нормы по требованиям Генеральной прокуратуры РФ во внесудебном порядке заблокирован доступ более чем к 3 тыс. интернет-страницам, с 50 тыс. ресурсов удалена противоправная информация.

Вдобавок у мирового сообщества появилась ещё одна общая беда — глобальные компьютерные вирусы. Не успел мир опомниться после атаки программы-вымогателя WannaCry, как по планете прокатился сетевой червь-шифровальщик Petya. За новой реальностью, где бизнес и целые государства сталкиваются с побочными эффектами от быстрого технологического развития, не всегда успевают операторы связи и крупные подрядчики — они не могут гарантировать информационную безопасность корпоративным клиентам. Подтверждением тому служит случившаяся не так давно череда сбоев в сетях «МегаФона», услугами которого пользуются силовые ведомства и системообразующие предприятия России уровня РЖД и «Русгидро». В рейтинге стран, пострадавших от Petya, Россия занимает лишь 14-е место, зато среди жертв WannaCry она входит в первую тройку. В частности, вредоносная программа заразила часть компьютеров МВД и атаковала информационные системы РЖД, лишь чудом не добравшись до центра управления движением поездов. Вышеприведённые обстоятельства наглядно говорят о том, что образ будущего в целом уже сформирован и такого рода атаки становятся всё более направленными.

При нападениях злоумышленники используют как традиционные уязвимости, так и ошибки, допущенные архитекторами при проектировании и реализации заказных ИС. Киберпреступники демонстрируют глубокое понимание архитектуры атакуемой ИС и учитывают конкретные средства её защиты, постоянно совершенствуют методы атак. Чем же им могут ответить бизнес и государство? Например, Сбербанк наработал огромный опыт по противодействию DDoS-атакам (атака типа «отказ в обслуживании»), в том числе с пониманием их технических особенностей. Атаки, организованные в ноябре 2016-го, были уникальны даже по мировым меркам. Тогда, 10 ноября 2016 года, web-ресурс «Сбербанк Онлайн» подвергся многократной мощной DDoS-атаке, которая длилась несколько часов, однако была успешно отражена системами защиты банка. Банковскую систему России атаковали несколько десятков тысяч так называемых «Интернет-вещей» — техники, которая имеет выход в Интернет. Тогда глава Сбербанка Г. О. Греф заявил, что «сила DDoS-атак, с которыми столкнулись российские компании в последние дни, в тысячу раз превосходит мощность предыдущих аналогичных акций». Сейчас Сбербанк добился полного отсутствия остановок работы систем во время DDoS-атак, благодаря созданной эшелонированной системе защиты. В позапрошлом году остановки составляли от 50 минут до нескольких часов, в прошлом году остановок любой из внутренних систем не было.

Сегодня основная цель того или иного вредоносного воздействия лежит в коммерческой плоскости. Вредоносные программы пишутся с целью незаконного обогащения, получения денежных средств, хищения конфиденциальной информации, блокирования работы системы автоматизации и баз данных. Многие из нынешних вредоносных программ написаны по заказу и чаще всего с целью последующей продажи другим преступникам.

Но если с создателями и распространителями вредоносных компьютерных программ вроде бы всё понятно — за совершение таких деяний злоумышленникам грозит уголовная ответственность, предусмотренная статьей 273 Уголовного кодекса РФ, — то как тогда быть с теми, кто приобретает, хранит и перемещает вредоносные компьютерные программы? Получается, что такие действия, как приобретение, хранение и перемещение вредоносных компьютерных программ в настоящее время по Уголовному кодексу РФ преступлениями не являются? К сожалению, это так и это один из существеннейших пробелов в российском законодательстве.

Для наглядности рассмотрим один случай из судебной практики: 9 июня 2011 года Индустриальным районным судом г. Ижевска вынесен обвинительный приговор по делу N 1-174/2011 в отношении К. В. Туктарева, который был признан виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ, то есть в незаконном использовании и распространении вредоносных программ, вносящих модификации в программное обеспечение. Суд установил, что в ходе использования сети Интернет у К. В. Туктарева возник умысел на незаконную торговлю вредоносными программами для ЭВМ, вносящими модификации в программы для ЭВМ, а именно: CyberLink PowerDVD, CorelDRAW Graphics Suite X4, Nero 8, XF-MAX2k9-32bit-KG.exe, WinRaR и XF-MAX2k9-64bit-KG.exe, и позволяющими использовать их без ограничения времени, которые он заранее незаконно приобрёл при неустановленных обстоятельствах у неустановленных следствием лиц и хранил их в целях дальнейшего сбыта на машинном носителе компьютера, установленного в квартире, а также на флеш-карте. С целью реализации своего умысла К. В. Туктарев, из корыстных побуждений, разместил с лета 2010 года по февраль 2011 года в Интернете на сайте www.avito.ru объявления об установке компьютерных программ за вознаграждение.

В данном примере суд при вынесении приговора о признании лица виновным в использовании и распространении вредоносных компьютерных программ установил, что этим действиям, входящим в состав объективной стороны ст. 273 УК РФ, предшествовали приобретение, хранение и перемещение таких программ, и, в случае если была бы установлена ответственность за совершение таких действий, возможно, удалось бы избежать дальнейших общественно опасных последствий, наступающих при использовании и распространении таких программ.

Таким образом, при наличии в Уголовном кодексе РФ норм уголовной ответственности за совершение таких действий, как хранение, приобретение и перемещение вредоносных компьютерных программ, К. В. Туктарев был бы привлечён к уголовной ответственности до возникновения угрозы уничтожения, модификации, копирования, блокирования компьютерной информации. В этой связи очень важно пересмотреть диспозицию статьи 273 УК РФ.

В Великобритании дела обстоят несколько иначе: такие действия злоумышленников, как приобретение, хранение и перемещение, караются законом и за их совершение предусмотрена уголовная ответственность. То есть в уголовном законодательстве Великобритании, в отличие от российского, данные действия официально приравнены государством к преступлениям.

Так, принятый 08 ноября 2006 года The Police and Justice Act 2006 (Закон о полиции и юстиции) добавил поправки к уже действовавшему на тот момент The Computer Misuse Act 1990 (Закону о неправомерном использовании компьютерных технологий). В частности, в закон был добавлен новый, 37-й раздел, из которого следует, что преступлением, предусматривающим наказание в виде лишения свободы до двух лет, признаётся совершение изготовления, предоставления или приобретения товаров для использования в правонарушениях, связанных с неправомерным применением компьютерных технологий. В этом разделе говорится:

Читайте также
IT-World разбирался, как сделать так, чтобы специалист на удаленке не смотрел весь день сериалы под кофе, или тем более алкоголь? Как помочь ему сохранить рабочий фокус, но при этом не заставлять перерабатывать?

1. Лицо является виновным в совершении преступления, если оно изготавливает, приспосабливает, предоставляет или предлагает предоставить товар в целях его использования для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или для того, чтобы способствовать совершению такого преступления.

2. Лицо является виновным в совершении преступления, если оно предоставляет или предлагает предоставить товар, осознавая, что этот товар, возможно, будет использован для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или способствовать совершению такого преступления.

3. Лицо является виновным в совершении преступления, если оно приобретает товар в целях его дальнейшего предоставления для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или для того, чтобы способствовать совершению такого преступления.

4. В данном разделе под «товаром» понимается любая программа или данные в электронной форме.

В данном случае мы понимаем, что под «товаром» в законодательстве Великобритании подразумевается используемый в Уголовном кодексе РФ термин «вредоносная компьютерная программа». И здесь сразу следует отметить ещё один пробел в уголовном законодательстве РФ — к сожалению, понятие «вредоносная компьютерная программа» в нём также отсутствует. Статья 273 УК РФ лишь указывает на тяжкие последствия или угрозу их наступления, связанные с действием таких программ, однако, что понимать под таковыми последствиями законодателем, прямо не указано, а в отсутствие такого определения и чёткого ответа на вопрос о том, какую компьютерную программу признавать вредоносной и что понимать под негативными последствиями, невозможно эффективно применять рассматриваемую норму на практике.

Казалось бы, какая здесь связь с бизнесом и какое ему дело до существующих в действующем законодательстве пробелов и коллизий? Ответ очень прост: как показывает мировая практика, обеспечить безопасность информационной инфраструктуры исключительно силами и средствами государства невозможно. Мы слишком долго адаптируем наш юридический инструментарий, в то время как в крайне быстро меняющемся мире киберпреступлений необходимо иметь инструментарий ещё более быстрых ответных изменений. И в данном направлении уже сегодня Сбербанк ведёт совместную работу с МВД по подготовке поправок в Уголовный кодекс РФ, поскольку у обеих сторон данного взаимодействия есть понимание и осознание необходимости приведения законодательства в соответствие с задачами по обеспечению защиты от киберугроз на национальном уровне. В настоящее время на рассмотрении в Государственной думе РФ находится законопроект, который инициативно был подготовлен Сбербанком в части усиления уголовной ответственности за хищение денежных средств с банковского счёта или электронных денежных средств. Представляется, что данная поправка в УК РФ сможет помочь привлечению к уголовной ответственности виновных лиц за совершение кибермошенничеств.

Сбербанк и дальше будет вести работу в данном направлении по устранению имеющихся пробелов в законодательстве, препятствующих противодействовать киберугрозам. В настоящее время внутри Сбербанка прорабатывается законодательная инициатива по введению уголовной ответственности за приобретение, посредническую деятельность по приобретению компьютерной вирусной программы, её дельнейшему хранению и перемещению. Данные поправки должны способствовать снижению риска наступления дальнейших общественно опасных последствий, наступающих при использовании и распространении таких программ, и предупреждению совершения преступлений в сфере компьютерной информации.

Дарья САВЕНКОВА

Как банк, мы понимаем актуальность и остроту данной проблемы. Попытки хищений через каналы дистанционного банковского обслуживания сегодня являются наиболее распространёнными видами хищений, совершаемых в отношении банков и их клиентов. Так, хакеры при помощи вредоносных компьютерных программ совершают в отношении клиентов Сбербанка ежедневно в среднем не менее 7000 кибератак, основной целью которых является получение удалённого доступа к техническому устройству клиента (компьютер, телефон и т. д.). При этом хакеры регулярно меняют техническую реализацию применяемых кибератак, в том числе и DDoS-атак, с целью подбора способов обхода защиты. Не менее популярно и хищение информации — как личной, так и коммерческой, и служебной, включая информацию о разработках, через рассылку фишинговых писем. Злоумышленники рассылают электронные письма, которые выглядят как рассылки популярных брендов, банковские уведомления, или сообщения внутри социальных сетей и через мессенджеры. Пользователи открывают содержащиеся в них ссылки, кликают на картинки, баннеры и заражают компьютер или мобильный телефон вирусом, который похищает информацию, позволяющую злоумышленникам получить доступ к средствам на счетах. Киберпреступность развивается значительно быстрее, чем киберзащита. И мы понимаем, что развитие устойчивой и защищённой цифровой инфраструктуры в РФ является одним из стратегических государственных приоритетов.

В завершение хотелось бы отметить, что уголовная политика в сфере борьбы с компьютерными преступлениями должна содержать не только правовые, но и экономические, социальные, организационные и другие меры. Новым трендом политики государственного принуждения должно стать повышение правовой и общей культуры граждан, их правосознания, а также эффективности деятельности государственных органов по профилактике компьютерных преступлений.

Дарья САВЕНКОВА,

менеджер отдела контроля качества и организации

процессов противодействия кибермошенничеству, СБЕРБАНК

Смотреть все статьи по теме "Информационная безопасность"

Опубликовано 05.10.2017

Похожие статьи