«Противовирусное средство» для безопасности цифровой экономики
Пожалуй, никто уже не будет спорить с утверждением, что жизнь множества людей во всех уголках мира незаметно для них самих во многом переходит в виртуальное пространство. И это явление, безусловно, ежедневно несёт в себе всё более новые угрозы. Чем больше человечество использует Интернет во всех сферах своей жизнедеятельности, тем больше растут возможности у киберпреступников для совершения всевозможных кибератак. Рост киберпреступности лавинообразен, связан он как с внешними атаками, так и с внутренними факторами. Любая перспективная инновация мгновенно может стать инструментом атаки, в то время как разработка защиты занимает время. Поэтому решить проблему киберпреступности, реагируя лишь на уже существующие угрозы и тенденции, невозможно.
Итоги 2016 года и первого полугодия 2017-го показывают ошеломительный рост преступлений в киберпространстве и утечек данных через системных администраторов.
По оценкам The Boston Consulting Group, к концу 2016 года Интернетом пользовалось почти 3,5 млрд человек, подключено к нему было около 10 млрд устройств. К 2020 году прогнозируется двукратное увеличение этих показателей.
По оценкам экспертов, в 2016 году киберпреступления нанесли мировой экономике ущерб в размере 1% мирового ВВП. По данным международных исследовательских и консалтинговых компаний, таких как Allianz Global Corporate & Specialty (AGCS) и International Data Corporation, ущерб составил от $575 до $650 млрд. На первом месте по потерям стоит Германия — здесь они составляют 1,6 % ВВП ($59 млрд), на втором — США с 0,64 % ВВП ($108 млрд), далее — Китай с 0,63 % ВВП ($60 млрд). Россия потеряла от киберпреступлений 0,25 % ВВП и находится на пятом месте, по данным AGCS. И данные показатели имеют тенденцию к неуклонному росту.
По данным Pricewaterhouse Coopers, в 2016 году киберпреступления по их количеству заняли второе место среди видов экономической преступности с долей 32% (24% — в 2014 году). Это больше, чем отмывание денег, коррупция и другие традиционные правонарушения.
Количество противоправных действий, совершаемых с использованием Интернета и коммуникационных устройств, продолжает непрерывно расти. Всё большую распространённость получают кибермошенничество, информационные блокады, компьютерный шпионаж и иные посягательства, представляющие повышенную опасность для общества. Всемирная Сеть широко используется для пропаганды различных экстремистских идей и движений. Например, по данным Генеральной прокуратуры РФ, в 2016 году в России две трети преступлений экстремистской направленности и каждое девятое преступление террористического характера совершены с использованием Интернета. В ходе мониторинга российских и иностранных социальных сетей выявляются многочисленные материалы, оправдывающие и пропагандирующие деятельность террористических и экстремистских сообществ. По требованию прокурора, направленному в федеральный орган исполнительной власти, эти сайты блокируются во внесудебном порядке. Соответствующие полномочия предоставлены прокуратуре законодательством о защите информации и информационных технологий. За 3,5 года с момента введения указанной нормы по требованиям Генеральной прокуратуры РФ во внесудебном порядке заблокирован доступ более чем к 3 тыс. интернет-страницам, с 50 тыс. ресурсов удалена противоправная информация.
Вдобавок у мирового сообщества появилась ещё одна общая беда — глобальные компьютерные вирусы. Не успел мир опомниться после атаки программы-вымогателя WannaCry, как по планете прокатился сетевой червь-шифровальщик Petya. За новой реальностью, где бизнес и целые государства сталкиваются с побочными эффектами от быстрого технологического развития, не всегда успевают операторы связи и крупные подрядчики — они не могут гарантировать информационную безопасность корпоративным клиентам. Подтверждением тому служит случившаяся не так давно череда сбоев в сетях «МегаФона», услугами которого пользуются силовые ведомства и системообразующие предприятия России уровня РЖД и «Русгидро». В рейтинге стран, пострадавших от Petya, Россия занимает лишь 14-е место, зато среди жертв WannaCry она входит в первую тройку. В частности, вредоносная программа заразила часть компьютеров МВД и атаковала информационные системы РЖД, лишь чудом не добравшись до центра управления движением поездов. Вышеприведённые обстоятельства наглядно говорят о том, что образ будущего в целом уже сформирован и такого рода атаки становятся всё более направленными.
При нападениях злоумышленники используют как традиционные уязвимости, так и ошибки, допущенные архитекторами при проектировании и реализации заказных ИС. Киберпреступники демонстрируют глубокое понимание архитектуры атакуемой ИС и учитывают конкретные средства её защиты, постоянно совершенствуют методы атак. Чем же им могут ответить бизнес и государство? Например, Сбербанк наработал огромный опыт по противодействию DDoS-атакам (атака типа «отказ в обслуживании»), в том числе с пониманием их технических особенностей. Атаки, организованные в ноябре 2016-го, были уникальны даже по мировым меркам. Тогда, 10 ноября 2016 года, web-ресурс «Сбербанк Онлайн» подвергся многократной мощной DDoS-атаке, которая длилась несколько часов, однако была успешно отражена системами защиты банка. Банковскую систему России атаковали несколько десятков тысяч так называемых «Интернет-вещей» — техники, которая имеет выход в Интернет. Тогда глава Сбербанка Г. О. Греф заявил, что «сила DDoS-атак, с которыми столкнулись российские компании в последние дни, в тысячу раз превосходит мощность предыдущих аналогичных акций». Сейчас Сбербанк добился полного отсутствия остановок работы систем во время DDoS-атак, благодаря созданной эшелонированной системе защиты. В позапрошлом году остановки составляли от 50 минут до нескольких часов, в прошлом году остановок любой из внутренних систем не было.
Сегодня основная цель того или иного вредоносного воздействия лежит в коммерческой плоскости. Вредоносные программы пишутся с целью незаконного обогащения, получения денежных средств, хищения конфиденциальной информации, блокирования работы системы автоматизации и баз данных. Многие из нынешних вредоносных программ написаны по заказу и чаще всего с целью последующей продажи другим преступникам.
Но если с создателями и распространителями вредоносных компьютерных программ вроде бы всё понятно — за совершение таких деяний злоумышленникам грозит уголовная ответственность, предусмотренная статьей 273 Уголовного кодекса РФ, — то как тогда быть с теми, кто приобретает, хранит и перемещает вредоносные компьютерные программы? Получается, что такие действия, как приобретение, хранение и перемещение вредоносных компьютерных программ в настоящее время по Уголовному кодексу РФ преступлениями не являются? К сожалению, это так и это один из существеннейших пробелов в российском законодательстве.
Для наглядности рассмотрим один случай из судебной практики: 9 июня 2011 года Индустриальным районным судом г. Ижевска вынесен обвинительный приговор по делу N 1-174/2011 в отношении К. В. Туктарева, который был признан виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ, то есть в незаконном использовании и распространении вредоносных программ, вносящих модификации в программное обеспечение. Суд установил, что в ходе использования сети Интернет у К. В. Туктарева возник умысел на незаконную торговлю вредоносными программами для ЭВМ, вносящими модификации в программы для ЭВМ, а именно: CyberLink PowerDVD, CorelDRAW Graphics Suite X4, Nero 8, XF-MAX2k9-32bit-KG.exe, WinRaR и XF-MAX2k9-64bit-KG.exe, и позволяющими использовать их без ограничения времени, которые он заранее незаконно приобрёл при неустановленных обстоятельствах у неустановленных следствием лиц и хранил их в целях дальнейшего сбыта на машинном носителе компьютера, установленного в квартире, а также на флеш-карте. С целью реализации своего умысла К. В. Туктарев, из корыстных побуждений, разместил с лета 2010 года по февраль 2011 года в Интернете на сайте www.avito.ru объявления об установке компьютерных программ за вознаграждение.
В данном примере суд при вынесении приговора о признании лица виновным в использовании и распространении вредоносных компьютерных программ установил, что этим действиям, входящим в состав объективной стороны ст. 273 УК РФ, предшествовали приобретение, хранение и перемещение таких программ, и, в случае если была бы установлена ответственность за совершение таких действий, возможно, удалось бы избежать дальнейших общественно опасных последствий, наступающих при использовании и распространении таких программ.
Таким образом, при наличии в Уголовном кодексе РФ норм уголовной ответственности за совершение таких действий, как хранение, приобретение и перемещение вредоносных компьютерных программ, К. В. Туктарев был бы привлечён к уголовной ответственности до возникновения угрозы уничтожения, модификации, копирования, блокирования компьютерной информации. В этой связи очень важно пересмотреть диспозицию статьи 273 УК РФ.
В Великобритании дела обстоят несколько иначе: такие действия злоумышленников, как приобретение, хранение и перемещение, караются законом и за их совершение предусмотрена уголовная ответственность. То есть в уголовном законодательстве Великобритании, в отличие от российского, данные действия официально приравнены государством к преступлениям.
Так, принятый 08 ноября 2006 года The Police and Justice Act 2006 (Закон о полиции и юстиции) добавил поправки к уже действовавшему на тот момент The Computer Misuse Act 1990 (Закону о неправомерном использовании компьютерных технологий). В частности, в закон был добавлен новый, 37-й раздел, из которого следует, что преступлением, предусматривающим наказание в виде лишения свободы до двух лет, признаётся совершение изготовления, предоставления или приобретения товаров для использования в правонарушениях, связанных с неправомерным применением компьютерных технологий. В этом разделе говорится:
1. Лицо является виновным в совершении преступления, если оно изготавливает, приспосабливает, предоставляет или предлагает предоставить товар в целях его использования для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или для того, чтобы способствовать совершению такого преступления.
2. Лицо является виновным в совершении преступления, если оно предоставляет или предлагает предоставить товар, осознавая, что этот товар, возможно, будет использован для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или способствовать совершению такого преступления.
3. Лицо является виновным в совершении преступления, если оно приобретает товар в целях его дальнейшего предоставления для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или для того, чтобы способствовать совершению такого преступления.
4. В данном разделе под «товаром» понимается любая программа или данные в электронной форме.
В данном случае мы понимаем, что под «товаром» в законодательстве Великобритании подразумевается используемый в Уголовном кодексе РФ термин «вредоносная компьютерная программа». И здесь сразу следует отметить ещё один пробел в уголовном законодательстве РФ — к сожалению, понятие «вредоносная компьютерная программа» в нём также отсутствует. Статья 273 УК РФ лишь указывает на тяжкие последствия или угрозу их наступления, связанные с действием таких программ, однако, что понимать под таковыми последствиями законодателем, прямо не указано, а в отсутствие такого определения и чёткого ответа на вопрос о том, какую компьютерную программу признавать вредоносной и что понимать под негативными последствиями, невозможно эффективно применять рассматриваемую норму на практике.
Казалось бы, какая здесь связь с бизнесом и какое ему дело до существующих в действующем законодательстве пробелов и коллизий? Ответ очень прост: как показывает мировая практика, обеспечить безопасность информационной инфраструктуры исключительно силами и средствами государства невозможно. Мы слишком долго адаптируем наш юридический инструментарий, в то время как в крайне быстро меняющемся мире киберпреступлений необходимо иметь инструментарий ещё более быстрых ответных изменений. И в данном направлении уже сегодня Сбербанк ведёт совместную работу с МВД по подготовке поправок в Уголовный кодекс РФ, поскольку у обеих сторон данного взаимодействия есть понимание и осознание необходимости приведения законодательства в соответствие с задачами по обеспечению защиты от киберугроз на национальном уровне. В настоящее время на рассмотрении в Государственной думе РФ находится законопроект, который инициативно был подготовлен Сбербанком в части усиления уголовной ответственности за хищение денежных средств с банковского счёта или электронных денежных средств. Представляется, что данная поправка в УК РФ сможет помочь привлечению к уголовной ответственности виновных лиц за совершение кибермошенничеств.
Сбербанк и дальше будет вести работу в данном направлении по устранению имеющихся пробелов в законодательстве, препятствующих противодействовать киберугрозам. В настоящее время внутри Сбербанка прорабатывается законодательная инициатива по введению уголовной ответственности за приобретение, посредническую деятельность по приобретению компьютерной вирусной программы, её дельнейшему хранению и перемещению. Данные поправки должны способствовать снижению риска наступления дальнейших общественно опасных последствий, наступающих при использовании и распространении таких программ, и предупреждению совершения преступлений в сфере компьютерной информации.
Как банк, мы понимаем актуальность и остроту данной проблемы. Попытки хищений через каналы дистанционного банковского обслуживания сегодня являются наиболее распространёнными видами хищений, совершаемых в отношении банков и их клиентов. Так, хакеры при помощи вредоносных компьютерных программ совершают в отношении клиентов Сбербанка ежедневно в среднем не менее 7000 кибератак, основной целью которых является получение удалённого доступа к техническому устройству клиента (компьютер, телефон и т. д.). При этом хакеры регулярно меняют техническую реализацию применяемых кибератак, в том числе и DDoS-атак, с целью подбора способов обхода защиты. Не менее популярно и хищение информации — как личной, так и коммерческой, и служебной, включая информацию о разработках, через рассылку фишинговых писем. Злоумышленники рассылают электронные письма, которые выглядят как рассылки популярных брендов, банковские уведомления, или сообщения внутри социальных сетей и через мессенджеры. Пользователи открывают содержащиеся в них ссылки, кликают на картинки, баннеры и заражают компьютер или мобильный телефон вирусом, который похищает информацию, позволяющую злоумышленникам получить доступ к средствам на счетах. Киберпреступность развивается значительно быстрее, чем киберзащита. И мы понимаем, что развитие устойчивой и защищённой цифровой инфраструктуры в РФ является одним из стратегических государственных приоритетов.
В завершение хотелось бы отметить, что уголовная политика в сфере борьбы с компьютерными преступлениями должна содержать не только правовые, но и экономические, социальные, организационные и другие меры. Новым трендом политики государственного принуждения должно стать повышение правовой и общей культуры граждан, их правосознания, а также эффективности деятельности государственных органов по профилактике компьютерных преступлений.
Дарья САВЕНКОВА,
менеджер отдела контроля качества и организации
процессов противодействия кибермошенничеству, СБЕРБАНК
Опубликовано 05.10.2017