Кибербезопасность-2018: чего ждать бизнесу?

На этой неделе в  Лас-Вегасе (США) проводится крупнейшая в мире ежегодная выставка потребительской электроники – CES. Представленные на ней в нынешнем году продукты новейших технологий, с одной стороны, демонстрируют все возрастающие возможности человечества, а с другой – заставляют задуматься об угрозах, которые несет тотальная виртуализация повседневной жизни. Вопросы кибербезопасности становятся все более актуальны не только в бизнесе, но и в быту. Однако именно деловой сегмент рискует получить наибольшие убытки в случае игнорирования вызовов, таящихся в виртуальном мире. К чему следует быть готовыми украинским предпринимателям и чиновникам в наступившем году, и каким образом можно использовать горький опыт 2017-го, специально для Mind рассказал Виталий Якушев, операционный директор компании 10Guards.

2017-й называют годом рождения кибербезопасности в Украине. Кибершантаж, фишинговые атаки, взломы личных устройств и кража данных – термины, которые перестали резать ухо простым обывателям. Даже количество киберпреступлений за последний год уже не поддается точным подсчетам. По данным Kreston GCG, 61,5% компаний в Украине сталкивались с фактами мошенничества, из них 40% – хищение активов и фиктивные расходы. 20% компаний оценили ущерб от мошенничества от $100 000 до $5 млн в год. Что же принесет нам 2018 год и насколько мы готовы противостоять новым вызовам?

Что пережили? Прежде всего, оглянемся назад и вспомним самые опасные уязвимости 2017 года. В топ-10 таких угроз, по мнению автора, вошли:

• Petya – программа-вымогатель, шифрующая данные;
• Blueborne – уязвимость – в протоколе Bluetooth;
• NotPetya – программа, уничтожающая данные на ПК;
• Wannacry – программа-шифровальщик, требующая выкуп за дешифровку;
• KRACK – критическая уязвимость сетей Wi-Fi;
• EternalBlue – программа для получения удаленного доступа к системе;
• Bad rabbit – вирус-шифровальщик, разработанный для ОС семейства Windows;
• Loki/Locky – Android-вредонос/шифровальщик Windows;
• Reaper – вирус, направленный на IoT-устройства;
• Критичная уязвимость в доступе под root пользователем в MacOS.

Масштаб убытков, нанесенных киберпреступлениями за 2017 год, в Украине исчисляется десятками миллиардов гривен. Такие последствия заставили бизнес и государство обратить пристальное внимание на вопросы кибербезопасности, но, увы, инвестировать в защиту на постоянной основе пока готовы единицы. Благо, что с мая 2018 года вступит в силу Общеевропейский регламент о защите персональных данных (GDPR), несоблюдение которого подразумевает штраф в размере до 20 млн евро или до 4% от годового оборота компании. Согласитесь, достаточно мощная мотивация.

Что дальше? Технологии развиваются настолько стремительно, что люди, ослепленные возможностями, не успевают задуматься о последствиях. Судя по тенденциям прошлого года, 2018-й обещает быть жарким в плане кибератак. Свое внимание киберпреступники могут обратить на критические инфраструктуры, так как через них возможно нанести наибольший ущерб. Уже сегодня существуют зловреды, нацеленные на отключение промышленных систем безопасности, с возможностью физического выведения их из строя (Stuxnet). Особое беспокойство вызывают такие объекты критической инфраструктуры, как нефтегазовые установки и атомные электростанции, оснащенные автоматизированными системами управления технологическим процессом (АСУТП).

Также ожидается повышенный интерес к рынку криптовалют. Кроме краж непосредственно у владельца и через ресурсы-посредники (приложения-кошельки, биржи, смарт-контракты и т.д.), появляются новые виды мошенничества в этой области. К примеру, некоторые игры на Android или интернет-провайдеры скрыто майнят криптовалюту через ваши устройства, таким образом изнашивая их и выводя из строя (нагрев телефона, нагрев аккумулятора, вздутие аккумулятора, физическое повреждение корпуса и электроники смартфона). Не стоит забывать в новом году и об атаках на криптовалютные биржи, которые в 2017-м принесли киберзлоумышленикам сотни миллионов долларов.

В сегменте интернета вещей (IoT) ожидается увеличение числа кибератак, так как для производителей защита IoT-устройств все еще остается второстепенной. Когда речь идет об угоне дрона или взломе «умной» кофеварки, это одно, но с внедрением таких технологий в разы возрастает угроза и для жизни человека. Например, получение удаленного доступа к кардиостимулятору или автомобилю с беспилотным управлением может привести к летальному исходу.

То же касается и набирающих популярность «умных» домов, городов, транспорта, которые несут в себе ряд масштабных киберрисков. Стоит отметить, что Агентство Европейского союза по сетям и информационной безопасности (ENISA) внесло инциденты с IoT-устройствами в тройку угроз с наибольшим финансовым ущербом для компаний. Именно поэтому были разработаны рекомендации по обеспечению безопасности устройств интернета вещей в контексте объектов критической инфраструктуры.

Как быть? Киберугрозы с каждым годом становятся все серьезнее и масштабнее. Опыт других стран показывает, что кибергигиена и проактивный подход – наши лучшие друзья. К примеру, минобороны Сингапура пригласило 300 хакеров проверить кибербезопасность ведомства, в Пекине создали Инновационный центр кибербезопасности, а в Таллине открыли киберцентр НАТО. Следующий ход – за Украиной.