Риски, «связанные с массовой утечкой данных, усиливают озабоченность потенциалом влияния кибератак на глобальную экономику», говорится в исследовании глобальных тенденций информационной безопасности на 2018 год, подготовленном международной PricewaterhouseCoopers.
Серия кибератак, прокатившаяся по миру в середине 2000-х, показала уязвимость цифровой среды. А в 2017 году российский аналитический центр InfoWatch зафиксировал более 2 тыс. утечек конфиденциальной информации в мире — это почти на 37% больше, чем годом ранее. «Впервые за все время наблюдений мы зафиксировали четырехкратное увеличение объема данных (записей), скомпрометированных в результате утечек», — говорится в «Глобальном исследовании утечек конфиденциальной информации в 2017 году» InfoWatch. Всего было скомпрометировано более 13,3 млрд записей — номера полисов социального страхования, реквизиты пластиковых карт и иная критически важная информация. Более чем в 40% случаев это результат действий внешних злоумышленников, а почти в 60% случаев виновниками утечки оказываются сотрудники компании.
В России динамика роста числа утечек почти вдвое ниже мировой. Однако это не значит, что отечественные компании и государственные организации лучше справляются с комплексом угроз, говорится в отчете InfoWatch. «Скорее, в публичном поле просто оказывается все меньший процент реальных инцидентов», — полагают эксперты компании. Если на Западе законом закреплены порядок оповещения о таких инцидентах и ответственность за сокрытие факта утечки, то в российских организациях до сих пор принято «не выносить сор из избы», заключают аналитики InfoWatch.
Примечательно, что в тройку лидеров с наибольшим количеством инцидентов в 2017 году в России вошли муниципальные учреждения, банки и организации здравоохранения. Годом ранее больше всего утечек было отмечено в госорганах, ИТ-компаниях и образовательных учреждениях.
86% утечек информации в российских компаниях приходится на внутренних нарушителей, в 70% случаев это рядовые сотрудники. Культура обращения с конфиденциальной информацией в стране все еще низка, а средств для предотвращения утечек недостаточно.
Кроме того, отечественная инфраструктура пока малоинтересна хакерам, однако с массовым переходом как частного, так и государственного сектора на «цифру» (например, электронные медицинские карты) и с развитием цифровых хранилищ информации о частных лицах «привлекательность» данных существенно вырастет.
Государственный подход
Ряд замечаний, которые сделала рабочая группа под руководством главы InfoWatch Натальи Касперской, станет причиной пересмотра отдельных положений госпрограммы «Цифровая экономика в РФ». Об этом на пленарном заседании в Госдуме в июне 2018‑го заявил министр цифрового развития, связи и массовых коммуникаций Константин Носков.
В частности, как следует из материалов совещания у министра, будет пересмотрен бюджет раздела «Информационная безопасность». В новом варианте госпрограммы затраты составят 34 млрд руб. до 2020 года. Из них 22,33 млрд руб. будут взяты из федерального бюджета, 11,71 млрд руб. — из внебюджетных источников.
Из мероприятий нового плана наиболее дорогостоящим является «Обеспечение устойчивости и безопасности функционирования информационных систем и технологий» (объем финансирования — 16,91 млрд руб. до 2020 года).
Акценты программы сместились в сторону защиты объектов промышленной инфраструктуры — линий электропередачи, электростанций, железнодорожных путей и т.д., в то время как прежде это была защита телекоммуникационных компаний и банков.
Напомним, что центр компетенций, созданный для подготовки госпрограммы в Сбербанке, предлагал потратить на обеспечение информационной безопасности 116,85 млрд руб. Сбербанк, например, настаивал на создании национального центра киберзащиты и проведении мониторинга законности использования персональных данных — только на это планировалось потратить 20 млрд руб.
В новом варианте стратегии информационной защиты мало что осталось от раздела по разработке стандартов безопасности клиентских приложений для смартфонов. Из программы исчезли затраты (6,9 млрд руб.) на безопасность системы интернета вещей. Бюджет стал меньше, но сбалансированнее, считает директор компании Zecurion (защита от утечек информации) Алексей Раевский: включение таких разработок в госпрограмму, предполагающую перспективные, стратегические направления развития отрасли, неоправданно.
«На безопасность изделий интернета вещей могут повлиять только сами их разработчики. Никто другой не может прописать для них стандарты. Если разработчики будут пользоваться ПО, в котором заложена уязвимость, как это зачастую происходит сейчас, «вещи» можно будет взломать», — уверен Алексей Раевский.
Задача государства — обеспечить защиту систем с критически важной информацией. В начале года вступил в силу закон о безопасности критической информационной инфраструктуры (КИИ), к которой отнесены, например, информационные системы госорганов, предприятий ОПК, организаций здравоохранения, транспорта, связи, кредитно-финансовой сферы, энергетики, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Ряд сведений «о мерах по обеспечению безопасности критической информационной инфраструктуры РФ и о состоянии ее защищенности от компьютерных атак» приравнены к гостайне. Кроме того, ужесточено уголовное законодательство в отношении хакеров, а также сотрудников, нарушающих правила эксплуатации КИИ. Предполагается, что уже в этом году, после того как будут подготовлены подзаконные акты и проведена категоризация объектов КИИ, закон заработает в полную силу.
Эффект big data
Злоумышленников привлекают отрасли, где накоплены большие массивы структурированной информации, используя которую легко заработать; в России это прежде всего банки и высокотехнологичный сегмент (телекоммуникационные и ИТ-компании), оперирующие множеством персональных данных и платежных сведений, отмечают в InfoWatch. Очевидно, поэтому банковская система, пожалуй, один из самых самостоятельных секторов в вопросах информбезопасности. Например, после вступления в силу 1 июля требования закона «О национальной платежной системе» перечислять бюджетные средства только на карту «Мир» банк «Уралсиб» стал блокировать карты Visa и Mastercard клиентам зарплатных проектов из бюджетной сферы, о чем говорится на сайте финансовой организации. По неофициальной информации, новация вызвана недоверием к системе SWIFT, которая несколько раз подвергалась кибератакам. Так, в декабре прошлого года российская хакерская группировка Cobalt впервые вывела средства клиентов одного российского банка (его название ЦБ не раскрыл), пользуясь «дырой» в системе SWIFT. За рубежом аналогичные инциденты происходят постоянно — в 2016 году, например, были украдены $80 млн из центробанка Бангладеш.
Таким образом, создание независимой российской платежной системы продиктовано не только политическими причинами, но в первую очередь соображениями безопасности банковской системы страны.
Заботой о безопасности объясняется и создание Единой биометрической системы под эгидой компании «Ростелеком». С 1 июля банки начали сбор биометрических данных клиентов (пока только голоса и изображения лица), к концу 2018 года система должна охватить 20% банков, а к концу 2019-го — всю банковскую систему, сообщает «Ростелеком».
Однако именно само существование таких хранилищ создает новые риски, напоминают авторы исследования InfoWatch. Способность современных технологий анализировать информацию из разрозненных источников подчас дает неожиданный компрометирующий эффект. В качестве примера приводится инцидент, когда более 13,4 млн документов юридической компании Appleby, оказавшиеся в открытом доступе, позволили немецкой газете Süddeutsche Zeitung обнаружить вероятную связь секретаря администрации президента США с олигархами, а также схему инвестиций королевы Великобритании Елизаветы II в офшорные фонды на Каймановых и Бермудских островах. В расследовании газеты рассказывается и о том, как уходили от налогов компании Nike, Apple, Uber и Facebook.
Финансовый омбудсмен Павел Медведев полагает, что Единая биометрическая система тоже может оказаться бомбой замедленного действия: «Если в систему попадают неверные негативные данные, на человека ложится клеймо, которое не так просто вытравить». Система напоминает внедряемый в КНР «Национальный рейтинг», который ограничивает финансовые права неаккуратных заемщиков и просто хулиганов, говорит Павел Медведев.