За кибератаки на IT-инфраструктуру ввели уголовную ответственность — советы опытного юриста

Вас беспокоит ситуация с киберпреступностью? Понимание того, что такое киберпреступение, какие типы киберпреступлений существуют и как от них защититься, поможет вам чувствовать себя увереннее.

В этой статье мы подробно расскажем о том, что такое киберпреступность, от каких угроз и как нужно защищаться, чтобы обеспечить свою безопасности в Интернете. Мы затронем следующие темы:

  • Что такое киберпреступность
  • Типы киберпреступлений
  • Что считается киберпреступлением (на примерах)
  • Как защититься от киберпреступников

Что такое киберпреступление

Киберпреступление — это преступная деятельность, целью которой является неправомерное использование компьютера, компьютерной сети или сетевого устройства.

Большинство (но не все) киберпреступления совершаются киберпреступниками или хакерами, которые зарабатывают на этом деньги. Киберпреступная деятельность осуществляется отдельными лицами или организациями.

Некоторые киберпреступники объединяются в организованные группы, используют передовые методы и обладают высокой технической квалификацией. Другие – начинающие хакеры.

Киберпреступники редко взламывают компьютеры по причинам, не имеющим отношения к получению прибыли, например, по политическим или личным.

За кибератаки на IT-инфраструктуру ввели уголовную ответственность - советы опытного юриста

Типы киберпреступлений

Вот несколько примеров различных тиров киберпреступлений:

  • Мошенничество с электронной почтой и интернет-мошенничество
  • Мошенничество с использованием личных данных (кража и злонамеренное использование личной информации)
  • Кража финансовых данных или данных банковских карт
  • Кража и продажа корпоративных данных
  • Кибершантаж (требование денег для предотвращения кибератаки)
  • Атаки программ-вымогателей (тип кибершантажа)
  • Криптоджекинг (майнинг криптовалюты с использованием чужих ресурсов без ведома их владельцев)
  • Кибершпионаж (несанкционированное получение доступа к данным государственных или коммерческих организаций)

Большинство киберпреступлений относится к одной из двух категорий

  • Криминальная деятельность, целью которой являются сами компьютеры
  • Криминальная деятельность, в которой компьютеры используются для совершения других преступлений

В первом случае преступники используют вирусы и другие типы вредоносных программ, чтобы заразить компьютеры и таким образом повредить их или остановить их работу. Также с помощью зловредов можно удалять или похищать данные.

За кибератаки на IT-инфраструктуру ввели уголовную ответственность - советы опытного юриста

Киберпреступления, в результате которых владельцы устройств не могут пользоваться своими компьютерами или сетью, а компании — предоставлять интернет-услуги своим клиентам, называется атакой отказа в обслуживании (DoS).

Киберпреступления второй категории используют компьютеры или сети для распространения вредоносных программ, нелегальной информации или неразрешенных изображений.

Иногда злоумышленники могут совмещать обе категории киберпреступлений. Сначала они заражают компьютеры с вирусами, а затем используют их для распространения вредоносного ПО на другие машины или по всей сети.

Киберпреступники могут также выполнять так называемую атаку с распределенным отказом в обслуживании (DDos). Она похожа на DoS-атаку, но для ее проведения преступники используют множество скомпрометированных компьютеров.

Министерство юстиции США считает, что есть еще и третья категория киберпреступлений, когда компьютер используется как соучастник незаконного деяния, например, для хранения на нем украденных данных.

США подписали Европейскую конвенцию о киберпреступности. В ней названы виды деятельности с использованием компьютеров, которые считаются киберпреступлениями. Например:

  • незаконный перехват или кража данных.
  • компрометация компьютерных систем и сетей
  • нарушение авторских прав
  • незаконные азартные игры
  • продажа запрещенных предметов в Интернете
  • домогательство, производство или хранение детской порнографии

Примеры киберпреступлений

Итак, что именно считается киберпреступлением?

В этом разделе мы рассмотрим резонансные примеры различных типов кибератак.

Атаки с использованием вредоносного ПО

Атака с использованием вредоносного ПО — это заражение компьютерной системы или сети компьютерным вирусом или другим типом вредоносного ПО.

Компьютер, зараженный вредоносной программой, может использоваться злоумышленниками для достижения разных целей. К ним относятся кража конфиденциальных данных, использование компьютера для совершения других преступных действий или нанесение ущерба данным.

Известным примером атаки с использованием вредоносного ПО является атака вымогателя WannaCry, случившаяся в мае 2017 года.

Ransomware — это тип вредоносного ПО, который используется для получения денег в обмен на разблокирование устройства/файлов жертвы. WannaCry — это тип программ-вымогателей, которые используют уязвимость компьютеров Windows.

Жертвами WannaCry стали 230 000 компьютеров в 150 странах мира. Владельцы заблокированных файлов отправили сообщение с согласием заплатить выкуп в криптовалюте BitCoin за восстановление доступа к своим данным.

Финансовые потери в результате деятельности WannaCry оцениваются в 4 миллиарда долларов.

Фишинг

Фишинговая кампания — это массовая рассылка спам-сообщений или других форм коммуникации с целью заставить получателей выполнить действия, которые ставят под угрозу их личную безопасность или безопасность организации, в которой они работают.

Сообщения в фишинговой рассылке могут содержать зараженные вложения или ссылки на вредоносные сайты. Они также могут просить получателя в ответном письме предоставить конфиденциальную информацию.

Известный пример фишинг-мошенничества году произошел на Чемпионате мира по футболу в 2018. По информации Inc, фишинговые электронные письма рассылались футбольным фанатам.

В этих письмах злоумышленники соблазняли болельщиков фальшивыми бесплатными поездками в Москву на Чемпионат мира. У людей, которые проходили по ссылке в сообщениях, были украдены личные данные.

За кибератаки на IT-инфраструктуру ввели уголовную ответственность - советы опытного юриста

Другой тип фишинговой кампании известен как целевой фишинг. Мошенники пытаются обмануть конкретных людей, ставя под угрозу безопасность организации, в которой они работают.

В отличие от массовых неперсонифицированных фишинговых рассылок сообщения для целевого фишинга создаются так, чтобы у получателя не возникло сомнений, что они отправлены из надежного источника, например, от генерального директора или IT-менеджера.

Распределённые атаки типа «отказ в обслуживании»

Распределенные типа «отказ в обслуживании» (DDoS) — это тип кибератаки, которую злоумышленники используют для взлома системы или сети. Иногда для запуска DDoS-атак используются подключенные устройства IoT (Интернет вещей).

DDoS-атака перегружает систему большим количеством запросов на подключение, которые она рассылает через один из стандартных протоколов связи.

Кибершантажисты могут использовать угрозу DDoS-атаки для получения денег. Кроме того, DDoS запускают в качестве отвлекающего маневра в момент совершения другого типа киберпреступления.

Известным примером DDoS-атаки является атака на веб-сайт Национальной лотереи Великобритании 2017 году. Результатом стало отключение веб-сайта и мобильного приложения лотереи, что не позволило гражданам Великобритании играть.

За кибератаки на IT-инфраструктуру ввели уголовную ответственность - советы опытного юриста

Как не стать жертвой киберпреступления

Итак, теперь, когда вы понимаете, какую угрозу представляет киберпреступность, встает вопрос о том, как наилучшим образом защитить ваш компьютер и личные данные? Следуйте нашим советам:

Регулярно обновляйте ПО и операционную систему

Постоянное обновление программного обеспечения и операционной системы гарантирует, что для защиты вашего компьютера используются новейшие исправления безопасности.

Установите антивирусное ПО и регулярно его обновляйте

Использование антивируса или комплексного решения для обеспечения интернет-безопасности, такого как Kaspersky Total Security, — это правильный способ защитить вашу систему от атак.

Антивирусное ПО позволяет проверять, обнаруживать и удалять угрозы до того, как они создадут проблему. Оно помогает защитить ваш компьютер и ваши данные от киберпреступников.

Если вы используете антивирусное программное обеспечение, регулярно обновляйте его, чтобы обеспечить наилучший уровень защиты.

Используйте сильные пароли

Используйте сильные пароли, которые трудно подобрать, и нигде их не записывайте. Можно воспользоваться услугой надежного менеджера паролей, который облегчит вам задачу, предложив сгенерированный им сильный пароль.

Не открывайте вложения в электронных спам-сообщениях

Классический способ заражения компьютеров с помощью вредоносных атак и других типов киберпреступлений — это вложения в электронных спам-сообщениях. Никогда не открывайте вложение от неизвестного вам отправителя.

За кибератаки на IT-инфраструктуру ввели уголовную ответственность - советы опытного юриста

Не нажимайте на ссылки в электронных спам-сообщениях и не сайтах, которым не доверяете

Еще один способ, используемый киберпреступниками для заражения компьютеров пользователей, — это вредоносные ссылки в спамовых электронных письмах или других сообщения, а также на незнакомых веб-сайтах. Не проходите по этим ссылкам, чтобы не стать жертвой интернет-мошенников.

Не предоставляйте личную информацию, не убедившись в безопасности канала передачи

Никогда не передавайте личные данные по телефону или по электронной почте, если вы не уверены, что телефонное соединение или электронная почта защищены. Убедитесь, что вы действительно говорите именно с тем человеком, который вам нужен.

Свяжитесь напрямую с компанией, если вы получили подозрительный запрос

Если звонящий просит вас предоставить какие-либо данные, положите трубку. Перезвоните в компанию напрямую по номеру телефона на ее официальном сайте, и убедитесь, что вам звонили не мошенники.

Желательно пользоваться, при этом, другим телефоном, потому что злоумышленники могут оставаться на линии: вы будете думать, что набрали номер заново, а они будут отвечать якобы от имени банка или другой организации, с которой, по вашему мнению, вы разговариваете.

За кибератаки на IT-инфраструктуру ввели уголовную ответственность - советы опытного юриста

Внимательно проверяйте адреса веб-сайтов, которые вы посещаете

Обращайте внимание на URL-адреса сайтов, на которые вы хотите зайти. Они выглядят легитимно? Не переходить по ссылкам, содержащим незнакомые или на вид спамовые URL-адреса.

Если ваш продукт для обеспечения безопасности в Интернете включает функцию защиты онлайн-транзакций, убедитесь, что она активирована.

Внимательно просматривайте свои банковские выписки

Наши советы должны помочь вам не стать жертвой киберпреступников. Но если все же это случилось, важно понять, когда это произошло.

Просматривайте внимательно свои банковские выписки и запрашивайте в банке информацию по любым незнакомым транзакциям. Банк может проверить, являются ли они мошенническими.

Теперь вы понимаете, какую угрозу представляют киберпреступники, и знаете, как от нее защититься. Узнайте больше о Kaspersky Total Security.

Бот выходит на охоту

«Здравствуйте, я бот! Являюсь инструментом по поиску информации о физических и юридических лицах», — приветствует меня надпись на экране смартфона. Заношу в строку поиска номер мобильного телефона приятеля, бот предлагает сделать расширенный поиск, цена услуги — 30 рублей.

Перевожу в электронный кошелек эту сумму, буквально через минуту получаю отчет. Бот по номеру телефона правильно определяет фамилию, имя и отчество моего друга, дату его рождения.

Читайте также:  Арест имущества: новые правила - советы опытного юриста

Дальше — больше: с удивлением вижу в отчете точный домашний адрес товарища, ниже указана марка и модель автомобиля, на котором он ездит, его государственный и VIN-номер, ниже идет список сессий по оплате парковки (хорошо, правда, что без даты и места их совершения).

Бот также информирует, что мой друг подключен к платежной системе Сбербанка, и дополняет отчет перечень объявлений в интернете, который человек размещал за последнее время: вот информация, что он сдает квартиру, покупает спортивный инвентарь или ищет место для отдыха с семьей.

Статья по теме: Как не попасть на удочку мошенников

Услуги бота разнообразны, цены вполне умеренные: заплатив не более 100 рублей можно вместо номера телефона попробовать узнать полное имя, домашний адрес и другие данные о человеке по электронному адресу, по госномеру автомобиля (удобно, если, например, кто-то невежливо ведет себе на дороге или перегораживает выезд); бот может найти личные данные и по фото: высылаем фотографию человека и тут же получаем его телефон, имя, данные об автомобиле — и далее по вышеуказанному списку (скажем, раньше у понравившейся девушки надо было просить номер телефона, теперь достаточно незаметно ее сфотографировать, и через минуту телефон девушки будет у вас). Или вот еще интересный сервис: по точке на карте можно найти находящихся рядом с вами людей с именами и фамилиями (заносим в строку геоданные и получаем список с примерным расстоянием в метрах от вас).

Рынок услуг по продаже персональных данных в России набирает обороты, только в одном мессенджере Telegram сейчас можно пользоваться услугами сотни ботов, которые работают по вышеописанной схеме.

Один из самых известных подобных роботизированных сервисов под названием «Глаз Бога» был создан предпринимателем Евгением Антиповым летом прошлого года, в начале текущего года число пользователей этого сервиса составляло 800 тыс. человек, а в июле 2021-го уже 23 млн. Сейчас число запросов в сервисе превышает 500 тыс. в сутки.

И неважно, что подавляющее число людей, так же как и мой приятель, явно будут не в восторге, что их персональные данные бот найдет в несколько секунд и передаст за скромную сумму любому желающему.

Что в имени тебе моем?

График 1 Основные виновники утечек персональных данных в России — хакеры и рядовые сотрудники За кибератаки на IT-инфраструктуру ввели уголовную ответственность - советы опытного юриста InfoWatch
График 2 Чаще всего персональные данные в России утекают через интернет За кибератаки на IT-инфраструктуру ввели уголовную ответственность - советы опытного юриста InfoWatch

Развивающиеся услуги ботов по поиску персональных данных наглядно иллюстрируют остроту проблемы утечки личной информации и то, как любой желающий может легко ее найти или недорого приобрести. Чат-боты в Telegram — это лишь верхушка айсберга, ниже, в «темноте» находится огромный массив даркнета — нелегальной цифровой торговой площадки по продаже персональных денных, где продается и покупается более детальная частная информация типа паспортных данных, номеров счетов, банковских карт и многое другое. «Каждый желающий за сумму от двух до десяти тысяч рублей сегодня может узнать номер счета, текущий остаток и персональные данные для идентификации клиента банка, а также кодовое слово и иные данные, — рассказывает Дмитрий Горлянский, руководитель направления технического сопровождения продаж компании “Гарда Технологии” (разработка защитных ИТ-систем). — В 52 процентах случаев структура данных кредитной организации состоит из следующих типов записей: фамилия, имя, отчество, дата рождения, телефон, паспортные данные, прописка, место работы, номер счета и остаток на этом счете в конкретном банке. Базы данных банков всегда были самыми востребованными и ценными на теневом рынке. По данным нашего исследования, по итогам 2020 года только в банковской сфере 9,2 миллиона записей о клиентах оказались в открытой продаже на черном рынке».

По данным компании InfoWatch, по итогам прошлого года в России утекло более 100 млн записей персональных данных, к которым, в частности, относятся имена и фамилии, номера телефонов, пароли, сведения о постоянном месте жительства, адреса электронной почты, номера социального страхования, реквизиты банковских карт, данные о банковских счетах. Например, в начале сентября этого года в свободном доступе в интернете была обнаружена база с персональными данными почти двух миллионов абонентов интернета «Билайна». В середине сентября разработчик программного обеспечения ООО «Государство детей» и экспертная группа Министерства просвещения РФ подтвердили утечку персональных данных 48 тыс. школьников в Нижегородской области. Ранее, в прошлом году, в открытом доступе оказалась база данных 17 млн участников программы лояльности алкомаркетов «Красное & Белое», а также информация о клиентах программы лояльности розничных сетей «К-Руока» и «К-Раута». Помимо этого в интернет на продажу была выставлена информация более чем о 1,2 млн клиентов российских микрофинансовых организаций (МФО) — в частности, в этой базе присутствовали и данные о клиентах микрофинансовой организации «Займер», а также 44 тыс. записей клиентов кредитного брокера «Альфа-Кредит».

По данным InfoWatch, в России за последний год чаще всего обнаруживали утечки личной информации в сфере хайтек-индустрии, финансов и госсектора.

Основной причиной аналитики называют взломы киберпреступников (хакеров): на них, по данным InfoWatch, по итогам прошлого года пришлось 60,5% хищений, остальные связаны с персоналом компаний, из них основным виновником похищений персональных данных в 33,7% от общего числа инцидентов является рядовой или непривилегированный сотрудник, а остальные 5,8% — это бывшие сотрудники, подрядчики, системные администраторы, руководители (см. график 1). Что касается канала утечек, то чаще всего личные данные пропадают через интернет (79,3%), кражу или потерю оборудования (9,5%), электронную почту (4,7%), мобильные устройства (4,3%), съемные носители (1,2%), мультимедийные сообщения (голос, видео, текст — 1,2%), бумажные документы (0,8%, см. график 2).

Участники ИТ-рынка убеждены, что те компании, которые находят ресурсы на установку современных защитных решений от киберпреступников, становятся жертвами таких преступлений гораздо реже.

«За одиннадцать лет работы на рынке мы фиксировали попытки взлома несколько сотен раз, но ни одна из них не увенчалась для злоумышленников успехом, — говорит Заур Абуталимов, директор по продуктам компании Ivideon (системы видеонаблюдения).

— Для обеспечения безопасности мы разработали систему, которая позволяет надежно защищать все видеоданные, поступающие к нам. Мы храним записи на серверах, размещенных в нескольких десятках центрах обработки данных, шифруем их с помощью технологии AES-256-GCM.

При этом каждый фрагмент записи (видео до одного часа) зашифровывается с помощью уникальных ключей, которые хранятся в географически удаленных местах. Дешифровка записей происходит на серверах хранения по требованию воспроизведения. Такой подход обеспечивает отказоустойчивость, надежность и конфиденциальность данных».

Однако мелким и средним компаниям труднее выделять средства на защитные ИТ-решения, и они чаще попадают под удар киберграбителей. Хотя даже при наличии хорошей защитной системы остается высокий риск утечек, связанный с человеческим фактором.

«Крупные организации используют высокоэффективные средства противодействия хакерским атакам, нацеленным на похищения конфиденциальных данных, — говорит Максим Карчевский, ведущий консультант по информационной безопасности компании R-Vision.

— К ним, например, относятся IPS/IDS (системы обнаружения и предотвращения вторжений), SIEM (системы мониторинга событий безопасности), IRP (системы реагирования на киберинциденты), DLP (системы контроля утечек данных), Deception-системы (ловушки, построенные с помощью симуляции ключевых объектов инфраструктуры и данных) и другие решения, которые позволяют в минимальные сроки определить источник атаки, отреагировать и принять необходимые меры. Эти системы требуют затрат и высокого уровня квалификации специалистов при настройке и эксплуатации, что является одной из основных причин, почему в компаниях небольшого размера они встречаются намного реже. При этом утечки в крупных компаниях также случаются, пусть и реже, но со значительно более серьезными последствиями. Чаще всего это происходит по причине того, что самое слабое звено в любой системе защиты — это человек, которого можно подкупить или манипулировать им с помощью методов социальной инженерии».

Преступление без наказания

Как подготовить компанию к кибератаке — бизнес консалтинг для предпринимателей и бизнесменов :: РБК Pro

Материал раздела Основной

Ошибки в работе с данными оборачиваются огромными штрафами, расходами на восстановление и защиту деловой репутации. При том кибербезопасность для бизнеса — это не только вопрос защиты данных от утраты, это и «живые» деньги, которые уходят конкурентам

За кибератаки на IT-инфраструктуру ввели уголовную ответственность - советы опытного юриста

Max Duzij / Unsplash

Компании все чаще сталкиваются в своей деятельности с хакерскими атаками и с теми же киберрисками, что армия и государственные организации. Может быть, поэтому и названия некоторых инструментов подготовки к кибератакам напоминают те, что встречаются в учебниках по тактике ведения боя или военному делу.

Например, учения «красной команды» предназначены для выявления слабых мест с помощью внутренних атак и дают представление о том, как на самом деле действуют команды по кибербезопасности в случае хакерской атаки. А также коммерческие компании, как и Пентагон, организуют собственные программы «премирования за обнаружение уязвимостей» и открыто сотрудничают с «этичными» хакерами.

Эксперты Oliver Wyman — о том, как эти меры применяют международные компании: Netflix, Intel, IBM.

Хакеры атакуют отели

С «этичными» хакерами работают не только техгиганты и стриминговые компании, но и гостиничные сети. Отели могут показаться менее очевидной мишенью, но на самом деле их взламывают почти так же часто, как финансовые организации и ретейл, — хакеры охотятся за номерами кредитных карт и корпоративными секретами.

Читайте также:  Разрешение жены: когда без него нельзя продать бизнес - советы опытного юриста

Чтобы продемонстрировать типичные слабые стороны отрасли, глава одной из ИT-компаний разрешил репортеру Bloomberg присутствовать при проверке одной из гостиниц на следующих условиях: хакеры не будут атаковать личные данные гостей, а журналист не станет упоминать название отеля и город, в котором он расположен.

Взломали завод

Еще одна привлекательная для хакеров отрасль — промышленность. На некоторое оборудование сложно установить обновление, поэтому компании с этим не спешат. Однако исследование компании «Ростелеком-Солар» показало, что три четверти используемых в промышленности ИТ-решений имеют критические уязвимости.

И это позволяет хакерам контролировать инфраструктуру. В результате — вред здоровью работников, остановка производства, снижение качества продукции или утрата коммерческой тайны. Об уязвимостях в ИТ-решениях российских заводов — подробно в исследовании «Ростелеком-Солар».

Например, самая распространенная уязвимость связана с управлением доступом: в большинстве исследованных специалистами решений были обнаружены проблемы с аутентификацией и авторизацией пользователя.

В некоторых случаях ошибки позволяют практически любому пользователю полностью обойти требования идентификации и попасть в промышленную систему.

Киберугроза реальным деньгам

Сбои и простои производства в результате кибератак — главная угроза для бизнеса. Согласно данным страховой компании Allianz, перерыв в производстве (включая разрыв цепочки поставок) шестой год подряд остается самым значимым риском по всему миру.

Любые превентивные меры снижают вероятность взлома, но не борются с его последствиями. Этот функционал выполняет страховой продукт.

Павел Озеров, заместитель генерального директора страхового брокера Mains Group, рассказывает, как страховые компании оценивают стоимость киберрисков и какие риски чаще всего страхуют компании.

Большие данные — большие проблемы

Распространение цифровых услуг вынуждает бизнес брать на себя ответственность за хранение, обработку и использование персональных данных. Поэтому многие российские компании предпочитают страховому полису инвестиции в ИТ-системы для повышения безопасности.

Как правило, руководители в сфере товаров длительного пользования, строительства, энергетики и ЖКХ, финансовых услуг и технологий видят больше рисков, чем в других отраслях. Это отражает реалии отрасли, а не только восприятие отдельных менеджеров.

Крупные компании используют тысячи IoT-устройств, от датчиков до сложных полуавтономных роботов, а также терабайты данных, получаемые с этих устройств ежедневно практически в режиме реального времени, чтобы корректировать операционную деятельность.

Клиентам нужны высокоэффективные решения, простые с точки зрения интеграции и гибкие с точки зрения внедрения. Bain & Company рассмотрела, как компании-респонденты применяют решения на разных уровнях системы безопасности, и обнаружила точки роста для IoT-вендоров.

Например, консультанты рекомендуют вендорам IoT-устройств сегментировать свою целевую аудиторию по уровням зрелости компетенций в сфере кибербезопасности и уделять больше внимания безопасности еще на этапе разработки и внедрения устройств.

Ретейлеры — на прицеле

Хакеры нападают не только на крупные производства. Главные мишени — компании из тех сфер бизнеса, где уровень конкуренции очень высок. Особенно уязвимой считается электронная коммерция, чей бизнес напрямую зависит от доступности интернет-ресурсов. В настоящее время на один интернет-магазин приходится около 30 DDoS-атак в год.

С помощью кибератак можно блокировать работу сайта, заниматься вымогательством и даже вести информационную войну. Каждая минута даунтайма стоит онлайн-магазинам колоссальной недополученной прибыли.

Артем Гавриченков, технический директор Qrator Labs, рассказывает об основных техниках атак и делится рекомендациями о том, как ретейлерам обеспечить себе безопасность в сети (и возможно ли это).

Кража со взломом (в интернет-магазине)

Помимо DDоS-атак, интернет-магазинам угрожают фишинговые рассылки, программы-роботы и вредоносные скрипты — бэкдоры или веб-шеллы. Взломщики постоянно ищут новые способы нападения.

Эксперты компании Trend Micro делятся рекомендациями по снижению уровня рисков, доступными даже для совсем небольших компаний.

Интересно, что, кроме атак, связанных с финансовыми интересами, киберпреступники могут просто «разминаться», взламывая сайты ради спортивного интереса или отрабатывая разные методики использования уязвимостей.

Хакеры на стороне добра

Но не все хакеры вредят бизнесу. Есть и белые хакеры, которых крупные компании активно привлекают для проверки своих сервисов на прочность. В 2014 году Mail.ru запустила проект в формате Bug Bounty — системы материального поощрения за сообщение об обнаруженных киберугрозах.

Позднее его поддержали «Лаборатория Касперского», «Авито» и QIWI. В 2019 году инвестиции в открытый поиск уязвимостей в частном отечественном ИT-секторе составили $3–5 млн. Сергей Белов, руководитель направления информационной безопасности Mail.

ru, прогнозирует рост этого сегмента еще на 20-30% к концу 2020 года.

Тем не менее, пока программы поиска уязвимостей действуют не более чем в 15 российских организациях.

Это вызывает недоумение в профессиональном сообществе — ведь значительная часть угроз, которые помогают ликвидировать «белые» хакеры, направлена на извлечение с сайта паролей и другой личной информации пользователя.

Сергей Белов рассказывает, как открытый поиск уязвимостей поможет бизнесу из самых разных отраслей решить проблему утечек пользовательских данных.

28.11.2019

Попался! Что делать, если тебя привлекают к уголовной ответственности за киберпреступление

Мо­жет показать­ся, что в циф­ровом мире выходить за рам­ки закона безопас­нее, чем в реаль­ном: про­ще унич­тожить сле­ды прес­тупле­ния, да и спе­циалис­тов нуж­ного про­филя в орга­нах не так мно­го. На самом деле это не так.

Я семь лет слу­жил в орга­нах пред­варитель­ного следс­твия (следс­твен­ный комитет, МВД) и рас­сле­довал мно­го прес­тупле­ний в сфе­ре информа­цион­ных тех­нологий.

В этой статье я рас­ска­жу, чего ждать и как облегчить свою участь, если ты попал в поле зре­ния пра­воох­ранитель­ных орга­нов.

Бу­дем наде­ять­ся, ты чита­ешь эту статью из любопытс­тва, а не из насущ­ной необ­ходимос­ти!

Прес­тупле­ния в сфе­ре IT очень раз­ношерс­тные. Выделю основные, с которы­ми при­ходит­ся стал­кивать­ся поч­ти каж­дый день.

Хищения с применением информационных технологий

К этой катего­рии отно­сит­ся мошен­ничес­тво с помощью фишин­га, кра­жа денеж­ных средств со сче­тов, в том чис­ле кар­динг.

Преступления в сфере незаконного оборота наркотиков

Ско­ро десять лет, как появил­ся не­легаль­ный мар­кет Silk Road, и с тех пор борь­ба с ано­ним­ными тор­говыми пло­щад­ками не ути­хает по все­му миру.

По‑преж­нему находят­ся аван­тюрис­ты, которые верят, что их онлай­новый магазин ник­то не най­дет.

Дос­таточ­но гля­нуть ста­тис­тику, и ты уви­дишь, сколь­ко подоб­ных биз­несов прик­рыва­ют каж­дый год — это огромные циф­ры; а ведь за сбыт нар­котиков в РФ мож­но зап­росто отси­деть чет­верть века!

Приобретение специальных средств

Этот и сле­дующий пункт называ­ют «народ­ными стать­ями», и вот почему. Пра­воох­ранитель­ная сис­тема любит ста­тис­тику: чем боль­ше людей прив­лека­ют к ответс­твен­ности, тем луч­ше — от это­го зависят пре­мии, наг­рады, зва­ния сот­рудни­ков.

Нес­коль­ко лет назад в законо­датель­стве был баг, который поз­волял прив­лекать к ответс­твен­ности «гиков», покупа­ющих мобиль­ные телефо­ны, GPS-маяч­ки, мик­рокаме­ры, не име­ющие лицен­зирова­ния на тер­ритории РФ, — за при­обре­тение средств для нег­ласно­го получе­ния информа­ции.

Интернет-экстремизм

О сро­ках за «мемаси­ки» или «репос­ты» слы­шал каж­дый. Сей­час по этой статье не так люту­ют, и все же сот­ни людей уже получи­ли свои, хоть и условные, но сро­ки и судимос­ти.

Создание, распространение вредоносных программ или неправомерный доступ к компьютерной информации

Это уже нас­тоящая хакер­ская статья, и доволь­но ред­кая. Чем менее рас­простра­нен сос­тав прес­тупле­ния, тем он инте­рес­нее для ста­тис­тики. Так что если ты попадешь в поле зре­ния орга­нов в свя­зи с чем‑то подоб­ным, то и «раз­рабаты­вать» тебя будут усер­днее обыч­ного.

Распространение детской порнографии

На этот сос­тав нарыва­ются любите­ли тор­рентов: ска­чал и забыл уда­лить — счи­тай, что уже совер­шаешь прес­тупле­ние. Сло­вил злов­ред и передал свой ПК бот­нету? За тобой при­дут.

У нас в орга­нах «вычис­ляют по IP» безо вся­ких шуток. Тот, кто попал­ся подоб­ным обра­зом, ско­рее все­го, ока­жет­ся не злос­тным хакером, а невин­ным любите­лем кряк­нутых прог­рамм. Тем не менее без изъ­ятия тех­ники дело не обой­дет­ся.

Осо­бо отме­чу, что по Уго­лов­ному кодек­су мошен­ничес­тва, кра­жи, незакон­ный обо­рот нар­котиков через интернет вле­кут за собой более тяж­кие сан­кции, чем те же прес­тупле­ния, совер­шенные без исполь­зования информа­цион­ных тех­нологий.

Ки­бер­прес­тупле­ния слож­нее рас­крыть, поэто­му не так дав­но их «отяг­чили» — теперь эти сос­тавы тяж­кие и осо­бо тяж­кие.

Так что за кра­жу двух тысяч руб­лей из кар­мана сум­ки ты будешь сидеть на «под­писке о невы­езде» в ходе пред­варитель­ного следс­твия и отде­лаешь­ся условным сро­ком, а если украл две тысячи со сче­та бан­ков­ской кар­ты, то зап­росто можешь быть арес­тован и получишь впол­не реаль­ный срок до десяти лет.

Ес­ли ты перешел чер­ту закона (по нев­ниматель­нос­ти или намерен­но), то ни зав­тра, ни пос­лезав­тра за тобой, ско­рее все­го, не при­дут. Даже опе­ратив­ные под­разде­ления отя­гоще­ны бюрок­ратичес­кими тре­бова­ниями и не всег­да оправды­вают свое наз­вание и дей­ству­ют опе­ратив­но.

К тому же во всех учеб­никах об опе­ратив­но‑разыс­кной деятель­нос­ти рекомен­дуют не торопить­ся, а капиталь­но зак­репить­ся в доказа­тель­ствах. Если схва­тить зло­умыш­ленни­ка слиш­ком рано, то все тру­ды могут пой­ти нас­марку: не хва­тит доказа­тель­ной базы и его при­дет­ся отпустить.

Сот­рудни­ки пра­воох­ранитель­ных орга­нов далеко не всег­да умнее прес­тупни­ка, но они уме­ют ждать. Я встре­чал слу­чаи, ког­да кибер­прес­тупни­ков раз­рабаты­вали боль­ше года.

Рано или поз­дно зло­умыш­ленник потеря­ет бди­тель­ность и совер­шит явную ошиб­ку. Тут‑то ему мож­но вме­нить сра­зу совокуп­ность прес­тупле­ний.

Ведь каж­дая кра­жа или дру­гое дей­ствие — это отдель­ное прес­тупле­ние, и орга­нам всег­да выгод­нее прив­лечь челове­ка за 10–20 прес­тупле­ний, чем за одно.

Пер­вая «нить» может идти отку­да угод­но: информа­торы, дан­ные про­вай­деров, какие‑то ана­лити­чес­кие резуль­таты тра­фика или сооб­щение граж­дан о совер­шенном в отно­шении них про­тивоп­равном дей­ствии.

По каким приз­накам мож­но понять, что ты «под кол­паком»? Глав­ный инс­тру­мент — инту­иция. Но есть и более объ­ективные приз­наки.

  • Твой телефон начал стран­но работать; есть подоз­рения, что тебя прос­лушива­ют.
  • По­явля­ются «новые друзья», которые инте­ресу­ются тво­ей деятель­ностью.
  • У соседей спра­шива­ют о тебе нез­накомые люди — это могут быть сот­рудни­ки орга­нов.

Ес­ли ты дей­стви­тель­но дела­ешь что‑то про­тивоп­равное, то у тебя еще может быть шанс вов­ремя оста­новить­ся. Впро­чем, если сот­рудни­ки орга­нов начали опра­шивать соседей или родс­твен­ников в откры­тую — зна­чит, раз­работ­ка тебя под­ходит к зак­лючитель­ному эта­пу и уже есть матери­ал про­вер­ки, который готовят­ся передать сле­дова­телю для воз­бужде­ния уго­лов­ного дела.

Преж­де чем воз­будить уго­лов­ное дело, пра­воох­ранитель­ные служ­бы рас­смат­рива­ют матери­ал про­вер­ки. Если такой матери­ал сущес­тву­ет, зна­чит, у пра­воох­ранитель­ных служб уже есть све­дения о воз­можном совер­шении прес­тупле­ния.

Од­на из так­тик — соб­рать все доказа­тель­ства на этой ста­дии, что­бы рас­сле­дова­ние уго­лов­ного дела не затяги­валось. Иной раз пос­ле рас­смот­рения матери­ала про­вер­ки сле­дова­телю оста­ется толь­ко про­цес­суаль­но офор­мить и нап­равить уго­лов­ное дело в суд.

Фиш­ка в том, что про­вер­ка длит­ся до 30 суток, затем сот­рудник выносит фор­маль­ное пос­танов­ление об отка­зе в воз­бужде­нии уго­лов­ного дела, про­курор отме­няет это пос­танов­ление и срок про­вер­ки начина­ется заново. Таким обра­зом рас­смат­ривать матери­ал про­вер­ки и искать доказа­тель­ства мож­но дол­го: я видел матери­алы про­вер­ки пятилет­ней дав­ности, и это вов­се не ред­кость.

Читайте также:  Есть ли возможность смягчить или облегчить наказание? - советы опытного юриста

Ошибка при использовании ПО может стоить вам дорого. Как себя обезопасить? | Rusbase

1. Ответственность перед государством

По закону РФ компании несут юридическую ответственность перед государством за использование нелицензионного программного обеспечения.

В соответствии с гражданским кодексом РФ, юридическое лицо может быть привлечено к выплате компенсации за неправомерное использование объектов авторского права в размере до пяти миллионов рублей.

Когда стоимость использованного нелицензионного ПО или прав на него превышает 100 тысяч рублей, наступает уголовная ответственность в виде штрафа, обязательных работ и даже лишения свободы на срок до двух лет.

Если общая стоимость ПО превышает миллион рублей, деяния признаются совершенными в особо крупном размере.

Во время проверки компании обязаны предоставлять всю документацию, лицензии, акты и документы, и даже коробки, оставшиеся от покупки. В соответствии с лицензионным соглашением, компании обязаны хранить все, что прилагалось к приобретенному ПО.

Если нет возможности предоставить что-либо из этого, то условия соглашения могут считаться нарушенными. Проверяющие имеют право изъять, например, сервер, а то и несколько. Это может привести ко временной остановке бизнес-процессов и к существенным финансовым потерям.

2. Ответственность перед вендором

Также существует ответственность перед производителем ПО, который может инициировать проверку, если у него возникают подозрения относительно добросовестности заказчика.

Например, когда в компании работают три тысячи сотрудников, а лицензий закуплено всего 250. Понятно, что какую-то часть сотрудников могут составлять курьеры, грузчики, водители и так далее, но все-таки такое соотношение подозрительно.

В любом лицензионном соглашении есть пункт о том, что вендор оставляет за собой право провести проверку на предмет соблюдения условий лицензионного соглашения и не нарушает ли пользователь его авторские права.

Это могут быть удаленные проверки с запросом информации по почте или телефону, автоматические — через проверку ключа активация продукта.

Некоторые вендоры могут привлекать сторонние проверяющие компании, что также указано в условиях лицензионного соглашения. Попытка избежать проверки может расцениваться как нарушение лицензионного соглашения. При возникновении разногласий вендор имеет право обратиться в правоохранительные органы.

Вендоры в большинстве случаев рассматривают заказчиков как долгосрочных партнеров, поэтому случаи серьезных конфликтов бывают нечасто.

Они пытаются помочь клиентам разобраться со всеми тонкостями управления программными активами.

Например, Microsoft предлагает бесплатную помощь в проведении проекта SAM (Software Asset Management — управления программными активами).

Такой подход выгоден обеим сторонам: ведь заказчикам нужно поддерживать инфраструктуру в актуальном состоянии, а вендору — привлекать клиентов к своим новым продуктам.

Финансовые риски

1. Несоблюдение правил лицензирования

Некоторые продукты могут быть бесплатными только для некоммерческого использования, например, Team Viewer, а вот Office Home & Student можно купить только домой.

Поэтому предприниматель должен знать, что, устанавливая такие продукты для работы, он нарушает условия лицензионного соглашения, а следовательно, и закон.

Кроме того, правила лицензирования многих продуктов разных вендоров не являются линейными, то есть одна установка не равна одной лицензии.

Например, Microsoft Windows Server учитывает количество ядер в сервере, и для одной инсталляции потребуется не менее 8 лицензий на ядро.

Также не стоит забывать про лицензии на подключения (CAL – Client Access License), которые подразумевают использование лишь при определенных условиях.

Лицензирование продуктов Oracle учитывает количество процессоров, а продукты Autodesk — количество одновременных подключений.

Клиент может приобрести недостаточное количество лицензий, и в случае проверки ему придется покрывать дефицит по штрафным тарифам.

Или он может ошибиться с редакцией продукта, например, Standard вместо Enterprise.

При выявлении такой ситуации придется покупать еще раз лицензии редакции Enterprise, в то время как Standard использоваться не будет. Клиент получит двойные затраты.

Например, по лицензии Office Professional Plus нельзя использовать Office Standard и наоборот. При ошибке потребуется переустановить все инсталляции в организации или приобрести уже корректные лицензии еще раз. Все зависит от условий соглашения и потребностей компании. В любом случае клиент затратит дополнительные ресурсы, финансовые или трудовые.

2. Отсутствие необходимой экспертизы

Покупка одной лицензии не всегда дает права инсталлировать ее на любые устройства, а тем более сразу на несколько устройств. Кроме того, зачастую закупкой лицензий, их инсталляцией и активацией занимаются разные службы, что приводит к недопониманию между ними и, как следствие, к неэффективным затратам.

При использовании сложных программных решений, например, для виртуализации, удаленного доступа и так далее возникает множество сложностей. В этом случае нужна экспертиза опытного специалиста.

Репутационные риски

Репутационные риски наиболее очевидны. Если компания на рынке позиционирует себя как надежного партнера, который никогда не оставляет обязательства незакрытыми, использование пиратского софта может нанести ее репутации непоправимый ущерб.

Особенно это актуально во взаимоотношениях с иностранными партнерами, поскольку за рубежом отслеживание использования нелицензионного ПО происходит значительно строже, чем в нашей стране. Отношение к уличенным в таком преступлении компаниям также намного хуже.

Риски, связанные с безопасностью

1. Зловреды в пиратском ПО

В некоторых случаях высшее руководство компании пытается полностью передать управление всеми ИТ-процессами системному администратору. К сожалению, до сих пор встречаются случаи, когда сотрудник скачивает дистрибутивы не из авторизированных производителями источников и активирует с помощью пиратского ключа активации.

Внедрение зловредов в подобные утилиты — один из самых распространенных векторов кибератак. Пытаясь обойти закон и сэкономить, пользователь от лица своей компании может стать не только преступником, но и жертвой.

Само по себе использование пиратского софта ставит под угрозу сохранность критически важных для бизнеса данных. Однако скачивание и установка ПО из неизвестных источников может повлечь взлом или утечку критически важных бизнес-данных.

2. Сотрудники как слабое звено

Также бывают случаи, когда в компании внедрены все самые последние продукты, обеспечивающие информационную безопасность, но не проведено обучение персонала. Сотрудникам просто неудобно работать с новыми системами, и они всеми силами пытаются найти пути их обхода, не исполняя процедуры по регламентированным процессам.

Крайне важно проводить регулярные проверки исполнения процессов ИБ не только в рамках контроля информационной безопасности, но и в смежных проверках, например, SAM.

Стоит следить, чтобы ПО было актуальным. Не только производители развивают свои программные продукты, но и злоумышленники делают вредоносные программы все более изощренными.

Поэтому нужно следить за новыми версиями ПО, вовремя устанавливать Service Pack и не использовать ПО, которое уже снято с поддержки правообладателя.

Без обновлений оно становится наиболее уязвимым для современных кибератак.

Как решить все проблемы

В России до сих пор отсутствует ясность в понятиях активации, инсталляции и лицензирования. Лицензия — это юридическое право, которое всегда подтверждается лицензионным соглашением в бумажной или электронной форме и набором других документов.

Например, именно условия лицензионного соглашения мы принимаем, когда устанавливаем любой программный продукт на компьютер или телефон. Соглашаясь мы даже не читаем его, хотя именно в этом тексте содержатся наши права и обязанности по использованию ПО.

У многих вендоров есть правило: если в лицензионном соглашении не оговорено, что компания может делать что-либо с ПО, значит, она этого делать не может.

Стоит ли говорить о том, что скрупулёзное изучение соглашения — необходимое условие для организаций, которые хотят минимизировать риски его нарушения. Главное — верно трактовать правила лицензионных соглашений.

  • Инсталляция — очень важный момент, лицензия или несколько лицензий должны покрывать все производимые инсталляции, чтобы софт считался лицензионным.
  • Активация тоже до сих пор вызывает вопросы. Некоторые считают, что если есть лицензионный ключ, то с помощью него можно активировать все инсталляции, и они будут лицензионными. На самом деле это не так: иногда ключ действительно может быть один, но лицензия приобретается на каждую инсталляцию, согласно правилам лицензирования.

Кто может помочь?

Даже если компания стремится сделать все правильно и по закону, существует множество сложностей, которые могут затруднить процесс. Управление программными активами — это целая наука, для которой нужен хороший специалист.

Если предприниматель хочет избежать проблем с налогами, ему нужен талантливый финансист, с законом — юрист. Специалист по управлению программными активами должен обладать обширными знаниями в области лицензирования ПО, знать юридическую, техническую и финансовую стороны вопроса.

Например, есть интересный момент с облачными технологиями: многие полагают, что из-за 42 Федерального закона «О внесении изменений в статью 55 Федерального закона «О связи» и статью 37 Федерального закона «О почтовой связи»» путь в облако для них закрыт. Однако это не совсем так. Существуют гибридные решения и разные способы сбора и обработки данных.

Грамотный SAM-специалист всегда найдет оптимальное решение, опираясь и на законодательство, и на современные технологии.

Методология SAM помогает компаниям оптимизировать закупки и затраты на ПО, а также снизить риски использования нелицензионного софта. В крупных компаниях, как правило, она включает ежегодное составление планов по улучшению практики управления программными активами, которые интегрируются с глобальной стратегией развития.

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *