Дуже часто звичайні люди чують новини, на кшталт: “президенти обговорили питання кібербезпеки”, “кібертерористи, спонсоровані агресивною державою, атакували вибори та державні реєстри”, “база клієнтів декількох банків була злита у мережу інтернет”…
Звучать такі фрази дуже таємниче, інтригуюче та зовсім не зрозуміло для неспеціалістів.
А якщо почати питати про кібербезпеку знайомих, які працюють у такій сфері, або ж гуглити в інтернеті – інформації буде дуже багато.
Та рідко й вона виявиться зрозумілою: вектори атак, якісь проблеми з різними додатками, особливості законодавства і інші важливі, але дуже професійні речі.
Отож трохи почитавши або послухавши професійну спільноту, пересічні громадяни повертаються до своїх цілком конкретних проблем:
- як бути з невиконаним планом продажів;
- що робити з каналізацією, яка протікає;
- як не вбити колегу по роботі, тому що дістав;
- де запаркувати машину так, що б не вкрали;
- як тепер жити з новим прийнятим законом тощо.
Брак цифрової грамотності
У наш час цифрова інфраструктура пронизує все, що нас оточує.
Існує навіть спеціальний термін — “Інтернет речей” — це коли модуль для з’єднання з інтернетом стоїть у звичайних пристроях. Наприклад, у датчиках сигналізації, пилососах, кавоварці, авто.
Або більш простий та близький приклад — банки.
Проблема в тому, що ІТ, увірвавшись у наш світ, залишилося зовсім не зрозумілим.
На уроках інформатики в школах не пояснюють ні базових механізмів роботи інформаційних технологій, ні правил поведінки з ними, ні їхнього впливу на соціум.
Тож, коли люди починають використовувати ті чи інші продукти цифрової епохи — вони на рівні підсвідомості сприймають тільки зовнішню оболонку, і думають так: “ось ця крута цифрова штука, ось десь там є якась така магічна система, яка все робить”…
Інформація про те, що наприклад, при здійсненні звичайного платежу телефоном за допомогою NFC запускаєтся складний процес, у результаті якого інформація про платіж проходить кілька десятків систем, пару раз облітає світ і залишає “цифровий слід” на різних серверах банку, Apple або Google та емітента платіжної системи, залишається поза сприйняттям людини.
Якщо спростити даний приклад, то фраза “людина, сидячи в Тімбукту, пограбувала Банк в Нью-Йорку або вивела з ладу ядерний центр в Ірані” років 50 тому була б причиною направлення на лікування до відповідного медичного закладу, а зараз — це реалії нашого світу.
До чотирьох звичних вимірів додався абсолютно новий п’ятий ІТ-вимір — світ Цифри.
І що важливо — цей світ тепер безпосередньо може впливати на фізичний — через ті ж дрони, автопілот та інші “розумні” пристрої, наприклад.
І ось до цього пересічні громадяни не готові, тому що для готовності вирішення проблеми — необхідне її усвідомлення.
А усвідомлення, у тому-числі за допомогою навчання, у реаліях нового світу відбуваєтся дуже повільно.
Ось ще приклад.
Що ви уявляєте, коли чуєте слово “банк”? Відділення, картки, економісти, у кращому випадку — якісь програми для мобільного банкінгу.
Слідом за цим, фраза “пограбувати банк” викликає асоціацію з нальотом на якийсь супер-сейф у стилі Боні і Клайда, зі стріляниною, підкопами, тунелями та спецопераціями.
А насправді — всі валютно-розрахункові, торгові, кредитні та інші операції давно проводяться у спеціалізованих ІТ-системах — так-званих АБС — автоматизованих банківських системах, і гроші вже давно не зберігаються у вигляді монеток або папірців.
Близько 90% грошей у світі — це просто електронна інформація у відповідному вигляді.
А що можна зробити з інформацією? Згідно з трьома її ключовим властивостями, можна порушити КЦД:
- К — конфіденційність (змінити приналежність);
- Ц — цілісність (знищити);
- Д — доступність (інформація про гроші є, але до них неможливо добратися, сервер висмикнули з розетки або перерізали кабель).
І часто зробити це можна досить просто, оскільки, відповідно до універсального закону, надійність системи визначається її найслабкішою ланкою.
А яка найслабша ланка в ІТ-системах? Очевидно, що людина, особливо без спеціальної підготовки.
Також по темі: Які фільми та серіали про кібербезпеку захистять вашу анонімність у 2021 році Мисливці за вакцинами від COVID-19: хто насправді стоїть за кібератаками? Кібербулінг: що це таке і як вберегти себе та дітейТепер трохи цифр у підтвердження цієї тези:
- 34% респондентів міжнародного дослідження EY з інформаційної безпеки за 2018-2019 рік вважають необізнаність співробітників з питань ІБ однією з найбільш критичних вразливостей своєї компанії;
- 53% компаній мають більше 1000 файлів з конфіденційною інформацією, які доступні кожному співробітнику, за даними Varonis;
- 76% підприємств, які були досліджені Wombat , стали жертвами фішингу (атак за допомогою замаскованих шкідливих листів);
- 99% атак здійснюється за допомогою соціальної інженерії;
- 34% випадків витоку даних пов’язані з внутрішніми витоками — повідомляє Verizone.
Як результат, 17% компаній готові ефективно чинити опір кібератакам, повідомляє Accenture.
Здавалося б, це дуже далекі та абстракті цифри, однак це не просто дані. Це наші з вами:
- Медичні дані;
- Персональні дані;
- Банківська інформація;
- Документи, що підтверджують особу чи право власності;
- Данні про нашу поведінку та інтере.си
Отримавши доступ до таких даних, можна зробити будь-що. Ось докази:
Найгучніші кібератаки та їх наслідки
WannaCry — наймасовіший вірус десятиліття
WannaCry — шкідлива програма-вимагач, яка використовувала уразливість нульового дня в різних версіях Windows .
Проникаючи в комп’ютери, вірус зашифровував увесь вміст, а потім починав вимагати гроші за розблокування.
Однак розшифрувати файли було неможливо.
Збиток: вірус встиг заразити 500 тисяч комп’ютерів у 150 країнах світу і завдати шкоди в $ 1 млрд.
Petya / NotPetya / ExPetr — найбільший збиток від кібератаки
Так само, як і WannaCry, Petya і його пізніші версії вражали комп’ютери на ОС Microsoft Windows .
Вони зашифровували файли — точніше, базу даних з інформацією про всі файли на диску — і дані для завантаження ОС. Потім вірус вимагав викуп у біткоіни.
Але коди для розшифровки не допомагали, а, навпаки, знищували всі дані на жорсткому диску. При цьому вірус отримував повний контроль над усією інфраструктурою компанії, і захист від WannaCry проти нього вже не діяла.
Для створення NotPetya використовували коди хакерського угруповання Equation, викладені у відкритий доступ. У жовтні 2020 влада США звинуватила хакерське угруповання Sandworm , що складається із співробітників російського ГУ ГШ, в причетності до вірусу NotPetya і інших кібератак.
Найбільше від вірусу постраждала Україна. Пізніше прийшли до висновку, що саме звідси почалося зараження.
Причина — в автоматичному оновленні бухгалтерської програми MTdoc, якою користується більшість компаній і держорганів в країні.
Збиток: Вірус торкнувся компанії і держоргани Європи, США, Австралії, Росії, України, Індії, Китаю. В Україні 10% пам’яті всіх комп’ютерів в країні виявилося стерто. Загальна сума збитку від діяльності хакерів склала більше $ 10 млрд.
Вибори в США — головний політичний скандал
Хакерам вдалося отримати доступ до електронної пошти кандидата в президенти від демократів Хіларі Клінтон та її команди.
У результаті 30 тис. електронних листів були опубліковані на WikiLeaks, включаючи 7,5 тис. документів, відправлених самою Клінтон.
Багато документів були секретними і стосувалися терористичних атак на консульство США в Бенгазі у 2012 році.
Решта містили персональні дані членів і спонсорів демократичної партії, включаючи номери їх кредитних карт.
Американські експерти з інтернет-безпеки звинуватили в цих атаках чинні в Росії хакерські угрупування, під назвою Cozy Bear і Fancy Bear.
Збиток: Історія з листуванням викликала розкол всередині демократів і сильно похитнула їхні позиції напередодні виборів. Скандал негативно вплинув на рейтинги Клінтон і завадив їй перемогти Дональда Трампа на президентських виборах. Вона ж започаткувала Піццагейту — одну з наймасштабніших теорій змови у США.
Злом Facebook — найгучніша витік даних з соцмережі
У березні 2020 року британська компанія Comparitech повідомила про витік даних більш 267 млн користувачів Facebook.
Велика частина з них належить американцям. Їх могли використовувати для розсилки фішингових посилань.
У серпні 2020 року експерти з компанії DarkNet Data Leakage & Breach Intelligence (DLBI) виявили в Мережі персональні дані 150 млн користувачів Facebook, Instagram і LinkedIn.
На цей раз дані викрали з сервера в США, який належить китайській компанії Shenzhen Benniao Social Technology (socialarks.com).
Вона продає рекламу і просування в соціальних мережах.
Збиток: Після перших витоків Федеральна торгова комісія США зобов’язала Facebook виплатити рекордні $ 5 млрд штрафу. Це в 20 разів вище найбільших санкцій, які застосовувалися за витоку даних. Репутація самої компанії на тлі регулярних витоків сильно похитнулася — як і позиції на фондовій біржі.
Stuxnet — перша кіберзброя
Мережевий вірус Win32 / Stuxnet вразив особисті комп’ютери, а також цілі автоматизовані системи управління виробництвом.
Він використовував чотири уразливості “нульового дня” в ОС Windows, перехоплюючи і змінюючи потік даних промислових підприємств, електростанцій та аеропортів.
Збиток: Всього вірус встиг заразити 200 тисяч пристроїв. Іранцям довелося позбутися 1 тисячі центрифуг для збагачення уранового палива, уражених Stuxnet. Решта блоків не постраждали, але ядерна програма Ірану була відкинута на кілька років назад.
Yahoo — наймасштабніший витік даних
Зловмисники зламали акаунти користувачів Yahoo і вкрали їх особисті дані, включаючи адреси електронної пошти і номери телефонів. Злочинці діяли в два етапи — в 2013 і 2014 роках, при цьому Yahoo розповіла про це тільки в 2016.
Відповідальність за кібератаку була покладена на двох співробітників ФСБ і двох хакерів з Росії і Канади.
З них тільки канадець визнав свою провину і отримав п’ять років в’язниці.
Збиток: Всього постраждали 3 млрд облікових записів. Ринкова вартість Yahoo знизилася на $ 350 млн — саме стільки вона недоотримала в результаті операції з поглинання компанією Verizon.
Marriott — найсерйозніший удар по репутації
У 2014 році хакери зламали систему Starwood Preferred Guest, де зберігалися дані про клієнтів готелів Marriott: імена і прізвища, номери паспортів, контактні та платіжні дані.
Атака розкрилася лише чотири роки по тому.
Підозри впали на угруповання з числа співробітників китайської розвідки, яке намагалося зібрати дані про громадян США.
Збиток: Постраждали близько 500 млн клієнтів. Мережі довелося заплатити $124 млн штрафу за витік даних.
BlueLeaks — найгучніший витік даних з держорганів
Хакери з угруповання Anonymous отримали доступ до 269 Гб секретних даних правоохоронних органів і спецслужб США у вигляді більш 1 млн файлів: відеоролики, електронні листи, аудіофайли, а також документи з планування та розвідки за останні десять років — включаючи ті, що підтверджують стеження за активістами Black Lives Matter.
Файли передали групі хакерів-активістів DDoSecrets, яка опублікувала отриману інформацію.
У відповідь на це Twitter заблокував акаунт DDoSecrets, а в Німеччині заблокували сервер, на якому зберігалися дані BlueLeaks — за запитом від американської влади.
До речі, в січні 2019 року це ж угрупування опублікувало 175 Гб даних про таємні угоди Кремля, Російської православної церкви і участі Росії у війні на Донбасі.
Наслідки: Опубліковані документи викликали гучний скандал і звинувачення на адресу американських спецслужб, які завели кримінальну справу у відповідь на це. Їх дії щодо хакерів порівняли з переслідуванням WikiLeaks .
Чи можуть кібератаки вбивати?
На жаль так. У 2015 році хакери зламали сайт Ashley Madison, призначений для знайомств заміжніх жінок і одружених чоловіків.
У результаті атаки витекли дані 40 млн користувачів.
Деяким з них почали розсилати загрози з вимогою викупу в $1 тис. Деякі з постраждалих злякалися, що їх чоловік дізнається про зраду, і наклали на себе руки.
Другий випадок стався у вересні 2020 року.
Зловмисники атакували ІТ-систему університетської клініки в Дюссельдорфі.
У результаті 30 серверів і всі підключені пристрої — у тому числі апарати життєзабезпечення — на деякий час вийшли з ладу.
Цього виявилося достатньо, щоб одна з пацієнток померла. Поліція завела кримінальну справу за фактом вбивства.
В той же час — за даними МВС України в 2020 році було зареєстровано більше 5 тисяч кіберзлочинів, тобто лише реєструвалося близько 15 кіберзлочинів щодня.
З урахуванням подальшого розповсюдження онлайн-послуг у епоху COVID-19 та зростання темпу діджиталізації в Україні, кількість злочинів буде лише рости, тому треба бути готовими до нових викликів.
Велика Гігієнічна Революція — коли люди звикали мити руки і приймати душ тривала майже 200 років — протягом 19-20 столітть.
Тепер, з появою цифрового світу треба знову, по суті з нуля, навчати людей взаємодіяти з якимось невидимим світом.
Тоді це були невидимі мікроби, у які мало-хто вірив, а тепер — це невидимий світ Цифри.
Отже, й гігієна тепер потрібна нова, з приставкою “Кібер-“.
Пам’ятайте — лише від вашої підготовленості, залежить безпека у новій епосі.
Нагадаємо, раніше ми розповідали, навіщо Україні кібервійська.
Фото: Pexels
