РУССКИЙ
РУССКИЙ
ENGLISH
13.10.2017

Национальный центр реагирования

Почему России нужен свой Национальный центр реагирования
на киберинциденты
Илья Сачков
основатель и генеральный директор Group-IB
На этой неделе Group-IB выпустила свой ежегодный отчет Hi-Tech Crime Trends 2017 о тенденциях высокотехнологичных преступлений. В нем много неожиданного: например, узнаете, почему главной опасностью для банков станет не воровство денег, а разрушение их ИТ‑инфраструктуры.
Что хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки криптовалют, биржи, фонды) и уже заработали там миллионы. Что ущерб от хищений с помощью банковских Android-троянов в России уже превысил ущерб от банковских троянов для персональных компьютеров. Для нас же как экспертов совершенно очевидно, что все эти события — только верхушка айсберга. И есть огромное количество киберугроз, которые требуют более пристального внимания и оценки.
Технологии последних 10 лет полностью изменили весь уклад жизни людей, но общество оказалось не готово к таким переменам. Сейчас мы с вами живем в самое безопасное время за всю историю страны (если оперировать статистикой, а не потоком негативных новостей), но, разумеется, злодеев и жуликов меньше не стало. Просто реальная опасность поджидает вас уже не на улице, а — в интернете.

Компьютерная преступность стала масштабнее и опаснее традиционной организованной преступности. По нашим оценкам, суммарный ущерб экономике России от киберпреступности к началу 2016 года достиг 203,3 миллиардов рублей или 0,25% от ВВП России, что равняется почти половине бюджетных расходов на здравоохранение в 2015 году! При этом, что удивительно, львиная доля бюджета правоохранительных органов уходит на борьбу и профилактику традиционной, уличной преступности.

Появилось новое несколько сотен преступлений, которые совершаются с помощью IT-технологий: педофилы, инициаторы детских суицидов, игорный бизнес, компьютерное пиратство, мошенничество, воровство денег, интернет-пирамиды, спам, контрафакт в интернете, наркоторговля и огромный пласт компьютерных преступлений: DDoS-атаки, хищение паролей, взломы, хищение денег с банковских карт, кражи в интернет-банкинге, вирусы-шифровальщики и вымогательство, саботаж и диверсии, перехват трафика, кибершпионаж и кибертерроризм…

Понятно, когда дело касается кибертерроризма, шпионажа, целевых атак на банки, взломов сетей государственных органов к расследованию подключаются спецслужбы, полиция, регулирующие и контролирующие органы. И есть большая вероятность, что дело будет доведено до логического финала — приговора.

Но есть огромное количество киберпреступлений, которые остаются вне поля зрения правоохранительных органов и компетентных организаций: кражи аккаунтов, взломы ICloud и публикация компрометирующей переписки и фото. Вирус-шифровальщик заблокировал компьютер — кто будет ждать несколько месяцев, пока проведут проверку и заведут уголовное дело, если у жертвы «отчетность горит», а у него вымогают 1000 рублей? Шантаж и вымогательство — это компетенции правоохранительных органов, но они, если возьмутся за расследование, работают "долго и дорого", в том плане, что сумма ущерба должна быть значительной. Тем более, факт того, что злоумышленники получат реальные сроки, а финансовый ущерб будет компенсирован — весьма призрачная перспектива. В России до суда доходит только 7% дел о киберпреступлениях.

Официальные данные о киберпреступлениях часто являются существенно заниженными. Жертвы могут не подозревать, что они стали объектами атак, или же они не хотят заявлять об инциденте, опасаясь огласки. Да, и само государство иногда закрывает глаза на "мелочевку". Недавно сообщали, что Центробанк планирует установить минимальную сумму ущерба от кибератак, которую банки должны отражать в своей отчетности. Я не думаю, что это правильная история — в статистике не считать мелкие инциденты. Многие злоумышленники специализируются на мелких хищениях, но делают их массово. Нам были известны преступные группы, которые воруют миллионы рублей, списывая по 20-50-100 рублей со счета. Любой инцидент, связанный с компьютерными преступлениями, есть инцидент и надо его фиксировать. И тут мы сталкиваемся с серьезной проблемой.

Сейчас в России нет единой точки сбора информации о киберпреступлениях. ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) отвечает за критическую инфраструктуру. «ФинЦЕРТ» Банка России мониторит ситуацию в кредитно-финансовой сфере. В РОЦИТ, Роскомнадзор или Лигу безопасного интернета вы можете обратиться с заявлением на интернет-педофилов и экстремистов. CERT-GIB, первый частный Центр круглосуточного реагирования на киберинциденты, работает по фишингу, вредоносному ПО, бот-нетам — в российских доменах зонах мы помогаем бесплатно. Мы владеем огромной базой знаний по хакерам, преступным группам, инструментам, техникам и инцидентам, но сейчас нет в России единого места, который бы к использовал наши знания для защиты рядовых граждан от компьютерной преступности и координировал действия частных и государственных CERT.

Возьмем, к примеру американский US-CERT, на главной странице написано, что к ним могут обратиться за помощью all american. А у нас — пострадавшему гражданину, предпринимателю, владельцу мелкого/среднего бизнеса — идти фактически некуда. Я как рядовой гражданин, не могу получить ответа на вопрос, что мне делать в случае киберинцидента и тем более не могут привлечь злоумышленников к ответственности и вернуть свои деньги.

Мы считаем, что необходимо кардинально менять подход к компьютерным преступлениям — не только в России, но во всем мире. Не стараться адаптировать старую систему под новую реальность, а создать принципиальную новую систему борьбы с компьютерными преступлениями.

Невозможно бороться с угрозами, если о них ничего не известно специалистам. Поэтому, в первую очередь, необходим процесс оперативного уведомления об актуальных угрозах с подробным описанием и рекомендациями по выявлению и предотвращению их реализации. Важна скорость реакции на инцидент, сбор данных об инциденте и доведение этих знаний до людей и компаний, отвечающих за информационную безопасность. Эти сведения должны предоставляться максимально оперативно и в стандартизованном формате, чтобы была возможность автоматизированной работы с ними.

Идеи создания Национального центра реагирования на киберинциденты давно витают в воздухе. Поступали самые разные предложения — от создание НЦК на базе Сбербанка до появления подобного центра на базе Бауманки, где работали бы студенты и волонтеры. Мое мнение — этот вопрос надо решать незамедлительно. Без Национального центра реагирования на киберинциденты, который оперативно оказывал бы поддержку и координацию, безопасное развитие цифровой экономики не представляется возможным.
Справочно
В октябре 2011 года мы первыми в России открыли частный CERT — (Computer Emergency Response Team) — центр круглосуточного реагирования на инциденты, связанные с компьютерной безопасностью. В то время .RU была самой грязной зоной. Вся мировая киберпреступность активно регистрировала домены в России и «пачками» создавала фишинговые сайты, ресурсы, с которых раздаются вирусы или управляются бот-неты. А быстро заблокировать такие домены не получалось из-за законодательных помех. Мы предложили Координационному центру национального домена сети интернет (КЦ) создать институт компетентных организаций, чтобы принимать решение: фишинговый сайт\не фишинговый, вредоносный\не вредоносный и оперативно выходили на регистраторов с требованием об и блокировке.

Два месяца спустя после запуска CERT-GIB, в декабре 2011 года, мы заключили соглашение о противодействии киберугрозам с Координационным центром национального домена сети интернет (КЦ). Фактически это был переворот на уровне законодательства! Первый частный CERT получил полномочия по оперативной блокировке сайтов, распространяющих вредоносные программы, а также фишинговых ресурсов в доменах .RU, .РФ и еще более 1100 доменных зон.

Во многих странах мира уже были свои CERT — мы начали с ними сотрудничать. Если из какой-то страны идет атака на ресурс нашего клиента и там есть CERT, можно в любое время дня и ночи обратиться к ним и попросить закрыть фишинговый сайт, сообщить пользователю, что у него дыра на сайте и оттуда распространяются вирусы, закрыть IP-адрес. Законодательство многих стран подразумевает, что CERT может выдавать технические данные об атаке, которые пригодятся в расследовании. Обмен информации между CERT разных стран пополнял нашу базу данных о международной киберпреступности.