“Cert.lv”: киберпреступники постоянно выдумывают что-то новое и более достоверное 5

- Как известно, в прошлом году увеличилось использование технологий в повседневной и рабочей жизни людей. Изменило ли это и работу "Cert.lv"?

- Конечно, прошлый год очень радикально изменил нашу жизнь, и те, кто, возможно, скептически относился к деятельности в киберпространстве, были вынуждены просто перебраться в него. Фактически, в киберпространстве происходило все - в реальной жизни у нас осталось очень мало вещей, и мы должны были научиться жить с этим.

Киберпреступность, конечно, не стала исключением. Как мы смеемся, преступники тоже перешли на улаленку. В результате активизировались как те, кто уже был вовлечен в различные виды мошенничества и преступлений в киберпространстве, так и новые. С позиций "Cert.lv" очень заметно увеличение количества различных кампаний. Практически каждую неделю появлялись новые кампании, некоторые из них - направленные непосредственно на местную аудиторию, качественно переведенные. Мы никогда не видели, чтобы количество кампаний увеличивалось так, как прошлой весной и осенью. Многие из этих кампаний были напрямую связаны с тем, что происходило в мире. Сначала это были различные темы, связанные с Covid-19 - "нажмите здесь, вот карта распространения Covid-19" - и на компьютер запускался вирус. В дальнейшем началось мошенничество, связанное с фирмами по доставке - ведь все доставляется населению на дом. Позже, осенью, использовалась тема вакцин. Обещается некая информация о вакцинации, а затем идут попытки получить ваши данные или заразить ваш компьютер. Это продолжается и в новом году.

- Что мы можем сказать о знаниях людей в этой области, насколько часто они попадают в такие ловушки?

- Я стараюсь быть оптимистом. Знаний много не бывает, но в принципе их уровень неплохой. В большинстве случаев - 95%, 98% - люди распознают эти мошенничества и не кликают, не сообщают свои пароли, данные своей кредитной карты. К сожалению, это, так сказать, соревнование между преступниками и пользователями. Преступники пытаются придумать что-то новое, что-то более достоверное. Когда начинается эта новая, на вид очень достоверная кампания мошенничества, о которой еще не прозвучало предупреждений ни с нашей стороны, ни по радио, ни в прессе, есть, к сожалению, люди, которые попадаются. Как только об этой мошеннической кампании становится известно, мы можем, прежде всего, обеспечить защиту через брандмауэр DNS (www.dnsmuris.lv). Это активная защита, которую может использовать любой латвийский пользователь интернета со своего устройства, где мы размещаем уже известные мошеннические страницы, известные фишинговые сайты, сайты, распространяющие вирусы. Однако этого, конечно, не происходит, пока мы не узнаем о них. Так что люди, даже использующие DNS, первоначально могут стать жертвами.

Мы зафиксировали намного больше сообщений именно от конечных пользователей интернета о том, что вот подозрительная э-почта, подозрительная новость в соцсетях - проверьте, пожалуйста.

Ситуация не плоха, но выдумки мошенников на самом деле очень изобретательные, достоверные, и есть пострадавшие.

- В этом году было два громких случая кражи данных: один касался "Civinity", а другой не касался конкретной компании. Не могли бы вы рассказать о них поподробнее?

- Случай с "Civinity" интересен тем, что кто-то взломал компьютерные системы компании и зашифровал их. Вероятно, сначала данные были скопированы. Предприятие поступило правильно, и именно так должны поступать все - они сообщили об этом. Фактически, подобные инциденты случаются почти каждый день, но никто о них не сообщает.

Однако этот случай, конечно, не уникален. Шифровальные вирусы попадают как в государственные органы, так и в компании на довольно регулярной основе, и предполагается, что системы только зашифрованы, но вероятность копирования данных не рассматривается.

Второй случай связан с вирусом "EmotetEmotet". Это совсем другая история. Это вирус, который бушует годами и очень эффективен. Суть вируса в том, что он проникает в компьютерную систему и пытается скопировать как можно больше данных, все пароли, хранящиеся в браузерах, электронные письма, платежные данные и другую информацию.

Часть инфраструктуры вируса "Emotet" была обнаружена в сотрудничестве с европейскими и иностранными правоохранительными органами, так что можно было добраться до этих данных и узнать, что было собрано.

Мы пытались проинформировать конечных пользователей об известных утечках данных в Латвии. Мы не знаем точно, как они исчезли, есть несколько вариантов, но мы видим, что у определенного пользователя, например, пароль конкретного сайта пропал. Поэтому мы пытаемся каким-то образом найти этого пользователя и сообщаем, что необходимо обязательно изменить пароль, а также убедиться, что "Emotet" больше не живет на вашем компьютере. Хотя собственная инфраструктура "Emotet" больше не существует, вирус проникает на компьютер вместе с другими. Если есть подозрения, что был "Emotet", обязательно нужно проверить весь компьютер, чтобы увидеть, есть ли там что-нибудь еще.

- Насколько часто киберпреступления доходят до полиции и чего этим удалось добиться?

- К сожалению, я не знаю статистики, но случаи, когда потери действительно велики из-за зашифрованной инфраструктуры, довольно регулярны.

Один из вариантов - заплатить преступникам за восстановление данных. Конечно, мы рекомендуем не платить ни при каких обстоятельствах, так как это поддерживает незаконный бизнес. Второй вариант - восстановить данные из резервных копий, если они есть. Скорее всего, это займет время и будет простой, но тогда нет прямых потерь. Если резервных копий нет, есть третий вариант - либо заплатить преступнику, либо попытаться восстановить что-то из старых копий, начать с нуля. Есть множество ситуаций, как в частном секторе, так и в других учреждениях. Пострадавшие не идут в полицию, если заплатили преступникам, но есть заявления об убытках из-за простоя и потери данных.

Очень сложно найти конкретных преступников. Можно попытаться отслеживать деньги, то есть те биткойн-кошельки, куда они просят перевести средства, но это не быстрый и не простой процесс.

- Киберпреступники чаще местные или иностранцы?

- Чаще они бывают не местными. Одно из основных правил состоит в том, что киберпреступники по-прежнему пытаются действовать в другой юрисдикции, потому что в таком случае возможность ареста или какой-либо формы репрессий намного, намного ниже.

Конечно, если есть хорошо переведенная на латышский язык кампания, то очевидно участие местных, потому что, если был использован автоматический переводчик, это заметно. Однако это не значит, что этот переводчик сам и является мошенником. С таким же успехом это может быть студент, которого просто просят перевести текст.

- Возвращаясь к работе в условиях "Covid-19", с точки зрения "Cert.lv", насколько ко всему этому были готовы государственные и муниципальные учреждения или никто не был готов ни к чему?

- Никто не был готов до конца. Были предприятия и учреждения, которые до этого много работали удаленно и не нуждались в особой реструктуризации, но для большинства, конечно, то, что происходило прошлой весной, было настоящим шоком. Первая проблема заключалась в том, как организовать удаленную работу, чтобы она была более или менее безопасной. С этим нужно было бороться, поскольку очевидно, что, например, VPN-шлюзы нельзя купить за один день из-за процедур закупок и финансовых ресурсов. На это ушло время. Были учреждения, которые начали это делать, а затем осенью смогли реорганизовать свою инфраструктуру, но до тех пор использовались временные решения.

Вторая проблема заключалась в том, что сотрудники работали из дома. Были учреждения, в которых были ноутбуки, были учреждения, в которых сотрудники работали со своих персональных компьютеров, и в таком случае нужен был хоть минимальный уровень безопасности.

Также были различные типы атак, непосредственно связанные с технологиями удаленного подключения.

- Сумели ли предприятия и учреждения приспособиться к ситуации за год, пока продолжается пандемия?

- Конечно, человек привыкает и приспосабливается, больше ничего не остается. Поразительным мне кажется тот факт, что интернет выдержал и смог удовлетворить все наши потребности в цифровой среде. Школа, удаленная работа, покупки, развлечения, онлайн-концерты, спектакли и прочее. Интернет это выдержал, инфраструктура работает. В Латвии, в странах Балтии, инфраструктура находится на очень хорошем уровне, и я думаю, что этим мы действительно должны гордиться и радоваться.

В то же время мы понимаем, что стали намного более зависимы от цифровой инфраструктуры и гораздо больше думаем о вопросах ее защиты как в Латвии, так и на европейском уровне.

Если говорить об учреждениях и пользователях в несколько ином аспекте, то цены на компьютерные видеокарты и на сами ноутбуки сильно выросли, потому что вырос спрос. Тем, у кого дома был один компьютер, теперь нужно пять - для каждого ребенка. Люди очень стараются адаптироваться, чтобы чувствовать себя более комфортно и делать то, что им нужно, как можно лучше.

- Недавно вы заявили, что беспокойство доставляют многочисленные появившиеся во время кризиса интернет-магазины. Почему?

- После введения второго чрезвычайного положения активизировались различные интернет-магазины. Очная торговля невозможна, и интернет-магазин остается единственным способом выжить для предприятия.

Есть возможность использовать готовые платформы, но тогда, конечно, разработчикам этих платформ придется платить. Второй вариант - попробовать что-то разработать, но очень часто это делается в спешке, без полноценного тестирования. Вероятно, сами пользователи интернет-магазина сталкивались с некоторыми проблемами функциональности, где не все работает, где нужно трижды кликнуть, чтобы получить желаемое. То же самое и с безопасностью. Однако я думаю, что пройдет еще несколько месяцев, и эти трудности роста будут преодолены. Это нормальный процесс. Я хочу подчеркнуть, что это больше не является уникальным для нас, такая же ситуация повсюду в Европе и в мире.

- Каковы важнейшие проблемы, задачи "Cert.lv" в этом году?

- Конечно, мы не можем предугадать, что нового будет изобретено в мире киберпреступности. Если бы мы могли, было бы здорово, но так не бывает.

Одна из проблем, которая будет увеличиваться, - это кража аутентификационных данных. Прошлой осенью было множество кампаний с целью получить у людей коды "Smart-ID", калькулятора кодов. Это не прекратится, и следует максимально способствовать пониманию того, что эти данные не должны никому передаваться по телефону. И, конечно же, там, где нет двойной аутентификации, следует использовать безопасные пароли. Все пароли невозможно запомнить, но для этого существуют менеджеры паролей. На наш взгляд, это единственный рецепт.

В прошлом году также было много различных уязвимостей непосредственно в ПО. По мере того, как жизнь в киберпространстве становится более активной, поиск уязвимостей будет все интенсивнее, и нет никаких признаков того, что он может уменьшиться или прекратиться.

- Как обстоит дело с ресурсами вашего учреждения? Вы способны все контролировать?

- Надзор - не наша основная задача. Основное - это разрешение инцидентов, помощь в инцидентах. Также различные информирующие меры, рассылка предупреждений.

Нас чуть больше 30 человек, и этого, конечно, мало. На данный момент ресурсов столько, сколько есть, и мы не можем планировать рост, потому что не запланировано увеличение бюджета. Сложно найти хороших профессионалов в области кибербезопасности, особенно с учетом того, что мы не можем им адекватно платить. В течение двух лет у нас был европейский проект и дополнительное финансирование, в этом году оно уменьшилось. О том, что мы не можем платить адекватные зарплаты, хорошо известно, и никто не решает эту проблему на политическом уровне.