Фото Getty Images
Из года в год организации пытаются противостоять атакам и снизить риск потерь, но киберинциденты повторяются. Можно ли вынести из них универсальные уроки?
Всероссийский опрос российских предпринимателей показал, что в 2017 году ущерб от кибератак составил почти 116 млрд рублей. Около половины российских предприятий всех масштабов столкнулись с киберугрозами и около 22% из них понесли реальные финансовые потери — в среднем 300 тыс рублей. При этом, по мнению представителей аналитического центра НАФИ, большинство предпринимателей считают, что их проблема не коснется, и недооценивают реальные риски, которые несут киберинциденты.
Мы собрали пять наиболее интересных и разноплановых, по нашей версии, взломов и утечек информации уходящего года, чтобы показать потенциальные риски для организаций и лишний раз убедиться, насколько важным может оказаться даже незначительное нарушение правил информационной безопасности.
Кража данных 143 млн клиентов Equifax
Equifax — бюро кредитных историй, агрегирующее и обрабатывающее данные более чем 800 млн человек из 24 стран, включая Россию. По иронии, сайт компании позиционирует ее как ведущего поставщика услуг в сфере защиты от утечек.
Несмотря на все эти громкие заверения, в ночь с 7 на 8 сентября 2017 года стало известно о том, что сервера Equifax были взломаны, а злоумышленники успели получить доступ к персональной информации более 143 млн человек (на минуточку – более трети населения США). Утекло многое – ФИО, адреса, номера соцстрахования, водительские права и прочее, что хранилось у Equifax. Примерно у 209 000 пользователей оказались скомпрометированы еще и номера банковских карт.
Последующий анализ показал, что злоумышленники проникли в систему еще в мае, но вплоть до конца июля их следы на серверах не были обнаружены. Это произошло из-за инерции компаний в плане реагирования на оповещения об угрозах. Уязвимость, из-за которой произошел взлом, считается довольно известной, а информация о ней стала общедоступна еще в марте 2017-го. К сожалению, даже в ведущих компаниях временной разрыв между обнаружением уязвимости и принятием мер может достигать нескольких месяцев.
К чему это может привести, мы видим – утечка пользовательских данных, репутационные потери, иск на солидную сумму.
Совет же в этом случае прост — при использовании любых библиотек и фреймворков необходимо регулярно их обновлять и следить за информацией о найденных в них уязвимостях.
- Uber пытался скрыть атаку хакеров, укравших данные 57 млн клиентов и водителей
АНБ, WannaCry и NotPetya
Несколько атак программ-вымогателей, использующих эксплойт EternalBlue, якобы украденный у АНБ, прокатилось по интернету в 2017 году. Начало положил WannaCry, поразивший полмиллиона компьютеров по всему миру и нанесший ущерб в размере $1 млрд. Жертвами шифровальщиков WannaCry и его последователей – New Petya, NotPetya, ExPetr и других – стали банки, энергетические компании и правительственные структуры разных стран, шифруя хранящуюся на дисках информацию. Microsoft пришлось в срочном порядке выпускать соответствующие обновления не только для актуальных версий своей ОС, но даже для Windows XP, поддержка которой уже давно остановлена.
В мире, где уже существует самое настоящее кибероружие, не обязательно становиться целью спецслужб, чтобы столкнуться с подобной атакой, ведь, как видим, даже сами спецслужбы становятся жертвами успешных хакерских атак.
Почтовый архив Эммануэля Макрона
В политике информационная безопасность не менее важна, чем в бизнесе. Единственный клик одного человека из предвыборного штаба по ссылке в письме может привести к катастрофическим последствиям.
5 мая 2017 года, в преддверии выборов Президента Франции, в политическом разделе форума 4chan был опубликован архив с письмами Эммануэля Макрона и членов его партии – всего 9 Гбайт переписки. Хештег #Macronleaks прокачали в Твиттере при помощи ботов, а журналисты и WikiLeaks опубликовали ссылки на архив.
Сценарий был не нов: хакеры разослали фишинговые сообщения сотрудникам штаба Макрона с адресов, похожих на настоящие адреса других партийцев.
История, едва не стоившая Макрону президентства, показала, насколько хрупка репутация политика, общественного деятеля, да и вообще любой публичной фигуры перед весьма простой кибератакой. Скандала можно было избежать, если бы все сотрудники штаба серьезно относились к информационной безопасности, соблюдая ее базовые правила, а не видя в ней досадную помеху.
Смарт-контракт дает слабину
Создатели электронного кошелька Parity, служащего для хранения криптовалюты Ethereum, предупредили всех своих пользователей о факте компрометации программы. Злоумышленникам удалось не просто получить доступ к данным о хранящихся в ней средствах, но и похитить их, от чего пострадали миллионы владельцев криптовалюты. Через уязвимость в смарт-контрактах преступникам удалось присвоить криптовалюту, общая стоимость которой эквивалентна $30 млн. Но это далеко не все потери.
Атака была вовремя замечена, и члены организации White Hat Group сумели перевести еще не похищенные средства пользователей, эквивалентные $120 млн, на другие кошельки, не подверженные атаке, используя ту же уязвимость. Пока средства просто заблокированы. По словам владельцев Parity, спасти ситуацию может хардфорк криптовалюты, который «откатит» все транзакции до момента, предшествующего краже. С таким вариантом решения, разумеется, согласны далеко не все держатели Ethereum.
В современном мире все больше востребована профессия «белого» или «этичного» хакера. Он обладает теми же компетенциями, что и злоумышленники, но применяет их для защиты и выявления слабостей информационных систем. Бизнесу пора проявить заинтересованность в специалистах подобного профиля.
180 миллионов гаджетов под угрозой
В ноябре специалисты Appthority объявили о том, что более 700 мобильных приложений (для iOS и Android примерно в равных пропорциях) используют доступ по API к сервисам компании Twilio, содержащего уязвимость Eavesdropper (Соглядатай).
Читайте такжеМаленький стартап открыл все данные 31 млн пользователей бесплатного Android-приложения
Сама Twilio, по большому счету, была не при чем. Разработчики по халатности внедряли жестко закодированные данные учетных записей разработчиков сервиса прямо в своем программном коде, что позволило путем несложного анализа получить доступ к клиентской информации, включающей записи голосовых звонков, а также содержание текстовых сообщений. Под угрозой по меньшей мере 180 млн мобильных устройств, причем решить проблему выпуском единого глобального обновления не получится – исправлять надо каждое приложение и привлекать к решению проблемы разработчиков каждого из них.
Усугубляет ситуацию то, что сервисы Twilio применяются в основном в ПО, предназначенном для организаций.
Вывод таков: если в структуре сложной технической системы есть хотя бы одно звено, ответственность за которое лежит на непроверенном подрядчике, дискредитирована может быть вся система – по лени или из-за низкой культуры программирования.
Хочется надеяться, что в будущем году представители бизнеса не узнают цену халатного отношения к кибербезопасности и кибергигиене на собственной шкуре. Постоянно увеличивающееся количество старых проверенных и новых киберугроз вкупе с их возрастающей изощренностью приводит к миллиардным убыткам и репутационным потерям, но, как показали предыдущие годы, бизнесу все еще предстоит делать работу над ошибками.