Журнал ПЛАС » Архив » 2019 » Журнал ПЛАС №3 » 747 просмотров

Евгений Касперский: «Подтверждение надежности продуктов стало отраслевым стандартом»

Стоит ли рынку ждать новых масштабных атак троянцев-шифровальщиков? Почему на смену термину «кибербезопасность» приходит термин «кибериммунитет»? Чем объясняется увеличение онлайн-продаж новых лицензий на продукты «Лаборатории Касперского» в США на 8% в 2018 году на фоне запрета структурам американского госсектора использовать решения этой российской компании? Эти и другие моменты мы обсуждаем в беседе с Евгением Касперским, основателем «Лаборатории Касперского».

ПЛАС: Какой должна быть успешная ИТ-компания в современных условиях? Насколько сегодня велика конкуренция среди структур, предоставляющих продукты и услуги в сфере кибербезопасности в России и мире?

Е. Касперский: У меня нет какого-то волшебного (да и простого) рецепта создания успешной компании. Это долгий и сложный процесс, со своими взлетами и падениями. Но я точно понимаю, что сейчас успех бизнеса – это во многом возможность нанимать лучших людей в индустрии. Не только лучших программистов, аналитиков, хотя, безусловно, для ИТ-компании это важные кадры, – не менее важны и все остальные подразделения, продажи, маркетинг и далее по списку.

Конкуренция на рынке есть, особенно на глобальном уровне. И это хорошо! Именно конкуренция двигает индустрию вперед. Для нас стремление быть среди лучших игроков на рынке – постоянный источник мотивации для развития. Благодаря этому стремлению и непрекращающейся работе над нашими продуктами и технологиями мы много лет стабильно входим в четверку крупнейших в мире производителей endpoint-решений и регулярно получаем высшие награды в независимых тестах.

ПЛАС: Соответствует ли, на ваш взгляд, в целом ИТ-инфраструктура российских банков требуемому уровню киберустойчивости? Какие моменты представляются наиболее проблемными?

Е. Касперский: Большинство крупных финансовых структур довольно продвинуто с точки зрения кибербезопасности. Российские банки уделяют большое внимание обеспечению ИБ. Слишком высоки риски и слишком очевидны возможные потери. Исключением являются лишь молодые финтех-компании – им зачастую не хватает опыта и средств. Но, несмотря на высокую осведомленность финансового сектора о возможных угрозах, его участникам не стоит терять бдительность. Киберпреступники не сидят на месте: находят новые приемы, расширяют географию атак.

В зону интересов Bluenorof/Lazarus сегодня входят банки, финтех-компании, криптовалютные биржи, сети POS-терминалов, инфраструктура ATM

Что касается проблемных моментов для этой индустрии, их довольно много. Растет количество мобильных троянцев, за год их стало вдвое больше: киберпреступники переключаются с пользователей онлайн-банкинга, работающих на ПК, на пользователей мобильных приложений банков. Например, с конца августа прошлого года в России наблюдалась масштабная кампания по заражению Android-устройств банковским троянцем Asacub, в общей сложности он атаковал более 250 тыс. человек.

Отдельно стоит отметить развитие зловредов для ATM. За 2018 год наши специалисты обнаружили шесть новых семейств, действующих все более хитро и изощренно. В итоге всего сейчас их более 20! Например, появились вредоносные программы, которые подсказывают преступникам, какие кассеты в банкомате самые ценные в плане размещенных номиналов, чтобы сразу снимать деньги именно с них. Удобно, не правда ли?

Мы сталкиваемся и с ростом атак через кражу и использование биометрических данных, которые начали постепенно внедрять различные финансовые институты. Это в очередной раз доказывает, что киберпреступники очень пристально следят за всеми трендами и новинками в индустрии и эксплуатируют все слабые звенья систем информационной безопасности.

ПЛАС: В рамках V Всемирной конференции по управлению интернетом в китайском городе Учжэнь вы заявили о необходимости кардинального пересмотра подхода к защите информационных систем. Чем обусловлена такая инициатива и как она должна реализовываться? Что представляет собой «концепция кибериммунитета» и как вы видите практические аспекты ее применения, в т. ч. в России?

Е. Касперский: За последние 20 лет индустрия кибербезопасности очень изменилась. Сегодня мы имеем дело с вызовами, которые невозможно было представить еще пять-семь лет назад. Ежедневно растет число вредоносного ПО, сейчас мы собираем более 380 тыс. уникальных видов вредоносных файлов в день! Мы переживаем новый виток промышленной революции, растет рынок Интернета вещей, трансформируя каждую отрасль экономики: производство, сельское хозяйство, городскую инфраструктуру, торговлю, транспорт и многое другое. В связи со всеми этими изменениями я вижу необходимость фундаментально переосмыслить принцип защиты информационных систем, закладывая безопасность еще на уровне архитектуры системы, а не в качестве надстройки над ней, как это происходит сейчас. Это и есть кибериммунитет, который в моем понимании должен прийти на смену кибербезопасности. Объясняется этот термин довольно просто. Стоимость кибератаки должна быть больше нанесенного ущерба. И мы уже научились применять этот принцип при защите IoT-девайсов.

ПЛАС: В 2017 году Министерство внутренней безопасности США заявило, что продукция «Лаборатории Касперского» представляет угрозу и может быть использована российскими властями для доступа к правительственным документам США. Позднее Федеральный апелляционный суд в Вашингтоне отклонил иск российской компании, оставив в силе запрет на использование софта «Лаборатории Касперского» в американских госучреждениях. Есть ли под этими обвинениями реальные факты? Каким образом компания действует в рамках новой реальности на территории Соединенных Штатов?

Е. Касперский: Реальных фактов, подтверждающих эти обвинения, нам так и не предоставили – просто потому, что их не существует. Новой реальности как таковой тоже нет. Мы продолжаем работать в США, развивать бизнес везде, кроме госсектора, который, справедливости ради, был для нас ничтожно маленькой составляющей американского бизнеса – за 2016 год всего 54 тыс. долларов США. Американские пользователи, кстати, отлично умеют читать между строк все новости, публикуемые о нас в своих национальных СМИ. Потому что как иначе объяснить увеличение онлайн-продаж новых лицензий в Штатах на 8% в 2018 году?!

ПЛАС: В ноябре 2018 года «Лаборатория Касперского» запустила два дата-центра в Швейцарии, в которых правительственные органы иностранных государств и независимые эксперты смогут проверить исходный код продукции компании. Какие компетенции они предоставляют, кто основные клиенты? Насколько они востребованы, с учетом того, что ранее Европарламент принял резолюции, в которых рекомендуется не использовать продукты «Лаборатории» в странах Евросоюза ради «обеспечения безопасности»?

Е. Касперский: Действительно, в ноябре прошлого года в рамках своей глобальной инициативы по информационной открытости мы открыли в Швейцарии наш первый Центр прозрачности и центр обработки данных для европейских пользователей. Сама инициатива – масштабный проект компании, который мы анонсировали еще в октябре 2017 года. Он нацелен на то, чтобы сделать все наши процессы еще более прозрачными для текущих и будущих клиентов и широкой общественности.

В финансовых структурах распространен целевой фишинг – атака на конкретных, нужных людей в компании или банке

В Центре прозрачности мы предлагаем доверенным партнерам и представителям правительственных организаций возможность проверить исходный код продуктов компании и его обновления. Работа Центра только началась, но мы уже успели получить позитивный фидбэк от европейских чиновников и наших клиентов. В 2019 году мы планируем открытие еще двух центров прозрачности – в Европе и Азии. Считаю, что подобные шаги – это только начало как для компании, так и для индустрии в целом. Уверен, что необходимость подтверждать надежность продуктов скоро станет отраслевым стандартом.

Что касается резолюций Европарламента, они носили рекомендательный характер. Клиенты остаются верны нам, несмотря на эти необоснованные рекомендации. Это показывают и наши финансовые результаты за 2018 год. В Европе рост продаж «Лаборатории Касперского» составил 6%. Нас публично поддерживают многие европейские чиновники, включая главу французского Национального агентства безопасности информационных систем (ANSSI) и представителя Федерального управления по информационной безопасности Германии (BSI). Кампания против нас – это скорее геополитические игры, а не реальные обвинения, построенные на технических доказательствах.

ПЛАС: В 2017 году компьютерные системы по всему миру несколько раз подвергались атакам вредоносных программ-вымогателей, наиболее известные из которых – сетевые черви WannaCry и Petya. Чем был обусловлен этот всплеск? Почему данный вид кибератак, показавших себя более чем успешными, мы не наблюдаем сегодня?

Е. Касперский: Пожалуй, WannaCry и ExPetr (как мы его называем) действительно были самыми громкими и масштабными атаками такого рода. В 2018 году мы наблюдали снижение популярности программ-шифровальщиков. Но вымогатели никуда не исчезли и остаются очень эффективным методом монетизации заражения. Они эволюционируют, становясь все опаснее. А защищаться от них, соответственно, становится все сложнее.

Для нас стремление быть среди лучших игроков на рынке – постоянный источник мотивации для развития

Мы наблюдаем рост атак троянцев-вымогателей на бизнес-сектор. Киберпреступники знают, что шансы получить выкуп от компании гораздо выше: как правило, заблокированные данные являются конфиденциальными и важными для непрерывности бизнес-процессов. Кроме того, иногда дешевле заплатить выкуп, чем восстанавливать данные. В 2018 году ярким примером нового типа вымогателей был жадный и технически сложный шифровальщик SynAck.

Для борьбы с троянцами-шифровальщиками еще в 2016 году мы вместе с Европолом, полицией Нидерландов и McAfee запустили совместный проект No More Ransom. За три прошедших года к проекту присоединились уже более ста организаций – как частных, так и государственных, включая правоохранительные органы нескольких десятков стран. Количество бесплатных утилит для расшифровки файлов, попорченных шифровальщиками, увеличилось почти в десять раз. Эти утилиты помогли вернуть файлы на десятки тысяч устройств, суммарно сэкономив миллионы долларов их владельцам.

ПЛАС: Около 80% киберпреступлений в России сегодня приходится на так называемую социальную инженерию. Чем это обусловлено? Какие меры безопасности должны предпринимать пользователи и компании, предоставляющие дистанционные сервисы? Несмотря на то, что популярность фишинга за последние годы упала, проблема по-прежнему остается актуальной. Насколько быстра сегодня реакция банков на такого рода угрозы?

Е. Касперский: Социальная инженерия действительно остается одним из основных инструментов в арсенале киберпреступников. Их цель проста – вызвать у жертвы любопытство, заставить кликнуть на ссылку, открыть вложение, скачать файл. В ближайшее время фишинг будет лишь совершенствоваться за счет массовых утечек данных из соцсетей – это золотая жила для киберпреступников.

Мы продолжаем работать в США, за исключением госсектора, который, кстати, за 2016 год оценивался всего в 54 тыс. долларов

В финансовых структурах распространен целевой фишинг – атака на конкретных, нужных людей в компании или банке. Это самый успешный вектор заражения, и мы полагаем, что в ближайшем будущем он станет еще более популярным. Киберпреступники специально собирают информацию о жертве, чтобы сделать свое послание убедительнее. Качественно сделанное фишинговое письмо зачастую очень трудно отличить от вполне легитимного, не преследующего зловредных целей. Обычные мелкие мошенники не пользуются этим видом фишинга – они пытаются распространять свои кампании максимально широко. На то, чтобы затачивать каждое письмо под его получателя, у них не хватает времени, ресурсов, да и «профессионального» класса работы. Целевой фишинг – инструмент серьезных атак на крупные предприятия, банки или известных людей. Им пользовались крупные APT-группировки вроде нашумевшего Carbanak.

Именно из-за большой популярности этого вида заражений важно регулярно проводить обучение сотрудников на самых разных уровнях, а не только специалистов по информационной безопасности. Практика показывает, что даже минимальные инвестиции в образовательные программы значительно повышают кибербезопасность компании.

ПЛАС: Как вы в целом оцениваете меры, предпринимаемые Банком России по противодействию кибермошенникам, в частности, обмен информацией, разделегирование сайтов и прочее? Нуждается ли российское законодательство в создании дополнительных рычагов для регулирования в сфере кибербезопасности?

Е. Касперский: Центральный банк ведет активную работу, которая позволяет избежать многих потерь. Важно, что финансовые организации благодаря усилиям ЦБ стали активнее сообщать об инцидентах, это позволяет оперативно реагировать на действия злоумышленников. Выстраивается эффективная система защиты с несколькими уровнями – чем их больше, тем меньше шансов у киберпреступников провести успешную атаку. Например, злоумышленники могут проникнуть во внутреннюю инфраструктуру банка, но у них может не получиться вывести деньги, и т. д. Поэтому банки комплексно подходят к обеспечению безопасности – от технических средств до обучения персонала.

Главное, чтобы эта информация была максимально полной и достоверной!

Для предотвращения киберпреступлений крайне важно развивать международное сотрудничество правоохранительных органов. Интернет – это глобальная сеть. Злоумышленники могут физически находиться в одной стране, а атаковать банки в другой, поэтому для привлечения их к ответственности требуется совместная работа правоохранительных органов нескольких стран.

ПЛАС: Как сказывается появление и развитие криптоиндустрии на борьбе с киберпреступниками? С одной стороны, бытует мнение, что криптовалюты служат средством расчета в среде злоумышленников, с другой – майнинг оттянул на себя часть аудитории, которая раньше занималась преступной деятельностью в киберсреде. Ваше мнение?

Е. Касперский: За последнее время криптовалюта вошла в жизнь многих людей и стала привлекательной мишенью для киберпреступников по всему миру. На пике популярности криптоиндустрии увеличилось и количество атак на нее. Наиболее креативной была атака AppleJeus, нацеленная на трейдеров криптовалюты. Злоумышленники создали специальное ПО, которое выглядело абсолютно безвредно и обладало вполне полезными функциями, но в определенный момент программа загружала апдейт, который на поверку оказался бэкдором.

Наблюдается рост атак троянцев-вымогателей на бизнес-сектор – шансы получить выкуп от компании гораздо выше

Падение курса криптовалюты во второй половине прошлого года привело к резкому снижению потребительского интереса, уменьшилась и активность киберпреступников. Наши эксперты ожидают, что популярность криптовалюты будет уменьшаться и дальше. Курсы постепенно выровняются в соответствии с их популярностью.

Кстати, майнинг как раз-таки остается в сфере интересов киберпреступников – вредоносный майнинг криптовалюты в какой-то момент даже стал преобладать над вымогательствами, которые мы уже обсудили. Вычислительные мощности жертвы используются для обогащения злоумышленников.

Еще один возможный метод эксплуатации популярности криптовалютного рынка – внедрение бэкдоров для сбора информации или получения выгоды в проекты криптовалют.

ПЛАС: Каким вам видится портрет современного кибермошенника? Какие конкретные хакерские группировки из известных на сегодняшний день вы считаете наиболее опасными? Как будет развиваться ситуация в сфере кибербезопасности в перспективе ближайших 3–5 лет?

Е. Касперский: Мы знаем о более чем 100 продвинутых хакерских группах, занимающихся целевыми атаками во всем мире. Из них большая часть практикует государственный шпионаж, и буквально несколько – атаки на финансовые учреждения. Но ущерб от каждой такой атаки может быть очень значительным.

Атаки на финансовый сектор уже показали невероятную динамику роста, и мы не видим предпосылок для его уменьшения

Самой активной группой 2018 года оказалась Bluenorof/Lazarus, ее участники постепенно расширяют арсенал средств и выбирают все новые цели. В зону их интересов сегодня входят банки, финтех-компании, криптовалютные биржи, сети POS-терминалов, инфраструктура ATM. Что касается географии – мы регистрировали попытки проникновения в десятках стран, большая часть которых расположена в Азии, Африке и в Латинской Америке.

В заключение нашей беседы – несколько слов о прогнозах для финансового сектора. Атаки на него уже показали невероятную динамику роста, и мы не видим предпосылок для его уменьшения. После ареста членов крупнейших хакерских группировок, действующих на этом фронте, – Carbanak и Fin7 – криминальные сообщества начали дробиться. В итоге атаки участились, а география потенциальных жертв расширилась. Исследователи также наблюдают уменьшение количества атак на POS-системы. Часть злоумышленников переключилась на системы приема онлайн-платежей, так как результаты нападения в этом случае легче монетизировать. Наиболее тревожные перспективы ожидают пользователей систем мобильного банкинга: за год мы зарегистрировали 144 тыс. специализированных зловредов, и эта армия, по наблюдениям, продолжает расти.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных