Президент российской секции Международной полицейской ассоциации генерал-лейтенант, доктор юридических наук, профессор, заслуженный юрист России Юрий Жданов рассказал "Российской газете" о тенденциях распространения и последствиях этой новой угрозы.
Юрий Николаевич, что это за новая напасть - киберпандемия? Это - реальная опасность или так, нечто из серии виртуальных страшилок, своего рода компьютерная игра?
Юрий Жданов: Увы, не игра. Киберпандемия столь же неизбежна, как и пандемия будущих заболеваний. К такому выводу приходят многие ведущие эксперты в сфере кибербезопасности. Сам термин "киберпандемия" родился не сейчас. Еще в 2016 году антивирусная лаборатория PandaLabs компании Panda Security опубликовала "белую книгу" о "киберпандемии" - компьютерных атаках в сфере здравоохранения. А пандемия коронавируса придала этому термину новое звучание.
В России знают об этом?
Юрий Жданов: Безусловно. Директор Департамента международной информационной безопасности МИД России Андрей Крутских в рамках онлайн-дискуссии клуба "Валдай" еще 7 апреля предупреждал, что по существу мы имеем дело с двумя пандемиями. Одна - это биопандемия, связанная с распространением коронавируса, гибнут люди, и сейчас это приоритетная тема. Но параллельно с ней углубляется и другая глобальная проблема, и она наверняка рукотворная. Это то, что он назвал киберпандемией. То есть возможность втягивания человечества в киберконфронтацию и даже кибервойну. Он пояснил, что проявлениями киберпандемии являются хакерство, кибертерроризм, кибервмешательство в частную жизнь и развитие государств. И это все - следствие развития негативных тенденций при совершенствовании кибертехнологий.
Сюда же Андрей Крутских отнес и то, что ряд государств провозглашают доктрины права на нанесение так называемых упреждающих киберударов даже по потенциальному противнику, когда ничья вина еще не доказана. Поэтому, по мнению дипломата, мы должны выработать не только единый язык терминологически, не только выработать общее понимание, но и общие стандарты безопасности. Нужно не опоздать с нахождением решений до того, как разразится очередной - на этот раз киберкризис.
А что, можем не успеть?
Юрий Жданов: Пока что все к этому идет. С начала марта в мире наблюдается беспрецедентный глобальный рост вредоносной киберактивности. Фишинговые атаки, направленные на кражу денег или секретов у работников домашнего офиса, более чем удвоились по сравнению с прошлым годом. А в некоторых местах они выросли в шесть раз. Было также предпринято несколько попыток кибератак на критически важные инфраструктуры, включая аэропорты, электросети, порты и объекты водоснабжения и канализации. Даже больницы, которые лечат пациентов с COVID-19, стали мишенью, и сама Всемирная организация здравоохранения сообщила о пятикратном увеличении количества атак на ее сети.
Наверное, и Россия не отстает…
Юрий Жданов: Лучше бы отставала. За январь - май общее количество преступлений в России, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, увеличилось в сравнении с тем же периодом прошлого года на 85,1 процента и превысило 180 тысяч. Количество преступлений, совершенных с использованием расчетных пластиковых карт, возросло в 4,7 раза - почти 64 тысячи, с использованием средств мобильной связи - вдвое, более 76,5 тысячи.
Самый большой рост, по данным Главного информационно-аналитического центра МВД России, - в Москве, Санкт-Петербурге, Московской, Калининградской, Новгородской, Ростовской областях, Республиках Ингушетия, Бурятия, Башкортостан, Еврейской АО.
Какие вирусы наиболее популярны у хакеров?
Юрий Жданов: В исследовании компании Check Point говорится, что злоумышленники в мае чаще всего рассылали россиянам банковские трояны, программы для заражения устройств и для скрытого майнинга криптовалют.
В России в мае самым активным был троян Emotet, атаковавший 7 процентов российских организаций. За ним следуют RigEK и XMRig с охватом 6 процентов каждый. Троян Emotet может рассылать фишинговые письма, содержащие вредоносные вложения или ссылки, RigEK содержит опасные программы для Internet Explorer, Flash, Java и Silverlight, а XMRig используется для майнинга криптовалюты Monero.
Топ-3 активных вредоносных ПО в мире в мае 2020 года: банковский троян Dridex, поражающий ОС Windows, - используется для перехвата персональных данных, а также данных банковских карт, Agent Tesla - используется для кражи паролей Wi-Fi и умеет получать учетные из Outlook с целевых ПК и XMRig. В мае 2020 года Dridex затронул 4 процента организаций во всем мире, XMRig и Agent Tesla - по 3 процента каждый.
Эксперты также обнаружили несколько вредоносных спам-кампаний, в ходе которых распространялся по электронной почте троян Ursnif, - нацелен на получение доступа к конфиденциальным данным почты и данным банковских аккаунтов. В мае он поднялся в рейтинге самых активных вредоносных ПО в мире с 19-го места до пятого.
И все же, количество атакованных компаний - 3, 4 и даже 7 процентов - как-то не очень убедительно для утверждения о глобальной угрозе.
Юрий Жданов: Есть и другие цифры. По данным аналитиков, за последние два года масштабы скрытого майнинга в мире увеличились более чем на 30 процентов. А 88 процентов опрошенных сказали, что помимо вирусов-майнеров они опасаются атак со стороны вымогателей, которые также резко активизировались в 2019 году.
Как работает скрытый майнинг?
Юрий Жданов: Есть и такое понятие - криптоджекинг. Специалисты так называют несанкционированное использование чужого устройства для добычи криптовалюты. Такими устройствами могут быть компьютеры, смартфоны или целая сеть вычислительного оборудования.
Хакеры внедряют вредоносное программное обеспечение, когда жертва устанавливает какое-либо приложение или посещает сайт в интернете. После поражения устройства вирус начинает использовать его вычислительные мощности для добычи монет.
Причем очень часто пользователь даже и не подозревает, что его компьютер или смартфон используется для скрытого майнинга. Однако человек сталкивается с проблемой резкого падения производительности своего устройства.
Но все-таки, при чем здесь киберпандемия?
Юрий Жданов: Эксперты Всемирного Экономического Форума Николас Дэвис и Алгирд Пипикэйт считают, и, по-моему, справедливо, что кибератака с характеристиками, аналогичными коронавирусу, будет распространяться быстрее и дальше, чем любой биологический вирус.
Они сравнили тенденции распространения. Так, коэффициент репродукции - или R0 - COVID-19 находится где-то между двумя и тремя без какого-либо социального дистанцирования, что означает, что каждый зараженный человек передает вирус паре других людей. Это число влияет на скорость распространения вируса. Число зараженных людей в штате Нью-Йорк удваивалось каждые три дня до закрытия.
Напротив, оценки R0 кибератак - 27 и выше. Один из самых быстрых червей в истории, червь Slammer / Sapphire 2003 года, удваивался примерно каждые 8,5 секунды, распространяясь на более чем 75 000 зараженных устройств за 10 минут и 10,8 миллиона устройств за 24 часа. Атака WannaCry 2017 года использовала уязвимость в старых системах Windows, чтобы нанести ущерб более чем 200 000 компьютеров в 150 странах. Он был остановлен аварийными исправлениями и случайным обнаружением "выключателя убийства".
Получается, что кибератака становится неуправляемой и начинает жить своей жизнью?
Юрий Жданов: О чем и речь. Киберэквивалент COVID-19 был бы самораспространяющейся атакой с использованием одного или нескольких эксплойтов - программных кодов, использующих уязвимости, -"нулевого дня", методов, для которых еще не доступны специальные коды или сигнатуры антивирусного программного обеспечения. Скорее всего, он будет атаковать все устройства, работающие под одной операционной системой или приложением.
В общем, новое прочтение сценария "Терминатор".
Юрий Жданов: Да, нас ждет своеобразное "восстание машин". Так как атаки нулевого дня редко обнаруживаются сразу - Stuxnet использовал четыре отдельных эксплойта нулевого дня и скрывался в системах в течение 18 месяцев, прежде чем приступить к атаке - потребуется некоторое время, чтобы идентифицировать вирус и еще дольше, чтобы остановить его распространение. Если бы вектор был популярным приложением для социальных сетей, скажем, с 2 миллиардами пользователей, вирус с репродуктивной скоростью 20 смог бы за пять дней заразить более 1 миллиарда устройств.
Но это уже не просто кризис, а приближение к катастрофе.
Юрий Жданов: Может, и не катастрофа, но экономическое воздействие широко распространенного цифрового отключения будет такой же или даже больше, чем то, что мы наблюдаем в настоящее время.
Если бы Cyber-COVID отразил патологию нового коронавируса, 30 процентов зараженных систем были бы бессимптомными и распространяли бы вирус, а половина продолжала бы функционировать с сильно ухудшенной производительностью - цифровым эквивалентом того, чтобы быть в постели в течение недели. Между тем 15 процентов будут "стерты" с полной потерей данных, что потребует полной переустановки системы. Наконец, 5 процентов будут "замурованы", что сделает само устройство неработоспособным.
Конечный результат: миллионы устройств будут отключены в течение нескольких дней.
Единственный способ остановить распространение Сyber-COVID - это полностью отключить все уязвимые устройства друг от друга и от Интернета, чтобы избежать заражения. Весь мир может испытать киберблокировку, пока не будет разработана "цифровая вакцина". Все деловое общение и передача данных будут заблокированы. Социальный контакт будет ограничен людьми, с которыми можно связаться лично, по медной линии связи, по почте или по радио.
Один день без интернета обойдется миру более чем в 50 миллиардов долларов. А уже 21-дневная глобальная киберблокировка может стоить более 1 триллиона долларов.
Так, во время недавних австралийских лесных пожаров перебои в подаче электроэнергии и повреждение инфраструктуры мобильных телефонов позволили жителям заново оценить радиоприемники с батарейным питанием. Но если бы Сyber-COVID разорил страну, многие ли радиостанции все еще работали бы без цифровых систем записи и передачи? Смогут ли выстоять такие страны, как Норвегия, которая завершила переход на цифровое радио?
Но ведь со временем все можно восстановить.
Юрий Жданов: Такое восстановление после повсеместного разрушения цифровых систем будет чрезвычайно сложным. Замена только 5 процентов подключенных устройств в мире потребует около 71 миллиона новых устройств. Производители не смогут быстро наращивать производство для удовлетворения спроса, особенно если будут затронуты производственные и логистические системы. Опять же - цифровые. Для систем, которые выживут, возникнет существенное узкое место в исправлении и переустановке.
А географическая концентрация производства электроники создаст и другие проблемы. В 2018 году Китай произвел 90 процентов мобильных телефонов, 90 процентов компьютеров и 70 процентов телевизоров. Указание пальцем на источник и мотив кибератаки, а также конкуренцию за первенство в поставках неизбежно приведет к геополитической напряженности.
Можно ли противостоять киберпандемии или хотя бы к ней подготовиться?
Юрий Жданов: Распространенные системные кибератаки должны быть ожидаемыми. Как мы видели с COVID-19, даже небольшая задержка в ответе может наделать немало бед. Подобно тому, как COVID-19 подтолкнул людей и организации к поиску цифровых заменителей физического взаимодействия, правительственные и бизнес-лидеры должны подумать об обратном. "Цифровой откат" и планы обеспечения непрерывности необходимы для обеспечения, чтобы организации могли продолжать работать в случае внезапной потери цифровых инструментов и сетей.
Это стало понятно еще во время кибератаки NotPetya в 2017 году, когда было изъято 49 000 ноутбуков и принтеров и стерты все контакты с телефонов, синхронизированных с Outlook. Вот она, необходимая часть цифрового преобразования - хранение и доступ к конфиденциальной и важной информации в физической печатной форме.
Наверное, требуется качественно новый уровень международного сотрудничества?
Юрий Жданов: Это, можно сказать, азбучная истина. Еще в декабре 2019 года Генеральная Ассамблея ООН приняла резолюцию России по разработке новой международной конвенции для борьбы с киберпреступлениями.
Тогда же в своих выступлениях на Генассамблее представители МИД России подчеркивали, что Москва не противопоставляет свою инициативу уже существующей европейской (Будапештской) конвенции, а предлагает ее "как можно больше осовременить". Генассамблея постановила учредить специальный межправительственный комитет экспертов открытого состава, представляющий все регионы, для разработки всеобъемлющей международной конвенции о противодействии использованию информационно-коммуникационных технологий в преступных целях.
Значит, все в порядке, проблема решена, новый вызов встретим сообща и во всеоружии?
Юрий Жданов: К сожалению, несмотря на то, что решение Генассамблеей принято, его исполнение наталкивается на все нарастающее противодействие со стороны США и ряда европейских стран. Это противодействие сопряжено с оголтелой антироссийской кампанией в СМИ о "русских хакерах" и "русском кибервмешательстве во внутренние дела США и европейских стран". Бесконечные "сенсационные" доклады и статьи об этом в период борьбы с пандемией коронавируса буквально заполонили интернет. И уже сами стали фактором киберпандемии.
В этих условиях пока следует полагаться на национальные усилия и такие апробированные механизмы международного сотрудничества, как Интерпол.