“Целевые хакерские атаки уже не тенденция – это реальность нашего времени. Я сам стал жертвой фишинга, в моем случае мне убытки возместили, но один известный в Германии банк потерял 5000 долларов”, – рассказал Bilderlings Pay на рижской конференции DSSITSEC германский консультант Ларс Хилс.
Ларс Хилс – соавтор теории воронки продаж (Sales Funnel) E-Business, которая выступает в качестве основы электронной коммерции для онлайн-торговцев в более чем 25 странах по 20 различным бизнес-вертикалям. Эта схема менеджмента продаж заключается в процессе перевода статуса покупателя из потенциального в покупателя, заплатившего деньги – и эта теория на практике принесла интернет-торговцам более миллиарда долларов.
Но статья эта – не о воронке продаж, а о рисках и вызовах электронной коммерции, которые видит Хилс.
Его клиенты варьируются от стартапов до глобальных брендов топ-500, таких как AXA, BNP Paribas, DHL, Ferrari, Gamigo, Microsoft, Nokia, Siemens, Singapore Airlines и др. Ларс является автором нескольких книг по кибербезопасности – теме, исследованию которой он посвящает последнее время.
Вполне ожидаемо на конференции DSSITSEC в Риге он выступил с научным докладом о киберпреступности и противостоянию этому явлению, включающему терроризм, незаконные финансовые операции и отмывание средств, в т. ч. с использованием криптовалют.
Тема – широкая, наверное, даже слишком обширная, закрытая и мало исследованная. По мнению Хилса, однако, в сфере финансовых технологий преступления скрыть сложнее, чем в случае скрытых сделок на уровне государств и геополитических союзов, где появляются политические мотивы и интересы.
– Вот статистика по фроду в 2016 году. Прямые, не скрываемые убытки частных предприятий в мире от киберпенетраций составили 3,5 миллиарда долларов США, рост за один год, по сравнению с 2015 годом, составил 1300%. От мошенничества пострадали 60% крупных предприятий, среди которых 70% предпочли заплатить выкуп. Увеличилось в разы число банкротств и в целом очень заметно повысилась техническая сложность киберпреступлений.
К 2022 году убытки от киберпреступлений составят триллион долларов. Риски можно минимизировать технически современными программными обеспечениями как файрволы Fortinet и Check Point, но полностью избежать угроз – невозможно. Будьте к этому готовы. Суммарная выручка кибермошенников только от выкупов в случае фишинговых и DDOS-атак, внедрения вирусов-шифровальщиков, составили 1 миллиард евро – очевидно, 2017 год покажет по итогам также очень большой рост.
Какие риски кибербезопасности, по вашему мнению, сегодня наиболее значительные?
– Очевидно, стоит обратить внимание на то, что хакерские атаки сегодня становятся адресными – вирус пишется под определенный заказ, например, конкретный банк. Нетаргетированные атаки также есть, но это менее эффективно с позиций потенциального успеха преступников. Риски растут глобально.
C 1 января 2018 года в Европейском союзе начнет действовать новая редакция Второй платежной директивы Еврокомиссии (Payment Services Directive 2), это прямые быстрые расчеты между банками, осуществляемые платежными сервисами, минуя банковские платежные системы. Мы видим, что сейчас основные атаки совершаются на банки, и я думаю, небанковские провайдеры финансовых транзакций будут менее интересны киберпреступникам, чем банки.
Карточные платежи защищены стандартом сертификации Master Card и Visa – PCI DSS, какие риски актуальны для банков, сертифицированных по этой программе?
– На уровне пользователей платежных карт здесь очень важна двухфакторная аутентификация, и стандарт PCI DSS обеспечивает защиту всей цепи прохождения денег – это надежный стандарт. Проблема в том, что существует ваш или мой личный опыт. Что происходит, когда ваш банк – на самом деле, конечно, это фишеры – присылает вам на электронную почту письмо с линком, по которому предлагается перейти? Целевые хакерские атаки на банки уже не тенденция – это реальность нашего времени.
Я сам стал жертвой фишинга, и в моем случае мне убытки возместили – но один известный в Германии банк потерял 5000 долларов. Меня направили на фишинговый сайт, я выполнил платеж. Да, я получил свои деньги назад, мне компенсировали убытки от фишинга – но проблема в том, что банк эти деньги потерял, потому что банки не печатают деньги. И банки теряют от адресных атак очень много, все больше и больше денег.
Что думаете о таргетированных атаках на другие финансовые институции, например, на провайдеров услуг онлайн-платежей?
– Да, конечно, риски есть у любых финансовых институций, все интересует преступников. Что мы можем сделать, чтобы сократить риски до минимума? Это зависит от того, какие технологии использует ваш банк или организация, какие у вас бэкапы, системы.
Можно говорить об особых территориальных рисках, откуда идут атаки чаще всего?
– Интернет не разрабатывался с учетом безопасности, это была закрытая непубличная система. Поэтому все меры безопасности, необходимые для коммерческих способов использования интернет-сети, основаны на исключительно уязвимой инфраструктуре.
Есть два фактора в западной культуре, которые можно отнести к основным факторам роста уязвимости в сетевой инфраструктуре: это – коммерциализация онлайн-пространства, и это – доступность для потребителей программного обеспечения и операционных систем, которые в основном отображают интерфейс между сотрудником и машиной. Когда программы потребительского класса используется для защиты и контроля чувствительной и критически важной инфраструктуры, уязвимости будут просто неизбежны.
