Международное реагирование на киберинциденты

На конференции RSA 2021 группа экспертов обсудила необходимость укрепления сотрудничества в борьбе с киберпреступностью.

Мы живем в цифровую эпоху, когда преступники быстро приспосабливаются к изменениям. NotPetya нанес ущерб многим крупным компаниям по всему миру, Sony Pictures подверглась хакерской атаке в отместку за фильм, который кому-то показался оскорбительным, а совсем недавно Colonial Pipeline была атакована с использованием программ-вымогателей. С такими преступлениями трудно справиться компаниям, правоохранительным органам и регуляторам любой страны. В Интернете границы ничего не значат. Атаки могут исходить из одного государства, а поражать цели в нескольких, поэтому определить пределы юрисдикции порой затруднительно.

Как же решить эту проблему? Короткий ответ: общаться, много общаться и сотрудничать друг с другом. Как бы банально это ни звучало.

На конференции RSA 2021 состоялась дискуссия по этой теме под названием Ticking ‘Cyber Bomb’: Is There a Global Response to Fix Value-Chain Risks?. В ней приняли участие Крейг Джонс (Craig Jones), директор Интерпола по борьбе с киберпреступностью, Йон А. Фанзун (Jon A. Fanzun), спецпредставитель Федерального департамента иностранных дел (FDFA) Швейцарии по иностранным киберпреступлениям и политике безопасности и Серж Дроз (Serge Droz), председатель FIRST (Форума подразделений безопасности и реагирования на инциденты). Модератором выступила Анастасия Казакова, старший менеджер «Лаборатории Касперского» по связям с общественностью. Группа обсудила конкретные проблемы и обрисовала возможные элементы схемы глобального реагирования, которая сделала бы мир безопаснее.

Не вызывает сомнений, что укрепление международного сотрудничества и интенсификация обмена информацией об угрозах и рисках, связанных с кибербезопасностью, выгодны всем. Однако проблема в том, что в современном мире юрисдикции привязаны к границам государств. С этой проблемой сталкиваются правоохранительные органы всех стран, чего, к сожалению, нельзя сказать о преступниках.

«Киберпреступники любят принцип «разделяй и властвуй»: пока мы разобщены, у них дела идут отлично. Вот почему главная проблема, которая гораздо серьезнее любых технических и которую необходимо решить, — это наше общее эффективное сотрудничество», — сказал Серж.

И хотя эта цитата может показаться удручающей, международное сотрудничество все-таки расширяется. Частные организации, группы CERT, правоохранительные органы и правительства начинают работать вместе, чтобы помочь жертвам атак. Один из таких примеров — проект No More Ransom, который помогает жертвам программ-вымогателей расшифровать файлы без уплаты выкупа.

Недавно в даркнете на международном уровне было закрыто множество платформ, распространявших контент с сексуальным насилием над детьми. Это удалось сделать только благодаря сотрудничеству между Европолом, Федеральным ведомством уголовной полиции Германии, полицией Нидерландов и Швеции, Австралийским центром по борьбе с эксплуатацией детей, Федеральной полицией Австралии, Полицейской службой Квинсленда, ФБР и Иммиграционной и таможенной полицией (США), а также Королевской канадской конной полицией.

Такие примеры внушают оптимизм, но нам нужно делать больше. В частности, необходимо, чтобы организации пришли к единому мнению относительно формата сотрудничества и взглядов на киберпреступность. Кроме того, мы должны укрепить доверие между группами заинтересованных сторон и странами, чтобы стимулировать более широкий обмен информацией.

«Лаборатория Касперского» считает, что сотрудничество должно быть трехэтапным процессом, позволяющим предотвращать атаки на критически важную инфраструктуру и вовремя реагировать на них.

  1. В каждой стране должны существовать национальные контактные центры (National Points of Contact), которые в случае инцидента будут в первую очередь содействовать координации со всеми затронутыми сторонами в своей стране, а также организовывать учения по кибербезопасности и разрабатывать международные процедуры, инструменты и шаблоны взаимодействия (например, для оценки инцидентов, запросов о помощи или процедур ответственного обмена информацией об уязвимостях).
  2. В случае инцидента подобные центры могли бы связать атакованную организацию с разработчиком используемого в ней уязвимого программного обеспечения, а также с компанией по кибербезопасности и группами CERT как атакованной страны, так и страны разработчика ПО.
  3. Затем контактные центры могли бы оперативно обмениваться информацией об угрозе, а также координировать анализ ее вредоносного кода, чтобы как можно быстрее устранить инцидент.

Будем надеяться, что благодаря развитию сотрудничества поводов для оптимизма скоро станет больше.

Советы

Защищаем защиту дома

Уберечь свой дом от ограблений, пожаров и прочих инцидентов часто предлагают с помощью умной техники, в первую очередь камер. Но при этом забывают обезопасить от враждебного воздействия сами системы защиты. Мы восполним этот пробел.