ь в том, что не каждый из них требует установки дорогого нового оборудования. В конце концов, как мы узнали из истории Love Bug, хакеры с самого начала использовали людей, сидящих за компьютерами. Если мы хотим победить киберпреступность, нам необходимо не только обновлять компьютеры, но и пересматривать свой подход к делу.
Первый и самый важный шаг, надеюсь, очевиден для каждого, кто прочел эту книгу: будьте очень осторожны при получении электронных писем.
Как ни печально, фишинговые письма снова и снова открывают киберпреступникам путь внутрь различных систем. Иногда хакеры отправляют фальшивое сообщение со ссылкой на смену пароля председателю предвыборной кампании Хиллари Клинтон, а иногда убеждают сотни тысяч людей открыть вложенное в сообщение «любовное письмо», но почтовый спам остается главным вектором распространения вирусов. Нам пора отказаться от нелепой мысли о том, что наши интернет-провайдеры, почтовые серверы и отделы технической поддержки в состоянии защитить нашу почту. Никакая фильтрация не перехватит все вредоносные вложения, а чтобы заразить компьютер, достаточно и одного клика мышкой. За дивный новый мир с круглосуточным доступом в интернет приходится платить – теперь каждый из нас должен быть настороже.
Возможно, нам стоит поучиться этому у бизнеса. Специалисты по кибербезопасности оценивают «подготовленность» и «устойчивость» различных компаний к атакам. Что же нужно делать простому человеку с улицы? Обновлять программное обеспечение, использовать надежные пароли и регулярно создавать бэкапы (и хранить их в безопасном месте без подключения к интернету). В этом нет ничего сложного, но все перечисленные шаги позволят вам не стать легкой добычей, которую так любят хакеры. Кроме того, они помогут вам снова встать на ноги, если все же случится худшее.
Организациям придется признать, что традиционная оценка рисков больше не работает. В былые времена можно было оценить привлекательность компании для злоумышленников и предположить, какие данные они попытаются украсть на основе их ценности. Но теперь, когда происходит сближение хакерских тактик, делать такие оценки становится все сложнее. Как мы узнали, государства периодически используют инструменты для массового хакинга без выбора конкретных жертв, хотя и не нацелены на получение прибыли. Хактивисты иногда устраивают взломы забавы ради и крадут все, что попадется под руку. В связи с этим все сложнее становится оценить риск оказаться жертвой взлома (например, в NHS до атаки WannaCry его явно считали небольшим).
В таких условиях компаниям полезно держать в штате и команду «если», и команду «когда». Первая работает с установкой на предотвращение атак и старается обеспечить безопасность организации, выявляя конфиденциальные данные и критически важные системы и изучая, где именно они находятся и насколько хорошо они защищены. В частности, именно эта команда должна рассказывать сотрудникам компании об опасностях фишинговых писем, слабых паролей и тому подобных вещей. (На мой взгляд, в этой работе слишком часто прибегают к кнуту вместо пряника – я подозреваю, что большинство сотрудников было бы радо получить бутылку шампанского за использование самого надежного пароля, вместо того чтобы проходить онлайн-курс, попавшись на крючок при получении тестового фишингового письма.)
Команда «когда», напротив, должна исходить из мысли, что атака уже произошла: какие данные в худшем случае украдет хакер? каков худший сценарий их применения? как сообщить о случившемся клиентам? а надзорным органам? а персоналу? (Особенно если под удар среди прочего попала корпоративная электронная почта.) Как компания будет возвращаться к нормальной работе, если случится худшее, и сколько времени это займет?
В первой команде должно быть больше технарей, а во второй нужны пиарщики и юристы. Но очень важно, чтобы команды работали слаженно: например, одна из серьезных проблем при взломе TalkTalk в октябре 2015 года возникла из-за того, что пиарщики компании решили отправить генерального директора к журналистам, не предоставив ему достаточно информации от айтишников. Если бы компания быстрее оценила масштаб атаки, об этом, вероятно, и не стали бы трубить в новостях.
Даже без значительных вложений в обеспечение кибербезопасности простой анализ ситуаций «если» и «когда» может сполна окупиться при взломе. Например, по новым европейским законам о данных при оценке инцидента британский уполномоченный по информации учитывает, в какой степени организации принимали в расчет, где хранятся их важные данные, и какие внедряли меры, чтобы их защитить.
Прессе также следует серьезнее подходить к своей роли, не только делая освещение атак более полезным для обычных людей, но и добросовестнее используя украденную информацию, слитую неустановленными источниками с неясными мотивами. В эпоху массовых утечек данных и закулисных игр журналистам очень просто оказаться марионетками в руках хакеров. На первый взгляд сальные истории на основе утечек нередко кажутся легкой победой, но в долгосрочной перспективе они порой приводят к печальным последствиям – особенно если, как случилось при атаках на Демократическую партию США и Sony, в итоге выясняется, что пресса, по сути, оказалась инструментом в циничной манипулятивной игре суверенных государств.
На государственном уровне все всегда гораздо сложнее. Как бы нам ни хотелось в одночасье «запретить государственный хакинг», теперь мы понимаем, что продумать параметры такого запрета будет довольно нелегко. На самом деле в некоторых случаях правительству все равно понадобится без разрешения вторгаться в цифровую жизнь людей. Мы надеемся, что наши правительства будут пользоваться этой властью мудро и законно. Но поскольку нам почти наверняка не узнать, как именно они принимают решения, другие страны получают возможность обосновывать свои взломы точно так же.
Государства разрабатывают инструменты для хакерских атак, и существуют вполне оправданные опасения, связанные с тем, насколько надежно они хранятся. Например, вредоносная программа, которая легла в основу атаки WannaCry, была предположительно разработана американскими спецслужбами, а затем каким-то образом просочилась в интернет. В ней задействовались так называемые «уязвимости нулевого дня» в операционной системе Windows, о которых вообще-то стоило сообщить в компанию Microsoft, чтобы ошибки были исправлены, а пользователи – защищены, но их решили утаить, чтобы в будущем ими смогли воспользоваться государственные хакеры.
Теперь американское правительство, как сообщается, содержит внутреннюю клиринговую организацию, которая контролирует, какие государственные структуры используют эти мощные хакерские инструменты, и определяет, когда делать их доступными для публики[487]. Это кажется весьма разумным, и правительствам других стран стоит взять такой подход на вооружение.
Кроме того, можно ввести ограничения для растущего и необузданного рынка компаний, которые наживаются на уязвимостях нулевого дня. Становится все очевиднее, что некоторые из них лишь утверждают, что продают свой товар исключительно «законным» покупателям из государственного сектора, когда на самом деле это не так. Вместо этого критические уязвимости в приложениях и программах, которыми пользуются все, продаются тому, кто больше заплатит, а эти люди порой используют их в нечистоплотных делах, даже если работают в государственной организации.
Подобно тому как контролируется торговля оружием, под контроль можно взять и этот бизнес. Кое-кто скажет, что уязвимостями торгуют международные компании с непрозрачной корпоративной структурой, а потому регулировать их сложно. Но ведь их прибыли должны идти в какой-то банк. Кроме того, регулировать международную торговлю традиционным оружием тоже нелегко, и все же мы не оставляем попыток.
Разумеется, ничто из перечисленного не поставит на киберпреступности жирный крест. Наш богатый данными современный мир переполняют все более сложные взаимосвязанные технологии, и уязвимостей в них слишком много, чтобы мы могли покончить с хакингом раз и навсегда. В первом фильме о Годзилле, вышедшем на экраны в 1954 году, люди построили забор под напряжением, чтобы защититься от чудовища. Это не сработало тогда, и никакой забор не сработает и сейчас. Но, возможно, если мы усвоим уроки нескольких последних десятилетий, наше будущее станет немного безопаснее.
Дополнительная литература
Aiken, Mary. The Cyber Effect: A Pioneering Cyberpsychologist Explains How Human Behaviour Changes Online. London, 2017.
Проведенное психологом Мэри Айкен исследование онлайн-поведения, в котором анализируется, как мы ведем себя на новой территории цифрового пространства.
Bartlett, Jamie. The Dark Net. London, 2015. [Джейми Бартлетт. Подпольный интернет. Темная сторона мировой паутины. М., Эксмо, 2017.]
В своей книге Бартлетт не ограничивается узкоспециальными рамками «даркнета» и рассматривает различные маргинальные движения интернета, от политического экстремизма до индустрии порно.
Glenny, Misha. DarkMarket: How Hackers Became the New Mafia. London, 2012.
В этой основательной книге рассказывается о том, как в первом десятилетии нового тысячелетия произошло слияние хакинга и российских отраслей мошенничества с кредитными картами, а также рассматриваются их связи с мировой организованной преступностью.
Mitnick, Kevin. Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker. New York, 2012. [Кевин Митник, Вильям Саймон. Призрак в Сети. Мемуары величайшего хакера. М., Бомбора, 2024.]
Написанная человеком, который долгое время входил в составленный ФБР список самых разыскиваемых киберпреступников, эта поразительная книга повествует о деятельности Митника на заре эпохи компьютерного хакинга и показывает, как опасны люди, обладающие техническими знаниями и врожденным талантом эксплуатировать природу человека.