Борис Шаров: не доверяйте ничему, что вам приходит из интернета

21

© Фото : «Доктор Веб»

Чаще всего губит людей в интернете не техника, не вредоносные программы, а элементарная социальная инженерия, уверен глава одной из ведущих российских компаний-разработчиков антивирусного обеспечения «Доктор Веб» Борис Шаров. В интервью РИА Новости он рассказал, как вирусы-троянцы обманывают системы защиты компаний, почему киберпреступники предпочитают не «кошмарить» госорганы, реально ли определить атакующую страну, почему выражение «русские хакеры» стало идиомой, и безопасны ли VPN-сервисы. Беседовала Дария Ермошина.

– Увеличилась ли нагрузка на специалистов по информбезопасности за время пандемии?

– Поскольку мы работаем с компьютерными вирусами, а не с обычными, нагрузка у нас не возросла. Мы все время живем в условиях очень плотной занятости тех, кто обрабатывает входящий поток вредоносного кода. Использующие этот вредоносный код, как и до пандемии, ориентируются на события, которые занимают умы людей. И в этом смысле пандемия просто встала в очередь со всеми другими событиями. Конечно, было много моментов, связанных с различными социальными явлениями, которые возникли в связи с всеобщим карантином. В целом вектор атак хакеров определенно весьма существенно изменился, но сказать, что у нас безумно возросла нагрузка, мы не можем.

– Как пандемия повлияла на поведение хакеров? Появились ли новые мошеннические схемы, связанные с массовой изоляцией и переходом на удаленный формат работы?

– Нет, мы не можем сказать, что появилось что-то, чего мы не видели. Но очень заметным для нас стало следующее явление: всем известные троянцы-шифровальщики, вымогатели, которые уже давно являются одной из главных головных болей для всей IT-индустрии, стали все больше тревожить пользователей – одно за другим пошли обращения. Мы выяснили, что рост объясняется исключительно фактами взлома компьютерной сети, иначе говоря, взломом удаленного доступа к компаниям, которым явно не хватало навыков безопасности. После взлома нормально работавший антивирус «сносился» с компьютеров, они становились незащищенными. Формально компьютеры страдали от вымогателей просто потому, что антивируса к тому времени на компьютере уже не было.

Вывод людей на удаленку, организация работы вне офисов, которые традиционно были защищенными, неминуемо привел к тому, что атаки стали использовать бреши именно в модели удаленной работы. Причем и в малом, и в среднем, и в очень крупном бизнесе.

– То есть получается, что самый вредоносный разрушительный тип ПО – это троянцы-шифровальщики, про которых вы говорите?

– Безусловно, они разрушают компьютерную инфраструктуру, повреждают базы данных, на которых строится работа организаций, делают недоступными все деловые файлы из разряда офисных документов. Ломают практически все, иногда – фатально, компания в течение долгого времени после этого не может начать работать. Это следствие недостаточного внимания к сохранению собственных данных.

Но даже бэкапы (сохранение копий исходных данных – ред.) иногда не спасают, потому что злоумышленники подстраиваются под защищенные бэкапами компании. Хакеры стараются сделать так, чтобы шифровальщики вместе с бэкапами уходили в резервные файлы, чтобы потом, когда эти файлы восстанавливали, вредоносные программы снова могли начинать свою работу.

В последние годы, не могу связать это с пандемией, массовое заражение компьютеров людей и компаний путем всяких спам-рассылок начинает потихонечку уступать место более целевым атакам. В этом случае выбирается жертва, тщательно изучается весь ее бизнес и учитывается, как ключевые моменты бизнеса завязаны на IT-инфраструктуру.

А затем наносятся удары, которые выводят компанию из нормального рабочего состояния. Атака длится некоторое время, сначала имея абсолютно невинные формы, люди мало обращают на это внимания. А потом они попадают в роль жертвы и ничего не могут сделать – их заставляют платить очень большие деньги, многомиллионные выкупы. Причем выкупы стали двух видов – один за восстановление данных, другой за отсутствие публикации этих данных на открытых ресурсах.

– Хакеры скорее заинтересованы в частных крупных компаниях или в госсекторе?

– Если говорить про вымогателей – это всегда обычная жажда наживы, попытка заставить людей расстаться с деньгами. Делается это при помощи шантажа.

Атаковать государственные организации для многих хакеров менее перспективно. Во-первых, они рискуют нарваться на силы, которые их быстро вычислят и нанесут очень чувствительный удар, а с другой стороны, не факт, что с тобой расплатятся – в некоторых государствах выплата выкупа стоит под уголовным запретом, фактически это финансирование преступности.

«Кошмарить» государственные органы разрушением информации для киберпреступников мало резона, в основном их интересуют данные, которые можно похитить – в этом случае никакого разрушения не происходит. Они могут сделать это для вида, так сказать, напоследок, в качестве прощального привета. Но в основном это просто тихое незаметное хищение данных, выявление всех процессов, которые в государственных органах происходят.

– Можно ли точно определить страну происхождения атаки? Преступники же оставляют какие-то «хлебные крошки».

– Есть огромное количество очень забавных и интересных историй, как вычисляли тех или иных киберпреступников. Но обычно путь к вычислению личности длинный и извилистый. В случае атак, которые нам удавалось расследовать, все следственные действия до ареста людей занимали не меньше двух лет.

Очень забавно, как американские или европейские СМИ буквально за один-два дня выявляют источник атаки и говорят, например, что это были «русские хакеры». Называются разные группировки, на слуху одни и те же организации. Это уже становится просто смешно – это ведь игра на публику, создание фона. Многократное повторение одного и того же приводит к тому, что у людей перестают работать аналитические функции. Они перестают задумываться: а кто на самом деле там был? Все считают, что это русские хакеры, и правда уже никого не волнует. Людей не волнует, что русские хакеры – это почти всегда русскоязычные преступники, которые говорят на русском, но не обязательно из России. Их можно найти в большом ряде государств: часть стран находится в Евросоюзе, часть – в Азии и так далее. Хорошие специалисты, если есть необходимость, всегда смогут представить ту или иную атаку исходящей из любой нужной страны.

– Поскольку мы затронули международную тему, «Доктор Веб» присутствует в других странах?

– Да, наши продукты продаются в 106 странах, дочерние компании у нас есть в пяти странах – Украина, Казахстан, Франция, Германия и Япония. За пределами этих стран были случаи, когда, например, мы активно занимались расшифровкой данных, пострадавших от вымогателей. К нам обращались государственные заказчики ряда европейских стран, и мы с ними сотрудничали, чтобы предоставлять расшифровку всем гражданам этих стран.

– Планируете ли увеличивать долю на международном рынке?

– Мы, конечно, все время хотим увеличивать долю, но делать это нужно будет только тогда, когда будет необходимый человеческий ресурс. В Японии, например, у нас получается довольно неплохо повышать уровень продаж.

Если же говорить про долю на глобальном рынке – поди ее вычисли. Мы знаем, что мы не самый большой игрок на этом рынке, но при этом стараемся делать так, чтобы там, где мы можем выйти в лидеры, сделать это.

– Повлияли ли санкции, в частности со стороны США, на вашу деятельность? Насколько они мешают?

– Санкции очень сильно изменили наши взгляды на российские компании, которые неожиданно объявили, что они, к примеру, не будут работать в Крыму. Это был самый большой удар – не экономический, а психологический. Мы совершенно не замечаем санкции в той же Франции и Японии, а наши родные российские компании нам заявляют, что они туда (в Крым – ред.) продавать не будут и там они не действуют.

В целом, поскольку мы никогда не стремились в США или в англосаксонскую зону, этих санкций мы не почувствовали. Но еще под санкциями мы находимся на Украине, это как бы «клон» американских санкций, там тоже никакого объяснения нам не дают. Просто – «вы под санкциями», и все. Причем в свое время мы даже наблюдали такую вещь, как взрывной рост продаж наших продуктов после того, как мы попали под санкции.

– Кто покупал?

– Малый и средний бизнес. То есть мы ушли из государственного сектора – точнее, нас вытолкнули оттуда, но мы сразу же переориентировались на работу с малым и средним бизнесом. И мы увидели, что нас там совершенно нормально принимают.

– В целом за программными решениями к вам обращаются скорее физические лица, частные компании или госструктуры?

– По количеству клиентов, безусловно, всегда больше физических лиц. Но денег они приносят всегда меньше. Порядка 80% нашей выручки приносит корпоративный сегмент и государство.

– Есть ли у вас потребность в привлечении капитала?

– Нет. И в последнее время предложения нас профинансировать стали поступать реже. Но мы всегда существовали только на свои деньги, никогда ничего не привлекали и привлекать в настоящее время не планируем. Прежде всего потому, что это не даст нам самого главного – человеческих ресурсов. А слияния и поглощения, приобретения как-то в наш бизнес не вписываются.

– То есть вам неинтересно приобретение активов на рынке?

– Нет. Я не исключаю покупку стартапов, но пока этого нам не доводилось делать. Вообще, мы смотрим, как рынок продуктов в сфере безопасности в мире в целом трансформируется в сложную маркетинговую конструкцию. И продукты, которые были на слуху, оказались куплены, причем самыми неожиданными игроками.

– В каких возможных направлениях дальше вы планируете развитие своих продуктов, может быть какой-то новый сектор?

– Развитие всегда обусловлено теми потребностями, которые существуют на рынке. Соответственно, в настоящее время глобальная потребность номер один – опознать и нейтрализовать вредоносный код до того, как он попадет к экспертам по кибербезопасности для изучения, и до того, как он нанесет ущерб внутри системы, которую защищает ПО.

– Сейчас есть тенденция использования биометрических данных практически повсеместно. Какие угрозы в связи с этим вы видите?

– Угрозы все те же самые. Давайте так: каждому человеку хочется быть уникальным, но мало у кого получается. Почему: допустим, когда вы защищаете свой почтовый аккаунт, у вас одна линия защиты – сам пароль. Когда этот пароль – «12345», вы фактически своей личностью в щадящей манере делитесь с кем-то еще. И таких людей – огромное количество. Если вы чуть усложните пароль, это количество снизится, но останется большим.

Понимая это, была введена двухфакторная аутентификация. Возможностей поделиться своей личностью стало меньше. Заходя на сайт «Госуслуг» и включая двухфакторную аутентификацию, вы уже знаете, что если ваш телефон у вас в руках, то посторонний человек не украдет ваши данные. По сути, это прототип биометрии. Какая разница: восемь букв и цифр, подтвержденных вами по смс, или же набор данных, который однозначно идентифицирует вас. В нашем понимании, разницы мало.

– Из-за блокировок различных интернет-ресурсов в последние годы возросла популярность VPN-сервисов. Может ли использование VPN угрожать безопасности пользователя?

– VPN-сервис – очень многогранная вещь, которая в целом является средством безопасности. Но это палка о двух концах. Например, когда мы работаем на удаленке и по VPN-каналу заходим на корпоративный сервер – такое соединение, в принципе, безопасно. Но когда мы говорим о VPN как о средстве выхода на те ресурсы, которые нам недоступны, нужно понимать: другой конец абсолютно не безопасный. Он небезопасен по определению, потому что вы не знаете, где он, кому он принадлежит. В данном случае вы игнорируете запрет, введенный государством, и отдаете всего себя тем, кто владеет VPN-сервером, который вам обеспечивает якобы безопасное соединение. И на этом разговор о безопасности VPN можно заканчивать.

– Установка антивируса – тоже не панацея? Вообще, какие вы можете дать советы для безопасного пребывания в интернете?

– Как себя уберечь – это вечный вопрос. Антивирус должен быть, к нему надо относиться как к некоему неизбежному, обязательному элементу жизни в киберпространстве.

Дальше, в принципе, рекомендаций можно наговорить на три тома, но все они достаточно бесполезны, потому что их и так все более-менее знают. Но могу назвать такое правило: не доверяйте ничему, никакой информации, которая вам приходит из интернета. Сейчас людей губит не техника, не вредоносные программы, а обычная элементарная социальная инженерия. Это бытовое мошенничество, когда вас обманом побуждают что-то сделать: скачать и установить что-то, предоставить доступ, дать информацию о своих банковских счетах и так далее. Это преступления, которые идут с помощью коммуникационных технологий – не внутри этих технологий, а при помощи. Вы теряете визуальный контакт с собеседником, не понимаете, кто он, и мошенник этим пользуется. Если вы не будете ничему верить – вы будете защищенным. Но такой совет давать сложно.

Источник: ria.ru