Вячеслав Касимов: «Защита баз, которые сейчас собираются для пропусков, должна быть одной из приоритетных задач»
По его мнению, проблема может возникнуть в аккуратности реализации сбора данных на программном уровне
Директор департамента информационной безопасности МКБ Вячеслав Касимов рассказал, в чем опасность перехода сотрудников на удаленку, как защитить бизнес от киберзлоумышленников и что будет с данными россиян, которые собирают из-за пандемии коронавируса.
Это интервью мы записываем, как того и требует время, в дистанционном формате, потому что сейчас весь бизнес, который может, по-максимуму перевел свою работу на удаленку. Но, помимо плюсов, которые некоторые предприниматели для себя подчеркивают, в этом есть определенные риски — риски перевода сотрудников на удаленку. По вашим оценкам, кто максимально находится под ударом и чего стоит опасаться при переводе работы на дистанционный формат?
Вячеслав Касимов: Под ударом находятся на самом деле все организации. Потому что у всех организаций есть счета, на счетах есть какие-то деньги, и хотя бы сам факт наличия этих счетов уже может быть целью для злоумышленников. А целью могут быть не только те компьютеры, на которых установлена система дистанционного банковского обслуживания. В этом случае еще надо подумать, каким образом обезопасить себя от того, что данные могут быть скопированы на локальный компьютер либо собственным работником, либо каким-то злоумышленником, который действует от имени собственного работника. И, соответственно, могут быть какие-то репутационные или фактические потери в зависимости от профиля бизнеса.
Как защитить бизнес от недобросовестных сотрудников и от злоумышленников, которые проникают в удаленную машину незаметно для пользователя?
Вячеслав Касимов: В первую очередь необходимо реализовать корректную двухфакторную аутентификацию. По сути, сделать некоторый шлюз удаленного доступа. Можно это сделать в том числе на Open Sourсe — решениях для того, чтобы удостовериться, что подключающийся субъект — это действительно твой работник, твой пользователь. Во-вторую очередь, если использовать стандартный механизм RDP, который во всех рабочих станциях Windows можно задействовать, то там есть вполне четкие настройки, которые отключают буфер обмена, отключают использование локальных жестких дисков, отключают принтеры — все каналы, с помощью которых можно с рабочей станции, расположенной в организации, скопировать при помощи удаленного доступа ту информацию, которая туда каким-то образом попала. Либо в рамках действующих процессов, либо специально была скопирована из каких-то прикладных систем. Этого как базового уровня, который я могу порекомендовать всем, в общем-то, достаточно. И с точки зрения затрат это накладно, потому что требует выделения серверных мощностей для того, чтобы тот самый шлюз удаленного доступа, о котором я вначале говорил, реализовать.
Помимо бизнеса уязвимыми сейчас оказались и обычные граждане. Известно, что некто собирался собирать данные, обещая выдать код-пропуск москвичам. Появлялись данные о том, что кто-то публикует номера счетов якобы для оплаты штрафов. Что еще успели накреативить мошенники в сложившейся ситуации, какие примеры вам известны?
Вячеслав Касимов: Мне очень понравились два примера. Первый — достаточно известный, потому что он в интернете был много раз растиражирован. Это знаменитая СМС про решение ФСИН, где указано, что с человека нужно 4 тысячи рублей списать, чтобы штраф оплатить. «Перешлите, пожалуйста, вот на этот номер телефона одного из операторов сотовой связи деньги, иначе будем уголовно вас преследовать». А вторая вещь, которая мне очень понравилась, — это веб-сайт, который требовался для проверки наличия или отсутствия штрафов и пропусков с QR-кодом. Там были поля для того, чтобы вводить номер карты, СVV — это три цифры на обратной стороне карты, имя держателя карты и фамилию, и, соответственно, код, который в СМС придет. Понятно, что это никакая не проверка. Просто произошло бы банальное списание, если бы человек ввел туда свои данные. Здесь как обустроена социальная инженерия? Чем более шокирующие будут вводные, тем более яркую и эмоциональную реакцию они будут выдавать и больше вероятность того, что жертва поведется на мошенничество и свои деньги перечислит. Поэтому в самой социальной инженерии ничего нового нет, просто используются какие-то информационные поводы, которые более эмоциональные и яркие в моменте.
Но если говорить не о мошенничестве здесь и сейчас, а о том этапе, который может ему предшествовать. Не обязательно будет, но может. Так или иначе у нас сейчас создаются огромные базы данных россиян. Например, желающих оформить пропуск на работу или разовый пропуск на выезд из дома. И когда человек оставляет заявку на такой пропуск, то там и ФИО, и прописка, и место работы. Наверняка за такими базами начнется охота. Первое — кому прежде всего могут понадобиться эти базы: спамерам, мошенникам или реальному бизнесу, который захочет более таргетированно предлагать свои услуги, пусть и не очень честно?
Вячеслав Касимов: Наверное, реальному бизнесу это в меньшей степени интересно. Маловероятно, что реальный бизнес будет такими вещами заниматься, иначе они просто превратятся в тех же самых спамеров.
Да, но, тем не менее, каждый год, когда у меня заканчивается срок действия полиса ОСАГО, я не знаю, куда деться от шквала звонков от вполне реальных больших страховых компаний, которые атакуют меня невероятно. И информацию с моим номером телефона они тоже где-то взяли. Так что реальному бизнесу такие базы, видимо, очень даже нужны.
Вячеслав Касимов: Зависит от специфики бизнеса. Также спамерам это может быть интересно. Но наибольшая беда в сфере действительных мошенников, которые ориентированы на то, чтобы заняться социальной инженерией, а тем более что в этих базах есть очень много информации про человека. При социальной инженерии уже на первой фразе они скажут: «Здравствуйте, мы звоним из мэрии, управы, префектуры». При этом скажут человеку достаточно много информации про него так, чтобы он поверил, что ему действительно звонят из такой уважаемой и осведомленной организации. И поэтому защита тех баз, которые сейчас собираются, должна быть одной из приоритетных задач. И я очень надеюсь, что органы государственной муниципальной власти про это подумали и в спешке не забыли обеспечить защищенность систем.
В этой связи не могу не задать вопрос: насколько разумным вам кажется передача доступа к таким базам, например, таксистам.
Вячеслав Касимов: Зависит от реализации. Главное, организациям выдать такой интерфейс, когда они могут получать единичные данные по единичному человеку в очень ограниченном формате и с разрешения этого человека. Если эта концепция будет выполняться, то никакой беды в этом не будет.
Насколько я понимаю, нашего разрешения никто не спрашивает при передаче баз данных тем же службам такси. Здесь волнует судьба этих баз: одно дело, когда они в руках государственных структур, и другое дело, когда они в руках у каждого водителя такси.
Вячеслав Касимов: Повторюсь, что все зависит от реализации. Давайте себе представим, что тот же самый таксист соберет набор идентификаторов, которые будут являться не чем иным, как номерами пропусков. Он с ними сделать ничего не сможет. Но здесь же еще есть дополнительный момент о том, нет ли ошибок при реализации. Сами программисты, когда они пишут то или иное приложение, могут ошибиться, и приложение начнет выдавать намного больше информации, чем положено. И вот этого я на самом деле опасаюсь чуть больше. Учитывая, что все будет происходить в спешке, вероятность возникновения таких ошибок сильно повышается. Поэтому здесь скорее проблема может возникнуть в аккуратности реализации. Поверьте мне, злоумышленники обладают достаточными компетенциями для того, чтобы этим воспользоваться.
Гигиена должна быть еще и цифровая.
Вячеслав Касимов: Совершенно верно.
Какой совет можно дать в этой связи?
Вячеслав Касимов: Будьте, пожалуйста, внимательны и не верьте тем, кто вам пишет, звонит и что-то предлагает. Валидируйте эту информацию через банки, через те организации, которыми представляются звонящие.