Вытесненные коронавирусом из офисов на удаленку и затянутые им же в интернет граждане в 2020 году привлекли пристальное внимание кибермошенников. Но и сами не растерялись, начав сливать корпоративные данные, чтобы поправить финансовое положение. С дырами в общественной кибербезопасности обещает бороться государство, но для начала серьезность ситуации должна дойти до самих граждан и бизнеса.
Уходящий год войдет в историю если не как время четвертой промышленной революции, то как минимум как важная развилка. Если раньше удаленная работа была уделом медитирующих на Гоа хипстеров или мам в декрете, то в 2020 году жители всех цивилизованных стран стали digital nomad («цифровыми кочевниками») поневоле.
Пока школьные преподаватели привыкали к тому, что на доске нужно писать не маркерами, а мышкой, а офисные сотрудники придумывали, как отвлечь детей на время деловых переговоров, IT-подразделения компаний оказались на передовой: от их работы зависела жизнеспособность и безопасность всего бизнеса. Среди прочего компании начали внедрять системы мониторинга действий сотрудников и озаботились их киберграмотностью.
И тут обнаружилось интересное: если в методах распознавания фейковых писем офисные сотрудники оказались несведущи, что вызвало волну кибератак с использованием социальной инженерии, то в способах продажи корпоративных данных на черном рынке они разобрались без проблем — рост числа утечек из компаний по итогам года предварительно оценивается в 40%, причем 77% из них произошли в результате умышленных действий персонала.
Деятельность киберпреступников тоже затронула цифровизация. Мошенники поставили многие схемы на конвейер, начали сдавать в аренду зараженные компьютерные сети, привлекать новичков через Telegram-каналы и форумы. На фоне все большего перехода в онлайн торговли резко выросло число фейковых ресурсов.
По оценке «Лаборатории Касперского», активность киберпреступников в 2020 году увеличилась в целом на 25–30%.
Пострадали от нее и граждане: число мошеннических сайтов с предложением быстрого заработка в первом полугодии выросло втрое, за год мошенники заработали на клиентах российских сайтов объявлений 0,8–1 млрд руб., тогда как еще год назад такого сегмента просто почти не существовало (см. “Ъ” от 9 ноября), а число дел о телефонном и интернет-мошенничестве на фоне пандемии выросло на 76%, писал РБК. Для обзвона мошенники подключили роботов (см. “Ъ” от 27 октября) и моментально реагировали на происходящие в стране события: например, первые сайты-клоны госуслуг появились уже к концу совещания, на котором объявили о запуске новых выплат в связи с пандемией.
Государство планирует ответить на ситуацию запуском в 2021 году национального киберполигона для тренировок специалистов по информбезопасности (см. “Ъ” от 7 ноября) и государственной платформы для мониторинга фишинговых сайтов и утечек персональных данных (см. “Ъ” от 30 сентября), а Федеральная служба исполнения наказаний просит выделить средства на борьбу с колл-центрами в тюрьмах (см. “Ъ” от 1 октября).
Однако специалисты по кибербезопасности, с которыми я обсуждала этот вопрос, относятся к вмешательству государства скептически. По их мнению, корень проблемы лежит в том, что до пандемии многие российские компании совсем не осознавали важность информационной безопасности и выделяли на эту сферу в лучшем случае минимально необходимые бюджеты, позволяющие вписаться в регуляторные требования.
Наказания за нарушения особо не мотивируют бизнес: штрафы Роскомнадзора за нарушение прав субъектов персональных данных не превышают 75 тыс. руб. против 4% оборота в Евросоюзе.
Несколько больше будут штрафы за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры — до 500 тыс. руб., следует из внесенного в ноябре в Госдуму законопроекта. Но и речь здесь идет о действительно серьезных объектах, включая банки или операторов связи. В такой ситуации повлиять на отношение бизнеса к кибербезопасности может только одно: если потенциальный ущерб от атак станет соизмеримым с прибылью компаний. Гражданам же придется рассчитывать в первую очередь на самих себя.