Цифровая безопасность в 2020 году: обзор угроз и позитива

Уходящий 2020-й год можно смело назвать «годом  онлайна» — в силу ограничений, введенных многими странами из-за коронавируса, в цифровое пространство пришлось перейти даже тем, кто этого никогда не планировал, а те, кто уже были «в цифре», усилили там свое присутствие. Огромную популярность приобрели средства цифровой коммуникации, цифровые магазины нарастили аудиторию, почти полностью в онлайн переместилась сфера развлечений. В итоге цифровая экосистема оказалась одной из немногих, где сохранился экономический рост – и, казалось бы, человечество чуть ли не вплотную придвинулось к мечте евангелистов цифровизации.

Само собой, что повышенное цифровое потребление не могло не привлечь к себе интерес цифровых преступников. И уходящий год оказался для них весьма «урожайным» — что, впрочем, и предсказывали почти все аналитики еще в начале весны.

Тем не менее, чего-то принципиально нового «цифровая преступность» не показала – практически все типы и способы совершения цифровых преступлений остались «доковидными». Да, разумеется, в полном соответствии с заветами «успешной» социальной инженерии преступники активно эксплуатировали актуальные информационные и социальные поводы – однако схемы остались прежними. Таким образом, не изменился и набор цифровых угроз – но вот актуальность противодействия им возросла в разы, если не на порядок.

Вполне предсказуемо «лидером» среди цифровых преступлений стало (точнее, осталось) «цифровое мошенничество» — точнее, огромный спектр схем «отъема и увода денег» разной степени нечестности. Прямая атака банков и организаций – в настоящее время явление нечастое, «отъем и увод денег» через Интернет давно стал «гибридным», то есть с применением как программно-технических инструментов, так и контентных (те самые «методы социальной инженерии»). Основной объект «гибридных» посягательств – отнюдь не банки, а граждане. Преступники умело использовали возникшие в обществе экономические проблемы, а в некоторых случаях им «помогли» и государства – своим не всегда продуманным регулятивом. Например, жулики активно обещали людям некие выплаты от имени государственных органов, международных организаций и различных фондов – собирая под этим соусом все то, что откроет дверь к кошелькам жертв. Не менее бурно «расцвели» и всякие онлайн-казино и прочие тотализаторы, работавшие по строго «допандемийной» схеме – «ты вроде  выиграл, но отдай реальные деньги за получение выигрыша». Причем в государствах, оказавших прямую поддержку гражданам путем раздачи денег (в размере зарплаты или среднего дохода) жертв таких преступлений было откровенно меньше, чем там, где власти по сути бросили людей в плане их доходов на произвол судьбы – ибо в первых, в отличие от вторых, вопрос получения денег и выживания не был настолько обострен. Перетекание торговли и сферы услуг в онлайн привело к росту количества фальшивых онлайн-магазинов и даже ресторанов (которые вынуждены были переориентироваться на доставку своего меню на дом). Ну и, разумеется, отъем денег через страх тоже никто не отменял – введенные в панике совершенно не готовыми к массовым эпидемиям государствами различные ограничительные меры для граждан породили вал фальшивых извещений о якобы штрафах за «нарушения режимов самоизоляции» и тому подобное.

Не менее масштабной в период пандемии оказалась проблема безопасности персональных данных. Давно не секрет, что преступники охотятся за ними не менее, а то и более активно, чем за «прямыми» деньгами – ибо обладание персональными данными дает ключ и к деньгам, и к имуществу, и к репутации жертвы. Окончательно сформулировался принцип: «Тот, кто владеет персональными данными человека – владеет его жизнью», причем владеет в буквальном смысле.  

Незаконное получение персональных данных, как правило, осуществлялось двумя способами. Первый – получение их напрямую от граждан. Для этого преступники активно использовали (и используют) специальные сайты, сообщества и рассылки, схожие с мошенническими – как правило, точно так же обещая некие «выплаты» и под этим предлогом получая различные персданные – вплоть до номеров банковских счетов от особо доверчивых. В результате жуликам удавалось собрать весьма «массивные» базы данных – которые либо использовались напрямую в целях «увода денег», либо перепродавались уже собственно мошенникам.

Однако намного популярнее и опаснее остаются «утечки» персональных данных – когда уже собранные и регулярно пополняемые базы данных регулярно «уходят» к тем, кому не надо. В 2020-м году, с учетом его специфики, персональные данные «текли» рекой, причем отовсюду. Наиболее скандальные истории были связаны с банками и госорганами – то есть теми организациями, где по идее должна быть максимальная безопасность. Более того, данные «утекали» любые – вплоть до так называемых «специальных», или «чувствительных» — включающих в себя медицинские и биометрические персданные. Способов добыть нужные базы данных тоже два – либо утечка происходила по программно-техническим факторам, либо в организации банально заводился «крот». Причем стереотип, что «крот» — это обязательно низкооплачиваемый клерк, уходит в прошлое – все чаще данные «утекают» «благодаря» довольно высокооплачиваемым сотрудникам. Включая, кстати, айтишников – которые получают большие оклады «по умолчанию». Айтишник в качестве «крота» оказался удобен хотя бы потому, что его вмешательство в систему обычно не вызывает подозрений у службы безопасности (если таковая имеется и хоть что-то понимает в IT). Для аналитиков же это сигнал тревожный – очевидно, что злоумышленники готовы платить намного большие деньги исполнителям, чем раньше, а это значит резко возросший спрос на «темные» персданные – ибо затраты на подкуп либо покрываются с оборота, либо другие жулики готовы платить больше денег за ворованную информацию о людях.

Одним из трендов конца 2019 и 2020 годов стало стремление максимально внедрить обработку биометрических персональных данных. Кстати, биометрия – это не какой-то там анализ ДНК, это самая банальная фотография человека.  В коммерческой сфере биометрические данные попытались внедрить некоторые крупнейшие банки – стремясь идентификацией по лицу заменить привычные банковские карты. Однако они не учли одного: компрометация многих биометрических персональных данных пожизненна. Проще говоря, украденную банковскую карту можно заменить – а вот «украденное» лицо заменить никак не получится. Энтузиазма новый «виток прогресса» не вызвал ни у экспертов, ни у юзеров с повышенной цифровой грамотностью, поэтому активная реклама биометрической идентификации к лету стала сходить на нет.

Гораздо хуже в этом плане оказалась ситуация с государством, которое выступило, пожалуй, главным посягателем на право граждан иметь неприкосновенность их личности и тайну личной жизни в «цифре». Различные устройства уличного видеонаблюдения, и в том числе дорожные камеры, стали применяться «недокументированно» — к примеру, в отдельных регионах России возникла практика так называемых «цифровых пропусков». Смартфоны превратились в «личных шпионов», при помощи которых отслеживалось местоположение граждан.  И, в отличие от банков, большинство государств (включая Россию) так и не восприняло до конца серьезность угроз с биометрией – продолжив внедрение систем распознавания лиц. Причем ее хотят распространить и на несовершеннолетних – причем, как всегда, под весьма своеобразно интерпретированным предлогом «безопасности» (хотя на самом деле реальная безопасность граждан от таких систем резко уменьшается). Это не говоря о продолжающемся тренде на тотальную цифровизацию данных, несмотря на чуть ли не еженедельные их утечки. В итоге люди стали ощущать себя буквально персонажами оруэлловской антиутопии «1984» — причем это сходство явно понимали и самые циничные разработчики соответствующих систем: одну из них, предназначенную для школ, ничтоже сумняшеся назвали… «Оруэлл». Однако в отдельных юрисдикциях столь пугающее сходство не осталось без внимания – и в Евросоюзе, а также в ряде штатов США власти под давлением общественности были вынуждены хотя бы временно запретить системы распознавания лиц для госорганов. Слишком уж «антиутопичной» оказывалась реальность…

Подобная ситуация с персональными данными привела к тому, что, в частности, в России большинство граждан стало опасаться делиться с кем-либо своими биометрическими данными. Такие результаты опроса представил в декабре Аналитический центр НАФИ. Впрочем, множество источников говорят, что пользователи серьезно повысили осведомленность относительно безопасности персональных данных и выражают опасения относительно того, что эти самые персданные у них «вымогают» на каждом шагу.  Государство, впрочем, все эти опасения фактически игнорировало, даже несмотря на постоянные утечки, отделываясь «полумерами» типа знаменитой зашифровки значимых субъектов. Пока в конце года не грянул гром с расследованием Bellingcat про инцидент с Навальным – все оно было построено на результатах утечек совершенно разнообразных баз персональных данных. Проще говоря, Bellingcat наглядно продемонстрировал, как работают с этой информацией преступники. В итоге российское государство наконец осознало масштабы вреда и озаботилось принятием целого ряда законов в плане персданных – причем некоторые из них даже пойдут на пользу гражданам, например возможность требовать безусловного их удаления из публичных источников. Таким образом и знаменитое «право на забвение», глядишь, наконец заработает…

Что касается других классических угроз – распространения сцен сексуальной эксплуатации несовершеннолетних и распространения наркотиков – то в период самоизоляции в России они роста не показали, а распространение наркотиков показало даже динамику к снижению. Впрочем, последнее объяснимо – доставка-то «запрета» происходит оффлайн, а это стало гораздо более рискованным. Относительно первой категории эксперты предполагают, что в самоизоляцию дети оказались под плотным «колпаком» родителей – и в этих условиях злоумышленникам стало  намного сложнее осуществить с жертвами нужный им контакт. Впрочем, ряд стран (главным образом Балканы) отчитались о росте такого контента – здесь речь может идти либо о росте предложения ранее подготовленных материалов, либо о росте семейного насилия сексуального плана.

Вообще же главным словом в цифровой среде 2020 года стало слово «удаленный» — удаленная работа, удаленное образование, дистанционная торговля, удаленная медицина (внимание к которой в период пандемии сохранилось – она продолжает внедряться). Специалисты по кибербезопасности оперативно вычленили целый ряд значимых угроз от «удаленки» — в первую очередь то, что удаленная работа пробила серьезную брешь в системах кибербезопасности предприятий и организаций. Ибо «удаленщики» использовали общедоступные сети, а их компьютеры часто не имели соответствующей защиты. В итоге повысилось количество программно-технических атак на внутренние системы и утечек данных через незащищенные или слабозащищенные машины. Что же касается удаленного образования, то проблемы здесь «высветились» не столько программно-технические, сколько в связи с качеством такого образования – как многие учителя, так и родители стали бить тревогу, указывая, что дистанционная форма обучения никак не может заменить очную по многим параметрам. Кстати, как выглядит дистанционное образование, наши сограждане могли увидеть… еще в 1974 году – в детском фильме «Москва – Кассиопея», где удаленное обучение на борту звездолета «Заря» показано в совершенно современном плане. Но юные звездолетчики из советской фантастики хотя бы не испытывали аппаратных сложностей – в то время как дети 2020 года при «дистанте на самоизоляции» столкнулись и с нехваткой нужных компьютерных устройств в семьях, и с банальными проблемами со связью. Оказались не готовы к специфике дистанционного обучения и учителя – вплоть до выбора соответствующей платформы. В результате борьба вокруг дистанционного обучения (или с ним самим) продолжается до сих пор.

Нельзя не упомянуть и о стремлении многих государств навести у себя свой «цифровой суверенитет». Преимущественно это выразилось в том, что значительное число государств стало принимать свои внутренние нормативные акты в плане регулирования контента и распространять его на глобальные контентные платформы. Это касается не только России или печально известного в этом плане Китая, но и Великобритании, Евросоюза, Канады и даже Австралии. Главной новостью конца года стало то, что целый ряд стран возложил на соцсети и им подобные сервисы обязанность самостоятельно выискивать у себя, анализировать и удалять противоправный контент (а в некоторых юрисдикциях – еще и публично рассказывать о своих успехах на этом поприще). Для глобальных сервисов это означает не только необходимость иметь кучу дорогостоящих модераторов, но и локализовывать их применительно к местным социальным культурам и законодательству. Не исключено, что создастся тенденция  на «аутсорс» подобных сервисов – и тут на помощь глобальным платформам смогут прийти национальные «Горячие линии». Во-первых, они и так уже находятся в требуемой юрисдикции, во-вторых, они могут мониторить и анализировать для всех интересантов (то есть каждому сервису не нужно создавать собственную огромную службу модераторов), а в-третьих, они являются лучшими профессионалами в требуемых вопросах. Собственно, «Горячие линии» анализируют противоправный контент в соцсетях и сейчас – но в будущем они, скорее всего, будут это делать целенаправленно и в рамках договора.

Чего нам ждать от наступающего года? Скорее всего, продолжения трендов года уходящего: на форсированную цифровизацию и рост цифрового потребления. Возможно, несколько повысится уровень защищенности пользователей в части получения возможности прекратить оборот своих персональных данных (если «на той стороне», конечно, не государство). А как сложатся остальные реалии – многое будет зависеть от реалий оффлайновых: экономических и социальных.

Центр безопасного Интернета и Фонд «НеДопусти!» поздравляет всех с наступающим 2021 годом и желает в Новом году всего наилучшего.