Сергей Коротков, начальник аналитического отдела Национальной ассоциации международной информационной безопасности, генерал-майор, к.в.н
В числе приоритетов председательства Российской Федерации в объединении БРИКС в 2024 году определено «наращивание сотрудничества в интересах формирования системы обеспечения международной безопасности в целях предотвращения и урегулирования конфликтов в информационном пространстве и недопущении его милитаризации».
В этих целях в соответствии с планом в период 16-17 апреля с.г. в г.Москве состоялось 10-е заседание Рабочей группы БРИКС по вопросам безопасности в сфере использования информационно-коммуникационных технологий (ИКТ).
В ходе мероприятия заместитель Министра иностранных дел Российской Федерации С.В. Вершинин в своем выступлении подчеркнул не только возрастающую значимость проблематики международной информационной безопасности (МИБ) в повестке БРИКС, но и отметил особую роль объединения в построении открытой, безопасной, стабильной, доступной и мирной цифровой среды, основанной на принципах суверенного равенства и невмешательства во внутренние дела государств. Достижению указанной цели способствует близость подходов государств-участников межгосударственного объединения к вопросам обеспечения равноправного, недискриминационного доступа стран к современным ИКТ.
По информации МИД России встреча подтвердила взаимную заинтересованность всех участников заседания Рабочей группы в укреплении сотрудничества в сфере МИБ. Важным практическим результатом работы стало решение о формировании реестра контактных пунктов БРИКС для обмена информацией о компьютерных атаках/инцидентах в расширенном составе. Положительную реакцию партнеров получили российские предложения об укреплении нормативно-правовых основ взаимодействия, а также о запуске диалога по линии научно-академического сообщества.
В ходе мероприятия делегации договорились продолжить тесное сотрудничество по всем аспектам МИБ на многосторонних площадках. Подтвердили приверженность исключительно мирному использованию ИКТ, недопущению милитаризации информационного пространства и предотвращению конфликтов в нем, преодолению цифрового разрыва. Условились совместно продвигать данные принципы в ООН, в частности, в Рабочей группе открытого состава по МИБ и Специальном комитете по разработке универсальной конвенции о противодействии информационной преступности.
Следует отметить, наличие солидного перечня двусторонних международных договоров Российской Федерации с государствами, являющимися участниками объединения БРИКС, по проблематике МИБ. В частности заключены соглашения:
- о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности с Правительством Федеративной Республики Бразилии (14.05.2010);
- о сотрудничестве в области обеспечения международной информационной безопасности с Правительством Китайской Народной Республики (08.05.2015);
- о сотрудничестве в области обеспечения безопасности в сфере использования информационно-коммуникационных технологий с Правительством Республики Индии (15.10.2016);
- о сотрудничестве в области обеспечения международной информационной безопасности с Правительством Южно-Африканской Республики (04.09.2017);
- о сотрудничестве в области обеспечения международной информационной безопасности с Правительством Исламской Республики Иран (26.01.2021);
- о сотрудничестве в области обеспечения международной информационной безопасности с Правительством Федеративной Демократической Республики Эфиопии (28.07.2023).
Тематические межправительственные соглашения уже действуют с Индией и Китаем.
О том, что соглашения о сотрудничестве в сфере обеспечения информационной безопасности с Ираном и Эфиопией вступят в силу в 2024 году, заявил 24 апреля т.г. замглавы МИД России Сергей Вершинин на пленарном заседании XII Международной встречи высоких представителей, курирующих вопросы безопасности. По его словам, Российская Федерация на двустороннем направлении считает "приоритетом налаживание с партнерами сотрудничества по международной информационной безопасности через расширение договорно-правовых рамок и проведение регулярных экспертных консультаций между компетентными органами государственной власти".
В содержании указанных соглашений нашла отражение общность понимания основных угроз в области обеспечения информационной безопасности, связанных с использованием ИКТ:
- для осуществления актов, направленных на нарушение суверенитета, безопасности и территориальной целостности государств;
- для нанесения экономического и другого ущерба, в том числе путем разрушительного воздействия на объекты критической информационной инфраструктуры;
- в террористических целях, в том числе для пропаганды терроризма и вербовки для осуществления террористической деятельности;
- для совершения преступлений, в том числе связанных с несанкционированным доступом к компьютерной информации;
- для вмешательства во внутренние дела государств, нарушения общественного порядка, разжигания межнациональной, межрасовой и межрелигиозной вражды, распространения расистских и ксенофобских идей и теорий, порождающих ненависть и дискриминацию, подстрекающих к насилию и нестабильности, а также для дестабилизации внутриполитической и социально-экономической обстановки и вмешательства в государственное управление;
- для распространения информации, наносящей вред общественно- политической и социально-экономической системам, а также духовной, нравственной и культурной среде других государств.
Соглашения определяют нормативно-правовые основы позволяющие осуществлять сотрудничество по таким вопросам, как укрепление информационной безопасности, борьба с преступлениями, связанными с использованием информационно-коммуникационных технологий, оказание технической и технологической помощи, а также международное взаимодействие по следующим основным направлениям:
- определение, согласование и осуществление необходимого взаимодействия в рамках региональных и международных форумов для обеспечения национальной и международной информационной безопасности;
- разработка и продвижение норм применимого международного права в целях обеспечения национальной и международной информационной безопасности;
- противодействие угрозам в области обеспечения информационной безопасности;
- обмен информацией и взаимодействие в правоохранительной области в целях предупреждения, выявления, пресечения и расследования преступлений, связанных с использованием информационно-коммуникационных технологий в террористических и криминальных целях, а также уголовного преследования за такие преступления;
- обмен информацией между компетентными органами государств в области информационной безопасности, включая сотрудничество между уполномоченными органами государств в области реагирования на компьютерные инциденты;
- углубление взаимодействия и координации деятельности государств в области международной информационной безопасности в рамках международных организаций и форумов;
- оказание содействия в соответствии с законодательством государств в области передачи информационных технологий и знаний, наращивания потенциала и развития профессиональной подготовки, а также изучение возможностей инвестирования в инфраструктуры информационной безопасности;
- способствование взаимодействию научных и образовательных учреждений, а также частных секторов в области информационной безопасности;
- проведение рабочих встреч, конференций, семинаров и форумов, а также совместная организация и проведение мероприятий на региональном и международном уровнях в сфере национальной и международной информационной безопасности.
Намерение развивать сотрудничество по многим указанным направлениям между государствами - участниками БРИКС по вопросам обеспечения международной информационной безопасности заявлены в итоговых декларациях саммитов объединения. При этом акцентируется внимание на:
- достижении общего понимания и активизации сотрудничества в использовании ИКТ и Интернета;
- формировании нормативно-правовых рамок для сотрудничества стран БРИКС по вопросам обеспечения безопасности в сфере использования ИКТ;
- реализации «дорожной карты» практического сотрудничества БРИКС в обеспечении безопасности в сфере использования ИКТ.
В преддверии заседания Рабочей группы БРИКС по вопросам безопасности в сфере использования ИКТ Национальной Ассоциацией международной информационной безопасности проведен экспресс-обзор кибератак против государств-участников БРИКС. Он позволяетобосновать и систематизировать общие угрозы информационной безопасности и определить негативные последствия, которые могут произойти от их реализации (возникновения) с нанесением политического и экономического ущерба.
Приведем некоторые примеры вредоносной и злонамеренной деятельности.
Прежде всего, следует отметить, что для всех государств-участников БРИКС присущи все виды уязвимостей информационной безопасности, которые используются злоумышленниками для несанкционированного доступа, разрушения или кражи данных. Применяются десятки типов кибератак.
В условиях проведения специальной военной операции на Украине наиболее подверженной воздействию вредоносного программного обеспечения (ПО) является Россия, где более 50% пользователей хотя бы раз столкнулись с такими рисками. Суммарно в текущем году по БРИКС этот показатель экспертами оценивается в 44%, по миру в целом - 41%. За первый квартал 2024 года на устройствах пользователей в БРИКС было отражено 142 млн. кибератак и обнаружены почти 18 млн. вредоносных файлов.
Наиболее подверженными вредоносным воздействиям стали такие отрасли в БРИКС как производство (Manufacturing), здравоохранение (Healthcare) и госучреждения (Government), на которые приходится почти 33% компьютерных атак.
Страны-участники БРИКС чаще всего сталкиваются с разнообразным шпионским вредоносным ПО. Злоумышленники, атакующие финансовый сектор, применяют вредоносное ПО класса "инструменты для удаленного доступа".
В первом квартале 2024 года по сравнению с 4 кварталом 2023 года отмечается рост числа атак банковских троянцев на 55%, а также почти на 40% больше пользователей столкнулись с предустановленным ВПО и известным троянцем Triada (на 13,7%).
Наиболее распространенная угроза связана с проведением целевых атак и действиями преступных кибергруппировок.
В 2023 году в Бразилии было зарегистрировано рекордное число атак банковских троянов – 1,3 миллиона, что ставит страну в один ряд с самыми пострадавшими от подобных угроз в мире. Эта угроза в основном создается латиноамериканскими киберпреступниками, которые также экспортируют ее для использования в других странах, особенно в Латинской Америке и Европе.
Россия привлекла внимание многих кибер-акторов в связи с российско-украинским конфликтом. Украиноязычные преступные группы, такие как CloudAtlas, активизировали свою вредоносную деятельность на российском направлении после февраля 2022 года. Злоумышленники специализируются в основном на краже конфиденциальной информации и шпионаже. Также против России наблюдается активность кибергруппировок ToddyCat, ScarCruft и Lazarus (корейско-говорящие). По результатам исследования «РТК‑Солар» среди 300 представителей крупного бизнеса и госсектора не менее ₽20 млн, без учёта репутационных потерь, составил средний ущерб компаний от кибератак за 2023 год. Этот показатель на треть больше, чем годом ранее.
Атакам Lazarus с целью вымогательства и кражи денежных средств, включая криптовалюту, а также шпионажа подвергаются другие страны-участники БРИКС - Бразилия, Индия, Китай, Иран и Саудовская Аравия.
В киберпространстве Индии отмечается деятельность преступных групп таких как TransparentTribe и SideCopy (урду-говорящие), а также RedEcho. В 2023 году число случаев кибератак в Индии выросло на 15%. Большинство кибератак были сосредоточены в финансовом секторе, отрасли производства и передачи электроэнергии, сфере электронной коммерции и других цифровых медиа.
Египет чаще всего подвергается кибератакам региональных группировок, таких как StrongPity (турецкоязычная), LoneZerda и MuddyWater (фарси-говорящие).
Иран подвергается атакам со стороны различных группировок, таких как StrongPity, BlackCrescent (вероятно связана с группой Lyceum, говорящей на фарси) и GoldenJackal (в настоящее время не связана с каким-либо конкретным языком или нацией, но весьма активно действуют на Ближнем Востоке и в Южной Азии). В декабре 2023 года хакерская группа «Gonjeshk-e-Darande» вывела из строя большинство бензоколонок по всему Ирану.
ОАЭ привлекают внимание кибергрупп, таких как MuddyWater и Oilrig (фарси-говорящих), а также SideWinder (хинди-говорящая).
Ситуация в Саудовской Аравии аналогична обстановке в киберпространстве других стран региона. Наибольшей активностью отмечается кибергруппа MuddyWater.
Вредоносные онлайн-ресурсы и шпионское ВПО представляются наиболее значимыми киберугозами для промышленных организаций стран БРИКС.
Наиболее подвержены угрозе заражения троянами-вымогателями (шифровальщиками) сектор ЖКХ и организации, владеющие базами персональных данных.
Энергетический сектор стран БРИКС почти в полтора раза чаще других индустрий подвержен кибератакам через съемные носители.
Промышленные организации из Эфиопии наиболее атакуемы относительно других стран БРИКС. В 2024 году вредоносное ПО выявлено на 47% компьютеров в промышленных организациях Эфиопии.
Относительно стран-участников БРИКС в Бразилии нефтегазовая индустрия более всего подвергалась кибератакам. Только в первом квартале 2024 года вредоносное ПО выявлено на 41% компьютеров в этой отрасли.
Страны-участники БРИКС в разной степени подвержены воздействию спама, фишинга и мошенничества.
Так, в Бразилии злоумышленники подделывают платформы электронной торговли и телеком-операторов с целью кражи учетных данных. Доля спам-писем в общем объеме электронной почты в первом квартале 2024 года значительно возросла в сравнении с предыдущим кварталом, с 33% до 47%.
В России одним из наиболее популярных векторов атак является мимикрирование под оказание государственных услуг. Мошенники предлагают списать долги, пройдя процедуру банкротства - 3000 таких ресурсов было выявлено в первом квартале 2024 года. При этом хакеры используют следующую схему: добывают личные данные, связываются с жертвой и с помощью социальной инженерии выманивают финансовые средства.
Индия входит в число 10 стран-отправителей спама в мире наряду с США. В Индии популярно воровство аккаунтов в Facebook и Netflix, а в Китае большая часть онлайн-мошенничества — это поддельные онлайн-магазины, которые похищают финансовые средства пользователей.
В ЮАР огромное число мошеннических ресурсов (более 14 тысяч), которые обманывают доверчивых клиентов путем обещания призов, либо заработка через инвестиции в криптовалюты.
Только в 2023 году в Эфиопии было зафиксировано около 18 000 подтвержденных атак и 30 000 программ-вымогателей.
Утечки данных являются проблемой практически для всех государств-участников БРИКС.
Вот лишь некоторая статистика по скомпрометированным троянами-похитителями учетным данным для доступа на сайты, относящиеся к странам-участникам БРИКС: Бразилия - 28,8 млн. записей (больше только для сайтов на домене .com); Индия - 8,2 млн. записей; Египет - 2,7 млн. записей; Саудовская Аравия - 2,6 млн. записей; Россия - 2,5 млн. записей.
В частности, бразильские СМИ отмечают, что в январе 2024 года участились кибератаки на федеральные правительственные учреждения, приведшие к серьезным утечкам данных. Органы исполнительной власти зарегистрировали 989 случаев (в среднем по 32 в день), что является самым высоким показателем за последние четыре года.
ОАЭ и Саудовская Аравия, как и США, находятся в тройке мировых лидеров по стоимости утечки данных. Ущерб от киберпреступности в аравийских монархиях исчисляется миллиардами долларов. Эти кибератаки ориентированы на доступ к коммерческим, технологическим и государственным тайнам (63,6 %), похищение финансовых средств (6,2 %) и персональных данных (29,6 %).
Ближний Восток, включая ОАЭ, переживает второй по величине ущерб от утечки данных в мире, что отражает экономические цели субъектов, стоящих за киберугрозами, на фоне бума в регионе Персидского залива.
По России за январь-март 2024 года установлено 35 фактов публикаций пользовательских баз данных на теневых форумах и Telegram каналах. Несмотря на заметное снижение по сравнению с аналогичным периодом 2023 года, наблюдается постепенный рост в количестве публикаций последние три квартала. Более 18 миллионов пользовательских паролей было скомпрометировано в первом квартале 2024 года, что в 6 раз больше, чем за аналогичный период 2023 года.
Серьезную угрозу представляют атаки на системы искусственного интеллекта (ИИ). В первом квартале 2024 года были выявлены следующие атаки на системы ИИ:
- обнаружена активная эксплуатация уязвимости популярной системы для обучения людей ИИ Ray. Среди пользователей этой системы - Uber, OpenAI, Amazon. Предположительно было скомпрометировано более 1000 серверов по всему миру. Эксплуатация этой уязвимости может приводить как к утрате контроля над вычислительными мощностями, так и к потере данных;
- примерно в 100 обученных моделях ИИ в открытом репозитории HuggingFace обнаружены закладки разной степени опасности;
- в системе управления жизненным циклом моделей машинного обучения MLFlow обнаружили уязвимость, используя которую атакующие могли получить полный доступ к чувствительным данным пользователя платформы.
Исследователи показали, что излишняя автономность систем на базе генеративного ИИ может приводить к серьезным проблемам. Была продемонстрирована концепция атаки на гипотетическую систему, которая может самостоятельно принимать решение об отправке писем и ответе на них. Специальным образом сформированное письмо может приводить к неограниченным рассылкам писем системой, к примеру, так можно произвести спам-атаку от имени доверенного источника.
По мнению специалистов существует недооценка риска использования глубоких фейков, чат-ботов, эмоционального ИИ и других технологий на основе ИИ для подрыва информационно-психологической безопасности. Следует учитывать, что злонамеренное использование ИИ становится востребованным инструментом в геополитическом и экономическом соперничестве между странами БРИКС и коллективным Западом в условиях формирования многополярного мира.
В эпоху цифровой трансформации киберинциденты представляют все более серьезную угрозу для мировой безопасности. Кибератаки могут нарушить работу критической инфраструктуры, украсть чувствительную информацию и вызвать значительные экономические и социальные последствия.
При этом отмечается значительный рост числа компьютерных атак на государственные органы исполнительной и судебной власти, банковскую систему, ключевые предприятия многих стран. География источников вредоносных кибератак обширна: от Украины и стран Евросоюза до Северной Америки (преимущественно США). В подготовке и проведении кибератак участвуют подразделения спецслужб, чаще «под чужим флагом», и привлеченные ими кибернаемники, а также т.н. идейные «хактивисты».
Эксперты указывают на то, что для исследователей в области кибербезопасности среди основных вызовов являются трудности с своевременным обновлением программного обеспечения и средств защиты в условиях постоянной технологической эволюции, а также недостатком привлечения квалифицированных IT-специалистов в нагретом секторе с высоким спросом.
Таким образом, проведенный экспресс-обзор кибератак подтверждает взаимную заинтересованность всех участников объединения БРИКС в укреплении сотрудничества в области обеспечения безопасности в сфере использования информационно-коммуникационных технологий.
В связи с этим можно было бы по линии научно-академического сообщества БРИКС в рамках реализации научного проекта на базе иерархии систематизации угроз (банка угроз и уязвимостей) с учетом мировой практики агрегации информации об угрозах (CWE) и уязвимостей информационных систем (CVE) выработать предложения по комплексу действий и мер защиты суверенитета государств-участников БРИКС и обеспечения безопасности в сфере использования ИКТ.
Решение данной задачи явится существенным вкладом в формирование механизма противодействия угрозам информационной безопасности государств-участников БРИКС.
Автор выражает благодарность за оказанную помощь в подготовке статьи А.В.Герасимову (Компания «Лаборатория Касперского»), С.Н.Гриняеву (АНО «Центр стратегических оценок и прогнозов») и Н.А.Рукину (МГТУ им. Н.Э.Баумана).