Ежегодник RIA: кибермошенники причинили эстонским фирмам ущерб на 600 000 евро

«Прошлый год был полон изменений в Департаменте государственной инфосистемы. По существу, наше учреждение получило новое правление, поскольку сменилась большая часть руководящего состава. Новые люди означают новые идеи, новое дыхание и новые направления, с помощью которых э-государству можно добавить размаха. До сих пор наши итоги года были посвящены кибербезопасности, в новом ежегоднике мы расскажем обо всех областях деятельности RIA и планах на будущее, а также поговорим о кибератаках и их предотвращении», – сказал генеральный директор Департамента государственной инфосистемы Маргус Ноормаа.

В ежегоднике перечислены текущие и предстоящие работы отделов RIA. «В сотрудничестве с Министерством социальных дел и другими партнерами RIA разрабатывает услугу согласия, которая откроет эстонскую экономику данных и даст толчок развитию персональной медицины», – привел пример Ноормаа. В числе прочего можно прочитать о государственной сети, программном обеспечении DigiDoc4, защите критически важной информационной инфраструктуры и CERT-EE.

По оценке экспертов, 2019 год можно назвать годом фишинга в эстонском киберпространстве, так как количество выуживания данных пользователя и количество веб-страниц, созданных для этой цели, удвоились. 

В прошлом году отдел по обработке инцидентов службы кибербезопасности RIA (сокращенно CERT-EE) получил почти 25 000 уведомлений о киберинцидентах, более 3000 из которых поставили под угрозу конфиденциальность, целостность или доступность информации или систем.

Наряду с мошенническими письмами и поддельными сайтами, созданными для кражи денег, много ущерба причинили также мошеннические кампании, выуживающие данные учетных записей. 

Простое письмо, которое предупреждает о заполнении объема почтового ящика или просит поменять пароль, может на первый взгляд всего лишь дать злоумышленникам доступ к личным письмам и возможность распространять мошеннические письма дальше. 

Но зачастую за кражей таких данных учетной записи кроется долгосрочный план – по э-письмам найти деловых партнеров учреждения, вмешаться в переписку и в нужный момент отправить письмо, которое сообщает об изменении банковского счета, предусмотренного для совершения платежей. 

«В прошлом году мы неоднократно видели такие волны хакерских атак (фишинг), выуживающих данные учетных записей, которые помогла бы предотвратить многоступенчатая аутентификация. Жертвами таких атак стали работники местных самоуправлений, по меньшей мере трех крупнейших в Эстонии университетов, больниц, а также малых учреждений, как например, топливное предприятие и фирма по обслуживанию дорог», - отмечает RIA.

Ликвидацию последствий инцидентов и выяснение масштаба утечки информации зачастую осложняет то, что у групп по инфобезопасности (если они вообще имеются) или у поставщиков услуг отсутствуют необходимые журналы записей, чтобы выяснить, содержание каких учетных записей и в каком объеме было скомпрометировано. Если учреждение желает понять, какого вида информация украдена, то аккуратное ведение журналов записей играет крайне важную роль.

Проблемой 2018 года с самым большим влиянием были финансовые мошенничества, инициированные через скомпрометированные учетные записи электронной почты (англ. business email compromise, или BEC-схемы), которые причинили эстонским предприятиям ущерб на сумму не менее 600 000 евро. 

«В 2019 году такие инциденты также находились под нашим вниманием, но, к счастью, мы узнали о существенно меньшем ущербе. По имеющимся у нас данным, наибольшая сумма, которая вследствие мошенничества была перечислена на неправильный банковский счет, составила 112 000 евро», - сообщило ведомство.

На этот раз благодаря сотрудничеству между банками предприятие смогло вернуть потерянную сумму. Важно отметить, что BEC‑схемы не выбирают жертв, и вследствие выуживания данных по учетной записи может лишиться данных (а потом и денег) любое предприятие Эстонии, ведущее сотрудничество с зарубежными партнерами.

В основном жертвами были импортеры каких-либо продуктов (инструменты, шины, промышленное оборудование, медицинская техника и т. д.), и потерянные суммы составляли от нескольких тысяч до 70 000 евро. Однако наряду с удачными схемами мы слышали о некоторых схемах, которые обнаруживали внимательные бухгалтера или руководители и где ущерба удалось избежать. Также нас информировали о ситуациях, когда деловые партнеры Эстонии в других странах несли ущерб из-за подобных схем. Поэтому важно, чтобы эстонские предприятия, пережившие инцидент утечки данных по учетным записям, информировали своих зарубежных партнеров, которые могут стать следующей целью мошенников.

В 2019 году в ежегоднике по кибербезопасности RIA отметил: «Поддержание кибербезопасности в Эстонии требует постоянной работы и внимания руководителей. Обновления важны, стандарты также, поэтому в обновления и стандарты необходимо инвестировать деньги и время. Чтобы и в будущем мы могли предотвращать серьезные киберинциденты в Эстонии, эта работа должна быть выполнена. В 2019 году мы наблюдали в работе услуг существенные перебои, у которых могло бы быть масштабное влияние на жителей Эстонии: ошибка в программном обеспечении в сентябре на 20 минут отключила телефоны центра тревоги; из-за обрыва кабелей государственной сети, на который не обратили внимания, в ноябре несколько часов были недоступны дигирецепты и государственный портал, после этого дигирецепты в декабре были несколько раз недоступными из-за обслуживания устаревших систем. Переход Mobiil-ID на новые системы в мае на 24 часа отключил возможность аутентификации и подписания с помощью этой услуги; также с перебоями работали регистр народонаселения, государственная услуга аутентификации, новая версия X‑tee и т. д.".

Жители Эстонии настолько привыкли к цифровым услугам, что следует инвестировать в их доступность, проверять их работоспособность, тестировать системы, улучшать процедуры и еще раз тестировать, напомнило ведомство.

"Перебои в работе услуг в 2019 году были обусловлены по большей части человеческими ошибками, ошибками администрирования или природными причинами, однако уязвимые системы могут столкнуться со злоумышленниками и угрожающими лицами с государственными связями, которые не заботятся о нашей безопасности и нашем здоровье", - подчеркнул RIA.