:format(webp)/nginx/o/2023/08/03/15497631t1h05b8.jpg)
Недавно Эстония подверглась двум публичным кибератакам - рассылке электронных писем с угрозой взрыва в школы и мошенническому звонку премьер-министру, пишет Ронни Яанхольд, руководитель отдела развития бизнеса компании Cybers, специализирующейся на кибербезопасности, и ведущий подкаста «Küberkast».
«Кибридная атака» - это гибридная атака, важной частью которой является кибер элемент. Чаще всего кибридные атаки осуществляются через Интернет, однако их последствия выходят за пределы киберпространства.
Термин «гибридная атака» более широко известен и используется в военной сфере и обозначает атаку, сочетающую в себе как минимум два различных типа атак, например, классическую войну в сочетании со стратегической пропагандой или кибератакой. Однако в случае кибридной атаки гибридность обусловлена главным образом сферой влияния - атака осуществляется с использованием цифровых средств, но ее воздействие распространяется не только на кибернетический мир, но и на повседневную жизнь людей. Однако все может быть и наоборот - например, нарушение работы кабелей связи в Балтийском море будет являться физической атакой на инфраструктуру, но предполагаемый ущерб будет носить преимущественно кибернетический характер. Поэтому мы можем объяснить «кибридность» как своего рода прыжок между онлайном и оффлайном.
Если письма с угрозой взрыва в школах использовались в качестве тактики спама, то звонок премьер-министру представлял собой вполне классическую тактику социальной манипуляции (англ. social engineering), когда злоумышленник выдает себя за другого человека, чтобы получить доступ к жертве. Обе атаки были спровоцированы через Интернет, но в результате обмана одна из них получила свое продолжение в кабинете премьер-министра, а другая стала причиной отмены школьных занятий для тысяч учеников. Реагирование на подобные атаки должно включать в себя сочетание мер по предотвращению, нейтрализации и информационно-разъяснительной работе, а также привлечение государственных ресурсов, предприятий, чиновников и частных лиц к единому действию.
Однако в случае с кибридной атакой гибридность обусловлена прежде всего сферой влияния - атака осуществляется с использованием цифровых средств, но ее последствия выходят за пределы кибернетического мира и распространяются на повседневную жизнь людей.
К счастью, последствия этих атак оказались незначительными - в случае с угрозой взрыва было потеряно несколько часов, а в случае с ложным звонком - просто небольшое фрик-шоу. Однако наибольший эффект от атак можно назвать даже положительным - была обнаружена пара слабых мест, которые можно устранить сейчас и в будущем. Школы, полиция, ученики и родители получили четкие планы действий на случай подобных угроз (к которым, конечно, не стоит относиться легкомысленно!), а офис премьер-министра усилил проверку персональных данных. Кроме того, поскольку нападения широко освещались в средствах массовой информации, была повышена осведомленность общественности о потенциальных рисках.
Угроза кибридных атак сохраняется
Хотя эти кибридные атаки были направлены против государственного и правительственного секторов Эстонии, не исключены атаки на частных лиц, предприятия или третий сектор. Приведу несколько вымышленных примеров.
Возьмем гипотетическую компанию N, которая продает одежду как в физических, так и в электронных магазинах и обеспечивает поддержку клиентов по телефону и через чат. Используя возможности искусственного интеллекта, злоумышленники могут вывести из строя службу поддержки сотнями или даже тысячами «клиентских звонков». В этом случае злоумышленник с искусственным интеллектом обращается в службу поддержки либо по телефону (да, он умеет говорить по-эстонски), либо через окно чата/электронной почты с, казалось бы, искренней проблемой или вопросом. Задача состоит в том, чтобы как можно дольше занять ответчика правдоподобной чепухой. По сути, это атака типа «затора в обслуживании» (DoS), которая приводит к снижению или даже полной доступности сервиса. Это затрудняет или даже блокирует доступ реальных людей к службе поддержки, приводит к потере рабочего времени сотрудников, а также к финансовому и/или репутационному ущербу. Лучшей защитой в этом случае будет умение сотрудников отличать подлинные запросы от ложных, а также наличие у компании технических возможностей для фильтрации и блокирования ложных запросов еще до того, как они попадут в службу поддержки.
Однако наибольший эффект от атак имеет даже положительное значение - было обнаружено несколько слабых мест, которые можно устранить сейчас и в будущем.
Далее рассмотрим пример гипотетической благотворительной организации A, которая занимается сбором и доставкой предметов первой необходимости детям, пострадавшим от войны. Вредоносный кибридный злоумышленник может выдать себя за потенциального жертвователя, пообещать «большой пакет пожертвований» с предметами первой необходимости и попросить организацию A организовать транспорт и другие необходимые вещи. Если не провести проверку, ресурсы могут быть направлены на получение и доставку фиктивного пакета помощи. Пока не выяснится, что все труды и расходы были напрасны. Цель злоумышленников - отвлечь сотрудников на бесплодную работу, оставив меньше времени на реальные дела. И снова первая линия обороны при такой атаке - знающий персонал, вторая - введение фоновых проверок.
В качестве третьего примера возьмем случай, когда частное лицо Б, одна из тысяч жертв, получает тревожное ложное сообщение якобы от медицинского учреждения, в котором, например, детям Б сообщается об опасной проблеме со здоровьем и предписывается срочно обратиться за медицинской помощью. В результате создается ненужная нагрузка на медицинскую систему, что затрудняет получение помощи действительно нуждающимися в ней людьми. Здесь важную роль в тактике защиты играет бдительность и информированность отдельных граждан, а также оперативное взаимодействие служб экстренной помощи и медицинских учреждений.
Наличие потенциала защиты
Описанные сценарии, конечно, являются гипотетическими, но риск кибридных атак, которые могут осуществляться через Интернет, но последствия которых распространяются на повседневную жизнь, вполне реален. К сожалению, такие атаки достаточно легко организовать, и постоянно разрабатываются новые сценарии.
Положительным моментом является то, что эти атаки, в силу их публичного характера, могут быть быстро обнаружены и нейтрализованы. Однако государственные органы, предприятия и частные лица должны быть готовы к этому. Лучшая защита - это широкая осведомленность, привычка проверять и продуманный план действий на случай возможной атаки. Не нужно бояться, потому что страх и растерянность - это то, что нужно преступникам. У людей, учреждений и предприятий в Эстонии есть все возможности и знания для эффективной защиты. Давайте ими воспользуемся.
*Словосочетание «кибридная атака» пока не очень распространено и не встречается в словарях, но оно уже активно используется в сообществе кибербезопасности и заслуживает того, чтобы стать более известным.