Проблем, за който никой не иска да признае

Хакерските атаки срещу големи корпорации и институции станаха ежедневие, а тенденцията не е никак розова

Компанията за информационна сигурност RSA ще подмени милиони засегнати security token-и след атаките срещу Lockheed Martin

© Дневник

Компанията за информационна сигурност RSA ще подмени милиони засегнати security token-и след атаките срещу Lockheed Martin



Citigroup, Sony, Google, Международният валутен фонд (МВФ), Lockheed Martin, френското правителство, Европейският съюз, Турция. Всички в списъка са компании, организации или дори държави, които са станали жертва на хакерски атаки от началото на годината. И които трудно признават за това, че са били обект на такива, заради щетите, които това нанася на репутацията им.


Хакерските атаки обаче стават ежедневие, което заплашва да превърне интернет в едно доста по-опасно място, отколкото повечето потребители смятат. А и повечето компании.


ЕС планира по-строги наказания от поне 5 години затвор за хакери

Само в края на миналата седмица хакери успяха да спрат част от държавните сайтове на Турция, а от МВФ обявиха, че през последните месеци срещу фонда тече "сложна хакерска атака", която обаче е осъществена през един единствен засегнат компютър.




Атаката срещу Истанбул беше отразена веднага и доведе до бързи действия - арести на считаните за лидери на хакерската група Anonymous в Испания. Малко по-късно (в събота) хакерската група удари сайта на испанската полиция под формата на отмъщение за арестите. А при МВФ (а и не само) случаят е малко по-различен.


Защото въпреки че атаката срещу организацията тече от месеци насам, тя беше обявена в материал на "Ню Йорк таймс" доста по-късно. Подобна е и политиката на Sony, които забавиха със седмица признанието, че информацията за потребителите на компанията е компрометирана след пробив в мрежата й PlayStation Network.


Киберпрестъпленията се превръщат в цяла индустрия

Google също изчака доста, преди да оповести, че част от имейлите на компанията са подслушвани, а Citigroup не съобщи веднага, че от сървърите й е източена информация за над 200 хил. кредитни карти на потребителите й. Което превръща не толкова атаките, а по-скоро преднамереното мълчание на засегнатите корпорации в сериозен проблем.


Еволюцията на една нова индустрия
През последните години киберпрестъпленията се превръщат в цяла индустрия подобно на организираната престъпност офлайн. Доказателство са съществуващите международни организации като Lulz Security и Anonymous, които са автори на едни от най-мащабните атаки през последните години.


Първите поеха отговорност за действията срещу Sony и още няколко корпорации, а вторите успяха да ударят сайтовете на турската избирателна комисия и част от телекомите и други доставчици на услуги в страната в петък. Всъщност Anonymous нашумя най-вече след атаките срещу Visa и MasterCard миналата година. Тогава хакерите обявиха, че застават зад създателя на WikiLeaks Джулиан Асандж, и спряха дейността на сайтовете на двата оператора на кредитни и дебитни карти, които отказаха да приемат дарения за съществуването на спорния сайт.

Проблем, за който никой не иска да признае

Иначе за мащабите на киберпрестъпността може само да се гадае. Но примери за обемите й има много. Такъв е вирусът Koobface (игра с буквите, съставящи името на социалната мрежа Facebook). Създателите му са прибрали около 2 млн. долара заради факта, че са можели да използват акаунтите на над 21 млн. потребители на Facebook с над 1 млн. приятели, които те са заразили със зловредния си код.


Тази индустрия придобива все по-плашещи мащаби и заради още един факт - нежеланието на големите корпорации да споделят с обществото, че има реална опасност за изтичане на личните им данни, банковите им сметки и т.н. Показателни са действията на Sony, Citigroup и другите големи компании, които отнесоха и доста критики заради продължителните периоди на мълчание около проблемите с информационната си сигурност.


И тази на потребителите. Държавните органи обаче решиха, че е време да се действа, и Брюксел и Вашингтон обявиха, че планират да въведат или по-строги закони срещу киберпрестъпленията, или да задължат компаниите, които оперират с лични данни, да обърнат по-сериозно внимание на защитата им.


Проблемът с правоприлагането обаче остава. Както и с факта, че тази война никога няма да спре. Както каза изпълнителният директор на Microsoft Стив Балмър още през 2004 г.: "Злодеите от пространството няма да си отидат, както и уязвимостите няма да изчезнат."


Сериозни мерки
В петък Европейският съюз постигна консенсус за по-строги наказания за извършителите на киберпрестъпления. В тях се включва и кражбата на лични данни и дори разпращането на спам съобщения от т.нар. ботмрежи (от заразени компютри).


Според новите правила, които трябва да бъдат одобрени първо от Европейския парламент, наказанието за нанасяне на сериозни вреди на ИТ система ще бъде поне 5 години лишаване от свобода. Европейските правителства обявиха и че ще си сътрудничат при създаването на единни стратегии за борба с киберпрестъпността.


Големият проблем обаче е, че дори и откриването на извършителя на определено престъпно действие в този случай не гарантира осъждането му. Пример е случаят с хакването на имейли на Google от страна на китайски хакери. Китай и САЩ нямат подписано споразумение за екстрадиция, което означава, че принудителното им изправяне пред съда може да стане само ако те решат да напуснат страната си и отидат в държава, която има подобна спогодба с Вашингтон.


В САЩ атаката срещу Citigroup също разбуни духовете. Според "Ройтерс" повечето водещи американски трезори най-вероятно ще бъдат принудени да въведат по-строги мерки за сигурност на потребителите си.


В момента повечето банки позволяват лесен достъп до офлайн банкиране, което, от една страна, им пести разходи, а от друга - привлича клиенти заради леснотата на употреба и улесненията, които предлага услугата на потребителите. Според анализатора от Gartner Авива Литан обаче е на практика задължително използването на т.нар. security token-и, или подобни на флаш памети устройства, които генерират уникален цифров код на няколко минути и без него използването на определена услуга е невъзможно.


Цената им е около 5 долара на брой, което означава инвестиция от поне 100 млн. долара от страна само на Citigroup за всичките й над 21 млн. клиенти на кредитни карти в Северна Америка. Практиката обаче показва, че дори и те не са най-високият праг на защита, след като стана ясно, че сигурността им е била разбита и се налага подмяната на милиони подобни устройства с цел опазването на сигурността на потребителите.


Според анализатори едно от решенията на проблемите е осъзнаването им от страна на компаниите, които вече засегнати или за които атаката е просто въпрос на време - т.е. всички компании. Те трябва да инвестират сериозно в решения за компютърна сигурност, което ако не друго, поне може да накара киберпрестъпниците да ги подминат или да ги оставят за по-късен етап.


Защото като всеки бизнес и всяка открадната кредитна карта има своята цена. А ако кражбата й стане твърде скъпа, то няма смисъл да се инвестират време и средства в кражбата й. По същия начин, по който няма смисъл да се инвестира в производството на продукт, който трябва да бъде продаван под реалната си себестойност. 


Най-важното обаче е и компаниите, и потребителите да осъзнаят, че интернет не е това, което е бил - едно сигурно и незасегнато от престъпления кътче. Напротив - войната в него тепърва започва.



ЕС планира по-строги наказания от поне 5 години затвор за хакери

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK