Вирус шифровальщик уголовное дело

Как Windows XP победила вирус WannaCry

В мае прошлого года сетевой червь-вымогатель WannaCry захватил данные полумиллиона компьютеров в более чем 200 странах по всей планете. Из-за него оказались зашифрованы банковские, промышленные, медицинские и даже правительственные данные десятков тысяч организаций, а за разблокировку каждого устройства вымогатели требовали заплатить около 300 долларов в биткоинах. Россия оказалась одной из стран, значительно пострадавших от эпидемии этого вируса. Однако на многих отечественных компьютерах до сих пор установлена устаревшая операционная система Windows XP, на которой вирус работает некорректно. Именно это спасло от полного коллапса ряд отечественных предприятий и компаний.

Череда хакерских атак продолжилась в начале 2018 года и была связана с распространением фишинговых писем. В этих письмах содержались вредоносные вложения, а их получателями стали компании в секторе промышленного производства.

Он отметил, что основной целью таких атак является кража денег со счетов организации. Когда злоумышленники подключаются к компьютеру жертвы, они находят и изучают документы о проводимых закупках, а также ПО для осуществления финансовых и бухгалтерских операций (бухгалтерское ПО, банк-клиент и др.). После этого хакеры ищут различные способы для совершения финансовых махинаций, в частности подменяют реквизиты, по которым производится оплата счетов.

Он подчеркнул, что атаки 2017 года показали киберпреступникам — технологические сети предприятий могут быть даже более уязвимыми, чем корпоративные, и к ним можно получить доступ из интернета. Сложно сказать, кто конкретно стоит за каждой из такой кибератак, но зато ясны их цели — в большинстве случаев это жажда денег или шпионаж, уверен эксперт.

Энергетика под прицелом хакеров

Шебулдаев также назвал отрасли, наиболее подверженные атакам киберпреступников. По итогам 2017 года лидерами по числу взломов оказались энергетический и строительный секторы, а также компании-интеграторы автоматизированных систем управления (АСУ). Чуть менее часто хакеры нападают на предприятия и компании в сферах питания, образования, фармацевтики и нефтегаза. А самое малое число кибератак специалисты зафиксировали в горнодобывающей промышленности, транспорте и логистике.

Татарстан — на острие кибербезопасности

В 2016 году мы начали активное продвижение нового проекта в области промышленной инфраструктуры, когда речь идет о защите непосредственно производственной части завода — тех компьютеров, которые стоят в цехах на нефтеперерабатывающих заводах, электростанциях и т.д. Инициативы компании были приняты в Татарстане на высоком уровне, и стороны определили направления совместной работы с Министерством информатизации и связи РТ, подчеркнул наш собеседник.

За это время лаборатория запустила на территории Татарстана больше десятка пилотных проектов, которые сами специалисты сравнивают с опытной эксплуатацией, в дальнейшем дающей результаты для коммерческого внедрения.

Он пояснил, что технологический процесс на предприятии может пойти неправильно из-за целого ряда причин. Это может быть как износ оборудования, его неверная настройка, банальная ошибка оператора, так и злонамеренное проникновение вредоносных программ на компьютеры завода. Новая система, при помощи обучающейся нейросети, распознает эти аномалии на ранней стадии и позволяет предотвратить аварию.

Абсолютная защита от хакеров невозможна

В заключение он подчеркнул — сейчас на предприятиях можно создать киберзащиту, которая предотвратит случайные заражения и не позволит использовать уязвимости систем. Но о 100-процентной гарантии здесь говорить нельзя. Всегда есть вероятность, что вредоносные действия хакеров на предприятии будут хорошо замаскированы, и распознать их сможет только эксперт по кибербезопасности.

АИР-СОФТ (AIRSoft Co.) предупреждает – в последнее время ОЧЕНЬ участились случаи мошенничества с использование вредоносных программ-шифровальщиков.

События развиваются стремительно, поэтому мы переделываем данный раздел по актуальности информации. С более ранней информацией можно ознакомиться внизу страницы.

Интервью Савиновой Ирины Викторовны по вопросу шифровальщика >>>

Меры по предотвращению потери данных из-за вирусов-шифровальщиков

Использовать последние версии антивирусных продуктов:

Kaspersky Endpoint Security. Модуль Мониторинга системы может выявить многие шифровальщики по подозрительному поведению и восстановить зашифрованные файлы. Подробнее

Dr.Web. Превентивная защита в новых версиях способна остановить многие новые вирусы-шифровальщики. Модуль защиты от потери данных (в некоторых продуктах) позволяет настроить резервное копирование данных. Подробнее

ESET NOD32. Дополнительные рекомендации по снижению риска заражения. Подробнее.

Использовать дополнительные возможности антивирусов:

Kaspersky Endpoint Security. Защита с помощью Контроля активности программ. Подробнее.

Настроить удаление опасных вложений из писем:

Средствами Kaspersky Endpoint Security. Фильтрация вложений в модуле Почтовый антивирус. Подробнее.

Средствами почтового сервера Kerio Connect. Возможность удалять опасные вложения в zip-архивах (начиная с версии 8.5). Подробнее

С помощью функции Фильтрация вложений в Kaspersky Security для Microsoft Exchange (начиная с версии 9.2.39). Подробнее

Настроить резервное копирование данных:

Письма-шифровальщики с адреса Управления Росприроднадзора по Чукотскому автономному округу

Адрес от имени которого приходит письмо - указан на их официальном сайте. Только надо помнить, что официальные письма госструктур выглядят совершенно иначе!

Будьте внимательны и не открывайте подозрительных писем

Мастерство злоумышленников растет – теперь они уже не шлют типовые письма всем наовось, а используют персонализированный подход.

Например, вот такое письмо пришло нашему директору – все чин по чину, с именем и персональным предложением.

И сумма выигрыша не запредельная – что тоже способствует доверию.

Будьте бдительны – не ведитесь на именной выигрыш – особенно если даже билет лотереи не покупали

Пример письма-шифровальщика, замаскированного под письмо Службы технической поддержки "1С"

Чтобы НЕ стать очередной жертвой шифровальщика WannaCry НУЖНО УСТАНОВИТЬ своевременно не установленный патч MS17-010 от Microsoft (в виде исключения он выпущен даже для Windows XP).

Также нужно убедиться, что на каждой рабочей станции и сервере используется актуальная версия антивирусного решения, его базы обновлены и в настройках включена проактивная защиты (она же – Мониторинг системы в продуктах Лаборатории Касперского) – что позволит обнаруживать по поведению даже новые угрозы, которых еще нет в базах.

Подробнее о шифровальщике WannaCry.

ОБРАТИТЕ ВНИМАНИЕ – КАК отличается адрес, указанный в ссылке, от РЕАЛЬНОГО (в окне – появляется при наведении мышкой)

Уже этого достаточно, чтобы понять – данное письмо ОПАСНО

Недавно нами были получены еще яркие примеры писем-шифровальщиков

Одно письмо очень "жизненное", а второе рассчитано на любителей "халявы"

В преддверии сдачи отчетности злоумышленники снова активизировали страх бухгалтеров перед налоговыми инспекциями и проверками.

Ниже – типичный образец письма, которые сейчас даже нам приходят регулярно.

Будьте бдительны: налоговая точно ТАК НЕ работает.

Июль 2016: интервью Савиновой Ирины Викторовны по вопросу шифровальщика >>>

Ноябрь 15: Внимание! Злоумышленниками, от имени Управления Роспотребнадзора по РБ рассылаются письма с информацией о проведении мероприятий по контролю организаций.

Сентябрь 15: типовые примеры писем с шифровальщиками:

Август 15: типовые примеры писем с шифровальщиками - выглядят убедительно, но ОПАСНЫ

Июль 15:

2. Маскировка писем шифровальщиков под письма с Актами-сверки выглядят крайне убедительно - Будьте внимательны! Ниже Print Screen письма, которое получили мы

Май 15: тема официальных писем от госорганов уже показалась злоумышленникам изжитой, и они вернулись и весьма активизировались на социальных ловушках, активно эксплуатируя две базовые человеческие слабости – СТРАХ и ВЫГОДУ.

В большинстве писем даже указаны последние цифры карты, только вот в состоянии эйфории от неожиданной прибыли мало кому приходит в голову СРАВНИТЬ эти цифры с реальными данными СВОЕЙ КАРТОЙ.

Чаще всего к письму прилагается вложение в виде архива (где Вас и ждет злобный монстр), или указана гиперссылка на якобы место хранения документов – что там – см выше, в п.1

ВЫ ЖДЕТЕ ЭТО ПИСЬМО, ВЫ ДОГОВАРИВАЛИСЬ С ОТПРАВИТЕЛЕМ, ОН – банально –Вам ИЗВЕСТЕН?

НЕТ! Так зачем Вам открывать вложения и переходить по разным ссылкам? Иногда и сотрудников-получателей в организации то с таким именем нет, а получатель кликает по ссылкам и вложениям.

Да, да - злоумышленники уже пошли дальше в своем развитии – от писем от неизвестных источников перешли – к надежным и привычным для Вас адресатам.

Тексты таких писем очень разнообразны.

В итоге разбирательства такого печального инцидента – вирус в банке – выявилась печальная деталь – с клиентами менеджер банка переписывался не через защищенный корпоративный портал, а … с личной почты….

Так же Вы можете получить от известного Вам адресата и совершенно новое письмо, с любым - даже самым неожиданным текстом…

Несуразность такого письма – на контрасте характера и смысла – сразу бросилась в глаза…

Но если бы такое письмо пришло молодому мужчине от молодой знакомой – оцените вероятность открытия – и последующего заражения?

Как видите, ВАРИАНТОВ обеспечить Вам заражение - ОЧЕНЬ МНОГО!

Февраль 15: мастерство злоумышленников растет.

Обратите внимание – обратный адрес уже похож на реальный судебный, да и ссылка для скачивания информации – не вызывающий подозрение набор символов, а вполне уже логичная по смыслу…

Да и над текстом поработали хорошие психологи – он уже вполне может восприниматься на полном серьезе.

Будьте еще более бдительны, господа и дамы, КОНТРОЛИРУЙТЕ свое любопытство!

Октябрь 14 : уровень мастерства и понимания психологии злоумышленников растет день ото дня.

Те нелепости текста, о которых мы писали год назад, проработаны и ушли в прошлое.

Теперь полученный текст очень реален, он говорит о том, что направленное в Ваш адрес уведомление об уголовном деле вернулось, и это письмо просто информационное. Сплошная забота….

Реально мало что в этом переработанном тексте настораживает – если бы не три вещи:

· Обращение к электронному адресу – это ЯВНЫЙ ляп № 1, который должен настораживать

· Странная весьма гиперссылка, выходящая при наведении на якобы Ваше дело – это ЯВНЫЙ ляп № 2

А так уровень достойный – БУДЬТЕ БДИТЕЛЬНЫ:

Две человеческие слабости – СТРАХ и ВЫГОДА – все лучше используются злоумышленниками.

Мы уже писали 23.08.13 на своем сайте информацию об этом виде мошенничества,

НО количество ПОСТРАДАВШИХ растет ТАКИМИ темпами, что мы решили сделать

ОТДЕЛЬНУЮ СПЕЦИАЛЬНУЮ ПРЕДУПРЕДИТЕЛЬНУЮ РАССЫЛКУ

ВНИМАТЕЛЬНО прочитайте нижеследующую информацию – и БУДЬТЕ БДИТЕЛЬНЫ к содержанию приходящих Вам писем!

ЧАСТЬ 1 - КАК ПРОИСХОДИТ ЗАРАЖЕНИЕ:

Пользователь получает информационное письмо якобы от государственных органов законодательной, исполнительной или судебной власти (например, из Арбитражного суда на тему "о взыскании долга", "Судебное постановление Арбитражного суда" или т.п.) – на рисунке Print Screen письма, которое лично мы тоже получили.

Print Screen письма, ссылка которого содержит Trojan.Encoder

Письмо выглядит вполне безобидным и даже полезным, однако после ОПРОМЕТЧИВОГО нажатия на кнопку ЗАГРУЗИТЬ ДОКУМЕНТЫ - при отключенном антивирусе - происходит запуск вредоносной программы-шифровальщика (она же Trojan.Encoder).

Не будем обсуждать РАЗУМНОСТЬ этого отключения или РАЗУМНОСТЬ наличия антивируса с устаревшими базами – в конце концов, КАЖДЫЙ САМ ДЕЛАЕТ СВОЙ ВЫБОР .

А зашитый в сообщение шифровальщик ДЕЛАЕТ СВОЕ ЧЕРНОЕ ДЕЛО:

находит на дисках файлы наиболее распространенных форматов (документы Word, Excel, PDF, фотографии, базы 1С) и шифрует их.

При этом используются алгоритмы асимметричного шифрования. Расшифровать данные можно только обладая закрытой частью ключа, которая есть только у злоумышленника – автора вредоносной программы.

Способов эффективного подбора ключа современной науке не известно.

После того, как все данные зашифрованы, вредоносная программа оставляет инструкции, как связаться со злоумышленником для восстановления информации - за деньги.

А ничего… синий экран…потеря нужной информации…. нервный стресс и …звонок нам

Только мы – по опыту последних недель – особо не порадуем: пока нечем.

ЧАСТЬ 3 – ЧТО ДЕЛАТЬ, ЕСЛИ ПОЛУЧИЛИ ТАКОЕ?

Банально – ИГНОРИРОВАТЬ такие сообщения.

Если уж ОЧЕНЬ интересно – позвоните в госорган, ЯКОБЫ приславший Вам сообщение и спросите – что и как

На будущее – тип сообщения может меняться, но ВСЕГДА видны НЕСУРАЗНОСТИ, выдающие его с головою.

Самые типовые – хорошо видны на нашем сообщении – посмотрите:

· обращение к электронному адресу – а не к ФИО

· несоответствие информации – Арбитраж НЕ возбуждает уголовные дела

ЧАСТЬ 4 – А ЧТО ДЕЛАТЬ, ЕСЛИ ОТКРЫЛИ?

Похвалить себя, если у Вас есть ПОЛЕЗНАЯ привычка – ежемесячно (хотя-бы) делать архив своих данных – на внешних независимый носитель: МАКСИМУМ, что Вы потеряли – все данные с даты последней архивации…

· Понять, что самостоятельно восстанавливать зашифрованные файлы и/или связываться по присланным координатам для выяснения реквизитов платежа за ключ дешифрации - БЕСПОЛЕЗНО,

· Отключить пострадавший компьютер от сети

· Сделать копию зашифрованных файлов для последующих попыток восстановления – на отдельный носитель – а вдруг повезет

· Вспомнить - а КАКОЙ антивирус Вы отключили – для того, чтобы это злополучное сообщение прочитать

Если Вы являетесь пользователем антивируса Лаборатории Касперского:

Обратитесь в техническую поддержку Лаборатории по телефону 8 800 700 88 11.
Будьте готовы предоставить максимально подробную информацию о Вашей лицензии, а также информацию о времени обнаружения заражения, требовании злоумышленника и несколько зашифрованных файлов для передачи на анализ.

Если Вы являетесь пользователем антивируса Доктор Веб:

Для Вас на официальном сайте Доктор Веб есть специальный раздел, в котором Вы можете создать запрос в техническую поддержку, касающийся именно расшифровки файлов.

Внимательно заполните текстовые поля запроса, а также приложите к запросу требуемые файлы.

Если Вы являетесь пользователем антивируса ESET:

В обращение необходимо добавить в архив образец шифратора и других подозрительных файлов, несколько образцов зашифрованных файлов. В комментариях укажите обстоятельства, при которых произошло заражение, а также ваши лицензионные данные и контактный email для обратной связи.

ЧАСТЬ 5 – А ЧТО ЕЩЕ МОЖНО СДЕЛАТЬ?

Ниже приведено письмо, доставленное в нашу бухгалтерскую службу 22.08.14:

Кому не захочется вернуть деньги из бюджета?

Вот только проверьте – просто наведением – КУДА ведет ссылка, на которую Вас призывают нажать для скачивания форм документов!

И сразу поймете, что НИКАКОГО ОТНОШЕНИЯ к налоговой эта ссылка не имеет!

Не говоря уже о том, что не указан Ваш ИНН, да и само название организации отсутствует…

Предупредите своих бухгалтеров.

Письма рассылаются от конкретного сотрудника прокуратуры Уфы, номер его контактного телефона отличается всего на одну цифру от реального номера приемной прокуратуры.

Официально нейтральный текст, призывающий скачать постановление прокуратуры, тоже не вызывает особых опасений.

Но – при желании тоже легко обнаружить признаки опасности:

Наведите мышку на ссылку – и Вы увидите КАРДИНАЛЬНОЕ отличие указанного в гиперссылке интернет-адреса с реальным – это ВАЖНЫЙ признак ОПАСНОСТИ

Нажмите ОТВЕТИТЬ на это письмо – и отправьте обратно пустым – приходит извещение системы об отсутствии адресата в домене прокуратуры

При ВКЛЮЧЕННОМ на максимальную защиту антивирусе нажмите на ссылку – выходит СРАЗУ же сообщение о заражении ресурса (скрин-ниже)

Что придумают мошенники дальше – НЕИЗВЕСТНО!

Единственное, что мы можем Вам посоветовать – это БУДЬТЕ ВНИМАТЕЛЬНЫМИ КО ВСЕМ ВХОДЯЩИМ ПИСЬМАМ!

Реальное письмо, доставленное нам и массово нашим клиентам 8.09.14, приведено ниже.

В этой статье говорим о небольших компаниях, в которых нет отделов информационной безопасности, поэтому будем рассматривать основы защиты информации.

Если ваша компания занимается секретными разработками, наукой или работает с коммерческими тайнами, понадобятся средства посерьезней.

Еще о преступлениях в бизнесе:

Что считается киберпреступлением

Бизнес чаще всего сталкивается с двумя преступлениями — неправомерным доступом к информации и вирусами. А все виды киберпреступлений описывает Уголовный кодекс.

Неправомерный доступ к компьютерной информации, ее изменение, копирование или уничтожение

минимум — штраф до 200 000 рублей;

максимум — лишение свободы до 7 лет

Создание и распространение вирусов для изменения, уничтожения или копирования информации

минимум — ограничение свободы и принудительные работы до 4 лет;

максимум — лишение свободы до 7 лет

Нарушение правил эксплутации сетей, средств хранения, передачи информации

минимум — штраф до 500 000 рублей;

максимум — лишение свободы до 5 лет

Воздействие на критическую информационную структуру России. Сюда относятся государственные и частные учреждения в сферах здравоохранения, науки, транспорта, обороны, связи, энергетики и финансов

минимум — принудительные работы до 5 лет;

максимум — лишение свободы до 10 лет

Киберпреступники в малом и среднем бизнесе чаще всего преследуют три цели: испортить репутацию, украсть персональные данные или получить от компании деньги.

Взломы сайтов

В июне этого года кто-то взломал сайт челябинской клиники. На главной странице появилась заглушка, а ссылки на другие разделы исчезли:

На следующий день сайт восстановили, но скриншоты попали в социальные сети. Если судить по тексту, кажется, что сайт взломали недовольные клиенты, чтобы испортить репутацию клиники.

Испортить репутацию — не единственная цель взломщиков. Если у компании есть уязвимость, из-за которой можно получить персональные данные, контакты или сканы паспортов, преступники скорее будут перепродавать их, чем сообщать об этом на главной странице.

Перепродажа персональных данных

В интернете продаются сканы документов: паспортов, пенсионных свидетельств, водительских прав и дипломов о высшем образовании.

Мы не знаем точно, откуда у продавцов чужие документы. Но, к примеру, такой же набор сканов запрашивают при оформлении ипотеки и трудоустройстве.

Иногда взломщики не продают персональные данные, а публикуют их в открытом доступе.

Есть крупные компании, которые специально платят тем, кто находит в их программах или сервисах уязвимости. Это помогает устранять слабые места раньше, чем их найдут взломщики.

В практике моих коллег был случай. На файлообменнике появилось видео: неизвестный взламывает сайт компании и скачивает персональные данные клиентов. Для взлома он подобрал пароль, вошел в личный кабинет администратора и через этот кабинет разом скачал данные других пользователей.

Вымогательство через вирус-шифровальщик

Последние пару лет специалисты стали чаще сталкиваться со взломами ради вымогательства. Если раньше взломами занимались идейные группы, чтобы продвигать свои взгляды, сейчас это делают ради денег.

Взломщикам проще вымогать деньги у мелких фирм: продавцов пластиковых окон, фитнес-клубов и региональных интернет-магазинов, потому что в крупных компаниях есть отделы информационной безопасности.

Обычно в одном из файлов или во всплывающем окне требование заплатить 0,008-0,025 биткоинов, это примерно 100-300 долларов. Взломщик обещает, что после оплаты пришлет ключ для расшифровки.

Но платить взломщику — бесполезный и ненадежный метод. Нет гарантий, что он пришлет ключ для расшифровки, и даже что он знает, как расшифровать файлы. Цель взломщика — получить от компании деньги, поэтому его программа должна уметь шифровать файлы и требовать деньги, а расшифровка его не интересует.

В 2017 году был всплеск атак с помощью вирусов-шифровальщиков, сейчас почтовые сервисы не разрешают отправлять программы по почте. Программы — это файлы с расширением .exe, их отправку сервисы блокируют. Но это не мешает отправлять письма со ссылками на вирус.

Чтобы избежать заражения вирусом-шифровальщиком, нужно объяснить сотрудникам, как он обычно выглядит и что будет, если открывать ссылки от незнакомых отправителей и скачивать программы из интернета. А еще лучше — ограничить права пользователей так, чтобы они не могли скачивать и устанавливать программы.

Что делать, если файлы компании зашифровал вирус

Главная проблема с вирусом-шифровальщиком — это отсутствие доступа к важным файлам. Например, к базе поставщиков, заявкам клиентов и 1С-бухгалтерии. Вирус останавливает работу, и, пока файлы зашифрованы, компания теряет деньги.

Чаще всего зашифрованные файлы — это потерянные файлы, но всё же есть способы, расшифровать файлы после вируса шифровальщика.

Написать в поддержку антивируса. Антивирус — это защита системы от известных угроз, а шифровальщик может быть неизвестным. Но если в компании во время заражения был установлен лицензионный антивирус и включено автоматическое обновление, можно написать о проблеме в поддержку. Почти всегда разработчик антивируса старается помочь, и нередко ему это удается.

Обратиться к интеграторам. Интеграторы — это компании, которые занимаются информационной безопасностью. Возможно, у них в штате есть специалисты по расшифровке файлов, которые смогут вернуть хотя бы часть данных. Но расшифровщики есть не в каждом городе.

Цена расшифровки зависит от вируса и размеров файлов. Например, расшифровка базы 1С размером до 1 гигабайта может стоит 12 000 рублей, до 20 гигабайтов — 30 000 рублей.

Восстановить файлы через теневую копию. У Виндоус есть своя система защиты — теневые копии. Это копии, которые в фоновом режиме создает система.

По умолчанию у Виндоус включена защита диска с системой, обычно это диск С. Для доступа к файлам теневой копии нужно:

• запустить программу Shadow Explorer;
• проверить систему антивирусом. Мне кажется, что лучше остальных справляется бесплатный антивирус Dr. Web;
• подключить жесткий диск и скопировать на него файлы;
• переустановить систему.

Обычно вирус удаляет теневые копии первыми, но попробовать стоит.

Обратиться в полицию. Полиция может изъять оборудование, а это значит, что работа компании остановится на неизвестный срок. Но есть шанс, что помогут, особенно если взлом неслучайный и были похищены данные. Неслучайный значит, что преступники не просто рассылали вирус всем подряд, а специально украли данные именно этой компании, например телефоны их клиентов.

Правила кибербезопасности для бизнеса

Первое, что нужно сделать, — обучить сотрудников. По моему опыту, больше половины взломов случаются из-за того, что сотрудник скачивает программы из интернета, открывает странные ссылки, игнорирует антивирус и пользуется паролем 123 456 или qwerty.

Кроме обучения, нужно сделать еще несколько вещей:

• установить на все компьютеры антивирус, хотя бы бесплатный, и включить автоматическое обновление антивирусных баз;
• обновить операционную систему до Виндоус 10 и включить автоматическое обновление;
• создать график резервного копирования файлов. Важные для работы файлы лучше копировать на внешний жесткий диск, который не будет подключаться к сети. Лучше копировать раз в неделю, а если данные меняются каждый день, то ежедневно;
• поставить пароли на все точки входа в информационную систему. Точки входа — это вайфай и компьютеры, подключенные к локальной сети.

Пароль должен состоять минимум из восьми букв и цифр разного регистра. Для создания паролей можно использовать методику парольных фраз. Придумать принцип, например цифра-животное-цвет, и набирать эту фразу в английской раскладке.

Технологии последних 10 лет полностью изменили весь уклад жизни людей, но общество оказалось не готово к таким переменам. Сейчас мы с вами живем в самое безопасное время за всю историю страны (если оперировать статистикой, а не потоком негативных новостей), но, разумеется, злодеев и жуликов меньше не стало. Просто реальная опасность поджидает вас уже не на улице, а — в интернете.

Компьютерная преступность стала масштабнее и опаснее традиционной организованной преступности. По нашим оценкам, суммарный ущерб экономике России от киберпреступности к началу 2016 года достиг 203,3 миллиардов рублей или 0,25% от ВВП России, что равняется почти половине бюджетных расходов на здравоохранение в 2015 году! При этом, что удивительно, львиная доля бюджета правоохранительных органов уходит на борьбу и профилактику традиционной, уличной преступности.

Появилось новое несколько сотен преступлений, которые совершаются с помощью IT-технологий: педофилы, инициаторы детских суицидов, игорный бизнес, компьютерное пиратство, мошенничество, воровство денег, интернет-пирамиды, спам, контрафакт в интернете, наркоторговля и огромный пласт компьютерных преступлений: DDoS-атаки, хищение паролей, взломы, хищение денег с банковских карт, кражи в интернет-банкинге, вирусы-шифровальщики и вымогательство, саботаж и диверсии, перехват трафика, кибершпионаж и кибертерроризм…

Понятно, когда дело касается кибертерроризма, шпионажа, целевых атак на банки, взломов сетей государственных органов к расследованию подключаются спецслужбы, полиция, регулирующие и контролирующие органы. И есть большая вероятность, что дело будет доведено до логического финала — приговора.

Официальные данные о киберпреступлениях часто являются существенно заниженными. Жертвы могут не подозревать, что они стали объектами атак, или же они не хотят заявлять об инциденте, опасаясь огласки. Да, и само государство иногда закрывает глаза на "мелочевку". Недавно сообщали, что Центробанк планирует установить минимальную сумму ущерба от кибератак, которую банки должны отражать в своей отчетности. Я не думаю, что это правильная история — в статистике не считать мелкие инциденты. Многие злоумышленники специализируются на мелких хищениях, но делают их массово. Нам были известны преступные группы, которые воруют миллионы рублей, списывая по 20-50-100 рублей со счета. Любой инцидент, связанный с компьютерными преступлениями, есть инцидент и надо его фиксировать. И тут мы сталкиваемся с серьезной проблемой.

Возьмем, к примеру американский US-CERT, на главной странице написано, что к ним могут обратиться за помощью all american. А у нас — пострадавшему гражданину, предпринимателю, владельцу мелкого/среднего бизнеса — идти фактически некуда. Я как рядовой гражданин, не могу получить ответа на вопрос, что мне делать в случае киберинцидента и тем более не могут привлечь злоумышленников к ответственности и вернуть свои деньги.

Мы считаем, что необходимо кардинально менять подход к компьютерным преступлениям — не только в России, но во всем мире. Не стараться адаптировать старую систему под новую реальность, а создать принципиальную новую систему борьбы с компьютерными преступлениями.

Невозможно бороться с угрозами, если о них ничего не известно специалистам. Поэтому, в первую очередь, необходим процесс оперативного уведомления об актуальных угрозах с подробным описанием и рекомендациями по выявлению и предотвращению их реализации. Важна скорость реакции на инцидент, сбор данных об инциденте и доведение этих знаний до людей и компаний, отвечающих за информационную безопасность. Эти сведения должны предоставляться максимально оперативно и в стандартизованном формате, чтобы была возможность автоматизированной работы с ними.

Идеи создания Национального центра реагирования на киберинциденты давно витают в воздухе. Поступали самые разные предложения — от создание НЦК на базе Сбербанка до появления подобного центра на базе Бауманки, где работали бы студенты и волонтеры. Мое мнение — этот вопрос надо решать незамедлительно. Без Национального центра реагирования на киберинциденты, который оперативно оказывал бы поддержку и координацию, безопасное развитие цифровой экономики не представляется возможным.