Всего 10 лет назад программы-вымогатели были уделом маленьких хакеров, которые зашифровывали файлы, чтобы получить несколько сотен долларов от случайных людей. Сегодня это актуальный вопрос национальной безопасности.
Как сказал в конце июля президент Джо Байден: «Если Соединенные Штаты закончат« настоящую войну с перестрелками »с« сверхдержавой », виноват будет« кибернетический взлом со значительными последствиями ».
Киберпреступники усилили свои атаки в течение многих лет — выключали компьютерные системы в полицейских участках, городских властях и больницах. Но атака программ-вымогателей в мае на оператора крупнейшего нефтепровода в Соединенных Штатах, которая нарушила поставки бензина на большую часть страны, является одной из многих кибератак, приближающихся к войне.
DarkSide, хакеры, предположительно базирующиеся в России, прекратили свою деятельность после того, как Colonial Pipeline заплатила 4,4 миллиона долларов в биткойнах. Но группы киберпреступников часто реорганизуются и меняют свой бренд. ФБР недавно объявило, что отслеживает более 100 активных групп вымогателей.
Чтобы обуздать атаки программ-вымогателей, США необходимо скорректировать соотношение риска и вознаграждения для хакеров — и стран, которые их укрывают или поддерживают. Эта национальная стратегия сдерживания затруднит проникновение в сети, будет более решительно реагировать на хакеров и требовать прибыли от тех, кто добился успеха.
Многие компании и другие организации частного сектора недостаточно укрепили свою защиту, несмотря на неоднократные предупреждения. Отчасти потому, что они заплатили небольшую цену за свое пренебрежение. В 2013 году Target подверглась крупнейшей на тот момент утечке данных, которая поставила под угрозу финансовые данные 40 миллионов клиентов. В 2017 году конфиденциальная финансовая отчетность более 140 миллионов человек была раскрыта в результате утечки данных компании Equifax, занимающейся мониторингом кредитоспособности.
Ни одна из компаний — и многие другие ей подобные — не подверглись санкциям со стороны своих давних акционеров или клиентов.
Это может измениться, если компании начнут брать на себя юридическую ответственность — помимо государственных штрафов — за ущерб, причиненный их слабой безопасностью. Например, коллективный иск был подан от имени 11 000 владельцев заправочных станций, требующих компенсации за упущенные продажи из-за закрытия трубопровода в колониальном стиле.
Их обвинения в халатности могут иметь основания. Колониальные операторы трубопроводов и другие лица были предупреждены об угрозах программ-вымогателей за несколько месяцев до атаки Агентства кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности. Тем не менее, DarkSide легко проник в Colonial Networks, используя неактивный вход в систему через VPN, который является одним из многих паролей, украденных из даркнета.
Вторжение могло быть предотвращено базовыми методами гигиены Интернета — деактивацией старых учетных записей, обязательным частым обновлением паролей пользователей и двухфакторной аутентификацией, а также практикой запуска корпоративных процессов из резервных копий.
Однако кибератаки стали настолько сложными, что усиления защиты сети будет недостаточно. Месть — краеугольный камень любой стратегии сдерживания. Вопрос в том, кому отвечать и насколько это сложно.
Обвинение отдельных хакеров в преступлениях редко бывает успешным, потому что многие из них действуют за пределами правоохранительных органов США. Правительства восточноевропейских стран особенно неохотно мешают киберпреступникам действовать в пределах своих границ. Еще одним инструментом являются экономические санкции, но они еще не заставили Россию бороться с такими внутренними группами программ-вымогателей, как DarkSide и REvil. Другие страны напрямую поддерживают такую преступную деятельность; Северная Корея известна тем, что использует армию киберпреступников для сбора денег для тоталитарного государства.
Чтобы увеличить риски для своих противников, Соединенные Штаты могут начать онлайн-контратаки на хакерскую группу или страну, в которой она находится. Принимаемые меры возмездия могут стать более серьезными, если программы-вымогатели угрожают общественной безопасности или доступу к таким предметам первой необходимости, как здравоохранение, продукты питания и бензин. Похоже, именно это Байден пытался передать во время своей июньской встречи с Владимиром Путиным, когда он вручил президенту России список из 16 жизненно важных секторов инфраструктуры, которые Байден объявил закрытыми.
Этот замысел должен быть подкреплен не только словами. Чтобы сдерживание было убедительным, Соединенным Штатам необходимо послать четкие сигналы о том, что они готовы отреагировать соразмерно, особенно если спонсируемые государством хакеры отключат энергосистему или нарушат работу плотины. Согласно международному праву, такие действия считаются «применением силы» против другой страны, и это ставит военный ответ на стол.
Еще один способ сдержать атаки программ-вымогателей — лишить хакеров возможности использовать их успехи. Регулярное резервное копирование данных и практика восстановления могут помочь, но это не гарантируется. ФБР не рекомендует платить выкуп, но нет единого мнения о том, имеет ли смысл запретить выкуп.
Когда выкуп уплачен, та же технология цифровой книги, на которой работает Биткойн, Эфириум и другие криптовалюты, может помочь усилиям по отслеживанию средств. Например, ФБР наблюдало, как Дарксайд переводил выкуп Colonial через цифровые счета, а затем перешло к получению примерно половины выкупа, примерно 2,3 миллиона долларов. Кроме того, правоохранительные органы могут попытаться усложнить использование криптовалюты для отмывания выкупа или покупки незаконных товаров.
Всего через два месяца после закрытия трубопровода Colonial другая группа хакеров украла конфиденциальные данные у Saudi Aramco — крупнейшей в мире нефтяной компании — в попытке вымогать 50 миллионов долларов. Это отражает коварный характер проблемы: если не ослабить бич взлома с целью получения выкупа, это приведет к еще большим затратам и вызовет более широкие сбои, угрожающие нашей экономической и национальной безопасности.
Соединенные Штаты не могут полагаться на стратегию пассивной защиты. Сдерживание потребует подрыва всего, что делает программы-вымогатели привлекательными, затрудняя получение хакерами прибыли — и быстрого реагирования на тех, кто пытается.
Джонатан Веллберн и Квентин Ходжсон проводят исследования в области кибербезопасности, стратегии сдерживания и защиты инфраструктуры в некоммерческой организации Rand Corp.