В мире прогремел очередной мощнейший скандал, связанный с информационной безопасностью. В этот раз жертвой хакеров стала малоизвестная простым обывателям итальянская компания Hacking Team. Преступники взломали ее базы данных, похитив информацию о клиентах, и даже смогли взломать исходный код программных продуктов, благодаря чему злоумышленники теперь без проблем смогут их дублировать и использовать для своих целей.
Без сомнения, для людей, не особенно интересующихся тонкостями функционирования глобальной сети Интернет, новость прошла незамеченной. Специалисты же не могли не воспринять сообщение о взломе Hacking Team как крупнейшую утечку информации со времен Эдварда Сноудена, поскольку пострадавшая компания, имевшая миллиардные обороты, сколотила свое состояние не на развлекательных интернет-услугах, а на создании программ глобального контроля и перехвата информации, для множества государственных организаций по всему миру, в том числе и в России.
Другими словами, после взлома Hacking Team хакеры получили возможность контролировать информацию всех, кто, в силу возложенных на них государством обязанностей, являлся контролером действий пользователей в Интернете!
В один момент преступникам стала доступна разнообразнейшая информации по всему миру: содержание электронных писем, записи телефонных разговоров по GSM-сети, факсимильные сообщения, базы данных пользователей различных социальных сетей, мобильные смс-сообщения и т.д. Все, что годами собиралось контролирующими организациями в интернете и «надежно» складировалось в архивах, было в считанные часы «высосано» в сеть.
Специалисты в области информационной безопасности, анализируя в специализированной прессе подробности случившегося, утверждают, что «хакеры забрали с серверов Hacking Team «вообще все». В общей сложности преступникам утекло порядка терабайта данных. Доступ к серверам удалось получить, взломав личные ПК двух сисадминов Hacking Team — Кристиана Поцци и Мауро Ромео».
Оказывается, даже в такой серьезной компании, работающей с правительствами многих стран мира, информационная безопасность находилась на очень низком уровне. Точнее, она отсутствовала совсем, поскольку файлы, хранящиеся на «защищенных» серверах никак не шифровались. Укравшим информацию хакерам даже не пришлось тратить время на расшифровку данных.
И здесь возникает очень интересный вопрос. А все ли известно общественности разных стран об истории преступлений, связанных с кражами данных у частных фирм, поставляющих госучреждениям шпионское программное обеспечение? После того, как СМИ предали огласке факт взлома крупнейшей из подобных компаний, остается неизвестным, сколько же более мелких фирм постигла та же участь?! Информация скольких миллионов людей уже перекочевала в архивы преступников, и для каких целей были реализованы эти кражи?!
Самое удивительное, но даже после случая с Hacking Team никто не удосужился признаться, что король-то теперь голый. Все, до сих пор существовавшие, меры безопасности и правила хранения информации пользователей оказались пустыми словами, за которыми, как стало видно, ничего нет.
Но самое странное то, что после этой «информационной трагедии» ни одно государство мира, даже спустя несколько месяцев, не потрудилось предупредить своих граждан об угрозе свободе слова и пересмотреть законы в сфере интернет-безопасности, предприняв срочные меры для защиты пользователей мобильных и интернет-сетей.
Мне вспоминается случай двадцатилетней давности, произошедший у нас в России с Центральным Банком РФ. Из банка с помощью фальшивых авизо было похищено несколько триллионов бюджетных рублей, он находился на грани банкротства, а госучреждения по формальным причинам выступали против оснащения его аппаратными шифраторами, обеспечивающими гарантированную защиту финансовой информации и делавшими невозможным дальнейшую кражу денег. Но у тогдашнего руководства России и Центрального Банка хватило сил и мудрости преодолеть бюрократические препоны и, по большему счету, спасти страну от неминуемого финансового краха, внедрив аппаратную криптографическую защиту. Чего не скажешь о многочисленных частных банках и их клиентах, полагающихся исключительно на мобильные программные средства работы и поэтому подвергающихся в последнее время регулярным хакерским атакам.
Совсем свежий пример – сообщение в СМИ о краже со счетов более ста тысяч (!) клиентов Сбербанка в общей сложности более 2-х миллиардов рублей. Эту информацию 27 июля распространило агентство FlashNord со ссылкой на источник в МВД России. Все средства, по утверждению СМИ, были украдены у владельцев устройств под управлением Android, использовавших приложение для смартфонов и планшетов. В управлениях МВД по регионам Северо-Западного федерального округа факты многочисленных хищений подтвердили, утверждало издание.
Впрочем, спустя некоторое время Сбербанк опроверг сообщения FlashNord о хищении денежных средств у своих клиентов, при этом заявив, что «банк намерен привлечь к этому внимание компетентных органов с целью юридической оценки ситуации и недопущения дезинформирования клиентов в дальнейшем».
Но журналисты не остались в долгу и публично прокомментировали опровержение Сбербанка, напомнив, что «FlashNord в апреле 2015 года уже писала об аналогичном случае и десятках тысяч пострадавших клиентов банка от действий интернет-мошенников. И по заявлению Сбербанка полиция уже проводила проверку, которая закончилась безрезультатно».
Чем закончится нынешний спор банка с журналистами еще неизвестно, но в СМИ появилась информация, косвенно подтверждающая правоту FlashNord по первому сообщению, датированному 11 апреля 2015 года.
В частности, в релизе пресс-службы МВД РФ говорилось о задержании преступной группы, «похитившей около 50 миллионов рублей со счетов клиентов российских банков при помощи вируса, поражающего мобильные устройства на платформе Android». Как установили полицейские, программа хакеров запрашивала баланс привязанной к номеру банковской карты, скрывала поступающие уведомления и начинала переводить денежные средства с банковского счета на счета, подконтрольные злоумышленникам…
Конечно, желание банкиров избежать репутационных рисков и не создавать панику среди клиентов логично, тем более, как сообщает полиция, преступники задержаны и наверняка им уже предъявлено обвинение. Но, даже если не говорить об этом конкретном случае, совершенно ясно, что рано или поздно мобильные приложения для интернет-банкинга, не защищенные стойкими аппаратными системами шифрования, окажутся взломанными, «благодаря» технологическому несовершенству как операционных систем, так и современных планшетов, телефонов и компьютеров, на которых они установлены.
Удивляет то, что банковские эксперты по-прежнему видят панацею борьбы с хакерами в применении антивирусной защиты, хотя давно известно, что преступники, совершая взлом, стараются в первую очередь нейтрализовать именно антивирусную защиту, чтобы она не мешала красть информацию.
Современный парадокс заключается в том, что банки, игнорируя существующие опасности, стремятся как можно шире внедрять системы финансовых платежей через мобильные телефоны, устанавливая в них программы защиты, которые не обременяют пользователей. И, главное, дешевы! Ведь даже в случае кражи денег все вклады застрахованы, и страховые компании выплатят украденную сумму.
Казалось бы, чего здесь переживать? Но остается небольшой нюанс. Кто же реально оплачивает стоимость этих краж? Конечно, сами пользователи мобильного банка! Им просто увеличивают сумму обслуживания мобильных счетов. И эта увеличенная стоимость и погашает любые кражи, особенно, если количество клиентов - миллионы или даже десятки миллионов! Зачем перетруждаться и тратиться на надежную аппаратную защиту мобильных телефонов? Это менее неудобно для пользователей и стоит намного дороже программных средств защиты.
Видимо, исходя из такой простой арифметики банки в сфере информационной безопасности придерживаются позиций использования дешевых систем защиты. Кражи хакеров доставляют им меньше головной боли и … меньше расходов, чем внедрение и поддержание надежной аппаратной защиты!
Но скупой платит дважды, и мы видим, как хакеры день ото дня усиливают свою мощь и увеличивают размеры краж, получая уже фантастические прибыли в сотни миллиардов долларов в год
Парадокс? Нет, это реальность современной банковской экономики. И чем она закончится тоже ясно. Как и в 1992 году обнищанием простого народа. Но это уже банков не касается...
К сожалению, ценный исторический опыт ЦБ РФ – того, как можно бороться с самыми тяжкими преступлениями в сфере информационной безопасности, оказался никому не нужен.
Давайте же посмотрим, к чему ведет подобная логика. И здесь перед нами открывается удивительная картина! Мы видим, что частные компании не только не хотят, но и боятся вкладывать деньги в информационную безопасность, поскольку понимают, что все равно защитить ни свои сети, ни своих клиентов не смогут, пока эту сферу, на вполне законных основаниях, контролируют государственные организации!
Государственные же структуры по всему миру по-прежнему считают, что в их обязанности входит исключительно контроль! А проблемы обеспечения информационной безопасности, по логике чиновников и бюрократов, должны находиться в зоне ответственности коммерческих структур, зарабатывающих деньги на интернет-услугах, продающих мобильную связь, телефоны, компьютеры, программное обеспечение и т.д.
Круг замкнулся? Госструктуры, контролирующие интернет и мобильные сети, сегодня сами попали под контроль хакеров, а частные интернет-компании, даже такие крупные, как Google, Microsoft, Apple, находясь под юрисдикцией США, бессильны что-либо сделать из-за запретов, налагаемых американским законодательством на использование стойкой аппаратной криптографической защиты для обеспечения безопасности пользователей связи. Только вдумайтесь, единственная, на сегодняшний день, возможность гарантированно защитить информацию от посягательств хакеров – под запретом!
И этот факт вызывает удивление не только у меня. Весной нынешнего года свыше 140 крупных компаний, известных ученых и исследователей в области безопасности выступили с обращением к президенту Соединенных Штатов Бараку Обаме, призывая его пересмотреть проводимую правительством этой страны политику борьбы с шифрованием данных. По мнению экспертов, готовящиеся в этой области новые инициативы способны подорвать доверие людей к американским фирмам и привести к экономической катастрофе.
Письмо, подписанное руководством таких гигантов индустрии высоких технологий, как Apple, Google, Microsoft, Twitter, Yahoo, Symantec и HP, было отправлено в Белый дом 19 мая. Оно содержит в себе призыв отклонить свежие предложения законодателей, которые могут позволить спецслужбам на законных основаниях собирать и расшифровывать данные, полученные со смартфонов и «иных коммуникационных устройств».
Однако и это, и все предыдущие обращения руководителей IT-гигантов к правительству США, натыкаются на стену молчания. И в конечном итоге, из-за упертости и недальновидности одного правительства – миллиарды людей, по всему миру использующих технологическую продукцию американских компаний, остаются без надежной защиты данных!
А это значит, что без защиты остаются не просто любители поболтать в секс-чатах или обменяться интимными фотографиями в приватных сетях… Без защиты остаются больничные сети, обслуживающие миллионы больных, открытой для вторжения продолжает оставаться информация образовательных и социальных учреждений, хранящих данные о беззащитных детях и стариках, миллиарды пользователей интернет-банкинга не могут быть уверены, что их финансовую информацию не перехватят и не украдут преступники, а данные описей наших квартир, хранящиеся в базах данных страховых агентов, в один момент не перекочуют к квартирным ворам и т.п.
Есть ли выход из тупика? Я думаю, есть. После провала в системе безопасности компании Hacking Team, все ведущие страны мира обязаны объединиться и создать соответствующие международные законы, взяв в свои руки вопросы защиты граждан в глобальной информационной сети, или же разрешить им самим побеспокоиться о своей безопасности. Третьего не дано, любое иное развитие событий означает, что государственные чиновники играют против интересов своих же государств. А значит, вольно или невольно, они будут находиться под контролем тайного всемирного интернет-правительства, защищая интересы Империи Хакеров.
Представьте себе, если такое интернет-правительство уже создано, то оно не удовольствуется контролем лишь над одной страной. Используя глобальную всемирную информационную сеть, новые «информационные гитлеры» попробуют захватить все доступное незащищенное интернет-пространство, по существу, проложив себе дорогу к захвату всемирной власти.