После ряда громких киберпреступлений с использованием программ-вымогателей на Западе появилась идея запретить выплаты выкупа на законодательном уровне, чтобы не "спонсировать" хакеров и не давать им мотивацию продолжать свою деятельность. Между тем многие эксперты отрасли считают, что это не только не поможет преодолеть проблему, но и способно усугубить ситуацию. "Газета.Ru" разбиралась, насколько эффективны такие запреты и как следует бороться с кибервымогателями.
С начала пандемии значительно выросло число кибератак с использованием программ-вымогателей (ransomware) на компании и госучреждения. Одна из самых крупных произошла в мае этого года - хакерской атаке подверглась американская трубопроводная компания Colonial Pipeline. В результате была парализована работа трубопровода, который обеспечивает топливом 45% населения Восточного побережья США.
В итоге компания выплатила хакерам выкуп в размере $4,4 млн, сообщил её глава Джозеф Блаунт в интервью The Wall Street Journal. Многие фирмы, занимающиеся кибербезопасностью, и правоохранительные органы призывают жертв не платить деньги, однако часто они не прислушиваются к советам и в надежде вернуть доступ к системе выполняют требования преступников. В связи с этим западные аналитики начали размышлять о том, чтобы запретить компаниям выплачивать выкуп хакерам на законодательном уровне, ведь деньги, отправленные злоумышленникам, в конечном итоге финансируют киберпреступность и помогают организовывать новые атаки.
Член комитета Госдумы по информационной политике, информационным технологиям и связи, первый заместитель руководителя фракции ЛДПР и член Совета Федерации РФ Вадим Деньгин скептически отнесся к такой инициативе и отметил, что государство вместе со спецслужбами должно разыскивать хакеров и предупреждать возможные атаки, а не запрещать компаниям выплачивать выкуп.
"На мой взгляд, на данный момент закреплять как-то запрет выкупа в законе ни в коем случае нельзя",
- подчеркнул Деньгин в беседе с "Газетой.Ru".
По его словам нужно постоянно корректировать существующее законодательство, регулирующее интернет.
"Сеть сейчас развивается семимильными шагами и мы не успеваем за ним, поэтому при корректировке мы обязательно должны консультироваться с экспертами в области кибербезопасности. Прежде всего необходимо мнение профессионалов, важно спросить отрасль перед внесением изменений в законодательство об интернете, перед внедрением новых законов", - добавил Деньгин.
В то же время специалист отметил, что самим компаниям все же следует стараться избегать выплаты выкупа.
"Прежде чем выплачивать хакерам что-то, нужно взаимодействовать со спецслужбами, которые в свою очередь должны постоянно работать над повышением качества разыскной деятельности. Вообще, выкуп платить бессмысленно и не нужно. Однако важно понимать, что часто киберпреступники знают слабые точки компаний и могут спокойно остановить какой-то важный процесс",
- считает Деньгин.
Исследователь ИБ-компании ESET Амер Овайда в беседе с "Газетой.Ru" упомянул, что осенью прошлого года на фоне резкого роста числа атак ransomware Управление по контролю за иностранными активами министерства финансов США (OFAC) выпустило рекомендацию для бизнеса. В ней содержится предупреждение о том, что организации могут нарушить законы США и столкнуться с суровыми штрафами, если будут осуществлять или способствовать выплатам операторам программ-вымогателей. "OFAC приводит два аргумента, почему этого делать не стоит. Во-первых, многие хакерские группировки, такие как Lazarus со своим вымогателем WannaCry или Evil Corp, стоящая за вредоносным ПО Dridex, находятся под американскими санкциями. Следовательно, перечисление денег на их счета является незаконным. Во-вторых, по заявлению OFAC, уплачивая выкуп, жертвы поощряют хакеров продолжать и расширять свою преступную деятельность", - рассказал Овайда. Однако он заявил, что не является сторонником запретительных мер. По его словам, правительства должны создавать безопасные условия для предпринимателей и помогать, а не наказывать в случае угрозы краха бизнеса из-за киберугроз. "Один из законов информационной безопасности гласит: уровень защиты всей сети равен уровню защиты одного самого незащищенного узла. Таким слабым "узлом" или "звеном" в организации зачастую становится именно сотрудник", - заявила Елена Молчанова, представитель направления повышения цифровой грамотности Kaspersky Security Awareness. По данным "Лаборатории Касперского", большая часть компаний по всему миру считают наибольшей угрозой системе корпоративной безопасности самих сотрудников. Из-за низкой цифровой грамотности сотрудники проходят по фишинговым ссылкам, используют небезопасные пароли, а также самостоятельно пытаются бороться с вирусами-шифровальщиками.
Именно низкая цифровая грамотность – одна из причин, почему сотрудники все-таки платят злоумышленникам, которые обещают им решение проблемы. "Мы не перестаем напоминать, что платить злоумышленникам-вымогателям нельзя, да и просто не имеет смысла. А для профилактики таких случаев компаниям стоит регулярно проводить тренинги в области информационной безопасности для своих сотрудников", - рассказывает Молчанова. По словам партнера юридической компании 2b law office Антона Городецкого, даже несмотря на существующие во многих странах формальные и неформальные запреты на выплаты в пользу преступников (как правило, имеются в виду террористы, захватившие заложников) такие выплаты регулярно делаются, поскольку, в конечном счёте, человеческая жизнь дороже любых денег. И если подобного рода запреты не работают в отношении выплат, связанных с преступлениями против человеческой жизни и свободы, то едва ли можно надеяться, что они будут работать в отношении киберпреступлений.
"В случае, когда речь идёт не о человеческой жизни, а дезорганизации работы компьютерных систем, этическая сторона вопроса становится не такой острой и самым разумным остаётся оставить решение вопроса о выплате хакерам за восстановление работоспособности систем собственникам этих систем. В конечном счёте их интерес заключается в том, чтобы с наименьшими потерями вернуться к нормальной экономической деятельности, продолжив обеспечивать людей благами и рабочими местами. В случае же запрета на такие выплаты мы можем столкнуться с ситуацией, когда целые предприятия и отрасли будут прекращать своё существование внезапно, но навсегда. Едва ли такой подход можно будет назвать справедливым и эффективным", - считает Городецкий.
При этом он напомнил, что корни проблемы лежат не только в том, что преступники могут получать большие выкупы, но и в том, что такие преступления в абсолютном большинстве случаев остаются нераскрытыми, а хакеры – безнаказанными.
"Государство должно брать инициативу и ответственность за борьбу с киберпреступлениями на себя: необходимо совершенствовать систему подготовки и рекрутинга профессиональных кадров для правоохранительных органов, создавать межгосударственные институты для совместной борьбы с киберпреступностью. Эти меры (в отличие от предложений по дополнительному наказанию жертв преступлений) могут создать реальные условия, при которых количество киберпреступлений начнёт снижаться", - заключил собеседник "Газеты.Ru".
