Свят

Експерт по киберсигурност: Хакерските групи си правят състезания коя ще пробие най-тежката система

От Георги Карамфилов Георги Карамфилов Репортер

Войната и нейните съвременни измерения. Следва разговор за кибератаки и киберсигурност. Орен Елимелех - един от най-големите експерти в тази област, консултант на Европейската комисия и на Съюза за стопанска инициатива, отговаря на въпросите на Георги Карамфилов.

Г-н Елимелех, иска ми се да започнем първо от Вас – разкажете ни в какво точно се изразява работата на един експерт по киберсигурността към Европейската комисия.

Благодаря ви за поканата! Като консултант, позицията ми се състои в оказването на максимална помощ на организации, общини и градове в сферата на киберсигурността. Случват се много киберпрестъпления, срещу които ние в Комисията искаме да противодействаме, да помагаме и предпазваме- като атаките по услуги и други критични структури. Атаки, които потенциално могат да навредят личните данни на гражданите и работниците, но данни на различни общини, градове и университети, също.

Можете ли да ни кажете колко са чести тези атаки?

Случват се много често. Чувате за тях в новините, не са тайна. Но това, което не чувате, е че те се случват зад кулисите и буквално през цялото време. Само докато си говорим, се случват хиляди атаки, повечето представляват финансови престъпления. Според статистиката около 80-81 процента от кибератаките се случват заради пари.

Ще ни дадете ли пример за много труден случай на кибератака? Аз Ви споменах, че миналия месец в България имаше DDoS атака, но експертите тогава казаха, че това не е повод за огромно притеснение. Дайте ни пример за атака, която е била наистина притеснителна.

Да, атаките по дадени услуги, както споменахте и вие, не са типа атаки, които обикновено ме тревожат. Всъщност този вид атаки имат две страни. Ще ви дам два примера. Миналата година в Израел имаше сериозна атака по услугите на няколко финансови институции- компании, които издават кредитни карти и банки. Заради спряния достъп до услуги, по време на пандемията от Ковид, по-голямата част от хората работеха от вкъщи- дистанционно, а компаниите, издаващи кредитни карти и банките бяха в ситуация да не могат да осъществяват никакви услуги. Това е единият пример- атака по услугите. Вторият пример- този тип атаки са обикновено доста шумни. Ако не сте подготвени за тях, биха могли да ви навредят. Но това, което се случва всъщност, е че някой се опитва да задълбае още по-навътре, докато вие сте зает да се справите със самия спрян достъп до услугите. А през това време, някой краде определени вътрешни данни, за което вие дори не подозирате.

Един вид, DdoS атаката е биласамо за прикритие, докато нещо много по-голямо се е случвало зад кулисите. Можете ли да ни дадете пример за атака тип Ransomware? Вие споменахте, че голяма част от кибератаките имат за цел да се откраднат пари – а Ransomware се използва точно за това.

Да, ще ви дам много хубав пример. Преди няколко месеца проучих инцидент, при който руски хакери успяха да направят голям пробив в организация, чието име не мога да кажа, за да не застраша безопасността ѝ. Тъй като беше през февруари и март, и бяха заети покрай войната на Русия в Украйна, се върнаха едва преди три месеца и половина месеца. Били са вътре в мрежата в продължение на месеци- толкова дълго. Успяха да направят пробив в шест центрове за данни, включително и данни от множество страни- Израел, САЩ, Южна Америка, Мексико, Африка и Европа. Точно тогава успяха да изтрият и всички архиви, след което поискаха подкуп от определна сума пари. Организацията се намираше в ситуация, при която не разполагаше с архиви, които да възстанови, и беше принудена да преговаря с руски търговски играчи.

Вие споменахте, че ако не сте подготвени за такава атака, то може да не успеете да се предпазите добре. Кажете ни обаче, има ли атаки, които не могат да бъдат засечени?

Както вече споменах, случват се много атаки. Това, което ме притеснява повече, са атаките, за които не научваме. Защото когато имаме атака, която е вдигнала шум или е поискала подкуп в замяна, ние сме информирани за нея. Най-предизвикателни са атаките, за които никой не знае и няма никакво разузнаване. Именно поради тази причина организациите трябва винаги да са в готовност и с мисълта, че хакерите биха могли вече да са вътре в структурата им. Да разсъждават как биха предпазили мрежата си, ако хакерите са вече в нея и кои са най-добрите инструменти за киберсигурност, с които могат да боравят- кадри, услуги и наблюдение.

Ако една частна компания стане жертва на кибератака, отново давам пример с Ransomware, какви ще са щетите за тази компания и как може тя да се възстанови?

Проблем е, ако организацията няма подготовка за подобни атаки. Трябва да разполага с резервни копия, функции за наблюдение, с които да следи дали всичко е наред, и инструменти, с които да предотвратява, смекчава и разследва. Ако организацията не разполага с такъв капацитет, това само по себе си е проблем. В такъв случай евентуално само кибер застраховка и система помагат за възвръщане на изгубените приходи и нормално възстановяване.

Какъв е профилът на един хакер? Същият ли е, като на обикновен престъпник?

О не, определено не. Времето, в което хакерите си стояха в гаражите с родителите си, облечени в черно, си отиде. Киберпрестъпниците са организирани групи, които работят заедно. Преминават през образование, трениране, назначаване, санкции. Работят заедно като едно. Провеждат задълбочени разследвания, например знаят колко пари изкарва дадена компания, с колко работници разполага, каква е застраховката ѝ, каква сума да искат за подкуп, колко сървъри има, колко файлове, какъв е ръстът ѝ. Знаят буквално всичко. Подготвят се предварително. Това ни връща и на казаното по-рано, винаги трябва да си подготвен.

Напоследък сякаш има ръст на кибератаките. Съвсем наскоро беше хакнат телефонът на Лиз Тръс, както и металургичният и минен сектор на Германия. Тук в България също имаше няколко хакерски атаки. Как ще коментирате тези тенденции, за толкова много атаки, само през последния месец?

Обикновена ситуацията е еднаква навсякъде в света. Когато има увеличен брой новини, когато нещо се случва, хакерите искат да се възползват от това. Например изборите- някой винаги опитва да навреди на другата страна. Може да са хактивисти или назначени хакери. Винаги са стимулирани с голяма сума пари и полагат много усилия, за да ги получат. Доста по-лесно е от работата навън- работят дистанционно, никой не знае кои са, а вредата, която могат да нанесат е огромна. Трябва да споменем и признанието - „ето, вижте ме, аз направих това“ - действието им дава публичност и ги кара да се чувстват важни!

Споменахте, че това им дава публичност. Има ли нещо като състезание между групировките?

Абсолютно прав сте - има постоянно съревнование- кой ще причини най-голямата щета, кой ще изкара най-много пари, кой ще използва най-добрите киберинструменти... В момента е превърнато частично като франчайз- развиват се методите и после се препродават на други групи. Има статистика, свързани с големината на групите- ако тази година разполагат с 5 процента, другата ще имат 8. Много са организирани и имат ясен план за растеж.

Напоследък обвиненията за почти всички кибератаки са насочени към Русия. Това не е изненадващо, имайки предвид войната. Но по-добри ли са руските хакери, имайки предвид, че са подкрепяни от службите за сигурност? И всъщност, наистина ли са подкрепяни от службите? Мит ли е това, или има доза реалност?

Мога да ви кажа само това, което знам. Три неща, първо – много интелигентни войници работят за правителството. Русия се основава генерално на правителството и на армията. Имате КГБ и други групировки, които определено работят с тях и най-добрият пример за това е случилото се с Русия и Украйна. Когато войната започна, Русия нае всички групи- Конти, Ревел. Ситуацията беше толкова тежка, че се наложи Украйна да поиска помощ от Израел, САЩ, всички. Казаха им: помогнете ни да се справим с руските хакери. И тъй като войната се разгаря, тези кибергрупи и престъпници отново са на пазара, тъй като имат нужда от пари, а вече не са нужни в Украйна. Могат спокойно да се върнат в бизнеса.

Според последните доклади, излезли преди няколко дни, Русия е поставена в топ три на страните с най-голяма офанзивна способност. Но също така е на първо място от страните, които не знаят какво се случва в Интернет. 85 процента от интернет пространството в Русия е филтрирано и контролирано от правителството.

Съвсем наскоро имаше избори в Израел. Вече е ясно, че Бенямин Нетаняху е новият министър-председател на държавата. Сега той има 14 дни да сформира коалиция. Какви са настроенията в страната?

В по-голямата част от страната Бенямин Нетаняху успя да спечели 65 процента от гласовете, така че вероятно ще състави и коалиция. Разследванията и срещу жена му са прекратени. Много от израелското общество смяташе за преструване опита да бъде свален, опит, който не успя. Аз, подобно на всеобщото мнение в страната, че разследването ще приключи.