Бурхливий розвиток технологій приховує в собі не тільки додаткові можливості в розвитку суспільства, а й нові ідеї для заробітку кіберзлочинців. Кілька років тому експерти з кібербезпеки готували світ до нових напрямів кібератак, опис яких звучав як розділи фантастичних кіберпанк-романів. Але лише за останні кілька місяців Україна пережила декілька кібератак і за прогнозами їх кількість у майбутньому лише зростатиме.
Сьогодні вже мало кого дивують цілеспрямовані атаки кіберзлочинних угруповань (Advanced Persistent Threads, APT) з використанням багатокрокової логіки. Із зараженням величезної кількості користувальницьких пристроїв через довірені канали, такі як веб-ресурси та оновлення ліцензійних програм, зіткнулися багато підприємців і держструктури. Атаки на e-commerce проекти та масштабні епідемії шифрувальників-здирників стали буднями. Як, утім, і відплив інформації, злами особистих пристроїв співробітників компаній (Bring Your Own Device, BYOD) або використовуваних ними на робочих місцях некорпоративних ІТ-інструментів (наприклад, "хмарних" сховищ даних - dropbox, google drive тощо).
Відповідно до останнього звіту "Annual Cybersecurity Report", сьогодні лише 10% компаній інвестують у свою кібербезпеку до того, як стають жертвами зловмисників. В Україні навіть гіркий досвід не завжди є стимулом для організацій перейнятися кібербезпекою. На підставі останнього дослідження Інституту програмних розробок при Університеті Карнегі-Мелона "2017 Emerging Technology Domains Risk Survey" проаналізовані потенційні кіберзагрози недалекого майбутнього, до яких слід готуватися заздалегідь.
Блокчейн. Технологія, яка ще кілька років тому була "іграшкою" андеграунду - шифропанків і криптоанархістів, гордо та гучно прямує планетою. Про криптовалюту не чув тільки глухий, а "майнити біткоїни або ефіри на домашній фермі" - уже не звучить маренням хворого на лихоманку. Капіталізація криптовалют досягає сотень мільярдів реальних, а не віртуальних доларів, що привертає до цієї індустрії підвищену увагу любителів поживитися чужим коштом. Злами криптовалютних бірж і гаманців уже призвели до втрат, які обчислюються в сотнях мільйонів доларів, а елементарні прийоми соціальної інженерії дозволяють зловмисникам виманювати криптомонети в їхніх власників без особливих зусиль. Підвищений інтерес до цієї індустрії привертає дедалі більше людей, які не є ІТ-спеціалістами й можуть стати легкою мішенню для кіберзлочинців. Сама ж технологія дає змогу створити надійні децентралізовані реєстри зберігання даних, включаючи фінансові, але сліпа віра в абсолютну безпеку блокчейну може не дати побачити нові, поки що невідомі місця уразливості.
Інтернет речей (Internet of Things). Уже не перший рік у колі експертів із кібербезпеки популярний жарт, що буква "S" в абревіатурі Інтернету речей "IoT" означає "Security", тобто безпеку. І в цьому жарті надто багато правди - ставлення розробників пристроїв Інтернету речей до безпеки абсолютно нехлюйське. Переважна більшість IoT-пристроїв абсолютно беззахисна для хакерів. І якщо злам інтимних іграшок з бездротовими інтерфейсами викликає провокаційно підвищений інтерес і усмішки, то злам кардіостимуляторів і можливість віддаленого управління ними викликає в півмільйона їхніх власників обґрунтовану стурбованість за власне життя.
Викрадення дронів-квадрокоптерів вартістю в кілька тисяч доларів США - уже сьогодення. Також мільйони зламаних IoT-пристроїв уможливлюють масштабні DDOS-атаки на різні веб-ресурси. І ці атаки вже реальність - зомбі-мережа (ботнет) Mirai з пристроїв Інтернету речей (відеокамер) уже завдавала шкоди десяткам мільйонів користувачів атаками на DNS оператора в США, а також популярні інтернет-ресурси (Twitter, Etsy, Github, Soundcloud, Spotify, Heroku та інші). Сьогодні активно формується нова зомбі-мережа зі зламаних IoT-пристроїв, яку дослідники охрестили Reaper, і її розмір уже більший, ніж у попередніх...
"Розумні" будинки. Безліч датчиків, сенсорів та інших пристроїв Інтернету речей вже автоматизують і спрощують обслуговування як комерційних, так і приватних будинків. Управління освітленням і відеоспостереженням, поливом галявин, складами, ліфтами, пожежно-охоронною сигналізацією - це реальні зручності, які можуть обернутися нереальними проблемами. Недбале ставлення творців цих IoT-пристроїв ставить під загрозу не тільки приватність, а й життя людей. Чим, наприклад, може закінчитися віддалений злам систем відеоспостереження, управління ліфтами, кондиціонуванням, життєзабезпеченням? Розмір збитку обмежений тільки кваліфікацією та фантазією зловмисників.
"Розумні" міста. Додайте до перелічених вище пристроїв Інтернету речей системи управління "розумними" світлофорами та іншими елементами інтелектуальної транспортної системи мегаполісів, наприклад, шлагбаумами на залізничних переїздах, розвідними мостами, автоматизованими системами комунального господарства. Розмір потенційного збитку може бути колосальним...
"Розумний" транспорт. Автономні автопілоти - це мрія автомобіліста, що здійснилася. Тепер нудне споглядання в заторі машини, що стоїть попереду, можна замінити відпочинком або вирішенням робочих питань в ролі пасажира. А головне, при покупці автомобіля з автопілотом можна заощаджувати час на пошук і гроші на оплату послуг таксі. Зниження значення людського чинника під час тривалих і стомливих поїздок, прискорення та здешевлення вантажо- та авіаперевезень, зменшення кількості правопорушень і дорожньо-транспортних порушень - усе це плюси таких авто. Але коли "безпековики" підключають підходи ризик-менеджменту та, зокрема, розрахунки кіберризиків, отримання несанкціонованого віддаленого доступу до управління автопілотом уже не видається позитивною особливістю "розумного" транспорту. А віддалене управління функціями сучасного автомобіля, включаючи гальмову систему, уже сьогодні демонструють хакери на спеціалізованих заходах.
Машинне навчання (нейромережі). Дедалі більше галузей промисловості та сфер людського життя довіряють своє майбутнє нейромережам, які ще іноді називають штучним інтелектом. Поки що повноцінним штучним інтелектом ці системи машинного навчання складно назвати та незабаром від їхніх рішень залежатимуть цілі сектори економіки, якщо не людські життя. І уявіть, що на ці рішення зможуть впливати хакери...
Віртуальні персональні асистенти-помічники. "Окей, Гугле", "Привіт, Сірі", "Алекса!" - ці фрази, сказані смартфону або колонці, вже не викличуть бажання записати вас на прийом до психіатра. Управління смартфоном або "розумним" будинком за допомогою голосових команд персональному віртуальному асистенту - не тільки модно, а й дуже зручно. Так зручно, що "втаємничувати" віртуальних помічників в особисті секрети, надавати їм доступ до різних персональних даних (соцмереж, фінансової інформації, розпорядку дня, маршрутів переміщень тощо) і управління різними IoT-пристроями стане повсякденною справою. А якщо кіберзлочинці "змусять" віртуальних персональних помічників видати всю вашу інформацію?
Автономні роботи. "Вкалывают роботы, а не человек…" Ці слова пісні може й не знайомі сучасним дітям, але відображають найближче майбутнє людства. Роботи-кур'єри, роботи-охоронці, роботи-консультанти - це вже реальність. У жовтні 2017 року перший робот (андроїд Софія) став громадянином Саудівської Аравії. Мрія багатьох генералів - армія людиноподібних, невтомних і безпристрасних роботів, яких можна посилати в бій, не жертвуючи людськими життями. Тісна взаємодія роботів з людиною, а також їхня величезна сила несуть реальні загрози здоров'ю та життю людей під час випадкових або навмисних збоїв у їхній системі управління.
Роботи-хірурги. Окремо хотілося б виділити роботів, які проводять хірургічні операції. Ідеальні помічники - безустанні, точні. Безпомилкові, принаймні допоки помилку не змусять зробити. І в цьому разі ціна такої помилки максимальна - здоров'я та життя людини.
Квантові комп'ютери. Новий тип комп'ютерів, які використовують квантову логіку для обчислень. Поки реалізація квантових комп'ютерів перебуває на початковій стадії, але дослідження йдуть семимильними кроками, та не за горами той день, коли вчені представлять нам робочий екземпляр. У теорії неймовірна швидкість розкладання чисел на прості множники переверне сучасну криптографію - паролі, на підбір яких зараз потрібні були б сотні або тисячі років, можна буде підібрати за лічені години або дні. Попереду квантова криптографічна революція й хочеться сподіватися, що разом із загрозою швидкого підбору наших паролів ми отримаємо нові алгоритми шифрування, які усунуть цю загрозу або зроблять її реалізацію набагато складнішою.
Як ми бачимо, загрози з кожним роком стають дедалі серйознішими, витонченішими та масштабнішими. Дотепер українцям вдавалося уникнути істотних потрясінь, але нові технології приходять у наше життя набагато стрімкіше, ніж нові системи безпеки. Чи переконані ми, що величезні масиви даних, які зберігають наші держоргани, під надійним захистом, чи можемо ми покластися на системи безпеки наших банків або податкової служби? Зменшення потенційної шкоди нових типів кібератак можливе тільки за умови системного професійного підходу, а також відповідального ставлення та безпечного використання цих продуктів користувачами.