14 травня 2019, 14:48

Кібербезпека: вразливі моменти

Дмитро Нікулеско
Дмитро Нікулеско «ЮФ Ілляшев та Партнери» адвокат

Ера нових видів злочинів


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


В епоху інформаційних технологій неможливо почуватися захищеним у кіберпросторі. З розвитком технологій стрімко зростає кількість злочинів у цій сфері, а тому з впевненістю можна стверджувати, що саме «кіберзлочини» у ХХІ столітті будуть одними з найчисельніших.

В Україні та в усьому світі щороку вчиняються десятки тисяч злочинів з використанням інформаційно-комунікаційних технологій, програмних, програмно-апаратних засобів, інших технічних і технологічних засобів та обладнання. Щодня у людей та компаній крадуть персональні дані, кошти з рахунків, збирають безліч конфіденційної та комерційної інформації, блокують діяльність тощо. Проте успішність запобігання таким злочинам, їх викриття та притягнення винних осіб до відповідальності наразі є достатньо рідкісним явищем, якщо порівнювати з кількістю таких правопорушень.

Це не дивно, адже кіберпростір – безмежний, а досвідчені хакери мають всі необхідні навички та засоби, щоб залишатися в ньому інкогніто. Сьогодні кібератаки шкодять не лише фізичним та юридичним особам, але й державам. Щорічно у світі проводяться сотні заходів різних рівнів щодо обговорення актуальних проблем кібербезпеки. В літературних словниках постійно з’являються нові визначення: кіберрозвідка, кібертероризм, кібершпигунство, кіберпростір, об’єкт критичної інфраструктури тощо. Кібербезпека та боротьба з кіберзлочинністю у ХХІ столітті – це одні з найбільш важливих питань, які потребують глибокого аналізу, розробок та впровадження високотехнологічних рішень з метою запобігання та викриття кіберзагроз.

Щороку кіберзлочинність завдає державам та приватним особам дуже великої шкоди. На 73-й сесії Генеральної асамблеї ООН генеральний секретар Антониу Гуттереш оцінив щорічні збитки від кіберзлочинності у світі в розмірі 1,5 трлн доларів. На жаль, прогнози експертів з кібербезпеки невтішні. В майбутньому кількість злочинів та збитків від кібератак лише зростатиме, адже зазвичай правопорушники йдуть щонайменше на крок попереду механізмів, які мають державні органи та приватні особи щодо запобігання і розкриття таких злочинів.

Україна, як і всі країни світу, щодня зіштовхується з викликами у сфері кібербезпеки. Лише за останні кілька років державні установи неодноразово були атаковані з кіберпростору. Однією з таких атак був запуск 27.06.2017 р. різновиду вірусу Petya, який спричинив порушення роботи українських державних підприємств, установ, банків, медіа та інших. Внаслідок атаки була заблокована діяльність таких підприємств як аеропорт «Бориспіль», ЧАЕС, «Укртелеком», «Укрпошта», «Ощадбанк», «Укрзалізниця» та багатьох інших великих підприємств. Також були заражені інформаційні системи Міністерства інфраструктури, Кабінету міністрів, сайти Львівської міської ради, Київської міської державної адміністрації, кіберполіції та служби спецзв'язку України.

Кібербезпека та кіберзлочин

В Україні на законодавчому рівні приймаються відповідні закони та нормативні акти, які регулюють відносини в цій сфері. Станом на початок 2019 р. до правової основи кібернетичної безпеки України входять такі нормативно-правові акти: Конституція України, Кримінальний кодекс України, закони України «Про основні засади забезпечення кібербезпеки України», «Про інформацію», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про основи національної безпеки» та інші закони, Доктрина інформаційної безпеки України, Конвенція Ради Європи про кіберзлочинність та інші міжнародні договори, згода на обов’язковість яких надана Верховною Радою України.

Відповідно до українського законодавства, кібербезпека – це захищеність життєво важливих інтересів людини й громадянина, суспільства та держави у процесі використання кіберпростору, яка забезпечує сталий розвиток інформаційного суспільства і цифрового комунікативного середовища, своєчасне виявлення, запобігання та нейтралізацію реальних і потенційних загроз національній безпеці України у кіберпросторі (ст. п. 5 ч. 1 ст. 1 Закону України «Про основні засади забезпечення кібербезпеки України»). У глобальному розумінні, кібербезпекою є реалізація заходів із захисту мереж, програмних продуктів та систем від цифрових атак.

Відповідно до Конвенції про кіберзлочинність, яка є частиною українського законодавства з 11.10.2005 р., кіберзлочини умовно поділяються на чотири види. До першого виду належать правопорушення проти конфіденційності, цілісності та доступності комп'ютерних даних і систем. До цього виду кіберзлочинів можна віднести всі злочини, спрямовані проти комп’ютерних систем і даних (наприклад, навмисний доступ до комп'ютерної системи або її частини; навмисне пошкодження, знищення, погіршення, зміна або приховування комп'ютерної інформації; навмисне вчинення, не маючи на це права, виготовлення, продажу, придбання для використання, розповсюдження або надання для використання іншим чином пристроїв, включаючи комп'ютерні програми).

До другого виду кіберзлочинів належать правопорушення, пов'язані з комп'ютерами. Такі злочини характеризуються умисним діянням, що призводить до втрати майна іншої особи шляхом будь-якого введення, зміни, знищення чи приховування комп'ютерних даних або будь-якого втручання у функціонування комп'ютерної системи, з шахрайською або нечесною метою набуття, не маючи на це права, економічних переваг для себе чи іншої особи.

Третій вид кіберзлочинів охоплює правопорушення, пов'язані зі змістом (контентом), що полягає у здійсненні умисних незаконних дій щодо вироблення, пропонування або надання доступу, розповсюдження дитячої порнографії, а також володіння такими файлами у своїй системі.

Четвертим видом є умисні дії, пов'язані з порушенням авторських та суміжних прав, відповідно до вимог Бернської Конвенції про захист літературних і художніх творів, Угоди про торговельні аспекти прав інтелектуальної власності та Угоди ВОІВ про авторське право, а також національного законодавства України.

Існують також інші класифікації кіберзлочинів, проте запропонована конвенцією є найбільш популярною.

В Україні політика щодо кібербезпеки покладається на низку державних органів, а саме на Державну службу спеціального зв'язку та захисту інформації України, Національну поліцію України, Службу безпеки України, Міністерство оборони України та Генеральний штаб Збройних Сил України, розвідувальні органи, Національний банк України. В кожному із зазначених органів діють відповідні підрозділи.

За інформацією голови Департаменту кіберполіції Сергія Васильовича Демедюка, щороку кількість кіберзлочинів в Україні збільшується в середньому на 2,5 тисячі. Згідно зі звітом, який міститься на веб-сайті цього правоохоронного органу, у 2018 р. працівники Департаменту кіберполіції були залучені до розслідування більше ніж 11 тисяч кримінальних проваджень, вчинених у сфері високих інформаційних технологій.

Однак, незважаючи на велику кількість кримінальних проваджень, Департамент кіберполіції не озвучує реальних результатів таких розслідувань. Вказуючи у звіті на кількість виявлених правопорушників у кількості 800 осіб, немає жодної інформації про кількість реальних вироків щодо вказаних осіб та притягнення їх до відповідальності. Зі звіту незрозуміло, чи оголошено всім вказаним особам підозру, чи висунуто обвинувачення та в якому статусі вони перебувають.

Головні статті Кримінального кодексу України, за якими розслідуються кіберзлочини в Україні:

- ст. 176 «Порушення авторського права і суміжних прав»;

- ст. 190 «Шахрайство»;

- ст. 361 «Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку»;

- ст. 361-1 «Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут»;

- ст. 361-2 «Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерів), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації»;

- ст. 362 «Викрадання, привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем»;

- ст. 363 «Порушення правил експлуатації автоматизованих електронно-обчислювальних систем»;

- ст. 3631 «Перешкоджання роботі електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку шляхом масового розповсюдження повідомлень електрозв’язку».

В Єдиному державному реєстрі судових рішень можна знайти певну кількість судових рішень, винесених за результатами розгляду кримінальних проваджень. В реєстрі містяться вироки за вказаними статтями, а також ухвали слідчих суддів щодо кримінальних проваджень, які сьогодні знаходяться у провадженні органів досудового розслідування. Отже, беручи до уваги інформацію з цього реєстру, можна стверджувати, що в Україні проводиться боротьба з кіберзлочинами.

Основні «трюки» хакерів

Хакери мають багато можливостей, щоб скористатися вразливістю кібербезпеки та досягти своїх злочинних цілей. Сьогодні можна виділити такі основні (найпопулярніші) способи:

  1. Фішинг – один з видів інтернет-шахрайства, коли «жертві» надсилаються повідомлення від імені відомих компаній або організацій (наприклад, банку, податкової служби, відомого інтернет-магазину), однак насправді вони не є справжніми. Мета фішингу – отримання доступу до конфіденційних даних користувачів (паролів, логінів, даних особових рахунків і банківських карт). Зазвичай використовується метод проведення масових розсилок від імені популярних компаній або організацій, які містять посилання на фейкові сайти, які важко зовні відрізнити від справжніх. У листах особу ввічливо просять оновити чи підтвердити правильність персональної інформації або інформують про які-небудь проблеми з даними, а після цього перенаправляють на підроблений сайт, де необхідно ввести облікові дані. Якщо «жертва» вводить свої дані на таких сайтах, то злочинцям стають відомі ці дані та вони можуть використати їх з метою крадіжки персональних даних, персональних коштів або іншого. Фішинг є одним з найпоширеніших видів кібератак.
  2. Вірус – це програма, яка встановлюється без відома та проти волі користувача на його комп'ютер або інший пристрій. Комп'ютерний вірус можна «схопити» по-різному. Наприклад, веб-сторінки та поштові вкладення можуть використовуватися для безпосереднього запуску вірусу в систему. Часто вірус буває вбудований у завантажену з інтернету програму, яка «випускає» вірус на волю, після того як «жертва» її встановлює. Після зараження вірусом програма може заблоковувати доступ до файлів та системи з метою отримання викупу. При цьому сплата викупу не завжди гарантує відновлення роботи системи.
  3. Соціальна інженерія – це підхід до злому, який не залежить від технологій і полягає у застосуванні шахраями тактики, завдяки якій вони переконують «жертву» розкрити конфіденційну інформацію. Тактики можуть бути різними: від видавання себе за співробітника банку, знайомого або товариша до різноманітних погроз із вимогою встановити шкідливе ПЗ.
  4. Шкідливе ПЗ (Malware) – до таких програм належать так звані «трояни», програми-шпигуни чи рекламне ПЗ. Достатньо часто вони встановлюються разом з іншою, корисною програмою, яку вирішила завантажити «жертва». Такі програми можуть таємно записувати всі натискання на клавіші, сканувати файли на жорсткому диску і читати cookie-файли браузера.
  5. Злом – це умисна дія, спрямована на несанкціоноване проникнення у ПЗ або систему шляхом обходу механізму безпеки, з метою отримання несанкціонованого доступу до певного ПЗ або системи.

За допомогою вказаних вище способів у 2018 р. були здійснені найбільш гучні кібератаки. В минулому році хакери зламали сервери компанії T-Mobile та вкрали особисті дані більше ніж 2 млн їхніх клієнтів. Інші хакери (можливо, не інші) зламали базу даних мережі готелів Marriott та викрали данні близько 500 млн клієнтів. 2017 р. ознаменувався проникненням вірусу-вимагача WannaCry, який у травні блокував роботу сотень тисяч комп’ютерів в усьому світі, а за поновлення роботи вимагав перерахування коштів. Такі випадки не є поодинокими. Щодня у світі зламують тисячі комп’ютерів, баз, систем тощо.

Захисти себе

Повністю захистися від кібератак неможливо. Проте виконання хоча б мінімальних правил техніки безпеки поводження в мережі значно підвищить шанси, що вас не зламають. Отже, пропоную ознайомитися з основними правилами:

  • користуватися виключно офіційним ПЗ і вчасно його оновлювати;
  • не завантажувати програмне забезпечення з ненадійних джерел;
  • використовувати антивіруси для роботи з комп’ютерами;
  • нікому не передавати особисті персональні дані (пін коди карток, СVV коди, паролі до акаунтів тощо), навіть якщо вам намагаються вказати на необхідність таких дій з метою вирішення певного питання;
  • створювати складні паролі;
  • не здійснювати платіжних операцій у відкритій, незахищеній мережі Wi-Fi;
  • намагатися користуватися двофакторною аутентифікацією;
  • не відкривати файли та листи від підозрілих джерел;
  • не переходити на підозрілі посилання та за спливаючими вікнами;
  • не заходити на ненадійні сайти та не завантажувати з них жодних ПЗ;
  • не вставляти у свій комп’ютер флешки та зовнішні диски, якщо не довіряєте повністю їх джерелу;
  • періодично здійснювати резервне копіювання важливої інформації;
  • тримати свої гаджети в полі зору, коли знаходитися у місцях, де до них може бути доступ сторонніх осіб.

Виконання зазначених засобів безпеки дозволить лише мінімізувати можливість випадкового несанкціонованого проникнення у ваші пристрої та системи. Однак неможливо надати повної гарантії уникнення зламу. Для максимальної мінімізації таких ризиків компаніям рекомендовано користуватися послугами спеціалістів у сфері кібербезпеки з чітким виконанням всіх інструкцій, які вони зазначають.

Пам’ятайте, що світ живе в еру інформаційних технологій, коли можливості мережі є не лише приємним джерелом можливостей, знань та спілкування, але й джерелом підвищеної небезпеки бути «відкритою книгою», якщо вами зацікавляться певні особи.

0
0

Додати коментар

Відмінити Опублікувати