Информационная безопасность по-русски: весенние инциденты, которые вы могли не заметить

Пока мир обсуждал загадочную утечку из Пентагона и делал прогнозы об опасностях искусственного интеллекта, в России тоже не теряли времени даром. Весна была богата на крупные киберинциденты, которые вызвали активные дискуссии, но в этой статье речь пойдет не о них.

Даже у больших компаний подчас наблюдаются проблемы с защитой информации. Что уж говорить о более мелких игроках рынка, у которых на это нет ни бюджета, ни сил. Или представителях некоторых бюджетных организаций, где пока по-прежнему не слышали, что такое информационная безопасность.

Иногда ситуации получаются совсем уж комичные, но с грустным финалом. Меры законодательного уровня оказываются бессильны перед смекалкой доморощенных хакеров или небрежностью сотрудников.

Медицинские карты на свалке

Выбрасывать медицинские карты на свалку – почти традиция. В 2018-м году такую находку сделали в Липецке, а в 2019-м – в Саратове. Не особо переживают за безопасность информации в Альметьевске, Марксе, Николаевске-на-Амуре.

Этой весной таким же небрежным отношением к данным пациентов отметилась больница в городе Верхний Уфалей Челябинской области. На лесной свалке в поселке рядом с ним обнаружили коробку с флюорографическим снимками пациентов и медицинскими заключениями. И, конечно, всеми данными, которые старательно записывает в карту регистратор при первом обращении: ФИО, дата рождения, место работы. В больнице был ремонт, перед которым вопрос защиты данных отошел на второй план.  

Реклама интимных услуг на сайте больницы

В новосибирском поселке городского типа Кольцово пациентам местной больницы предложили альтернативный метод лечения. После взлома на сайте появилась реклама проституток. По ссылке желающие могли перейти в каталог.

Когда скандальный баннер заметили журналисты, ситуация стала еще интереснее. Оказалось, что меры защиты информации для этого сайта просто неактуальны, потому что это старая версия. У больницы давно есть новый сайт с официальной символикой Минздрава, за домен старого она не платит, но веб-ресурс почему-то работает. В медицинском учреждении не смогли удалить старый сайт самостоятельно и после этого инцидента попросили помощи у Роскомнадзора.

Мертвые души 2.0

Знакомый всем со школы сюжет Н.В. Гоголя получил новое прочтение в Майкопе. Там развернулась бойкая торговля мертвыми душами, а точнее – данными об умерших местных жителях. Покупателем выступило местное похоронное бюро. Продавцами – двое участковых. Принципы защиты информации об умерших перевесило вознаграждение в… 10 тысяч рублей. Именно столько получил один из участковых за то, что целый год снабжал бюро ритуальных услуг необходимыми сведениями.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) «О персональных данных» не может быть применен к умершим людям, так в пункте 2, подпункт 2 сказано, что закон о ПД не относиться к архивным документам.

После смерти человека, его документы аннулируются. Паспорт, СНИЛС, водительские права – становятся недействительными. Ими уже нельзя больше воспользоваться. Вся информация передается в архив. Часть документов, вместе с аккаунтом на Госуслугах блокируется и становится недействительной очень быстро. Какие-то другие государственные документы теряют свою силу через пол года, после вступления в права наследников.

Но в любом, случае, после смерти человека эти данные уже не могут быть поданы для их обработки. А то, что было подано до смерти, оно по факту уже защищено согласно закону. Конечно, есть небольшой промежуток времени, когда после смерти этими данными могут воспользоваться до их аннулирования. Но это уже мошенничество и злоупотребление, что выходит за рамки Закона о ПД и переходит в плоскость Уголовного и Административного права.

Соль-илецкие Робин Гуды

Важную роль в information security играет мотивация потенциальных и уже состоявшихся хакеров. Деньги? Политическая позиция? Иногда – социальная справедливость.

Город Соль-Илецк в Оренбургской области славится своим курортом «Соленые озера». Вход на территорию для желающих отдохнуть платный. Это не устроило двух местных жителей и и они нанесли курорту ущерб на 168 тысяч рублей.

Первый участник схемы раздобыл 15 входных билетов на территорию курорта. Второй изменил на основе содержащихся в них данных принцип работы пропускной системы и проход стал бесплатным для всех.

Взламывал наркосайты и забирал найденное себе

Севастопольскому хакеру заботы его соль-илецких «коллег» чужды. Он находил в даркнете сайты наркодилеров и взламывал их. Мотивом служили вовсе не задачи информационной безопасности, так как севастополец не пытался пресечь распространение наркотиков.

Мужчина находил указанные на взломанных сайтах тайники и сам забирал наркотические средства. Все найденное хакер оставлял дома для личных нужд. При задержании в его квартире обнаружили три вида наркотиков. Соответственно, и срок мужчине теперь грозит не за взлом и без того незаконных сайтов, а за хранение наркотических веществ.  

Хакеры выплатили зарплату

В Череповце хакеры атаковали мясной магазин, чтобы выплатить зарплату. Получив доступ к банковскому ПО магазина, они «наняли» на работу новых сотрудников, которых оформили в системе по всем правилам. После всем этим номинальным работникам выплатили зарплату. Так магазин потерял 700 тысяч рублей – все имеющиеся на счетах средства – всего за одну ночь. Пришедший утром на работу бухгалтер, которому остается только посочувствовать, не обнаружил на своем компьютере банковского ПО.

Игорь Ландырев

Руководитель отдела по анализу защищенности Awillix

В большинстве случаев злоумышленники не таргетируются на конкретном сотруднике компании и рассылают фишинговые письма всем.

Касательно конкретно бухгалтеров многое зависит от размера компаний. В крупных организациях подобные инциденты встречаются редко. Это болезнь маленьких компаний, где бухгалтер работает на аутсорсе, сотрудники имеют слабое представление о базовых правилах ИБ, а СЗИ может не быть вовсе.

Например, в банковской отрасли распространена практика, когда учетная запись бухгалтера максимально локализована и ограничена внутренними ресурсами компании. Даже входящие письма приходят только с «домашних» адресов.

История с «трудоустройством» может быть реализована только в том случае, если у злоумышленников есть дроп или украденный счет, на который можно вывести деньги. В дальнейшем средства могут быть сняты с карты или «прокручены» через сервисы, где нет мониторинга операций.

В случаях, когда киберпреступник смог получить доступ к бухгалтерии компании, риски могут быть множественные. Это не только прямая кража денег, но и, например, полная потеря финансовой отчетности. Если злоумышленник уничтожит базу данным, что далеко не редкость – процесс восстановления может занять недели и месяцы.

Сбор средств на взломанный счет

Проблема, с которой столкнулась некоммерческая организация «Совет женщин» в Якутии, лежит не совсем в сфере обеспечения информационной безопасности. Организация собирала средства на помощь участникам СВО на счет, который уже взломали. Средства были похищены, но сбор продолжился по тем же реквизитам, что возмутило местных жителей.

Организация объяснила это тем, что не может заменить счет для сбора средств, так как другие региональные объединения не вправе его проводить. На карту физического лица собирать деньги тоже оказалось нельзя.

В итоге сбор пришлось продолжить на тот же счет. Единственная мера безопасности, которую принял «Совет женщин», – отключение электронной подписи.

Борьба с хакерами предупреждениями

Обеспечение информационной безопасности – это, в том числе, и предотвращение противоправных действий. Причем не всегда требуются дорогостоящие системы защиты, иногда подойдет метод «а поговорить».  Нынешней весной ФСБ отчиталась сразу о двух потенциальных хакерах, которые попали в поле зрение до правонарушения.

В Республике Алтай хакер собирался модифицировать систему одной из местных организаций. Однако сотрудники регионального УФСБ провели с ним беседу о содержании части 1 статьи 274 Уголовного Кодекса РФ, и тот сразу передумал.

Во Владимире мужчина решил разобраться в методах совершения компьютерных атак, чтобы оценивать уровень защищенности веб-ресурсов. Этичный хакинг «в полях» обернулся двумя встречами с ФСБ по поводу готовящейся атаки на сайт регионального правительства. На второй мужчине пригрозили уголовным делом. Чтобы понять, даст ли эта составляющая информационной безопасности эффект, придется подождать.

Хотел взломать банк, но не смог

Житель Котовска перешел от намерений к действиям, сумел установить и даже запустить вредоносное ПО для атаки на банк. Нападение не удалось и мужчина не смог получить доступ к данным. Зато получил массу проблем, когда попал в поле зрения правоохранительных органов. Уголовное дело возбудили за использование компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации (часть 1 статьи 273 Уголовного кодекса РФ).

Итоги и выводы

Планирование мероприятий по защите информационной безопасности – всегда сложная задача, а в России она особенно увлекательна. Хакеры-Робин Гуды, неудаляемые без Роскомнадзора сайты и всепоглощающий ремонт, из-за которого можно выкинуть на свалку что угодно. Есть в этих не наделавших большого шума инцидентах что-то до боли знакомое и родное каждому ИБ-специалисту.

Большинство инцидентов объясняется именно тем, что состояние системы информационной безопасности  в организации оставляет желать лучшего. В том случае, если она в принципе есть. Отсюда главный вывод — похожие инциденты будут происходить до тех пор, пока не изменится ситуация с бюджетами и дефицитом кадров в отрасли.