Владимир Овчинский - Мафия. Новые мировые тенденции

В структуре жертв киберпреступлений, как и в случае киберпреступности, большую часть – ее нижний уровень – составляют физические лица, малый и отчасти средний бизнес. В значительной степени они становятся жертвами киберпреступлений в силу крайне низкого уровня технической компетентности и осведомленности в области информационной безопасности. Несомненно, они располагают гораздо меньшими активами, чем жертвы более высокого уровня. Однако, количество в данном случае позволяет компенсировать незначительные масштабы активов у каждой отдельной жертвы.

Специфика киберпреступности состоит, в том числе, в том, что в отличие от традиционной преступности в цифровом пространстве зачастую легче ограбить 100 тыс. человек, чем совершить одно кибернападение на серьезную структуру. Именно легкость масштабирования киберпреступлений является едва ли не самой привлекательной чертой этого типа преступности для криминала.

Потенциальная прибыль при каждой атаке характеризуется тем, что существует прямая зависимость между уровнем квалификации и аппаратно-программного оснащения киберпреступников и прибылью от единичной атаки.

Можно выделить три категории киберпреступности и их жертв. Также как в реальном мире, в киберпространстве одиночные и малоорганизованные киберпреступники выбирают своими жертвами население и малый бизнес. Соответственно наиболее продвинутые и организованные злоумышленники стараются не размениваться по мелочам и не проводить массированных атак на рядовых пользователей, а действовать против организаций с наиболее ценными активами.

Впрочем можно предположить, что в ближайшем будущем ситуация может измениться. В том случае, если крупный бизнес и государственные структуры резко повысят уровень своей информационной безопасности, а организованные киберпреступники найдут способы одновременных атак, охватывающих не тысячи, а сотни тысяч и миллионы человек, то вполне может оказаться, что нынешняя структура изменится. Соответственно, наиболее технически и программно оснащенные группы будут атаковать наименее защищенные жертвы, и получать прибыль за счет эффекта масштаба, а не прибыли от отдельной сделки.

Структура наиболее эффективной стратегии правоохранительных органов такова. Для нижнего уровня наиболее эффективным является профилактическая работа и резкое повышение уровня осведомленности физических лиц и малого бизнеса в сфере киберпреступности. Возможно даже подумать, чтобы общество частично брало на себя затраты, связанные с информационной защитой. На среднем уровне правоохранительным органам не остается ничего иного, как действовать в традиционном ключе и ориентироваться, прежде всего, не на предотвращение, а на раскрытие преступлений.

Наконец, на высшем уровне с учетом чрезвычайной разрушительности кибератак и огромными масштабами ущерба целесообразно в пределах законодательных возможностей, делать акцент не на раскрытии преступления, а на их предупреждении. В этих целях необходимо использовать возможности, если для этого будут созданы законодательные предпосылки, превентивного мониторинга, активности лиц, обладающих высокорискованными квалификациями.

Кибербезопасность против киберпреступности. По данным Европола и национальных правоохранительных органов, едва ли не половина киберпреступлений не произошло, если бы граждане и организации ответственно относились к своей информационной безопасности. Значительная часть компьютерных преступлений совершается из-за того, что население европейских стран и бизнес безответственно относятся к вопросам цифровой гигиены и не принимают никаких мер к защите своих цифровых активов.

В итоге даже лица, обладающие только элементарными программными навыками, но склонные к девиантной деятельности успешно атакуют компьютеры и сети и извлекают из этих атак преступную выгоду. Одна полиция, сколько денег не расходуй, никогда не сможет справиться с киберпреступниками. если граждане и бизнес, вместо того, чтобы сотрудничать с полицией, своим бездействием фактически помогают преступникам.

В этой связи заслуживают внимания предложения о введении для европейских производителей, а также торговых организаций, реализующих продукцию, произведенную за пределами ЕС обязательных требований информационной безопасности продаваемых изделий. Практически немедленно такие законодательные минимальные требования должны быть введены в отношении бытовой техники, автомобилей и устройств для домов. Необходимо обязать бизнес оплачивать повышение уровня информационной безопасности. Иного способа в условиях экономии бюджета справиться с киберпреступностью не существует.

Об этом, например, свидетельствует опыт США. В этой стране был один из наиболее высоких уровней мошенничеств с платежными картами. При этом уже более двух лет существует специальная технология EMV, позволяющая резко повысить надежность платежных карт. Она не применялась, поскольку население, торговые организации и платежные компании не могли договориться, кто будет платить за внедрение технологии. Выход был найден страховщиками. Страховые компании приняли решение устанавливать существенно различный тариф на страхование платежей в зависимости от уровня их защищенности процессинговыми компаниями, гражданами и торговыми организациями. В результате все три главных участника транзакции посчитали для себя более выгодным взять дополнительные расходы на себя, уменьшив страховые выплаты. Первый анализ данных показывает, что уровень киберпреступности, связанный с платежными картами немедленно снизился.

Данный пример показывает, что зачастую не надо заботу о тех или иных решениях перекладывать исключительно на государство. В подавляющем большинстве случаев вопросы информационной безопасности, а соответственно и сужения поля для киберпреступности, могут решаться не путем вертикальных связей между государствами, субъектами хозяйствования и населением, а исключительно по горизонтали.

Цифровой мир – это вообще мир распределенной обработки данных. Соответственно возникает вопрос о распределении ответственности. Например, кто несет ответственность за использование сети Тоr наркобаронами, торговцами оружием, скриммерами и педофилами. Является ли ответственным ICANN? Организация утверждает, что не имеет к сети Тоr никакого отношения. Может быть военно-морская разведка США, находившаяся у истоков проекта Тоr? Нет, отвечают они. Проект был разработан исключительно в военных целях. Тогда, может быть, например, Шведский королевский благотворительный фонд, спонсирующий развитие сети Тоr? Фонд отвечает, что глупо возлагать ответственность на производителя оружия за то, что этим оружием кого-либо убили.