Готов ли Израиль к первой мировой кибервойне

В Израиле не утихает скандал, связанный со взломом компьютерной базы данных в страховой компании «Ширбит»: группа хакеров, действующих под именем Black Shadow, шантажирует страховщиков, требуя миллион долларов (или 50 биткоинов) за предотвращение слива информации. Ситуация настолько серьезна, что с совместным заявлением по этому поводу – случай невиданный! – выступили Национальное управление кибербезопасности и Управление рынка капитала, страхования и сбережений министерства финансов, которое контролирует страховые компании.

Журналист «ХаАрец» Амитай Зив, который занимается расследованием инцидента, сообщил, что взломщики получили в собственное распоряжение с серверов компании платежные ведомости сотрудников, претензии, поданные клиентами, в том числе отчеты страховых оценщиков и истории болезней, а также большое количество документов, удостоверяющих личность клиентов.

«С тех пор злоумышленники постепенно сливают все больше и больше информации в сеть, используя метод «сброса данных» или просто сброс», – пишет Зив.

Каждый такой сброс или, как его еще называют «дамп» (от английского to dump «сбрасывать»), файл с полным или частичным содержимым памяти компьютера или базы данных – предает огласке все больше и больше конфиденциальной информации, усложняя задачу тем, кто пытается противостоять киберпреступникам. Во всяком случае, любой новый сброс только усиливает психологическое давление на жертву, ставя перед собой цель – во что бы то ни стало добиться требуемой выплаты. Вот почему хакеры заявили, что если их требования не будут удовлетворены, сумма выплат возрастет до 200 биткоинов, а если и на этот раз «Ширбит» не пойдет на поводу у шантажистов, информация будет продана третьей стороне.

О своих действиях хакеры «отчитываются» на канале Telegram, который наряду с их учетной записью в «Твиттере» стал основным способом коммуникации. По уверениям злоумышленников, в их распоряжении находятся десятки терабайт файлов, содержимое которых явно не понравится страховой компании, которая к тому же, как выяснилось, страхует многих государственных служащих; к примеру, в сети уже всплыли – и не случайно – данные одного из застрахованных судей (домашний адрес, а также номера телефонов председателя тель-авивского окружного суда, судьи Гилада Нойтеля).

Журналист задается справедливым вопросом: каким образом это произошло? И полагает, что на данный момент нет четкого ответа – только предположения. Кстати, по одному из них за взломом стоит группа хакеров экстра-класса, для которой системы защиты в «Ширбит» не представляла особой сложности. В принципе, это подтверждает и Амитай Зив. По его словам, Clear Sky Cyber ​​Security, израильская киберразведка, занявшаяся расследованием инцидента, тоже считает, что упомянутые системы вряд ли следует считать адекватными. Так, компания использует VPN удаленного доступа под названием Pulse, где в прошлом году были обнаружены серьезные недостатки, позволяющие злоумышленникам без особых проблем получить доступ к сети.

VPN, или виртуальная частная сеть, позволяет пользователям устанавливать безопасные интернет-соединения и заходить на сайты, которые могут быть заблокированы. В прошлом это использовалось преимущественно для обхода ограничений в интернете, но во время коронавируса стало ключевым решением для удаленной работы, позволяя сотрудникам входить в системы закрытых компаний из дома. Однако, с другой стороны, это также оставило незащищенными многие фирмы.

«Все, что нужно было сделать в «Ширбит», – подчеркивает Зив, – это загрузить и установить патч (с англ. patch – заплатка, автоматизированное отдельно поставляемое программное средство, которое используется с целью устранить проблемы в программном обеспечении или изменить его функциональность – прим. «Детали»), нейтрализуя дыру в безопасности Pulse VPN. Однако, по мнению специалистов из киберразведки, «Ширбит» не торопилась обновлять программное обеспечение; кроме того, обнаружены и другие серьезные проколы в компьютерных сетях компании, каждый из которых мог стать легкой добычей хакеров. Но пока все это – догадки и спекуляции».

Самое интересное, по словам журналиста, что все, кто более или менее хорошо знаком с ситуацией, считают, что на данном этапе хакерам деньги не нужны. Похоже, уверяет Зив, речь идет о группе лиц, действовавших по идеологическим и антиизраильским соображениям, но позже обнаруживших, что сорвали солидный куш. По аналогичного рода атакам группу отследить не удалось; более того, как считают эксперты, если исходить из поведенческой модели, то Black Shadow вовсе не ведет себя подобно шантажистам, требующим выкупа. Другими словами, переговоры с этими хакерами лишены смысла: даже если деньги им выплатят, информация, скорее всего, по-прежнему будет сливаться в сеть.

Как считает адвокат Йонатан Клингер, специализирующийся на интернет-праве и информационном праве, задача такого рода хакерской группы, помимо прочего – поддерживать собственное реноме, и они обязаны сдержать свое слово, предоставив гарантию непубликации в обмен на деньги. Однако открытым остается вопрос: кто стоит за Black Shadow? Это хакеры-любители или за ними скрывается другая страна?

Выводы последуют?

А выводы должны последовать, потому что, во-первых, пострадали люди, предоставившие компании самую конфиденциальную информацию, а компания не смогла защитить поступившие в ее распоряжение персональные данные клиентов. Эта информация может быть использована для создания всевозможных фальшивых онлайн-аккаунтов, а сами люди – стать мишенью для спама и объектами для вымогательства.

Во-вторых, – что куда серьезнее, – взломанная информация может оказаться активом для террористических групп или враждебных спецслужб. В-третьих, случившееся свидетельствует о недостаточном уровне информационной безопасности целого ряда израильских организаций.

«Ширбит» находится под надзором правительства, потому что это страховая компания, которая предоставляет услуги государству. Иначе говоря, компания в первую очередь должна следовать строгим правилам «управления киберрисками», установленным Управлением рынка капитала. Но что хорошего в правилах, если компания их не соблюдает, а регулирующий орган не проверяет?

Попутно отметим, что всего месяц назад «Ширбит» выиграла конкурс на предоставление услуг автострахования для госслужащих в течение 2021 года.

Спасайся, кто может

Но не следует думать, что взлом базы данных компании «Ширбит» – это единственная попытка хакерской атаки. Так, согласно данным компания Check Point, занимающейся кибербезопасностью, этот взлом – своего рода верхушка айсберга, крупнейшая атака, худшая по своим последствиям.

Как утверждает газета «Джерузалем пост», речь идет о всплеске кибератак на израильские компании за последние месяцы. Так, только в ноябре атакам программ-вымогателей подверглась 141 компания, а в октябре – 137. Согласно данным, 14 процентов из атакованных компаний работают в сфере высоких технологий и 7 процентов – в секторе страхования. Еще 11,5 процента попыток взлома пришлось на государственные учреждения, а 5,6 процентов – на сферу здравоохранения.

Примечательно, что, как заявляют в Check Point, есть признаки не просто криминального характера атак, но их сочетания с националистической направленностью, вплоть до того, что за некоторыми из них могли стоять  другие страны, враждебно настроенные по отношению к Израилю. Радует тот факт, что, в отличие от «Ширбит», большинство атак было предотвращено.

По данным других израильских СМИ, после случившегося с «Ширбит» страховые компании ужесточили соответствующие процедуры; в частности, некоторые запретили своим сотрудниках входить в систему удаленно ночью или в выходные дни, чтобы свести к минимуму потенциальное проникновение хакеров.

Один из экпертов считает, что, «судя по сбросу, взломали сервер с персональными файлами клиентов и фотографиями, но вряд ли заполучили такую информацию, как данные кредитных карт, которые позволили бы хакерам снять большие деньги со счетов. На данный момент главный ущерб от взлома – это вторжение в частную жизнь и возможность кражи личных данных».

Кроме того, указывают на некую странность во всей этой истории: в самом ли деле в «Ширбит» узнали о взломе 30 ноября? Признаки взлома могли появиться намного раньше, в особенности, если хакеры орудовали в системе в течение длительного времени. И тогда возникает вопрос: действительно ли компания вовремя сообщила властям об инциденте?

Марк Котлярский, по материалам израильских СМИ. Фото: Pixabay˜