Эта проблема особенно актуальна в свете недавних разбирательств о вмешательстве хакеров во время выборов в США и Европе. По мнению одних экспертов, хакеры могут сосредоточиться на взломе веб-серверов кандидатов в президенты, осуществлять DDoS-атаки и дезинформировать избирателей. Однако с этим утверждением согласны не все специалисты в области информационной безопасности. По мнению некоторых специалистов, атаки на ИТ-инфраструктуру актуальны только для тех стран, которые уже работают над внедрением электронного голосования. Эксперты Eset в своем отчете о трендах информационной безопасности, которые определят развитие мирового киберландшафта в 2018 г., назвали вмешательство хакеров в избирательный процесс, угрожающее легитимности выборов, одной из сравнительно новых проблем кибербезопасности. При этом в отчете специалисты Eset упомянули, что риски актуальны для тех стран, которые уже работают над внедрением электронного голосования, — Аргентины, Бразилии, Германии и США. Во всех этих странах электронное голосование дополняет, а не заменяет традиционную «бумажную» систему. «В России на данном этапе говорить о внедрении аналогичных технологий, как минимум, преждевременно», — сообщили в пресс-службе Eset.
Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев также не ожидает никакой особой хакерской активности в отношении российских выборов. Однако другие специалисты в области информационной безопасности видят определенные риски для ИТ-инфраструктуры, которая будет использоваться на президентских выборах в РФ в 2018 г. Илья Сачков, генеральный директор и основатель компании Group-IB, специализирующейся на расследовании киберпреступлений и разработке продуктов для информационной безопасности, предупредил, что перед выборами существует большая вероятность как технологических, так и информационных атак. Специалист Group-IB предположил, что, как и в недавнем американском сценарии, одним из ключевых инструментов политического противостояния будет компромат и дезинформация, распространяемые при помощи современных каналов коммуникаций. «Естественно, часть этих „вбросов“ будет выдуманной, часть — получена в результате различного рода компьютерных преступлений. Это, в частности, использование вредоносного ПО, направленного на получение доступа к личным учетным записям, например почтовым, а также персональным устройствам кандидатов, их окружения и команд предвыборных штабов», — привел пример он. Как заметил Илья Сачков, «классическим» преступлением, характерным для предвыборных кампаний, являются DDoS-атаки, направленные на предвыборные сайты и страницы кандидатов.
С ним согласен директор департамента по исследованиям угроз Avast Михал Салат. Он также сделал предположение, что хакеры будут проводить DDoS-атаки. Специалист Group-IB считает, что наиболее популярным будет использование информационных атак. В Интернете набирают популярность поддельные ресурсы агитаторов в соцсетях, а также фальшивые агитационные страницы. Он объяснил это тем, что для тех или иных политических сил гораздо проще манипулировать общественным мнением, вбрасывая нужную информацию. По мнению Михал Салата, кандидатам в президенты следует опасаться взломов их веб-серверов. Кроме того, киберпреступники могут подменить контент, распространяемый во время агитации, либо украсть критически важную для кандидатов информацию.
Как отметили в аналитическом центре InfoWatch, в поле зрения злоумышленников могут находиться программно-аппаратные средства, персональные данные, закрытые сведения из избирательных штабов, содержание электронной переписки участников выборов и другая чувствительная информация. ИБ-евангелист компании Balabit Чаба Краснаи уверен, что подделать результаты выборов сложнее (взломать ИТ-систему избирательной комиссии), чем воздействовать на сознание людей. Опираясь на кейсы предыдущих лет, он сделал вывод, что злоумышленники использовали DDoS-атаки, подделывали результаты на сайте ЦИК, взламывали специальное программное обеспечение.
Руководитель экспертного центра безопасности (PT ESC) Positive Technologies Алексей Новиков обратил внимание на усложнение атак с технологической точки зрения: злоумышленники стали активно использовать методы, затрудняющие анализ и расследование инцидентов. «Используются так называемые средства антианализа, антиатрибуции, антифоренсики, увеличилось число бесфайловых атак, вредоносное ПО все чаще стало подписываться цифровыми подписями и пр.», — заметил специалист Positive Technologies.
В Group-IB считают, что технологически защиту нужно строить в трех направлениях: защита от DDoS-атак, выявление попыток проникновения в информационные системы и оперативный мониторинг Интернета на предмет появления противоправного контента, дезинформации и попыток использования инструментов дестабилизации общества.
Специалисты Group-IB напомнили, что задолго до запуска в активную фазу работы выборных ИТ-систем нужно подготовить и проверить ее защищенность: для этого используются мероприятия типа red teaming — имитация целевых атак на системы с использованием наиболее актуальных хакерских инструментов. В Group-IB посоветовали выявленные пробелы латать и тестировать снова. «Опять же заранее, в процессе выборов и после них использовать Threat Intelligence — системы слежения за инфраструктурой и взаимодействием киберпреступников. Такие системы позволяют узнавать об утечках, взломах и хакерской активности до того, как угроза превратится в инцидент, чреватый неуправляемыми последствиями», — отметили в Group-IB. Аналитик группы компаний «ИнфоВотч» (InfoWatch) Сергей Хайрук сообщил, что для предупреждения преднамеренных и случайных утечек требуются современные DLP-системы (Data Leak Prevention) с возможностью контроля широкого спектра каналов и подключением инструментов анализа поведения пользователей информационных систем.
Михал Салат из Avast посоветовал для обеспечения защиты ИТ-инфраструктуры избирательной системы тестировать ее с помощью сторонних экспертов, чтобы проверить, насколько уязвима инфраструктура и может ли быть атакована или доступна извне. Также для обеспечения безопасности важно убедиться, что на компьютерах, подключенных к Сети, установлен антивирус и брандмауэры, проверить уровень и права доступа сотрудников ко всем системам. По словам специалиста Balabit, в целях безопасности элементы инфраструктуры должны быть отключены от Интернета. Кроме того, должен осуществляться строгий контроль доступа и непрерывный мониторинг и аналитика действий привилегированных пользователей, чтобы вовремя выявлять подозрительную активность.
Подробнее: ComNews