Русский рынок киберпреступности. Исследование 2010.

Прочитал свежее исследование Group-IB: «Русский» рынок компьютерных преступлений в 2010 году: состояние и тенденции.

Понравилось, что авторы вводят долгожданные понятия «русского» и российского рынка компьютерных преступлений. Дело в том, что за рубежом под «русскими» понимают всех выходцев из стран бывшего СССР. Для них все: казахи, узбеки, белорусы и украинцы – все «русские». Вот и в этом исследование под «русским» рынком киберпреступности понимается рынок компьютерных преступлений, совершаемых как гражданами РФ, так и гражданами стран СНГ (видимо Грузии тоже), а российским называется только рынок создаваемый гражданами РФ.

В центре рассмотрения:

  • DDoS-атаки;
  • инциденты в системах ДБО;
  • sms-мошенничество;
  • социальная инженерия и интернет-мошенничество;
  • атаки на критические объекты инфраструктуры.

Делается обзор услуг, которые продаются на черном рынке:

  • продажа\создание\администрирование бот-сетей;
  • продажа загрузок;
  • продажа трафика;
  • услуги, связанные со спамом.

Исследование рассчитано на широкую аудиторию, однако специалистам могут показаться интересными цифры, коих предостаточно:

  • оборот мирового рынка компьютерных преступлений оценивается в 7 млрд.$. Из них 1,3 млрд.$ приходится на российских рынок и 2,5 на «русский» рынок;
  • по прогнозу в 2013 году оборот «русского» рынка достигнет 7,5 млрд. $;
  • количество киберпреступлений в финансовой сфере в 2010 году увеличилось на 115% по сравнению с 2009-м;
  • цена вредоносного программного обеспечения, используемого на узлах бот-сети составляет 3000 – 10000$;
  • цена шифрования исполняемых файлов вредоносной программы для затруднения детектирования антивирусными средствами составляет 20 – 30$;
  • цена аренды серверов для управляющего центра бот-сети у «абузоустойчивых» хостинг-провайдеров составляет 150 – 200$;
  • средняя цена DDoS-атаки 70 – 90$ за сутки атаки (по данным объявлений из открытых источников) и 300 – 500$ за сутки атаки по данным объявлений на закрытых ресурсах;
  • средний ущерб от мошенничества в системах ДБО (неправомерная отправка электронных платежных поручений, их вывод\«залив» и легализация) составляет от 70 до 100 тыс.$;
  • цена базы e-mail в 1 миллион адресов от 500 до 1000$;
  • стоимость 1000 аккаунтов в социальных сетях для рассылки спама от 30 до 50$;
  • взломанные интернет-порталы как ресурсы с установленными шеллами (скриптами для удаленного управления системой) продаются по цене от 900 до 3000$ за 10 шт.;
  • 1000 «загрузок» на азиатские компьютеры стоит 10-12$, на американские 100-140$;
  • спам-рассылка по базе объемом 10 миллионов адресов стоит около 350 – 1500$.

Минусы:
Отчет мне показался каким-то «урезанным». Такое ощущение, что авторы подготовили большой отчет, а потом решили сократить его в несколько раз. Материал кажется неполным. Основные угрозы описаны всего на 2 страницах. Обзор актуальных угроз уместился тоже всего на 2 страничках (если выбросить картинки). Склонен списать на дебют.

Также мне не нравится обезличенность материала, все таки хотелось бы узнать имена экспертов, принимавших участие в исследование.

Плюсы:
Самое главное — это ПЕРВОЕ вменяемое исследование по «русской» компьютерной криминалистики. Это очевидный прорыв для всего рынка.
Материал интересный, с цифрами склонен согласиться, одним словом содержание мне понравилось. Результаты исследования я уже использую в своих презентациях. Первая будет в Челябинске в этот четверг.

Курсы в АИС по СТО БР ИББС

На прошлой неделе отчитал свою часть курса по СТО БР ИББС в АИС. Вопросы по прежнему касаются 3-х аспектов стандарта:

  • Оценка рисков
  • Самооценка
  • Защита персональных данных

Немного о каждом.

В части оценки рисков нужно понимать, что методика, которая предлагается в стандарте, не очень хорошая. Это легко «лечится» выбором другой методики или доработки существующей (благо стандарт предоставляет в этой части свободу). При желании можно найти неплохие описания методик в интернете, однако учитывая важность задачи лучше найти специалистов, которые могут выстроить полноценный процесс оценки рисков и разработают методику под конкретный банк и конкретную службу ИБ.

В самооценке для начала нужно разделить понятия самооценки и аудита. Аудиты которые сегодня предлагают интеграторы – это помощь в самооценке, а не аудит. Правильнее всего это называть оценкой соответствия. Хотя… это буквоедство. Дело в том, что эти понятия в применении к стандарту пока не разделились, но обязательно разделятся. Также в самооценке «навороченная» система подсчета показателей. Все чаще банки интересуются автоматизированными средствами для проведения самооценок. Чем сложнее математика, тем лучше для производителей таких систем.

Защита персональных данных по прежнему вызывает самые острые дискуссии. Так, например, запомнился вопрос о разработке модели угроз. В принципе имеет смысл выделять из Модели угроз информационным активам в отдельный документ угрозы по ПДн (Частная модель угроз по ПДн). Это для удобства, чтобы в случае появления интереса со стороны регуляторов по ПДн можно было передать только Частную модель угроз по ПДн.

По прежнему, много споров вызывает вопрос какие автоматизированные системы относятся к ИСПДн, а какие нет. Много раз об этом говорил, в том числе и в статье для «Финансовой газеты». Многие видят в позиции стандарта прямое противоречие 152-ФЗ и подзаконным актам. В таких случаях я привожу пример с камерами видеонаблюдения которыми обвешана вся Москва. С моей (гражданской) позиции – это прямое нарушение конституционного права на защиту личной жизни (23-24 статей Конституции РФ), однако конституционные суды (не только в РФ) считают что это не так. Чем эта ситуация принципиально отличается от проблемы ИСПДн/не ИСПДн? На мой взгляд стандарт в данном случае не нарушает, а уточняет требования закона и подзаконных актов. Этой же позиции придерживаются и регуляторы (включая Роскомнадзор), которые согласовали стандарт (интересный момент, его согласовали «замы», а не руководители служб 😉 ).

Конечно вопросов по СТО БР ИББС очень и очень много именно поэтому курс такой большой.