«Может возрасти количество так называемых таргетированных кибератак в e-commerce TravelTech»
Отрасль туризма в мире занимает третью строчку по количеству кибератак. Таковы результаты исследования Thematic Intelligence. В России TravelTech-площадки, чьи сервисы включают e-commerce, находятся в зоне особого риска. Киберпреступность подпитывается острой конкуренцией. С рынка ушли международные игроки вроде Booking.com и Tripadvisor. «Может возрасти количество так называемых таргетированных кибератак в e-commerce TravelTech», — считает Анна Степанян, инженер по безопасности Aviasales. Она согласилась ответить на ряд вопросов о том, как выстроить киберзащиту в условиях острой конкуренции.
По актуальным на 2022 данным, общее количество TravelTech-стартапов в России достигло 300 и ежегодно появлялось до 30 новых цифровых игроков. В 2024 году, по сравнению с предыдущим годом, в четыре раза увеличилось количество DDoS-атак на туристические и развлекательные организации.
Согласно выводам, сделанным Thematic Intelligence о состоянии кибербезопасности в целом, по миру, основными инструментами злоумышленников становятся социальная инженерия и фишинг, в том числе с использованием подставных сайтов бронирования отелей.
Анна, что такое таргетированные кибератаки и почему вы считаете, что число таких хакерских атак на инфраструктуру российских туристических e-commerce возрастет?
По практике международной туристической отрасли: за появлением большого количества TravelTech и e-commerce в какой-либо нише, следует острая конкурентная борьба, после чего происходят слияния и поглощения. В результате этих сделок рынок занимает несколько больших экосистем. Естественно, не все готовы в столь конкурентной атмосфере действовать добросовестно. Одни конкуренты могут готовить таргетированные, или целевые, как их еще называют, кибератаки на других. От обычных киберугроз они отличаются высокой степенью подготовки. Вашу облачную или серверную инфраструктуру «пробует на зуб» не программное обеспечение, которое пытается получить доступ к данным «у кого получится», стандартными инструментами. К защите от таких покушений корпоративный мир обычно готов. Хакеры изучают ваши уязвимости и полуавтоматическим способом пытаются использовать найденные слабые места. Нашумевшим стал случай группировки хакеров TA558. Она за короткий промежуток времени спланировала и реализовала 31 атаку, специально нацеленную на организации туристической и гостичной индустрий. Были потеряны данные российскими, турецкими и румынскими компаниями. Кстати, таргетированная атака может быть нацелена не только на конкретную компанию и «скроена» под ее IT-окружение. Иногда целевые киберпреступления планируют в отношении конкретного сотрудника или их группы.
Происки недобросовестных конкурентов становятся главной причиной кибератак на организации, торгующие туристическими услугами через интернет?
Нет, я бы так не сказала. От этой группы злоумышленников можно ожидать наиболее опасных киберугроз, но чаще все-таки речь идет о хакерах, которых в принципе интересуют персональные данные. Сервисы бронирования, продажи путевок, продажи онлайн авиабилетов, туров, экскурсий, интерфейсы сбора отчетов и оценки, рейтингов посещаемых мест. Все эти приложения и сервисы собирают много сведений о пользователях. От имен, телефонов и адресов электронной почты, до паспортных данных и платежной информации. Мотивация у киберпреступников самая разная. Есть те, кто берется за это из-за банальной наживы. Есть довольно распространенная категория людей, которые просто хотят показать свою техническую экспертизу. Они показывают, что ваши барьеры на их пути – это не барьеры. Уязвимости «нулевого дня», то есть такие «прорехи» в вашей инфраструктуре, о которых еще никто не знает, в том числе и вы, являются для них скорее побочным продуктом мастерства. Они потом могут продавать эту информацию через Darknet и почти всегда это делают.
Насколько опасными могут быть атаки на веб- и мобильные сервисы TravelTech и e-commerce компаний? Как обстоит дело с привлечением к ответственности виновных?
Киберпреступления – это то, на что компаниям лучше реагировать превентивно. Не допускать взломов и утечек. В 2024 правительство России ужесточило ответственность для юридических лиц за утечки персональных данных. Теперь по КоАП можно заплатить штраф в размере 15 миллионов рублей. Есть уголовная ответственность. Другое дело, что эти 15 миллионов – верхушка айсберга для TravelTech. Косвенные последствия того, что вас взломали могут еще долго «пускать круги по воде», лишая компанию прибыли. IT-стартап с большой вероятностью закроется после этого. Очень характерный пример целевой атаки на инфраструктуру туристического стартапа – то, что случилось в 2017 году с Sabre. Киберпреступники использовали интеграцию Sabre c сервисом бронирования SynXis, чтобы добраться до данных пользователей самого Sabre. Интеграции, которых десятки у каждого BigTech в сфере туризма, сотни, часто используются как ворота для проникновения в базу данных целевой компании. Sabre понесла многомиллионные убытки и расхлебывает последствия до сих пор, а хакеры, сделавшие это, так и не найдены. Не так много киберпреступников, к сожалению, удается найти и привлечь к ответственности. В России доводятся до логического финала сотни таких дел, а кибер-краж на самом деле совершается на порядок больше. Подвергнувшись успешной кибератаке, вы не только лишаетесь прибыли. От вас уходят партнеры, репутация терпит крах.
Сейчас много говорят о потенциале AI – «искусственного интеллекта» в обеспечении безопасности облачных и серверных архитектур? А вы что об этом думаете?
Да, безусловно, у AI огромный потенциал. Он может в фоновом режиме работать в вашей экосистеме и в реальном времени искать уязвимости. Если AI обнаружил признаки атаки – он может купировать угрозу в доли секунды, быстрее, чем любая команда в сфере кибербезопасности. Крупнейшие компании, разработчики такого ПО известны: Crowdstrike, Darktrace, Cylance. Проблема в том, что «искусственный интеллект» нужно правильно обучать. Его трудно контролировать, так как, если раньше вы сами держали руку «на пульсе», то сейчас вы работаете с «машинным обучением», а дальше действия нейросети в значительной степени «черный ящик». Она работает так быстро, что когда вы обнаружите, что она делает что-то не то, может быть слишком поздно. Так что это специалист-человек управляет кибербезопасностью, хотя и через быстрого «помощника». Он будет эффективен ровно в той степени, в которой вы дали ему правильные распоряжения. Вдобавок, AI вооружены не только вы, но и наиболее продвинутые мошенники. В частности, если атака на вас будет заказом нечистоплотных конкурентов, то почти наверняка AI будет использоваться для автоматизации поиска уязвимостей. Сбывается грустное пророчество фантастов о роботах «испорченных» людьми.
Что же нужно предпринять, чтобы в TravelTech, вовлеченных в электронную торговлю, обеспечить реальную защиту данных?
Прежде всего, стоит «вшить» максимум практик кибербезопасности в вашу IT-инфраструктуру. Простой пример: можно настроить ваше оборудование так, что, находясь в локальной сети нельзя будет авторизовывать никак иначе, как методом двухфакторной авторизации. Но это только самый простой пример. На деле можно автоматизировать очень многое. Wi-Fi соединения, которые вы используете, могут автоматически не допускать публичную доступность. Ваше программное обеспечение может следить за тем, чтобы прорехи в корпоративной сети не появлялись и предпринимать меры, если такое все-таки случилось. Вы знаете, что есть мошенники, которые ездят на автомобилях по городу и, с помощью хакерского программного обеспечения, подключаются ко всем Wi-Fi-сетям, оказавшимся публично доступными или даже просто передающими не зашифрованный трафик? Это называется «вардрайвинг». Обязательно заложите в свою технику шифрование трафика. Если даже ваши сотрудники забудут, что данными нельзя обмениваться в незашифрованном виде, автоматика не может допустить ошибку, она будет действовать одним единственным, известным ей способом.
Но процедуры устаревают, появляются новые угрозы, программное обеспечение должен кто-то вовремя обновлять с этой точки зрения. Это будет «искусственный интеллект»?
Нет, «искусственному интеллекту» пока не под силу принимать настолько самостоятельные решения. Тут в TravelTech стартапах и компаниях вопрос по-прежнему лежит в области менеджмента. Кое-что можно предпринять в такой сфере, как сертификация. Возьмем проблему запаздывания с установкой патчей или обновлений в плагины – в программах, которыми пользуются сотрудники компаний. Устаревшие версии нередко используются злоумышленниками для кибератак. Однако, чтобы в организации поддерживалась политика немедленной установки обновлений и патчей, кто-то должен проводить аудиты и проверять: добавляются все новые инструменты в систему централизованного обновления ПО. Для этого существуют разработанные профессиональными сообществами стандарты в сфере управления рисками, информационной безопасности: ISO 27001, SOC 2, PCI DSS, если речь о хранении платежной информации, данных кредитных карт и всем подобном. Там собраны управленческие процедуры, которые основаны на актуальном опыте передовых компаний. Спецификации постоянно проходят ревизию по мере появления новых киберугроз. Там установлены не только сами правила, но и требования к документированию того, что делается сотрудниками. Если следовать стандартам, о которых идет речь, то можно обеспечить безопасность. Вы даже можете использовать потенциал независимых, риск-ориентированных аудитов. Есть структуры, органы по сертификации, которые позволяют топ-менеджменту компании независимо от реляций своих сотрудников знать, внедрены ли передовые практики обеспечения кибербезопасности. Они продают услугу независимых аудитов кибербезопасности. Кстати, вы упомянули AI, но AI, порой, не только помогает устранять угрозы, а создает новые. В частности, нужно держать под постоянным контролем IoT-инфраструктуру. Если оборудование получает возможность обмениваться без контроля специалиста информацией с другими устройствами, то кибер-мошенники обязательно попробуют обмануть его.
На что еще стоит обратить внимание, если руководство площадок электронной торговли в туризме желает повысить уровень кибербезопасности?
Ошибкой многих является одержимость внешними угрозами. Злоумышленники часто работают с сотрудниками компаний. Например, методы социальной инженерии в хакинге предполагают получение данных компаний через то, чем пользуются отдельные сотрудники: мессенджеры, социальные сети. Например, банальный случай, произошедший с одним из банков в Саудовской Аравии – убедить сотрудника при помощи Deep Fake и синтеза речи, что он разговаривает с начальником и получить у него критически важную для безопасности информацию, с которой хакеры обойдут все «бастионы» киберзащиты. Справляться как с внешними, так и с внутренними угрозами помогут как раз продуманные и опирающиеся на стандарты кибербезопасности управленческие процессы. Почти все стандарты против киберугроз призывают работать по циклам регулярного анализа и улучшения. Если бы такой стандарт применялся в том банке, атакованном с использованием Deep Fake, то, вероятно, на нужной стадии управленческого цикла возможность для мошенников выйти на отдельного сотрудника компании была бы идентифицирована в качестве угрозы, и руководство успело бы принять превентивные меры против того, что в итоге произошло. Ну и любому e-commerce TravelTech нужен подготовленный специалист по кибербезопасности (улыбается). Иногда отдел кибербезопасности.
Что еще можно предпринять, чтобы повысить безопасность в TravelTech?
Использовать бэкапы важных данных. Обеспечивать безопасное удаленное подключение к рабочим местам. Если такой вид работы у вас практикуется. Провести ревизию интеграций со сторонними API. Если, например, вы предоставляете полный цикл цифровых туристических услуг, но платежи или билеты у вас лежат на стороннем поставщике более узких IT-сервисов, то подумайте: не могут ли до ваших данных добраться с этой стороны. Проводите обучение по кибербезопасности. Иногда развивающуюся атаку на инфраструктуру компании удается обнаружить незначительному клерку, который заметил, что платежные формы обратной связи «стали работать как-то странно». Старайтесь придерживаться принципов SSO (Single-Sign On). Это принцип, согласно которому не стоит плодить окна авторизации к разным элементам вашей инфраструктуры для сотрудников. Нужно сделать так, чтобы у вас была одна авторизация для максимума сервисов. Тогда вы знаете, на безопасности чего стоит сосредоточить свои усилия. Так как популярным способом атак на IT-сервисы остается фишинг, посоветую ни за что не хранить пароли и доступы в браузерах. Обеспечьте надежное шифрование учетных данных. Что еще можно посоветовать? Добейтесь стопроцентного и оперативного удаления учетных записей уволенных и уволившихся сотрудников. Используйте PAM-решения для системных администраторов, в которых обеспечивается больший контроль сотрудников в сфере кибербезопасности над действиями специалистов компаний в учетных записях.
Конкуренция на e-commerce площадках в TravelTech становится жестче. Косвенным индикатором этого может служить глобальный рост рынка туристической рекламы. По прогнозам экспертов, он будет расти со средней скоростью 9,2% в год до 2034 года. Однако исход конкурентной борьбы вендоров туристических услуг не всегда зависит от открытой конкуренции за пользователя. «Кирпичиком» в победе или, по крайней мере, выживании на высококонкурентном рынке оказывается кибербезопасность.
