Охотники за коммерческой тайной
Три вектора кибератак для промышленного шпионажа
Future Crew
Блок инноваций ПАО «МТС»
После презентации Apple Intelligence, на которой компания анонсировала ИИ-функции в iPhone и применение сервисов OpenAI в некоторых сценариях, Илон Маск мгновенно и остро отреагировал на новость: пообещал запретить iPhone на своих предприятиях и даже временно изымать устройства у гостей фирмы.
Лидер Tesla и SpaceX испытывает опасения не зря: из-за растущей цифровизации бизнеса кибератаки стали эффективным способом кражи интеллектуальной собственности, промышленного ноу-хау, финансовой информации и бизнес планов.
Цена атаки и ее векторы
Еще в 2019 году ФБР оценивало общий ущерб американской экономике от разных форм воровства интеллектуальной собственности в $225–600 млрд.
По данным ГК InfoWatch, в России по итогам прошлого года возросло число утечек информации, содержащей коммерческую тайну и снизилось количество утечек с персональными данными.
Высокая цена интеллектуальной собственности оправдывает проведение длительных, технически сложных и дорогостоящих атак. Им подвергаются не только смартфоны сотрудников, но и обычные компьютеры, облачные сервисы и даже инфраструктура поставщиков и подрядчиков жертвы.
Утечка через смартфоны
Смартфоны, особенно принадлежащие самим сотрудникам, создают минимум два риска: заражение шпионским ПО и утечка через облачные сервисы.
Прямое заражение смартфонов своих сотрудников с целью шпионажа обнаружила и обнародовала в 2023 году «Лаборатория Касперского». Для заражения от жертвы не требовалось никаких действий — ей присылали невидимое сообщение iMessage, приводящее к полной компрометации системы. Вредоносное ПО воровало с устройств пароли, переписки, базы данных, записывало голос с микрофона и вело слежку по геолокации.
Случай стал резонансным в том числе из-за репутации iOS как безопасной системы. А вот для Android шпионского ПО настолько много, что им пользуются не только корпоративные шпионы, но и даже ревнивые супруги.
Илон Маск в случае с Apple и OpenAI опасается второго сценария — передачи информации легитимными приложениями на серверы поставщиков ИИ-услуг, откуда она может быть украдена злоумышленниками или случайно опубликована в общий доступ. Обе угрозы воплощались в бигтех-компаниях совсем недавно: в 2023 году Microsoft признала, что злоумышленники смогли взломать электронную почту высокопоставленных сотрудников компании, а затем получить доступ к исходным кодам продуктов Microsoft.
Также в прошлом году компания допустила утечку 38 ТБ (!) информации, применявшейся для обучения ИИ. Таких масштабных утечек из OpenAI пока не случалось, но прошлой зимой компания Google DeepMind показала, что ChatGPT при определенных условиях мог выдавать свои тренировочные данные самостоятельно.
Атака на сеть организации
В коммерческом шпионаже и похищении технологических секретов могут быть заинтересованы как конкуренты, так и целые государства. При этом компания-вор не должна обладать шпионской экспертизой, ведь проще заказать кражу у «хакеров по найму». Такую подрядную организацию с кодовым названием DeathStalker разоблачили в 2020 году, но ее деятельность на тот момент велась уже восемь лет. «Сталкеры» атаковали компании по всему миру, преимущественно из секторов финтеха, управления капиталом и юридического сопровождения бизнеса.
Уже в 2023 году раскрыли кибератаку на крупного европейского чипмейкера NXP Semiconductors — у компании воровали технологические секреты более двух лет. Атакующие предположительно действовали в интересах Китая. Исследование голландских спецслужб показало, что та же группировка проводила похожие кибератаки на тайваньские фирмы с рынка микроэлектроники.
Кражи из облачной инфраструктуры
Многие инструменты ИБ в организации (межсетевые экраны, защита конечных точек, парольные политики и так далее) сложно или невозможно применить для защиты облачной инфраструктуры компании, поэтому злоумышленникам зачастую легче выкрасть нужные данные прямо из облака. Согласно отчету службы кибербезопасности Google Cloud, почти половину атак на облачные сервисы удается провести просто с украденными учетными данными сотрудника, но некоторые сложные атаки используют дефекты в облачных системах. Это случилось с 25 корпоративными клиентами Microsoft 365, включая американские федеральные агентства. Их почта была массово взломана при помощи украденного у самой Microsoft криптографического ключа.
Значительную угрозу представляют системы облачного обмена файлами: за последний год целому ряду громких взломов подверглась, например, система MOVEit Transfer, через критические уязвимости в которой были похищены крупные массивы данных более 2000 компаний, включая British Airways и BBC.
Комплексная защита
Чтобы не стать следующей жертвой коммерческого шпионажа, организации потребуется внедрить комплексный подход к кибербезопасности, включающий не только применение типового защитного ПО, но и множество организационно-технических мер: детальная инвентаризация ИТ-активов и их состояния, непрерывное сканирование уязвимостей и управление ими, мониторинг даркнета на предмет утечек, относящихся к компании, поиск целевых фишинговых ресурсов.
Чтобы не тратить дефицитные ресурсы команды ИБ на развитие специфической экспертизы в каждой из этих областей, компания может получить подобный подход к защите в виде готового сервиса. Например, платформа CICADA8 объединяет управление активами, уязвимостями и утечками в единый интерфейс, а также дает клиентам готовые процессы управления жизненным циклом уязвимостей, включая планы устранения и контроль исполнения.