Что движет хакерами: взгляд профессионального переговорщика

В своей статье, опубликованной в авторитетном журнале WIRED, Моти Кристал, утверждает, что нам следует глубже понять роль человеческого фактора в кибератаках.

«Что случилось?» — такой вопрос звучал чаще всего после широкого освещения в СМИ «самой серьезной атаки вымогателей в истории», как назвал произошедшее международный эксперт по кибербезопасности Микко Хиппонен.

Однако зачем кибератаке подверглась система здравоохранения — вопрос гораздо более интересный и актуальный. Как с точки зрения урегулирования нынешнего кризиса (совет: не платите!), так и для предотвращения дальнейших атак. Понимание человеческого «зачем» гораздо важнее знания технического «что».

Предыстория проста: группа хакеров The ShadowBrokers (TSB) получила доступ к мощному кибероружию АНБ, которое использует уязвимость в программном обеспечении Майкрософт. Корпорация Майкрософт, зная об этой проблеме, выпустила обновление системы безопасности, которое многие организации не установили. TSB пыталась продать кибероружие на аукционе, но безрезультатно, после чего распространила вредоносный код в виде программы-вымогателя, чтобы привлечь к себе внимание.

В Великобритании пострадали ИТ-системы сферы здравоохранения. В итоге разгорелся ожесточенный политический спор об ответственности, который практически ушел от банального технического вопроса: может ли это произойти снова?

«Понимание человеческого „зачем“ гораздо важнее знания технического „что“».

Как и в борьбе с терроризмом, главнейшим фактором в борьбе с кибератаками и вымогательством является понимание мотивации главных действующих лиц.

Технологии всегда будут своеобразной игрой в кошки-мышки, поэтому в борьбе с хакерами важно понимание человеческого фактора. Проще говоря, есть два вида мотивации: инструментальная и экспрессивная.

Если бы TSB хотела заработать деньги (профессиональные кризисные переговорщики называют это «инструментальной мотивацией»), они бы выбрали в качестве цели конкретные учреждения и значительно повысили бы сумму выкупа. Именно так поступили хакеры в прошлом году с одной из больниц Лос-Анджелеса, которая заплатила 17 000 долл. США в биткоинах в качестве выкупа.

Если бы TSB просто хотела денег, то своими действиями не вынудила бы государственные органы рассматривать планы реализации кибербезопасности. Когда политические кандидаты сталкиваются с утечками данных из систем своей избирательной кампании или личной переписки, то инструментальная мотивация хакеров заключается в том, чтобы подорвать их авторитет и повлиять на результаты выборов. Если деньги уплачены, президент избран или бизнес-конкурент уничтожен, инструментальная миссия выполнена.

Экспрессивная мотивация сложнее, так как вытекает из потребности человека чувствовать свою значимость, знать, что его работа, мотивы или система убеждений оценены по достоинству. Например, целью «Аль-Каиды» в терактах 9/11 было продемонстрировать уязвимость США. Понятая и проанализированная, эта мотивация позволяет специалистам по кибербезопасности эффективнее заниматься расследованием, анализом разведданных и, при возможности контакта, как в случае кибер-вымогательств, общаться, понимая мотивы.

Широкомасштабная атака произошла в пятницу, когда в медучреждениях посетителей традиционно меньше. Средством атаки выступила вредоносная программа американского производства со встроенным «аварийным выключателем». Неспособность преступников продать ее за большие деньги, использование давно известной уязвимости, низкая сумма выкупа при глобальных параллельных атаках (что уменьшает шансы получить деньги) и тот факт, что серьезно пострадала Россия, — все это признаки того, что виновниками могли стать американские хакеры, обозленные невозможностью заработать большие деньги. Атака имеет признаки работы группы, которая небольшой сумме денег предпочла эффектный ход.

При этом не была задействована классическая инструментальная программа-вымогатель, хорошо известная специалистам по кибербезопасности. Это была глобальная и мощная демонстрация силы, которая принесла относительно небольшой финансовый и экономический ущерб. Правительству Великобритании следует рассматривать ее как серьезное напоминание о необходимости пересмотреть свою стратегию кибербезопасности. Предприятиям и организациям всего мира стоит поблагодарить TBS за этот тревожный звонок, а специалистам по кибербезопасности выпала возможность изучить преобладающие человеческие факторы, которые стоят за любым масштабным кибер-вымогательством.

Оригинал публикации на английском языке: на сайте журнала WIRED.