Перейти к основному содержанию

2988 просмотров

Как Казахстан становится раем для хакеров

По мнению директора Центра анализа и расследования кибератак, компьютерные инциденты уже стали для Казахстана повседневной обыденной реальностью, которую власти просто не хотят замечать

Фото: shutterstock.com

По версии сайта «Лаборатория Касперского» Казахстан на незавидное 24-е место в мире в числе стран, чьи интернет-ресурсы подвергаются несанкционированным вмешательствам чаще всего. При этом в отчетности государственных органов уровень киберпреступности в стране настолько низок, что говорить о необходимости усиления безопасности в этой сфере не приходится. Кардинальное различие взглядов Kursiv.kz прокомментировал директор Центра анализа и расследования кибератак (ЦАРКА) Арман Абдрасилов, по словам которого, компьютерные инциденты уже стали для Казахстана обыденной реальностью, которую власти просто не хотят замечать.

Динамика роста компьютерных инцидентов признается всеми: согласно данным официальной статистики, если в 2011 году в Казахстане было зафиксировано 20 тыс. инцидентов, то в период с 2011 по 2016 годы было зафиксировано уже 60 тыс. инцидентов в год, а в 2017 году – уже более 100 тыс. инцидентов. При этом резкий рост в 2017 году объяснялся тем, что в это время в Астане проходила всемирная специализированная выставка ЭКСПО, и рост количества инцидентов связывался как с интересом хакеров к ресурсам этого события, так и с тем, что фиксация инцидентов в этот период велась особенно тщательно.

Последнее обстоятельство наводит на мысль о том, что при работе служб защиты интернет-пространства в «режиме ЭКСПО» среднегодовое количество выявленных инцидентов и в период 2011–16 годов превышало бы озвучиваемые 60 тыс. Особенно в свете того, что независимые эксперты «Лаборатории Касперского» включают Казахстан в топ-25 самых атакуемых стран в мире. Казалось бы, при таком обилии инцидентов должно быть и обилие расследований, однако, по данным комитета правовой статистики, в январе 2018 года в Казахстане при общем количестве зарегистрированных преступлений на уровне порядка 18 тыс. к сфере информатизации и связи относилось всего 12 уголовных правонарушений. При том, что при уровне инцидентов 2017 года (100 тыс.) их ежемесячное количество приближается к 10 тыс.

Понятно, что далеко не все компьютерные инциденты относятся к сфере киберрасследований, но, тем не менее, разница слишком велика для того, чтобы не задаться вопросом: куда деваются эти инциденты, регистрируемые вендерами, но исчезающими из поля зрения ответственных за соблюдение закона органов? Ответ прост:  большинство из них просто замалчивается как из-за нежелания обладателей уязвимых систем  выносить сор из избы, так и из-за несовершенства законодательства.

«Нет тела – нет дела»

«Если задать вопрос, проводятся ли киберрасследования в Казахстане вообще, то ответ будет утвердительный: они проводятся, правда, не так часто, как хотелось бы, но другой вопрос, что они проводятся не для дальнейшей передачи в суд, а внутри компаний для внутреннего учета, для внутреннего разбирательства, чтобы понять, какого именно рода атака произошла и как не попасться на подобную атаку в будущем»,  – говорит директор ЦАРКА Арман Абдрасилов.

По его словам, у экспертов ЦАРКА был опыт обнаружения фишинговой атаки (попытки несанкционированного получения доступа к конфиденциальным данным пользователей – логинам и паролям) на ресурс одного из казахстанских банков. Специалистами центра был определен IP-адрес, с которого пришла фишинговая рассылка и дислокация компьютера с этим адресом в Северо-Казахстанской области. Для дальнейшего разбирательства необходимо было выехать на место для работы непосредственно с этим процессором – и специалисты ЦАРКА готовы были сделать это за свой счет, о чем известили Министерство внутренних дел и сам банк.

«Ответ МВД был однозначный: нам объяснили, что, поскольку пострадавших лиц нет – по крайней мере, нет заявлений, то, как у нас говорят, «нет тела – нет дела», то есть никто санкционировать дальнейшее разбирательство не будет, – говорит Абдрасилов. – Так что в МВД нам сказали, что надо дождаться, когда появятся пострадавшие, дождаться, чтобы у кого-нибудь украли деньги, более того, надо дождаться, чтобы пострадавшее лицо написало заявление в полицию, и, естественно, связать эти эпизоды. В результате процесс и ныне там: возможно, пострадавшие есть, но они, скорее всего, об этом не знают», – добавляет он.

Реклама казино – всего лишь техошибка?

Примерно так же ведут себя и госорганы, когда выясняется, что кто-то взломал их сайт – интернет-ресурс одного из казахстанских министерств долгое время украшала реклама казино, расположенного в Китае, которая время от времени перенаправляла пользователей на этот китайский ресурс для накрутки его счетчика. Ситуация с банковской рассылкой повторилась: ЦАРКА известила хозяев сайта об обнаруженном казино-«прилипале», хозяева ресурса отказались заявлять об инциденте в МВД, а сам инцидент был классифицирован как «ошибка в работе».

«Якобы ссылка на этот сайт случайным образом осталась в памяти у человека, который верстал министерский ресурс, и случайно попала на министерский ресурс. При этом никто не хотел относить это к разряду хакерской атаки, но мы трактовали ситуацию как несанкционированное изменение кода и задали вопрос одному из руководителей – давал ли он санкцию внести в код ссылку на некий сторонний ресурс? – говорит Абдрасилов. – Ответ был однозначный: санкции не давалось, соответственно, изменение было несанкционированным и его нужно классифицировать как кибератаку. Но компания-подрядчик быстро исправила ошибку и сделала вид, что никакого инцидента не было, а предоставленный нами скрин-шот – это якобы работа в фотошопе», – констатирует он.

При этом инциденты, касающиеся ресурсов госорганов, хоть кто-то пытается исправить, а вот атаки на ресурсы частных компаний и уязвимости соответствующих систем в Казахстане вообще остаются вне поля зрения властей. Так, по сведениям специалистов ЦАРКА, уязвимость маршрутизаторов Microtik, позволяющая хакеру получать список пользователей и взломать систему, после своего обнаружения в апреле этого года становится весьма актуальной для нашей страны.

«Около 100 тыс. устройств по всему миру заражены и используются как прокси-серверы, около 1 тыс. устройств из них находятся в Казахстане, – утверждает глава ЦАРКА. – Мы направили эту  информацию в регулятор, и выяснилось, что 10 IP-адресов принадлежат госорганам, и эти адреса взяты в разработку, по ним ведется работа. Результаты пока нам неизвестны, надеюсь, ошибка была исправлена. Что с остальными 990 устройствами? Нам сказали, что это не входит в зону ответственности госоргана и по ним надо разбираться отдельно»,  – добавляет он.

И это является большой проблемой, поскольку мало найти владельца такого устройства, необходимо еще и уговорить его написать заявление для того, чтобы продолжать расследование и установить, кто и как воспользовался уязвимостью этого оборудования.

Майните сколько влезет

Но если перспектива распространения хакерских атак благодаря уязвимости той или иной системы, по словам Абдрасилова, воспринимается казахстанскими силовиками как реальная угроза и по проблеме охвата уязвимостей оборудования и ресурсов частников и физлиц прокуратура уже созрела для проработки какого-то алгоритма совместных действий с ЦАРКА, то такой деликатный момент, как майнинг криптовалют на казенном оборудовании, со стороны госслужащих по-прежнему остается вне правового поля.

«В Астане мы находили несколько организаций, в которых майнили криптовалюту, писали об этом руководству этих организаций, писали в силовые структуры, но в ответ задавался очень простой вопрос: «а в чем ущерб?» – говорит руководитель центра. – Нас спрашивали: «а какой ущерб мы вменим нашим администраторам, которые майнили криптовалюту? – Растрату  электроэнергии?». То есть это деяние трудно доказуемое, и стоит ли оно того? – никто не пострадал, со счетов организации денег украдено не было, это очень сложно оценимые потери, поэтому чаще всего в таких случаях просто вызывают администратора и просят убрать этот майнинг, не вынося даже выговора или предупреждения», – отмечает он.

В результате в стране складывается парадоксальная ситуация: кибератаки (и следовательно, киберпреступность) есть, их масштабы извне оцениваются достаточно высоко (24-е место в мире по привлекательности для хакеров), но изнутри статистика выглядит благопристойно, поскольку ни правоохранительные органы, ни сами пострадавшие от атак предпочитают сор из избы не выносить. Между тем, по утверждению Абдрасилова, та же ЦАРКА может завалить МВД сведениями об инцидентах – но расследоваться будут только единицы из них.

«Надо развивать культуру обращений в правоохранительные органы, писать заявления, добиваться того, чтобы эти преступления регистрировались, попадали в статистику, и тем самым заставлять этот механизм работать, – говорит Абдрасилов. – На бумаге у нас все отлично, но стоит зайти в сеть, как мы видим, что данные продаются, продаются доступы в локальные сети; одновременно донести эту информацию до владельца системы нельзя, потому что в данном случае наш Уголовный кодекс работает в обратную сторону: мы, как сторона, не являющаяся владельцем системы, не можем сообщать о взломе какого-либо ресурса. Потому что по отношению к нам самим возникает вопрос: каким образом мы эту информацию получили, к нам предъявляются обвинения в кибертатаках и прочих несанкционированных действиях. Сейчас нормативка работает в пользу атакующих, такая вот интересная ситуация»,  – резюмирует он.

698 просмотров

Как собеседование при приеме на работу изменится в следующее десятилетие

Уже совсем скоро рекрутеры смогут получать больше данных не из резюме, а изучая индивидуальные особенности кандидатов и их физиологические признаки

Фото: Kelsey Mcclellan

Большинство рекрутеров и менеджеров по поиску персонала согласятся: собеседование – далеко не самый лучший способ поиска идеального кандидата для работы. Бывает, что претенденты на должность преувеличивают свои сильные стороны, а менеджеры принимают решения, основываясь на субъективной информации.
 
И поскольку быстрый технологический прогресс заставляет компании постоянно менять стиль работы, эта проблема только усугубляется. Профессиональные навыки и опыт, когда-то считавшиеся крайне необходимыми, теперь оказывают все меньшее влияние на шансы кандидата достичь успеха на работе. 

«Если принять как факт то, что одни специальности исчезают и появляются другие, что в 2030-х и 2040-х годах 80% специальностей будут совершенно новыми, а значение опыта и навыков снижается, вы наверняка сделаете ставку на такие качества, как любопытство, способность учиться, коммуникабельность и уровень мотивации», – говорит Томас Чаморро-Премузик, профессор психологии Университетского колледжа Лондона и Колумбийского университета и главный специалист по привлечению талантов в компании Manpower Group.

В недалеком будущем, принимая решение - подходит кандидат или нет, - работодатели смогут больше полагаться не на резюме и собеседования, а на поведение кандидата, его когнитивные способности, индивидуальные особенности и физиологические реакции. Уже сейчас разрабатывается технология, которая позволит работодателям анализировать историю онлайн-активности кандидатов, их биометрические данные и в реальном времени изучать реакции на симуляцию стандартных рабочих задач. 

С появлением таких технологий возникают и вопросы об их этичности и объективности. Кроме того, как предсказывают некоторые эксперты, неизбежно появятся трудности юридического характера. В ноябре прошлого года некоммерческая организация Electronic Privacy Information Center подала жалобу в Федеральную торговую комиссию США, пытаясь убедить ведомство начать расследование в отношении компании HireVue, которая занимается разработкой средств для найма сотрудников на базе искусственного интеллекта. Суть жалобы заключалась в том, что подобная технология является непрозрачной и неподотчетной. Компания HireVue отказалась от комментариев по поводу жалобы, заявив, что разработанная ею технология «гораздо более объективна, чем традиционные процессы отбора кандидатов». В текущем месяце в силу вступает закон штата Иллинойс, обязывающий компании уведомлять кандидатов о том, что компания использует методы видеоинтервью на базе искусственного интеллекта (ИИ) при приеме людей на работу. Кроме того, на рассмотрении в Конгрессе находится законопроект об обязательной проверке алгоритмов на предмет их объективности. Так какие же технологии способны кардинально изменить привычное собеседование при приеме на работу? 

Персональный профиль при помощи ИИ 

По мере того, как все большее значение приобретают навыки межличностных коммуникаций, все больше работодателей станут использовать ИИ для создания персональных профилей, сгенерированных за счет анализа аккаунтов кандидатов в социальных сетях, в LinkedIn, а также любых других письменных сообщений, опубликованных онлайн, как и слов, которые кандидаты используют в симуляциях виртуальной реальности и опубликованных видео. 

Два производителя, среди которых компания Humantic, уже предлагают рекрутерам и работодателям решения, основанные на обработке естественного языка – как раз с целью быстрого создания профилей кандидатов. Эти компании утверждают, что технология базируется на традиционных методах проверки личных качеств кандидата. Однако вместо заполнения огромных анкет алгоритм позволяет быстро и недорого провести персональный анализ. Как сообщает сам стартап, это может быть сделано как с согласия человека, так и без него. 

Сотрудник компании Advantage Talent из Атланты Трэйси Левин в своей работе по поиску кандидатов на руководящие позиции использует решение Humantic для того, чтобы выяснить, насколько кандидаты открыты новым идеям. По ее собственным словам, этот инструмент помогает ей избегать субъективных суждений. 

В то же время некоторые эксперты сейчас задаются вопросом, насколько точность этих алгоритмов соответствует точности традиционных методов. Решения на базе ИИ также способны определять медицинское состояние кандидатов по их профилям в социальных сетях, например, выявлять депрессию. Правда, профессиональные психологи выступают против, утверждая, что использовать подобную информацию для принятия решения о приеме на работу нечестно, а для работодателей еще и незаконно. 

Бен Тэйлор, бывший специалист по данным в HireVue, считает: если персональные профили станут доминировать, может возникнуть рынок алгоритмов для очистки истории кандидата в социальных сетях и других онлайн-аккаунтах от нежелательной информации. 

«Кредитный рейтинг» для навыков 

Вероятно, уже скоро компании смогут автоматически определять рейтинг навыков кандидатов, основываясь лишь на анализе опубликованного онлайн-текста – допустим, поста в LinkedIn или записи в Twitter. Эксперты считают, что в первую очередь этот метод будет использован для оценки способностей инженеров-программистов, поскольку зачастую они публикуют программный код на таких платформах, как GitHub. 

С учетом профессиональных навыков вроде программирования и личных качеств, например, умения выстраивать коммуникации с окружающими, кандидатам может быть присвоен определенный номер, напоминающий кредитный рейтинг.

«Можно будет увидеть сразу весь рынок, хотя на самом деле его пока еще нет», – говорит Тэйлор. 

Сотрудник Urban Institute и бывший уполномоченный Комиссии США по соблюдению равноправия при трудоустройстве комиссар Дженни Ян сравнивает подобный подход с опытом использования баллов по итогам Академического оценочного теста, которые сопровождают человека при каждом принятии на работу в течение всей его жизни.

«У меня не вызывают обеспокоенности какие-то статичные вещи, которые трудно изменить – зачастую они коррелируют с благополучием», – говорит она.

Виртуальное тестирование на профпригодность 

Работодатели уже используют VR-устройства для тестирования и обучения. Израильская компания ActiView предлагает применять VR-решения для оценки кандидатов при приеме на работу. В первую очередь речь идет о кандидатах, имеющих скромное резюме – например тех, кто только закончил учебу.

Надев шлем виртуальной реальности, кандидаты играют в когнитивную игру, а в это время система анализирует их поведенческие паттерны. «Продумываете ли вы стратегию своих действий перед тем, как приступить к решению проблемы, или нет? Насколько вы решительны в этом?» – приводит пример Гил Ашер, технический директор компании. Затем соискателю показывается имитация проблем, с которыми он может столкнуться на работе.

Другие производители инструментов оценки на базе VR не спешат использовать их для принятия решений о найме людей, поскольку некоторые кандидаты могут испытывать головокружение или морскую болезнь, надевая VR-шлем. 

«Разрабатывая систему оценки, нужно проявлять осторожность – чтобы обеспечить людям равные условия», – говорит Даг Рейнольдс, исполнительный вице-президент компании Development Dimensions International, разрабатывающей инструменты оценки и VR-системы для создания эмоционально комфортного состояния на рабочем месте. 

Как утверждает ActiView, компания использует современные VR-шлемы и тестирует неподвижные VR-модели, что уменьшает головокружение. Впрочем, если у кандидатов проблемы сохраняются, они всегда могут запросить альтернативный тест.

Такие компании, как HireVue, тестируют кандидатов при помощи видеосимуляций и проверяют их пригодность через алгоритмы. Среди клиентов фирмы были Hilton Worldwide Holdings, Unilever PLC и другие компании из списка Fortune 500. (Компания Unilever отказалась от комментариев. Hilton заявил, что в прошлом использовал инструменты прогнозной оценки HireVue как «один из многих источников данных», которые рекрутеры компании применяют для принятия решения о найме.)

«Подходящий мозг» для работы 

В ближайшие пять лет, говорят ученые, носимые медицинские устройства научатся измерять артериальное давление, движения глаз и электропроводность кожи (то есть степень электрокожного сопротивления), предсказывая состояние возбуждения и обеспокоенности. Эти технологии смогут помочь компаниям оценивать уровень стресса и вовлеченности соискателей, а также навыки их саморегуляции в ходе VR-симуляций. 

Некоторые эксперты утверждают, что такие системы даже способны отслеживать мозговые волны и выявлять, у кого из кандидатов мозг наиболее оптимально подходит для работы на конкретной позиции (вывод делается на основе данных о структуре мозга сотрудников, преуспевших в этой роли ранее).

Правда, корректно интерпретировать биометрические данные чрезвычайно трудно. Даже если вы сумеете обнаружить мозговые волны, то как определить, «вызваны ли они стрессом или просто глубокими раздумьями?», спрашивает Сантош Кумар, профессор компьютерных наук в Университете Мемфиса, который сам разрабатывает носимые медицинские устройства.

Кроме того, биометрическая информация способна выявлять ряд проблем со здоровьем – например, сердечно-сосудистые и психические заболевания, ограниченность в физических возможностях – и это может быть незаконным действием.

Перевод с английского языка осуществлен редакцией Kursiv.kz

Читайте нас в TELEGRAM | https://t.me/kursivkz

drweb_ESS_kursiv.gif