Целых пять лет в Россию не приезжали британские премьер-министры. Однако визит Дэвида Кэмерона, посетившего Москву в начале недели, к сожалению, был омрачен еще в самом преддверии — в минувшие выходные оказался недоступен для посещения сайт российского посольства в Великобритании. Как предположили в самом посольстве, причиной инцидента стала DDoS-атака.
DDoS-атаки (аббревиатура от английского Distributed Denial of Service, распределенная атака на отказ в обслуживании) — это, пожалуй, одна из самых серьезных угроз, существующих сегодня в интернете. Ее цель заключается в том, чтобы приостановить работу определенного интернет-ресурса или хотя бы значительно затруднить к нему доступ.
Все, наверное, помнят, как в апреле 2011 года рунет сотрясли известия о мощнейших DDoS-атаках на популярный блог-сервис LiveJournal, принадлежащий российско-американской компании SUP. По оценкам специалистов, их интенсивность составила 20 Гбит/сек. На ситуацию обратил внимание даже президент Медведев.
В мире бизнеса DDoS-атаки совершаются на те сайты, без которых компании не могут продолжать свою деятельность. Простой пример в этом случае — интернет-магазин, для которого и час простоя может обернуться многомиллионными потерями.
В какой-то момент количество пользовательских запросов начинает превышать возможности информационной системы по их обработке. В итоге ресурсы системы не выдерживают возникшего «давления», и пропускная способность сайта резко устремляется к нулю. Представьте какой-нибудь популярный московский мегамолл в субботу вечером, и вы ясно поймете, что такое DDoS-атака и чем она чревата.
Проблема в том, что такое «давление» на любой интернет-ресурс в большинстве случаев вызывается организованной группой злоумышленников. Они могут руководствоваться любыми мотивами — политическими, социальными, нравственными. Однако чаще всего это банальная жажда наживы или выполнение чьего-либо заказа. Например, атаки такого рода регулярно используются при хищениях крупных денежных средств с банковских счетов различных компаний. Благодаря блокировке интернет-ресурсов банка пострадавшей организации не удается вовремя остановить списание мошенниками денег с ее счета. По данным МВД России, которые подтверждаются статистикой нашей лаборатории компьютерной криминалистики, средний ущерб по каждому такому мошенничеству составляет 3 млн руб. Мошенничества такого рода на территории России начали фиксироваться с 2008 года, и сегодня они являются лидером среди угроз информационной безопасности по размерам наносимого ущерба.
Кроме того, DDoS-атаки стали распространенным средством в ходе недобросовестной конкурентной борьбы. Одним кликом можно вмиг остановить оперативное обслуживание клиентов и партнеров «заказанной» компании. Неожиданные перерывы в операциях и соответствующие издержки наносят непоправимый ущерб репутации компании и ведут к потере клиентов и партнеров.
Последним громким примером использования кибератак в рамках недобросовестной конкуренции является DDoS-атака на систему электронных платежей Assist. Согласно заявлениям следственных органов, в итоге продолжительной атаки Assist оказалась заблокирована продажа электронных билетов на сайте крупнейшего клиента компании — «Аэрофлота». Официально убытки составили 1 млн руб. После этого авиакомпания отказалась от сотрудничества с Assist. Основная версия, озвученная следствием: атака являлась инструментом конкурентной борьбы.
Впрочем, успешное расследование DDoS-атак в России вполне возможно. Так, например, в 2009 году управление «К» МВД РФ ликвидировало в Уфе целую группу компьютерных преступников, вымогавших деньги за прекращение DDoS-атак, которые сами же они и организовывали.
Однако, к сожалению, действующее уголовное законодательство не рассматривает DDoS-атаки как отдельное преступное деяние. В итоге злоумышленников пытаются привлечь к ответственности по текущим статьям УК РФ, регламентирующим наказания в сфере компьютерных преступлений. Поэтому следователям каждый раз приходится затрачивать колоссальное количество усилий на описание механизма и последствий DDoS-атак, на их «подгонку» под существующие статьи. В то же время и само это правонарушение, и методики его расследования достаточно хорошо известны. Законодательное закрепление дополнительных квалифицирующих признаков в разы ускорит как следственный, так и судебный процесс.
Многолетний опыт практикующего специалиста в области расследования компьютерных инцидентов подсказывает следующий выход из ситуации. Во-первых, необходимо ужесточить законодательство в сфере компьютерных преступлений, то есть рассматривать данные преступления как тяжкие или особо тяжкие, добавить дополнительные квалифицирующие признаки в их составы. Во-вторых, государству нужно привлекать к более тесному сотрудничеству независимых экспертов и отраслевые ассоциации для постоянного обмена актуальными знаниями и практическим опытом. Это позволит правоохранительным органам усилить уголовное преследование злоумышленников. Как исполнителей, так и заказчиков.