Нет предела киберсовершенству

Как изменились киберугрозы и почему большинство организаций к ним не готово

Переход к цифровой экономике подразумевает не только внедрение бизнес-решений, но и защиту информации. Развитие интернета вещей, беспроводных способов связи и удаленных услуг требует другого отношения к системам кибербезопасности предприятий, считают эксперты.


УГРОЗА РАСТЕТ

По данным «Лаборатории Касперского», почти каждый десятый киберинцидент в организациях квалифицируется как критический и может вызвать серьезные сбои либо открывает несанкционированный доступ к закрытой информации. Чаще всего подобные ситуации фиксируются в госорганах (41%), IT-компаниях (15%) и финансовых учреждениях (13%). При этом организации могут подвергаться повторным атакам – специалисты по безопасности часто находят в корпоративных сетях следы предыдущих нападений.

По итогам 2020 года Россия поднялась на пятое место в глобальном Индексе кибербезопасности, который формируется Международным союзом электросвязи. Россия делит строку в таблице с Объединенными Арабскими Эмиратами и Малайзией. На четвертом месте – Испания, Республика Корея и Сингапур, на третьем – Эстония, на втором – Великобритания и Саудовская Аравия. Лидируют в рейтинге США, у которых 100 баллов.

Однако, по данным МВД России, количество зарегистрированных преступлений, совершенных с использованием IT-технологий, выросло в первом полугодии 2021 года на 20%, до 300 тысяч. На этом фоне особого внимания заслуживает вопрос повышения уровня защищенности государственных информационных систем РФ, а также персональных данных граждан, отметил замглавы Минцифры Александр Шойтов на онлайн-конференции «Доступ к данным и информационная безопасность в условиях цифровой экономики».


ВСЕ ИЗМЕНИЛОСЬ

За прошедший год уровень киберугроз кардинально вырос. По мнению гендиректора «Ростелеком-Солар» Игоря Ляпунова, наиболее значимыми инцидентами в сфере информационной безопасности за прошедший год стали:

  • Кибератака против американских правительственных ведомств и частных компаний с использованием программного обеспечения Orion компании SolarWinds в марте 2020 года.
  • Нападение хакеров на оператора нефтепровода Colonial Pipeline в США в мае этого года. Злоумышленники похитили массив данных, заблокировали компьютеры и потребовали денег.

На фоне участившихся киберинцидентов Комитет по разведке Сената США разработал законопроект, обязывающий инфраструктурных операторов, государственных подрядчиков и федеральные агентства докладывать об атаках в течение 24 часов с момента нападения, сообщили СМИ. Если новая норма будет утверждена, Агентство по кибербезопасности и безопасности инфраструктуры США (US Cybersecurity and Infrastructure Security Agency, CISA) будет штрафовать организации, не сообщившие об инциденте в отведенный срок.

Весь мир вышел на принципиально новый уровень атак на критическую информационную инфраструктуру (КИИ) и системы государственного управления

Сейчас кибератаки перестали проводиться из чисто коммерческих целей. «Все больше нападений происходит со стороны очень квалифицированных группировок на КИИ. Эти нападения очень сложно выявить и отразить», – отмечает И.Ляпунов.

Для обеспечения информационной безопасности необходимы следующие условия:

  • налаженная работа службы безопасности компании;
  • качественное управление и мониторинг угроз;
  • регулярная отработка действий в нештатных ситуациях.

Игорь Ляпунов, «Ростелеком-Солар»:

– Раньше считалось, что монетизация в критической информационной инфраструктуре невозможна. Но мнение об атаках на КИИ изменилось, когда целую неделю стратегический нефтепровод в США находился в нерабочем состоянии. Сумма выкупа – по информации СМИ, около 5 млн долларов – стала хорошей добычей для киберпреступников.

В нашей стране в самом низу условного рейтинга информационной безопасности находятся региональные органы исполнительной власти. По мнению экспертов, наиболее защищенными от киберугроз в настоящее время являются банки и другие финансовые организации.

По словам замдиректора – начальника управления департамента информационной безопасности Банка России Андрея Выборнова, задачами регулятора с точки зрения информационной безопасности являются:

  • контроль киберрисков кредитно-финансовых организаций;
  • устойчивость к атакам и обеспечение непрерывности предоставления банковских услуг;
  • защита прав потребителей в сфере использования социальной инженерии.

При этом одной из ключевых задач является обеспечение безопасности биометрической идентификации, аутентификации и облачной электронной подписи. Все это крайне важно для удаленного предоставления банковских услуг, подчеркивает Выборнов.


НАУЧИТЬСЯ ЗАЩИЩАТЬСЯ

Но, несмотря на растущие риски, информационная безопасность до сих не является приоритетной сферой развития многих организаций, обращает внимание управляющий директор в России, странах СНГ и Балтии «Лаборатории Касперского» Михаил Прибочий. «Когда стоится промышленное предприятие, последнее, о чем думают, – это IT-защита», – отметил он. В результате многие организации используют подход, при котором просто изолируются те или иные собственные защищаемые системы. Но это не работает, подчеркивает топ-менеджер.

Михаил Прибочий, «Лаборатория Касперского»:

– Одна большая и известная российская компания именно так поступила и верила, что с безопасностью у нее все отлично. Мы заключили с ней договор, и на спор, уже вечером того же дня, мы были внутри ее периметра.

Сотрудникам «Лаборатории Касперского» помогли проникнуть датчики дыма, которые есть в каждом помещении, поделился эксперт. Также для проникновения в изолированные системы можно использовать камеры наблюдения, датчики пропусков и прочее офисное оборудование. Все оно электрифицировано и является потенциальным каналом для атаки.

Множество уязвимостей есть в объектах КИИ, где применяются автоматизированные системы управления технологическим процессом (АСУ ТП). Большинство инженеров АСУ ТП не верят в существование хакеров и убеждены в силе релейной защиты автоматики, говорит эксперт. Они уповают на изоляцию своих систем от интернета, что просто невозможно.

При этом современное вредоносное программное обеспечение (ВПО) состоит из сотни разнообразных и сложных компонентов. «Вначале на атакуемую площадку высаживается бот, который представляет собой настоящий центр управления. Он начинает подгружать соответствующий функционал с собственными средствами защиты», – рассказывает И.Ляпунов.

Современное вредоносное ПО – это уникальный IT-комплекс

В даркнете существует сложная инфраструктура с разделением труда: одни злоумышленники готовят вредоносы, другие создают фишинговые рассылки, третьи обеспечивают вывод полученных в результате нападения средств. На выпущенный вредоносный софт выдается даже гарантия, что он не будет обнаружен антивирусами. Если же это все-таки произойдет, производители сразу выпускают апдейт продукта и оперативно заменяют устаревшее ВПО клиенту.

По мнению М.Прибочего, для обеспечения безопасности необходимо:

  • закладывать параметры киберзашиты на этапе проектирования предприятия, а не навешивать ее в срочном порядке перед угрозами;
  • проверять внутренний код системы на предмет возможных уязвимостей;
  • системно обучать сотрудников азам безопасности.

Кроме того, очень важна отработанная процедура реагирования на киберинциденты. Подобные документы есть далеко не во всех организациях, сетует И.Ляпунов. Между тем. киберучения, в ходе которых отрабатываются слаженность действий, являются обязательным фактором информационной защиты.

Однако абсолютно защищенных систем не существует, подчеркивает И.Ляпунов. В компании должна функционировать система мониторинга, которая обнаружит развивающуюся атаку. Кроме того, необходима своего рода эшелонированная система обороны. «Раннее выявление нападения и его купирование до наступления невосполнимого ущерба поможет выдержать атаку хакеров», – подчеркивает эксперт.

Изображение: RSpectr, Freepik.com


ЕЩЕ ПО ТЕМЕ

Цифра на замке
Информационная оборона стала важнейшим вектором развития в Стратегии нацбезопасности РФ