Мой сайт – моя крепость

Что делать в условиях массированных кибератак

С конца февраля продолжается беспрецедентное по масштабам нашествие хакеров на российские информационные ресурсы. На этом фоне за персональными данными жителей страны началась настоящая охота, а иностранные вендоры уходят с отечественного рынка и прекращают техническую поддержку клиентов. В сложившейся ситуации стремительно растет актуальность новых сервисов по управлению цифровыми рисками.

ИДУТ ЛАВИНЫ ОДНА ЗА ОДНОЙ

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупредил об угрозах в первый день начала специальной операции на Украине. «Атаки могут быть направлены на нарушение функционирования важных ресурсов и сервисов, нанесение репутационного ущерба, в том числе в политических целях», – говорилось в сообщении центра.

В бюллетене НКЦКИ от 2 марта уровень существующей угрозы оценен как «высокий». Массированным DDoS-атакам подверглись интернет-представительства госорганов, а ведущие отечественные СМИ сообщали о взломе своих сайтов. Портал «Госуслуги» 26 февраля выдержал более 50 атак мощностью более 1 терабайта. «Такого уровня не было никогда. Превышение не просто в разы, а в сотни раз. То есть если раньше количество атак, которые проходили, [достигало] единиц – десятки в день, то сейчас это несколько сотен в день, и они идут по всем фронтам», – сообщил вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов.

Пользуясь тревожным настроением граждан, специальные Telegram-боты собирают их персональные данные (ПД) под благовидными предлогами. Эта информация может использоваться для обмана и шантажа, писал «Коммерсантъ».

Цель злоумышленников не только общественное мнение, но и давление на абсолютно мирные сервисы, обращает внимание замглавы комитета Госдумы по информационной политике Антон Горелкин. По его словам, информационная агрессия из систем контекстной рекламы перекинулась в сектор сайтов-отзовиков. После вала негативного спама о российских ресторанах и отелях TripAdvisor и Google заблокировали возможность комментирования. В картографических сервисах переименовываются российские топонимы, коверкаются названия учреждений. «Налицо обе составляющие информационного терроризма, борьба с которым на уровне международного права еще в начальном состоянии», – заявил А.Горелкин в своем официальном Telegram-канале. По словам председателя IT-комитета Госдумы Александра Хинштейна, общая сумма расходов информационной атаки на Россию в Сети может достигать 77 млн долларов.

Ситуация усугубляется свертыванием деятельности ряда иностранных IT-компаний на отечественном рынке. О своем решении приостановить работу в начале марта заявили техногигант Microsoft, производитель сетевого оборудования Cisco, разработчики процессоров AMD и Intel, провайдер магистрального интернета Сogent Communications и другие. Корпорация Google закрыла продажу контекстной рекламы для России.

ЦИФРОВЫЕ ДОСПЕХИ, РУЧНАЯ РАБОТА

Клиенты компаний, специализирующихся на информационной безопасности, сейчас буквально «стоят на ушах» и пристально наблюдают за всем, что происходит, говорят эксперты. Опираясь на предложения, подготовленные Федеральной службой по техническому и экспортному контролю (ФСТЭК России), ИБ-организации экстренно запускают программы поддержки.

По мнению технического директора Infowatch ARMA Игоря Души, нынешнюю текущую повестку можно поделить на две части:

• атаки на критическую информационную инфраструктуру;
• прекращение техподдержки со стороны иностранных вендоров (наибольшие риски вызывает, в первую очередь, отключение систем защиты).

Игорь Душа, InfoWatch ARMA:

– Хоть риски и растут, но угрозы остались теми же самыми, что три-пять лет назад. Безопасность в этой ситуации зависит не от внешних факторов, а от той инфраструктуры, которая развернута в организациях.

На вебинаре InfoWatch он подчеркнул, что

все рекомендации, которые подготовили специалисты по ИБ, а также Федеральная служба по техническому и экспортному контролю в приказе №239 и других документах, работают и сейчас

В настоящее время нужно сместить фокус внимания с мониторинга на максимальное уменьшение ущерба от нападений теми средствами, которые есть, и оперативно внедрять новые механизмы защиты, полагает И.Душа.

Для управления цифровыми рисками, возникающими из-за активности внешних злоумышленников, сейчас предлагается новый набор технологий и процессов – Digital Risk Protection (DRP). Он включают в себя наблюдение за теневым сегментом интернета и доменами, контроль утечек паролей и данных, защиту уязвимостей и репутации, отметил бизнес-консультант по безопасности Cisco Алексей Лукацкий в своем выступлении на онлайн-конференции «Мониторинг дарквеба и защита репутации в интернете».

В концепции DRP в один блок собраны противодействие фишинговым ресурсам, скам-сайтам, фейковым аккаунтам организаций, топ-менеджеров и медиаперсон, разъясняет руководитель департамента инновационной защиты бренда и интеллектуальной собственности Group-IB Андрей Бусаргин.

Андрей Бусаргин, Group-IB:

– Часто организации не имеют в своем штате сотрудников, которые «заточены» на подобную работу. Даже корпорации-гиганты не хотят заводить у себя экспертов по Digital Risk Protection. Не секрет, что у многих компаний не существует отделов по информбезопасности, эти обязанности отданы на аутсорсинг.

В целом большая часть функций DRP известна уже давно, отметил глава группы защиты бренда BI.ZONE Дмитрий Кирюшкин. «Под собирательным термином Digital Risk Protection понимаются различные услуги – как правило, это противодействие внешнему негативному влиянию. Мы придерживаемся понимания DRP как защиты бренда. Именно так у нас эта услуга и называется», – подчеркнул он.

По словам руководителя отдела анализа цифровых угроз Infosecurity Александра Вураско, DRP – это сервис, объединяющий технические средства сбора и анализа информации, а также компетенцию сотрудников, которые работают на этом направлении. Он подчеркнул, что

DRP – это комплексное решение «под ключ». В результате использования этого подхода заказчик уже получает выжимку данных, в которых подсвечены конкретные проблемы

Причем саму технологию выявления рисков специалисты по кибербезопасности могут передать клиенту, но здесь встает вопрос интерпретации полученных сведений. «Мы не знаем уровень квалификации тех людей, которые будут работать с ней, и не можем отвечать за их действия», – подчеркнул А.Бусаргин. Возможно, в будущем так и будет происходить, но суть DRP в том, чтобы заказчики получали комплексную услугу, а не копались в «сырых» данных, отметил он.

По словам представителя Group-IB,

функция DRP – не просто нахождение какой-то опасности, но и процесс реагирования для ее устранения. Здесь нужны юридически подкованные специалисты, которые умеют общаться с регуляторами

Однако в России сотрудников с таким уровнем квалификации пока мало, посетовал он.

В целом пользователями DRP-решений, кроме экспертов по информационной безопасности, являются различные структуры: экономический блок, юридический отдел, HR и т.д., отметил А.Вураско.

ОБОРОНА БРЕНДА И ПЕРВЫХ ЛИЦ

Тем не менее в BI.ZONE недавно введен новый облачный сервис – «Цифровая защита бренда», которая продается как лицензия. «Мы запускаем в нашу платформу клиентов и всю нашу аналитику передаем им», – отметил Д.Кирюшкин. По его словам, в компании выделяют три блока:

• Наблюдение за открытыми ресурсами: СМИ и соцсетями, а также анализ дезинформации, например, фейков о проблемах со снятием наличных в банках.
• Обнаружение мошеннических доменов, фишинговых сайтов, их блокировка.
• Наблюдение за даркнетом и теневыми форумами.

Кроме этого, клиенты часто просят поработать с почтами топ-менеджеров на предмет утечек, сообщил Д.Кирюшкин. Это верно, ведь сценариев атак с использованием имени руководителей очень много: от рассылок фейковых страниц до целевых атак.

Исторически сложилось, что в России в сферу защиты бренда входит мониторинг информационных атак и постов, обратил внимание А.Бусаргин. При этом в западном понимании brand protection – это защита товарных знаков: маркировка товаров для таможни, противодействие серому импорту и контрафактной продукции.

По мнению А.Вураско, в нашей стране под Digital Risk Protection понимается отслеживание внешних источников с целью выявления событий, которые могут нанести финансовый, репутационный и другой вред компании. Из этого и складывается пакет услуг, которые входят в DRP.

В начале марта в сервисе «Яндекс.Еда» выявили утечку информации: один из сотрудников слил базу телефонов клиентов и информацию об их заказах. «Яндекс» заверил, что инцидент не коснулся банковских, платежных и регистрационных данных пользователей (логинов и паролей).

Эксперты подчеркивают, что

когда ПД уже стали достоянием широкой общественности, механизмы DRP применять поздно, так как одна из главных задач подобных сервисов – обнаружить первыми и предупредить

Пользователи сервиса DRP считают его применение успешным. «Это более выгодно, чем решать соответствующие задачи собственными силами. Сведения, полученные с помощью этих решений, поступают в службы собственной и экономической безопасности», – рассказал главный специалист по ИБ Cisco Delivery Club Илья Сафонов.

Сейчас российский сегмент интернета постоянно бомбардируется огромным количеством вбросов, взломов и фейков. На этом фоне эксперты прогнозируют всплеск популярности DRP-решений.

Александр Вураско, Infosecurity:

– Конечно, нужно брать во внимание инерцию сознания, заказчики еще какое-то время будут проводить конкурсы и готовить бюджеты. Но в ближайшие несколько месяцев, я думаю, мы увидим рост интереса к подобным сервисам.

События последних недель серьезно затруднили сотрудничество с зарубежными правоохранительными органами, отметили участники конференции. Но все, что связано со взаимодействием отечественных организаций, отвечающих за информбезопасность, продолжается, как и раньше, заверили эксперты.

Изображение: RSpectr, Adobe Stock