Количество массовых кибератак на российские компании осенью пошло на спад после всплеска в первой половине текущего года. При этом они сменились более сложными, таргетированными атаками. Бизнес и госсектор стали уделять особое внимание информбезопасности (ИБ), расширяя список решений и переходя на отечественных вендоров. Однако наличие средств информационной защиты не означает, что они гарантируют стопроцентную защищенность, предупреждают эксперты. Поэтому важно уделять внимание повышению цифровой грамотности сотрудников и тестированию инфраструктуры.
Фото: Евгений Дудин, Коммерсантъ
Фото: Евгений Дудин, Коммерсантъ
Не количество, а качество
Нынешней осенью наблюдается спад количества массированных атак на IT-инфраструктуру компаний, отмечают в компаниях по кибербезопасности. По сравнению со всплеском атак в начале года, когда их количество год к году увеличилось в десять раз, к концу сентября число атак снизилось в три раза.
О росте атак с марта по июнь в 9,6 раза говорил руководитель направления по технологической поддержке облачных и инфраструктурных решений ПАО «МегаФон» Григорий Айкашев на форуме «Технопром-2022». В феврале и начале марта профильные компании отразили в 4,5 раза больше атак, чем за аналогичный период 2021 года. С началом специальной военной операции (СВО) 24 февраля число DDoS-атак на российские компании выросло как минимум в три раза, при этом к концу июня интенсивность атак снизилась вдвое по сравнению с маем. Многие атаки были успешными: по итогам проверки компаний из всех отраслей экономики — от финансового сектора до промышленности — выяснилось, что у 79% в системах были уязвимости и 86% из них удалось успешно взломать, сообщал “Ъ” 10 июня.
Нынешний спад атак произошел в связи с тем, что компании стали более ответственно относиться к обеспечению ИБ и легких целей для взлома практически не осталось, полагает руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies (PT ESC) Денис Кувшинов. По его словам, если в начале года компании взламывали через незакрытые уязвимости на периметре, то сейчас большинство таких легко эксплуатируемых уязвимостей закрыто.
Хотя общее число атак снизилось, их качество выросло: атаки стали более мощными, умными и таргетированными, отмечает директор по развитию облачных и инфраструктурных решений «МегаФона» Александр Осипов. Например, в мае страховая компания ВСК тестировала доступ к услуге «МегаФон WAF» (Web Application Firewall — защитный экран для веб-приложений). WAF представляет собой облачное решение, которое находит и предотвращает атаки на веб-ресурсы, выявляет уязвимости в системе и запрещает удаленное выполнение вредоносных команд. Во время пилотирования решения на один из сайтов страховой компании началась атака.
«Использование WAF позволило сразу же устранить основные негативные последствия и сохранить работоспособность сайта для клиентов. Затем на протяжении суток мы совместно с коллегами из "МегаФона" корректировали политики блокировки, после чего, наглядно убедившись в эффективности решения, перешли от пилотного тестирования к внедрению в промышленную эксплуатацию»,— рассказал Александр Замулин, руководитель Центра управления рисками Страхового дома ВСК. По его словам, если бы кибератака оказалась успешной, это остановило бы на ее время продажи по дистанционному каналу.
Что предпринимают компании
В текущем году информационная защищенность стала одним из основных приоритетов для многих организаций. Активнее прочих этим занимается госсектор, отмечает замгендиректора Infosecurity a Softline Company Сергей Пыжик. Госорганизации наращивают защищенность «особенно активно, так как они у всех на виду», полагает Александр Осипов. После начала СВО на Украине IT-системы российского госсектора попали под прицел хактивистов со всего мира. Так, в марте хакерской атаке подверглась Росавиация, в апреле — Минкультуры и региональные администрации, в сентябре — платежная система «Мир» и серверы правительства Москвы. На фоне атак закупки госсектором средств для доработки информационных систем и усиления защищенности от кибератак выросли с 20 февраля по 20 апреля на 10% в штуках и 12% в деньгах.
Интерес бизнеса относительно закупок средств кибербезопасности склоняется в сторону импортозамещающих российских продуктов и решений, рассказывает господин Пыжик. По его словам, заказчики видят риски в сотрудничестве с зарубежными компаниями, так как они в любое время могут покинуть рынок. Так, после начала военных действий с российского рынка ушли словацкая ESET, чешская Avast, американские Fortinet, NortonLifeLock Inc., Forcepoint (Websense), Cisco Systems и другие компании из сферы кибербезопасности. Российские игроки, у которых остались контракты с иностранными вендорами, пытаются «выжать из сотрудничества максимум и не допустить дополнительных расходов на закупку альтернатив», параллельно с этим происходит активное пилотирование отечественных решений, рассказывает Сергей Пыжик.
Про повышение интереса бизнеса к средствам кибербезопасности говорят финансовые результаты работы отечественных вендоров — например, по итогам первого полугодия объем продаж Positive Technologies вырос на 72%, увеличившись с 1,8 млрд до 3,1 млрд руб. по сравнению с аналогичным периодом прошлого года, рассказали в компании. В «Лаборатории Касперского» после ухода западных игроков видят «существенное увеличение спроса» на все классы решений, поскольку компаниям нужно заменить продукты, которые перестали полноценно функционировать, на отечественные, рассказал руководитель отдела предпродажной поддержки компании Евгений Бударин.
Однако закупка средств защиты информации и импортозамещение не всегда решают проблему защищенности, так как бОльшая часть сливов данных является результатом не внешних атак, а внутренних нарушений, подчас непреднамеренных, указывает Александр Осипов. Так, от недобросовестных действий сотрудников в апреле—мае материальный ущерб понесли 87% из опрошенных «Ростелеком-Солар» компаний.
Впрочем, отмечает эксперт, в последнее время интерес компаний к повышению цифровой грамотности сотрудников растет — так, спрос на решение «МегаФон Security Awareness» увеличился в нынешнем году в четыре раза по сравнению с 2021 годом. Этот продукт представляет собой платформу для обучения сотрудников ИБ. Она содержит материалы с правилами корпоративной цифровой гигиены, а также позволяет проверить полученные сотрудниками знания на практике. Платформа может имитировать фишинговые атаки. С помощью этой функции IT-департамент оперативно выяснит, кто из сотрудников пока является уязвимым звеном, чтобы назначить дополнительное обучение. Его периодичность и частоту тренировочных атак каждая компания может настроить под себя в зависимости от внутренней политики безопасности.
Интерес бизнеса вырос не только к тестированию бдительности сотрудников, но и к тестированию инфраструктуры компании в целом. Так, рост востребованности пентестов с начала года составил более 200%, рассказали в «МегаФоне». Возросший интерес компаний к подобным тестированиям отмечал и министр Максут Шадаев в кулуарах Петербургского международного экономического форума. Пентест — тестирование защищенности инфраструктуры компании в «боевых условиях»: «белые хакеры» атакуют IT-системы, анализируют код и внешний сетевой периметр, после чего представляют заказчику отчет о найденных уязвимостях и способах их устранения. Подобная проверка позволяет определить наиболее вероятные и опасные векторы атак для конкретной IT-системы.
Взгляд в будущее
Количество взломов и утечек в крупных и среднекрупных компаниях может увеличиться за счет того, что хакеры уже заразили своих жертв, но еще не активировали вредоносы, полагает Александр Осипов. Так, при расследовании атаки на одного из клиентов «МегаФона» обнаружилось, что до активации вирус спал в его инфраструктуре в течение пяти месяцев. «Поэтому тот факт, что у компании есть средства информационной защиты, не значит, что они работают в формате "нашел, удалил и заблокировал",— рассказывает эксперт.— Они могут работать по принципу "проблема найдена", то есть факт "сработки" произошел, но гарантий того, что IT-инфраструктура защищена, нет».
Поэтому, с одной стороны, действительно необходимы пентесты и «белый хакинг», с другой — состав инфраструктуры, кросс-функциональное взаимодействие и процессы реагирования должны быть максимально прозрачны для сотрудников ИБ и всех участников обеспечения киберзащиты в компании, подчеркивает господин Осипов. Особое внимание защите следует уделять организациям ВПК — таргетирование кибератак будет смещаться на них. В Positive Technologies прогнозируют рост кибератак, разработанных с применением техник и вредоносного ПО, ориентированного под ОС Linux. На эту операционную систему сейчас активно переходят отечественные компании.
Кроме того, важно помнить о личной ИБ, напоминают эксперты. Растет число мошеннических звонков физическим лицам: количество жалоб на них среди пользователей приложения Kaspersky Who Calls в августе увеличилось в два раза по сравнению с июлем и июнем. «МегаФон» уже имеет решение, которое позволяет операторам блокировать звонки с подменой номера. Важной особенностью данного решения является то, что оно должно быть установлено как в сети оператора, принимающего звонки, так и в сети оператора—инициатора вызова. Сейчас такая система работает также в сетях нескольких других операторов. С ее помощью ежедневно блокируются более 1 млн звонков с подменой номера.