«Об информационной безопасности многие думают не в первую очередь»
Алексей Новиков — о киберугрозах для нефтегазовых компаний и их предотвращении
За последние два года с киберинцидентами так или иначе столкнулось до 90% российских компаний. Второе место по числу кибератак после госучреждений занимают промпредприятия (11% от всего объема), причем ТЭК — одна из наиболее популярных целей хакеров. Для защиты IT-инфраструктуры и подготовки специалистов служб информбезопасности компании, помимо использования различных средств защиты, участвуют в кибербитвах на специальных полигонах, таких как Standoff от Positive Technologies. Управляющий директор Positive Technologies и глава Standoff Алексей Новиков рассказал об актуальных для отрасли киберугрозах, о том, как изменилась специфика атак и как выстроить эффективную кибербезопасность на предприятии.
— В каком состоянии сейчас находится рынок кибербезопасности?
— Рынок кибербезопасности в России развивается хорошими темпами. Центр стратегических исследований оценил его объем в 193 млрд руб. при ежегодном росте в 20–30%. Сохраняется тренд на импортозамещение, после ухода западных вендоров число отечественных IT-решений стало преобладать.
Значительный рост спроса наблюдается на продукты, которые позволяют за считаные минуты обнаружить действия хакеров и провести ретроспективный анализ атаки.
Во втором квартале 2024 года зафиксировано в 2,6 раза больше кибератак, чем за аналогичный период прошлого года. Чуть больше четверти (26% от всего числа) кибератак были совершены хактивистами. Цели большинства из них — кража данных и DDoS-атаки. Растет число нападений через третьих лиц — supply chain (атаки на цепочку поставок) или trusted relationships (доверенные отношения),— когда злоумышленники пытаются проникнуть в инфраструктуру жертвы через сторонние компании. В таких случаях хакеры могут заниматься коммерческим шпионажем, кражей корпоративных данных или шифровать важную информацию.
— Получается, специфика кибератак усложнилась?
— Да. Большинство крупных компаний, особенно в ТЭК, уделяют ИБ серьезное внимание, а после 2022 года значительно усилили это направление. Злоумышленникам сложно атаковать их напрямую, поэтому они используют партнеров и подрядчиков. Например, в последние годы в России появилось много небольших IT-компаний, которые пишут аналоги западных решений и поставляют их крупным предприятиям. Вот через этих производителей или их софт и атакуют энтерпрайз-компании.
— Из-за чего хакерам удается взломать компанию?
— Наиболее успешными и простыми методами являются использование вредоносного ПО и социальная инженерия.
Часто компании пренебрегают базовыми требованиями к кибербезопасности. Поэтому нередко проникновение в периметр происходит через известные компании уязвимости, для которых в том числе вышел патч. В частности, среди таких веб-приложений наиболее часто, по нашему опыту, подвергались атакам почтовый сервер Microsoft Exchange (50% всех атак, где в качестве исходного вектора были уязвимые веб-приложения), веб-сервер Bitrix (13%) и продукты компании Atlassian (7%).
Плохая защищенность веб-приложений — одна из распространенных причин взломов. Часть компаний столкнулась с киберинцидентами из-за того, что их сайт работал на ПО, для которого вовремя не установили обновление.
Еще одной причиной может стать использование небезопасных методов удаленного доступа. Во время пандемии практически все компании стали использовать подобные интерфейсы. Как следствие, доля атак с эксплуатацией уязвимостей в ПО и недостатков конфигурации выросла с 9% в начале 2020 года до 30% в конце года. Также пользователи часто получают учетные данные через сервисы удаленного подключения с дефолтными или недостаточно сложными паролями без второго фактора проверки.
— Раньше вопрос кибербезопасности не так остро стоял?
— Вопросы кибербезопасности всегда были и остаются актуальными. На сегодня нет ни одной компании, которая бы не подвергалась хакерским атакам. Киберрискам подвержены все системы, которые так или иначе управляют производством. Их остановка или компрометация (то есть получение несанкционированного доступа) может привести к нарушению устойчивости бизнеса и производства.
Об актуальности темы говорит и вышедший в мае 2022 года указ президента, согласно которому ряд компаний должны усилить ИБ и повысить уровень вовлеченности топ-менеджмента в эти вопросы. Если раньше проблему кибербезопасности обсуждали внутри IT-департамента или службы безопасности компании, то теперь должен быть ответственный на уровне заместителей гендиректора.
— Какие трудности испытывает рынок информбезопасности?
— Первая и главная трудность — ряд компаний оказался без средств защиты. Это привело к экстренной смене IT-ландшафта.
Кроме того, при модернизации IT-инфраструктуры об информационной безопасности многие компании часто думают не в первую очередь. Из-за отсутствия грамотного взаимодействия между IT-отделом и подразделениями ИБ появляются бреши, которые используют злоумышленники.
Еще одна трудность — нехватка квалифицированных кадров. Для ее решения IT-компании ведут активную образовательную деятельность. Так, Positive Technologies сотрудничает с вузами, подготавливая кадры в ИБ. Вместе с этим мы разрабатываем метапродукты, которые обеспечивают автоматическую кибербезопасность и сводят к минимуму участие специалиста по ИБ. Такие решения защищают IT-инфраструктуру и бизнес-процессы, определяют возможные векторы перемещения хакера и останавливают его до того, как он успеет нанести ущерб компании.
— Как киберполигоны помогают в решении вопросов информационной безопасности?
— Термин «киберполигон» используют несколько российских вендоров. На них можно обучать и повышать квалификацию IT-специалистов. Но каждый вендор дает разные определения и характеристики этого понятия.
Например, киберполигон Standoff решает вопросы, связанные с поиском уязвимостей и расследованием инцидентов, тестированием средств информационной защиты, IT-систем. Для этого создается инфраструктура, максимально приближенная к реальной, можно сказать, цифровой двойник, где есть те же IT-решения и бизнес-процессы вплоть до АСУ ТП, которые используют компании. Сотрудники SOC (Security Operation Center) могут мониторить, расследовать и предотвращать атаки белых хакеров на различные системы. При этом все атаки идут не по сценарию или заранее подготовленному скрипту, что позволяет защитникам столкнуться с реальным хакерским трафиком.
За счет интенсивности генерируемых атак несколько дней кибербитвы равняются нескольким месяцам или даже году работы в реальной жизни. На Standoff эмулируется порядка 80% существующих и описанных в матрице MITRE ATT&CK техник и тактик злоумышленников.
— Что представляет собой киберполигон?
— Это огромный макет, где воссозданы ключевые отрасли и предприятия. Все — от светофоров до добычи и переработки нефти — работает на настоящих контроллерах и IT-системах. На Standoff реализованы и межотраслевые сценарии, где можно увидеть, как взаимосвязаны между собой различные отрасли и что произойдет, если хакеры доведут свою атаку до конца. Например, если хакерам удастся остановить добычу или транспортировку нефти, то из-за дефицита топлива перестанут летать самолеты. Сегодня на киберполигоне эмулируется до 13 отраслей, среди них — нефтегазовая.
— С какими вопросами чаще всего обращаются нефтегазовые компании?
— Повышение квалификации кадров и подготовка специалистов по реагированию на киберинциденты и их расследованию. А также возможность апробации цифровых решений, которые нефтегазовые компании разработали с вендором и планируют к массовому внедрению в отрасли. Для тестирования им нужно построить цифровой двойник и проверить безопасность на киберполигоне. Мы в свою очередь придумываем задания, мотивируем исследователей по безопасности, чтобы они находили уязвимости, тогда вендор сможет их устранить.
— Какие инструменты по кибербезопасности наиболее востребованы?
— Если мы говорим о нефтегазовой отрасли, то это решения по защите АСУ ТП, решения по организации безопасного удаленного доступа и закрытие базового уровня оснащения продуктами по кибербезопасности, если это еще не сделано. Сейчас к базовому уровню относятся не просто антивирусы и NGFW, но и решения в области морабилити-менеджмента, ICMP-решения и решения, которые анализируют трафик. Контроль трафика и информационных потоков позволяет вовремя реагировать на киберинциденты.
— Насколько киберустойчива нефтегазовая отрасль?
— Нефтегазовая отрасль и ее ключевые системы инертны с точки зрения реализации изменений — планы по модернизации могут занять 3–5 лет. Поэтому выйти на новый уровень защищенности удастся через 2–3 года при сохранении текущих темпов инвестирования и фокуса внимания руководства предприятий к проблеме кибербезопасности.
— Как будет развиваться рынок киберполигонов?
— Ожидаем, что в ближайшие годы в России будет создано несколько десятков киберполигонов. Поскольку большинство компаний, достигнув базового уровня ИБ, задумывается о том, чтобы либо получить доступ к онлайн-подписке киберполигона, либо создать свою собственную площадку. Некоторые крупные компании, в том числе нефтегазовые, уже приступили к реализации подобных проектов.