Карантин, помогающий замедлить распространение коронавируса, становится проблемой с точки зрения кибербезопасности. Каналы связи сотрудников, работающих удаленно, всегда были излюбленной мишенью хакеров, а с массовым переходом на такую схему работы эксперты ожидают всплеск атак на корпоративные сети через личные компьютеры. По данным Solar JSOC, количество устройств, доступных по незащищенному протоколу удаленного доступа, выросло в России на 15% и составляет более 76 тыс. А домашние сети выведенных из офисов сотрудников страдают от слабых паролей и устаревшего софта.
Фото: Игорь Иванко, Коммерсантъ / купить фото
Переход сотрудников на удаленную работу приводит к резкому росту рисков для бизнеса в сфере кибербезопасности, отмечают опрошенные “Ъ” эксперты. Посредством установки вредоносных программ на персональные компьютеры, ноутбуки, смартфоны уже совершается около 30% взломов информационных систем компаний, оценивает руководитель направления клиентской безопасности IT-провайдера Selectel Андрей Давид. Атаки на корпоративную сеть через удаленных сотрудников, по данным Positive Technologies, используют как минимум 14% хакерских группировок, атакующих российские компании, и популярность таких атак и без всякого карантина в последние два года только росла.
Кому на карантине жить хорошо
Форс-мажоры вроде пандемии, с которой пришлось столкнуться человечеству в этом году, приносят бизнесу не только разочарование и разорение — при остановке одних экономических секторов неизбежно развиваются другие отрасли рынка, отмечает глава NetApp в России и СНГ Татьяна Бочарникова.
Так, в середине марта аналитики Statista прогнозировали, что под влиянием пандемии выручка бизнес-сегмента «мессенджеры и софт для удаленной работы» вырастет в 2020 году на 44% год к году, он войдет в топ-5 быстрорастущих рынков, среди которых также стриминговые сервисы, сервисы доставки продуктов питания и лекарств, производство гигиенических средств и бытовой химии.
Например, продажи программы для удаленной работы Radmin выросли на 237% за последнюю неделю, подтверждает гендиректор ее разработчика «Фаматек» Дмитрий Зноско. Большинство крупных заказчиков платформы для виртуализации сети VMware планируют расширение инфраструктуры в среднем в два раза, говорит глава представительства VMware в России и СНГ Александр Василенко. В основном интерес наблюдается среди банков и телекома, так как специфика работы позволяет перевести на домашний офис до 65% сотрудников, в том числе отделы маркетинга, HR и колл-центры, отмечает он.
Обороты классических IТ-сервисов тоже растут — на 20–30% в сравнении с обычной ситуацией, отмечает директор департамента инфраструктуры и IT-сервисов Atos в России Сергей Клюев. Выросли продажи и у облачных систем: в «Облакотеке» за последнюю неделю количество заведенных подписок увеличилось на 30%, в «Яндекс.Облаке» зафиксировали рост спроса на такой же уровень в первом квартале по сравнению с четвертым кварталом 2019 года. Спрос растет со стороны компаний в сфере онлайн-торговли и услуг, отмечает директор по развитию бизнеса «Яндекс.Облака» Олег Коверзнев, объясняя это резким ростом нагрузки на онлайн-потребление. Развлекательные сервисы и сервисы дистанционного образования увеличивают объемы инфраструктуры для поддержки растущей аудитории, добавляет он.
В пять-шесть раз по сравнению с «мирным временем» выросло число запросов на проекты по созданию виртуальных рабочих машин, говорит руководитель центра проектирования вычислительных комплексов компании «Инфосистемы Джет» Илья Воронин. В Atos также наблюдают «серьезный скачок спроса» на поддержку пользователей, инфраструктуры и цифровых рабочих мест. В три раза вырос спрос на решения для централизованного управления приложениями и рабочими столами, обеспечения безопасности мобильных приложений и устройств, а также на софт для контроля подключений, отмечают в Softline. Рекордной популярностью пользуются и мобильные рабочие станции, то есть поставка ноутбуков, отмечает гендиректор Oberon Евгений Яшин. Сервис и аутсорсинг стали вторым «горячим направлением», отмечает он: заказчикам необходимы быстрые и недорогие временные руки технических специалистов.
Кто рискует
В нынешней обстановке к обычным ключевым направлениям хакерских атак (государственные учреждения, промышленные компании, медицинские учреждения и финансовая сфера) добавятся компании, предоставляющие доступ к медиаконтенту, средства массовой информации и компании, оказывающие услуги доставки, полагает директор практики информационной безопасности компании AT Consulting Тимурбулат Султангалиев. Например, в марте немецкий сервис доставки еды Takeaway стал жертвой DDoS-атаки, за прекращение которой злоумышленники потребовали, впрочем, не слишком крупную сумму в 2 биткойна (около $11 тыс.).
С переходом на карантин киберпреступникам особенно выгодно атаковать сферы гостиничного размещения и ритейла, где хранится большой объем личных данных клиентов, в том числе данные их банковских карт, полагает старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо. Изначальная компрометация данных может происходить из-за недостаточного уровня организации удаленного доступа в случае массового перевода сотрудников на такой тип работы, уверен он.
В зоне повышенного риска также организации, в которых удаленная работа до последних событий не применялась никогда, например, различные государственные организации, научно-исследовательские институты, добавляет директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков, отмечая, что службам информационной безопасности этих компаний придется освоить новые для себя риски в авральном режиме.
Дополнительным источником проблем при переходе на удаленную работу стала сложившаяся до карантина «эпоха экосистем»: теперь уязвимость партнера может превратиться в проблему сразу для всей такой системы, предупреждает партнер EY, руководитель группы услуг по технологическим рискам в СНГ Николай Самодаев. В рамках такой экосистемы партнеры, зачастую выполняющие сугубо нишевые задачи, не всегда могут оперативно выявить и отработать все аспекты уязвимостей и рисков своих организаций, поясняет он. От партнеров, поставщиков и вендоров в целом исходит около 40% всех угроз и нарушений информационной безопасности, сообщается в исследовании Аccenture за февраль 2020 года.
Подключение не защищено
С переходом на карантин компании стали более уязвимы для атак, прежде всего, потому что выросло количество устройств, с которых сотрудники заходят в сеть. Если в обычных условиях каждый сотрудник подключается к корпоративной сети, как правило, с помощью одного устройства — персонального компьютера, то с переходом к удаленной работе число устройств может возрасти, например, до трех — ноутбук, планшет, смартфон, указывает руководитель отдела технологической экспертизы управления информационной безопасности Softline Дмитрий Ковалев.
При этом некоторые механизмы контроля, реализованные в пределах помещения организации, отсутствуют в домашней среде, предупреждает руководитель группы по оказанию услуг в области кибербезопасности и цифровой криминалистики КПМГ в России и СНГ Илья Шаленков. «Безопасность домашней сети ложится на плечи сотрудника: возможно, его домашняя сеть скомпрометирована из-за слабого пароля от Wi-Fi или устаревшего программного обеспечения»,— поясняет он. Часто доступ к личным устройствам защищен слабым паролем, а подключение осуществляется через Wi-Fi, где сохранен заводской пароль, добавляет Тимурбулат Султангалиев.
Бухгалтеры, инженеры, технологи и даже топ-менеджеры зачастую плохо обучены тому, как защититься от кибератаки, что повышает риск проникновения в локальную сеть, отмечает Алексей Новиков. Недавно в одной из компаний хакеры проникли в корпоративную сеть, так как для управления ею администратор использовала домашний компьютер, не зная, что он заражен вредоносом, рассказал партнер, руководитель практики по оказанию услуг в области кибербезопасности PwC в России Виталий Соколов.
С массовым переходом на удаленку рост фишинговых рассылок почти в четыре раза зафиксировали в компаниях «Интернет-розыск» и Infosecurity (входит в Softline). Компрометация корпоративной почты считается одной из самых опасных и результативных с точки зрения выручки для хакеров атак, отмечает начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Хакеры, которые получили доступ к электронной почте должностного лица, дальше могут действовать от имени сотрудника: распространять информацию и вредоносные программы, отправлять счета на оплату. В качестве примера господин Дрозд приводит атаку на белорусские медицинские организации, «реализованную, судя по всему, через фишинг»: злоумышленники получили доступ к почте медиков и рассылали с нее информацию о ситуации с эпидемией, содержащую ссылки на вредоносные программы. Ситуационный контекст всегда играет на руку хакерам, предупреждает эксперт. «Не исключено, что после объявления следующей недели нерабочей начнутся рассылки по сотрудникам от якобы коллег, мол, ознакомьтесь с графиком работы, компенсаций и прочего»,— опасается он.
Вероятность успеха фишинг-атак при удаленной работе повышает и тот факт, что в домашнем режиме человек более расслаблен и может потерять бдительность, полагает Дмитрий Ковалев. Кроме того, риски утери конфиденциальных данных повышает и то, что люди забывают мобильные устройства с открытыми корпоративными приложениями в публичных местах, используют устройства в личных целях, передают их родным и близким.
Интранет переходит в интернет
Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета, отмечают эксперты центра мониторинга и реагирования на киберугрозы Solar JSOC. Среди главных причин они называют использование «одного из самых популярных способов подключения к рабочему окружению» — применение удаленных рабочих столов по протоколу RDP, разработанному Microsoft для удаленного управления операционной системой Windows. По данным Solar JSOC, за неделю с 17 по 24 марта количество устройств, доступных из интернета по незащищенному протоколу удаленного доступа, выросло в России на 15% и составляет более 76 тыс. По данным Positive Technologies, число удаленных рабочих столов в России за три недели с конца февраля 2020 года увеличилось на 9% и превысило 112 тыс.
Если IT-служба компании не уделяет должного внимания безопасности удаленного доступа, корпоративный сервер становится крайне уязвимым для злоумышленников, предупреждает руководитель центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар» Игорь Залевский. Нередки ситуации, когда удаленный сервер доступен и виден из внешнего интернета, при этом любой желающий может попробовать подключиться к нему. Злоумышленник может обмануть систему идентификации и аутентификации, подобрав пароль, осуществив подмену сертификата или использовав уязвимости RDP, говорит господин Залевский.
Одна из подобных уязвимостей известна как BlueKeep и позволяет злоумышленнику получить полный контроль над компьютером на базе Windows. Сейчас свыше 10% удаленных рабочих столов уязвимы для ошибки безопасности BlueKeep, подсчитали в Positive Technologies. Уязвимости подвержены операционные системы Windows 7, Windows Server 2008 и Windows Server 2008 R2. Эксперты рекомендуют компаниям обновить Windows и использовать VPN c двухфакторной аутентификацией для удаленного доступа к рабочему столу. В Positive Technologies предупреждают, что появление каналов удаленного доступа особенно опасно, если дело касается критически важных для бизнеса сетей и систем, таких как технологические сети на производстве и в энергетике, сети управления банкоматами или карточным процессингом в банках, серверы «1C» и конфиденциальный документооборот.