Кто кибер чистил весь избитый
Как госсектор и бизнес встретили кибератаки из-за событий на Украине
С начала специальной военной операции (СВО) на Украине 24 февраля «боевые» действия начались и на цифровом поле. Каждая из сторон конфликта использует в нем и киберсредства, поэтому хакеры практически сразу стали полноценным инструментом ведения боя. Так, число атак на российские IT-системы уже 28 февраля в три раза превысило их количество за февраль прошлого года. Это давление продолжает усиливаться, подталкивая организации к масштабным инвестициям в кибербезопасность. “Ъ” выяснил, как изменились тактика киберпреступников и рынок инфобеза после событий на Украине и к чему может привести наращивание Россией киберброни.
Фото: Евгений Павленко, Коммерсантъ
Все средства хороши
«Против России развязана настоящая агрессия… в информационном пространстве… В разы увеличилось число кибератак, в том числе комплексных… из разных государств, и при этом они четко скоординированы. По сути, это действия госструктур, и мы знаем с вами, что в состав армий некоторых стран уже вполне официально входят кибервойска»,— президент Владимир Путин в ходе заседания Совбеза РФ 20 мая придавал особое значение вопросам информбезопасности.
Это и неудивительно: с конца февраля практически все сферы экономики России подверглись жесткому прессингу в киберпространстве: от госсектора до медиа. Так, уже в конце февраля DDoS-атаки были совершены на сайты «Коммерсанта», ТАСС, РБК, «Известий», Forbes и «Фонтанки». Уже тогда емкость некоторых атак превышала 750 Гбит/с, что являлось пределом мощности, зафиксированным специалистами «Ростелекома». По данным «Лаборатории Касперского», в феврале компания отразила в 4,5 раза больше DDoS-атак, чем за аналогичный период 2021 года, причем более 60% из них произошли с 24 по 28 февраля.
Помимо DDoS хакеры стали активно применять фишинг. Такой вид атак был опасен и до 24 февраля: по оценкам Positive Technologies, в прошлом году по ссылкам из фишинговых писем переходили 62% сотрудников компаний, а учетные данные вводили 49%. И если с конца февраля число атак на физлица снизилось более чем на 40%, то на бизнес кратно возросло. «Раньше мошенников, многие из которых находились за границей, интересовали выводы средств пользователей на свои счета, но после отключения Visa и Masterсard этот способ стал невозможен,— объясняют собеседники “Ъ” на рынке кибербезопасности.— И внимание хакеров заострилось на коммерческих данных российских компаний».
Для гарантированного результата многие хакеры стали использовать таргетированные рассылки, замаскированные под сообщения от конкретных коллег, а также новости по актуальным вопросам, которые могли бы вызвать интерес пользователя и усыпить его бдительность. Например, в текстах писем использовались такие выражения, как «сокращение штата компании» или «обращение руководства в связи со сложившейся ситуацией». Успех подобных атак объясняется напряжением в обществе и нестабильностью. «Такие схемы срабатывают в первую очередь у представителей СМБ, на который больше всего влияет экономическая ситуация»,— объясняет директор по спецпроектам Angara Security Александр Дворянский.
Фишинговые рассылки отчасти приводили к попаданию на устройства жертв программ-шифровальщиков. Если раньше за разблокировку систем хакеры требовали выкуп, то сейчас целью злоумышленников чаще становятся крупные организации, блокировка систем которых может вызвать панику или общественный резонанс. Одним из таких удачных нападений стала атака на маркетплейс Wildberries 13 марта, по итогам которой сайт компании работал с перебоями более двух суток: 41% пользователей Wildberries зафиксировали проблемы с доступом в приложение, у 46% наблюдались трудности с отслеживанием заказа.
Второй масштабной атакой стало нападение на видеосервис Rutube (входит в структуры холдинга «Газпром-медиа») 9 мая: платформа была недоступна почти двое суток, а в сети оказались внутренняя переписка компании и данные ряда популярных аккаунтов. Главной целью хакеров был показательный вывод ресурса из строя и создание волны беспокойства вокруг ситуации, считают эксперты.
Государственные информационные системы тоже подверглись атакам. 26 марта под удар попала IT-инфраструктура Росавиации: из-за действий хакеров были уничтожены весь документооборот, файлы на серверах, удалена система «Госуслуг» ведомства и потеряны все входящие и исходящие письма за полтора года. Всего ведомство потеряло около 65 ТБ электронных данных. Эксперты пришли к выводу, что атака была организована несколькими группами хакеров, которые объединили усилия для максимально эффективных действий. 14 апреля в сеть были выложены переписки региональных министерств культуры. Данные могли утечь в результате «эксплуатации уязвимости в почтовом сервере», полагают собеседники “Ъ” на рынке кибербезопасности.
В первую очередь опасная ситуация сложилась по причине недостаточной подготовленности инфраструктур компаний к отражению сложных целевых атак, уверен руководитель Центра компетенций Crosstech Solutions Group Станислав Фесенко. Также за последние годы существенно увеличивается распространение партнерских взаимодействий между целевыми хакерскими группировками. Одни торгуют доступами, вторые занимаются разведкой, третьи отвечают за социальную инженерию, первичное заражение и закрепление в сети, четвертые — за непосредственное проведение атаки, пятые — за монетизацию, а еще кто-то — за сокрытие следов. Такой подход предлагает заказчику атаки услугу «под ключ», он усложняет процесс реагирования на инциденты, так как каждая группировка глубоко профилируется по своей части и может обладать экспертными знаниями, напоминает господин Фесенко.
Брешь в броне
С начала СВО 24 февраля Россию покинули почти все зарубежные IT-компании — сфера кибербезопасности не исключение. Так, прекратили работать американский поставщик решений для сетевой безопасности Fortinet, словацкий разработчик антивирусного ПО ESET, чешская Avast и американская NortonLifeLock Inc. Список можно продолжать. Российский профильный регулятор ФГУП «Главный радиочастотный центр» (подведомствен Роскомнадзору) со своей стороны 9 марта предупредил операторов связи об отзыве своей лицензии на иностранные облачные продукты, в частности компании Arbor, и необходимости срочно перейти на физические устройства: маршрутизаторы и локальные сервера. Таким образом, российские компании фактически остались без зарубежных IT-решений для защиты своих информационных систем.
Второй значимой проблемой стал усилившийся кадровый голод в отрасли, профильные специалисты начали координировать усилия для организации переезда. Среди популярных направлений, которые рассматривали эмигранты,— Армения, Грузия, Турция, ОАЭ и Кипр. В конце февраля источники “Ъ” на рынке сообщали о желании уехать около 5 тыс. IT-специалистов. О релокации задумались и компании: по данным юридических фирм, спрос на услуги по реструктуризации и переводу бизнеса за рубеж со стороны IT-компаний вырос примерно на 50% с 24 февраля.
На текущий момент, по словам собеседника “Ъ” на рынке кибербезопасности, в этой отрасли из России уехали от 5% до 10% сотрудников каждой компании. «Если ситуация в экономике не изменится, то это соотношение может достичь 25%»,— предупреждает он, также признавая, что до февраля отрасль готовилась к переговорам с западными специалистами о переезде в Россию, но теперь об этом не может быть и речи.
Ответный удар
Сложившаяся ситуация в информбезопасности подтолкнула как государство, так и бизнес к экстренному наращиванию мощностей, способных защитить их от угроз. Так, с 2025 года использование зарубежных средств защиты информации вовсе будет запрещено, а ведомства стали увеличивать расходы на закупку в IT-секторе: с 20 февраля по 20 апреля объем таких тендеров вырос на 10% в штуках и 12% в деньгах, превысив 34 млрд руб. Такие данные в конце апреля приводили представители торговой платформы «РТС-тендер». Значительная часть закупок пришлась на доработку информационных систем и укрепление их защиты.
«Расходы на кибербезопасность для операторов серьезных информационных систем в год нужно будет удваивать. Вложения в новейшие подходы к кибербезопасности создадут в будущем еще одну сверхприбыльную отрасль в IT, которая крайне необходима для укрепления цифрового суверенитета любой страны»,— считает генеральный директор iPavlov Лоран Акопян. В части средств информбезопасности в России уже сформирован собственный конкурентоспособный портфель продуктов, напоминает Станислав Фесенко. А бизнесу предстоит найти баланс между затратами и уровнем защищенности в новых реалиях.
Изменения произошли и на уровне законодательства: 1 мая президент подписал указ №250 «О дополнительных мерах по обеспечению информационной безопасности РФ», который, в частности, обязывает предприятия с госучастием и стратегически значимые компании назначать заместителей руководителя по ИБ и создавать спецотдел, отвечающий за ИБ. Указом дело не ограничится: в его развитие Владимир Путин предложил 20 мая членам Совбеза РФ обсудить проект Основ госполитики в области обеспечения безопасности критической информационной инфраструктуры России.
Для бизнес-среды возросший интерес к кибербезопасности создал дополнительные возможности: уход зарубежных компаний и обострившиеся угрозы подтолкнули отраслевых предпринимателей к созданию новых структур. В середине мая стало известно о выходе на рынок нового игрока Cyberok, создатели которого выходцы из Positive Technologies и «Лаборатории Касперского», сделавшие ставку на решения с открытым программным кодом. Также в компании должно сформироваться профильное сообщество для общения с отраслью и совместной работы, чтобы бизнес мог обмениваться своими решениями и дорабатывать их на одной площадке.
Наращивание киберброни России позволит обеспечить необходимый уровень безопасности для того, чтобы ее существующая экономика развивалась нормально, а страна стала лидером формирования инфраструктуры кибербезопасности, на которой можно будет строить новый технологический уклад, уверен президент РУССОФТ Валентин Макаров. Также повышение уровня информбезопасности приведет к нелинейному росту экономики России за счет лидерства во внедрении этого нового уклада, заключает он.