Z-новости
Сезон высокого спроса на ИБ
27 Апреля, 2022Российский бизнес оказался готов к всплеску кибервторжений, происходящих на фоне глобальных изменений в геополитике. Атаки на периметр информационной безопасности (ИБ) компаний стали более изощренными и мощными, но число успешных невелико. Уход иностранных вендоров в этом сегменте застал врасплох тех игроков рынка, которые не проводили ранее политику импортозамещения. Больше всех пострадали закрытые для информационного обмена с ИБ-сообществом госструктуры, в которых схема обновления ПО сложна и занимает долгое время.
НОВАЯ КИБЕРРЕАЛЬНОСТЬ
С конца февраля Рунет держит оборону, в цифровом мире идет жесткое противостояние, констатировали эксперты в сфере ИБ на тематической конференции. Вредоносная активность, направленная на взлом корпоративной сетей, установку скрытых сервисов, организацию утечек данных увеличилась за этот период в сотню раз, констатировал директор по развитию бизнеса в России Positive Technologies Максим Филиппов.
В апреле группировка Anonymous совершила многочисленные атаки на российские государственные учреждения и организации. В частности, хакеры выложили в открытый доступ e-mail-базу Минкультуры объемом более 700 гигабайт. Злоумышленники также взломали компании в индустрии нефтепереработки «Газпром Линде Инжиниринг» и Technotec и похитили 768 тыс. и 495 тыс. электронных писем соответственно, сообщил эксперт.
Сайт «МЧС Медиа» 20 апреля подвергся хакерской атаке. На главной странице информационного портала злоумышленники разместили рекомендации «на случай ответного ядерного удара со стороны стран НАТО».
Максим Филиппов, Positive Technologies:
– Агрессивность в цифровой среде повысилась в разы. Это связано с отношением к происходящему. Раньше взлом инфраструктуры российского банка считался преступлением, теперь же, на фоне происходящих событий в мире, злоумышленники уверены, что имеют право на атаку.
За январь и февраль были зарегистрировано порядка 400 ИБ-инцидентов, в марте зафиксировано более 800, в апреле отмечено еще больше, рассказал консультант в области систем менеджмента ИБ российский разработчика программных решений и сервисов «АйТи Мониторинг» Никита Кулагин на региональной конференции. За 1 кв. прошлого года их было всего 248.
Директор по информационным технологиям ГК «Росводоканал» Сергей Путин отметил, что
НАИБОЛЬШАЯ ДОЛЯ ВТОРЖЕНИЙ В ИНФРАСТРУКТУРУ ПРЕДСТАВЛЯЛА СОБОЙ «ОТКАЗ В ОБСЛУЖИВАНИИ». ТАКИЕ DDOS-НАПАДЕНИЯ БЫЛИ ОРГАНИЗОВАНЫ ТАК, ЧТО ЛЮБОЙ ПОЛЬЗОВАТЕЛЬ ИНТЕРНЕТА МОГ К НИМ ЛЕГКО ПРИСОЕДИНИТЬСЯ, СКАЧАВ ПРИЛОЖЕНИЕ
Максим Филиппов, Positive Technologies:
– Атак на сетевом уровне с начала года происходит гораздо меньше, чем на прикладном. ИDDoS никогда не приходит один. За шквалом запросов скрываются попытки более профессионального целенаправленного взлома.
На Рунет сегодня нападают политически мотивированные хакеры. При этом возрос не только объем атак, но и их сила, отметил директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса «Московской биржи» Сергей Демидов. Он отметил четкое разделение труда при организации нападений.
Сергей Демидов, «Московская биржа»:
– Одни хакеры пишут программы, другие анализируют инфраструктуру, которая подвергается атаке, есть координаторы – их задача такова, чтобы вирус попал в самое уязвимое место в определенный момент времени.
Эксперт объяснил, как сегодняшние взломы отличаются от историй прошлых лет. Если в течение минуты атакующие понимают, что не достигают цели, они резко меняют вектор, и ИБ-специалистам приходилось на ходу перестраивать средства защиты.
С.Демидов отметил рост кибервторжений информационного характера, которые зависят от контекста утечки. Так, например, клиентам банков злоумышленники могут звонить с предложением срочно закрыть счета в связи с дефолтом финансовой системы. При незаконном получении данных о потребителях лекарств в аптеке мошенники делают обзвон с сообщением о грядущем дефиците медикаментов, создавая панику.
М.Филиппов отметил, что
ПОЯВЛЯЕТСЯ МНОГО ФЕЙКОВОЙ ИНФОРМАЦИИ О КИБЕРАТАКАХ, КОТОРЫХ НА САМОМ ДЕЛЕ НЕ БЫЛО. РЕАЛЬНЫЕ ВЗЛОМЫ ЕСТЬ, НО БОЛЬШЕЙ ЧАСТЬЮ, НА 90%, СООБЩЕНИЯ О РАСКРЫТИИ КОНФИДЕНЦИАЛЬНОГО ЯВЛЯЮТСЯ ЛОЖНЫМИ
Они представляют собой компиляцию старых публичных баз данных.
СТЕПЕНЬ ГОТОВНОСТИ
От действий хакеров пока пострадали единицы крупных компаний – «Росавиация», Wildberries. Глобальных эксцессов с потерей данных, как это случилось в США, когда в стране было объявлено чрезвычайное положение, в РФ не было.
В ритейле, и госструктурах всегда были послабления и достаточно вялое отношение к ИБ, поэтому они поймали сложные атаки и получили проблемы, объяснил директор по росту, BI.ZONE Рустэм Хайретдинов.
Тот бизнес, где регуляторы требовали, закручивали гайки, выдержал. В первую очередь, это финансовый сектор. В свое время ЦБ много инвестировал в проекты по циклам безопасной разработки, и год назад такие стандарты начали работать. Банковские сервисы являются социально значимыми – люди все привыкли делать онлайн, в том числе поэтому сегмент был готов к взломам.
На рубеже битвы стоят и телеком-компании, уточнил М.Филлипов. Они постоянно сталкиваются со злоумышленниками, умеют обнаруживать угрозы и оперативно реагировать. Другая ситуация с госструктурами. Нельзя сказать, что они плохо защищаются, но они не готовы динамично ответить на возросшее число кибератак, считает эксперт.
Максим Филиппов, Positive Technologies:
– Чиновники вынуждены жить в парадигме прошлого, мирного времени. Они следуют правилам проведения госзакупок, которые диктуют федеральные законы. Чтобы приобрести какое-то средство защиты, либо допустить на свои объекты экспертов для проведения расследования, им необходимо пройти огромное число сложных процедур. Индустрия просит о послаблениях в существующих механизмах закупок и проведения работ. Госорганы не должны быть «динозаврами», которые поворачивают голову только тогда, когда у них откусывают хвост.
Количество кибератак на сотрудников российских госкомпаний выросло вдвое по данным «Лаборатория Касперского». По информации ЦБ, число хакерских нападений на финансовые организации увеличилось с февраля в 22 раза, рассказал представитель «Ъ» Рамаз Чиаурели.
«Московская биржа» ранее инвестировала в исследования выявления аномалий сетевого трафика и запросов данных, а также в средства защиты с использованием ИИ, поэтому также оказалась готова к вторжениям извне.
Сергей Демидов, «Московская биржа»:
– Нас спасает особенность IT-инфраструктуры: ядро систем, которые обеспечивают торги, мы изначально строили в изолированном секторе. Атак происходит много, проблемы на периметре случаются ежедневно. Хакеры нацелены на взлом финансовых торговых площадок: они воспринимают фондовый рынок, как важную часть экономики страны.
Сегодня приток частных инвесторов создает дополнительную нагрузку на ИБ, объяснил С.Демидов. Площадка благодарна регулятору: инициатива ЦБ, который сейчас разрабатывает проект документа по использованию облаков для финансового сектора, весьма востребована.
Эксперт отметил, что
СЕГОДНЯ ПРОТИВ РОССИИ РАБОТАЮТ ХАКЕРЫ С ВЫСОКОЙ ЭКСПЕРТИЗОЙ, ПРОФЕССИОНАЛЫ С НЕТИПИЧНЫМИ ИНСТРУМЕНТАМИ. НАЛИЦО НЕСТАНДАРТНЫЕ СПОСОБЫ ЭКСПЛУАТАЦИИ УЯЗВИМОСТЕЙ
Это заставляет ИБ-специалистов «Московской биржи» импровизировать в защите.
РАССЧИТЫВАТЬ НА СВОИ СИЛЫ
Уход крупнейших зарубежных вендоров, которые приостановили оказание услуг и продажу продуктов, влияет на российскую отрасль ИБ не менее, чем мощные кибератаки.
Нас покинуло порядка 40 ИБ-компаний. По числу игроков соотношение отечественного и западного 1:1, то есть как минимум половина рынка освободилась, отметил М.Филиппов. В свою очередь С.Путин сообщил, что зарубежные решения либо уже заменены, либо это произойдет в ближайшее время.
Теперь стоимость иностранных лицензий стремительно растет. Пропала как возможность оплатить следующие периоды использования, так и получать обновления, или они стали вредоносными. Произошла потеря доступа к хранилищу файлов, нарушению и остановке бизнес-процессов.
Рустэм Хайретдинов, BI.ZONE:
– Если бухгалтерия может работать без обновлений 3 года, то ИБ через два месяца сможет отражать только старые виды атак, у нее не будет противоядия, и она перестанет быть эффективной.
Спрос на операционные системы российского производства вырос в стране в шесть раз в связи с приостановкой работы зарубежных IT-компаний в РФ, заявил руководитель отдела по работе с партнерами «Ред Софт» Андрей Свиридов.
В сфере ИБ доверие теряется один раз. Игроки рынка не могут себе позволить доверять тем, кто сегодня ушел, а завтра вернулся, объяснил Р.Хайретдинов. Сегодня у российских компаний в этом сегменте режим повышенного спроса, так называемый высокий сезон, в который будут востребованы даже стартапы.
Эксперт Cisco Алексей Лукацкий опубликовал список средств ИБ российских разработчиков 170+, которые могут стать основой для внедрения политики импортозамещения.
Тем не менее, по его мнению, в России
ПОЧТИ ПО КАЖДОЙ ПРОДУКТОВОЙ НИШЕ В СЕГМЕНТЕ ИНФОРМБЕЗОПАСНОСТИ ЕСТЬ ОДНО ИЛИ ДВА ОТЕЧЕСТВЕННЫХ РЕШЕНИЯ, НО ИХ КАЧЕСТВО, УПРАВЛЯЕМОСТЬ, ПРОИЗВОДИТЕЛЬНОСТЬ, МАСШТАБИРУЕМОСТЬ ОСТАВЛЯЕТ ЖЕЛАТЬ ЛУЧШЕГО
Для малого и среднего бизнеса эти кейсы можно использовать, но крупный не может на них рассчитывать.
Максим Филиппов, Positive Technologies:
– Компании уже пользуются таблицами, которые предлагают наши аналоги западным продуктам. В реальности импортозамещение только начинается. Раньше мы конкурировали в области технологий, и поэтому оно воспринималось как навязывание менее качественного, как давление государства.
На «Московской бирже» российские средства ИБ тестировали с 2014 года, и даже защищали отечественными решениями отдельные элементы инфраструктуры. Сегодня ее разбили по критичности и приоритетам, где импортозамещение нужно в первую очередь, сказал С.Демидов. При этом часть софта не оправдала ожиданий в глазах экспертов по безопасности.
Сергей Демидов, «Московской биржи»:
– Биржа – тоже IT-компания, она сама разрабатывает ПО и платформы. Сюрпризом стал риск дискредитации Open Source. Ранее мы много полагались на открытое ПО. Но в используемый нами свободный софт начали закладывать бэкдоры, мины замедленного действия. Сегодня нужно переосмыслить процесс использования открытого исходного кода.
Случаи внедрения разработчиками из недружественных стран недокументированных возможностей или добавления механизмов блокировки работы ПО действительно зафиксированы, подтвердили в Национальном координационном центре по компьютерным инцидентам (НКЦКИ).
В качестве первоочередной краткосрочной меры по обеспечению информбезопасности НКЦКИ рекомендовал отключить автоматическое обновление для имеющегося иностранного софта. Правда эксперты предупредили, что в долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей. В результате возникнет угроза компрометации данных, нарушения функционирования оборудования или бизнес-процессов.
Чтобы не допускать инцидентов, по мнению М.Филиппова,
КОМПАНИЯМ НУЖНО ПРАВИЛЬНО ОЦЕНИВАТЬ ИБ-РИСКИ, ПОНИМАТЬ УЯЗВИМОСТИ, ПРОВОДИТЬ ПРАКТИЧЕСКИЕ КИБЕРУЧЕНИЯ, СМОТРЕТЬ НА СЕБЯ ГЛАЗАМИ ХАКЕРОВ, ИМЕТЬ ПЛАН РЕАГИРОВАНИЯ И ИМПЛЕМЕНТАЦИИ ИЗМЕНЕНИЙ
Представитель Positive Technologies призвал к открытости структуры с госучастием, которые сегодня выступают противниками информационного обмена с коллегами о прошедших кибератаках.
Максим Филиппов, Positive Technologies:
– Госорганы боятся «опубличивания» инцидентов даже в кругу компаний индустрии. Хотя в нынешних условиях коллаборация с экспертами, которые сосредоточены на обеспечении безопасности инфраструктуры в киберпространстве, обмен такими данными нужен как воздух.
Нужно также уметь признавать свои ошибки, как это сделал Яндекс после утечки о клиентах в марте. В компании свели к минимуму количество сотрудников, которые имеют доступ к приватным данным. Их перенесли в более защищенное хранилище. В скором времени сервис по доставке еды подключат к инструменту для управления личной информацией: с его помощью можно будет посмотреть, какие сведения собраны о клиентах и при желании удалить их навсегда.