Цифровизации сегодня мешает не только беспрецедентное санкционное давление и проблемы в экономике. Большие сложности создают и киберпреступники, которые в 2022 году более активно атакуют и отдельных граждан, и государственные органы, и бизнес. Эксперты в области информационной безопасности спорят — ведется ли уже кибервойна против нашей страны или к ней еще даже не приступили, но тренд явно наметился.
ИИ начинает и выигрывает
Специалистов по информационной безопасности по-прежнему не хватает, а те, что есть, перегружены работой. К тому же добавил проблем и уход многих зарубежных вендоров с российского рынка. В итоге мы оказались в ситуации, когда защита предприятий и организаций серьезно отстает от уровня средств, используемых киберпреступниками. Отсюда и получается, что, даже если война в киберпространстве и идет, многие отечественные специалисты участвуют не в ней, а в одной из предыдущих.
К тому же зачастую ИБ-специалистам приходится выбирать между цифровизацией и инфобезопасностью — и выбор делается не в пользу последней. Показательна история, которую рассказал заместитель директора ФСТЭК России Виталий Лютиков на одном из последних ИБ-форумов. Его коллеги, приехавшие разбирать один из инцидентов, выяснили, что на все крупное предприятие есть лишь два специалиста. Они и рассказали, что им сейчас некогда заниматься кибербезопасностью, потому что они внедряют искусственный интеллект и надо закончить эти мероприятия, а уж потом можно будет и об обеспечении безопасности подумать. При этом на рабочих местах в компании установлена Windows XP — операционная система, не поддерживаемая вендором с 2014 года.
И хотя история напоминает анекдот, это реальность, в которой страна живет и работает. По оценкам ФСТЭК, около 40% более чем из 500 проверенных организаций за последний год не удосужились даже пароли поменять у привилегированных пользователей, хотя до них были доведены указания, присланы бюллетени и пр. И речь даже не про применение сертифицированных средств или проверки с точки зрения незадекларированных возможностей — все куда проще.
Например, так как один из трендов последнего времени — атаки через подрядчиков, были выпущены соответственные рекомендации. В частности, предлагалось хотя бы определить интерфейсы взаимодействия — но даже тут «результат не очень»: около 50% организаций к этой задаче не приступили. Много говорят и о необходимости защищать периметр организации как важный рубеж защиты — но 34% компаний, по данным ФСТЭК, не нашли возможности в текущих сложных с точки зрения инфобеза условиях провести хотя бы сканирование узлов, чтобы определить уязвимые места.
В первую очередь, по оценкам ФСТЭК, такая ситуация сложилась на промышленных предприятиях, и это характеризует уровень защищенности — вернее, незащищенности. Ведь если в инфраструктуру попадает нарушитель из-за того, что у администратора пароль 12345, это значит, что присутствует неполное осознание важности процесса защиты.
Трансформация угроз
Между тем, ситуация в сфере инфобезопасности далека от благополучной. Заместитель директора Национального координационного центра по компьютерным инцидентам Петр Белов на SOC-форуме рассказал, что в НКЦКИ не поступало обращений по каким-то компьютерным инцидентам, которые привели бы к необратимым ужасным последствиям. Но расслабляться рано.
В НКЦКИ отмечают, что тенденции 2022 года в сфере кибербезопасности начали ярко проявляться сразу после 24 февраля. При этом ландшафт угроз и цели почти не изменились по сравнению с прошлым годом — существенно повысилась интенсивность атак и широта их охвата.
В числе неприятных новинок — массированные атаки на корневые DNS-сервера, отключение провайдеров от крупных магистральных каналов, встраивание вредоносного ПО в элементы веб-страниц и отзыв сертификатов ПО. А также зафиксированы были прекращение функционирования средств защиты информации зарубежных производителей и появление вредоносного ПО в обновлениях как свободно распространяемого софта, так и коммерческого.
DDoS-атаки, по наблюдениям экспертов, в 2022 году характеризовались очень большим количеством участников — живых людей, а не условных холодильников и стиральных машин. В проведении атак были задействованы обычные пользователи со всего мира. Для этого сразу после февраля быстро были созданы Telegram-каналы, где проводилась агитация и инструктажи, координация и целеуказание. Там же распространялись инструменты для проведения атак. «То, что раньше продавалось за деньги, стало массово доступно для широкого круга лиц, — объясняет представитель НКЦКИ ФСБ России Сергей Корелов. — Кроме того, злоумышленники активно обмениваются результатами своей работы, а сами DDoS атаки стали прикрытием для более серьезных действий».
С прицелом на хайп
Еще одно нововведение состоит в том, что злоумышленники стали уделять большое внимание атакам, которые могут иметь общественный резонанс. Отсюда дефейс [тип хакерской атаки, при которой страница веб-сайта заменяется на другую, где может быть размещена реклама, предупреждения, угрозы и т.д. – ред.] СМИ, государственных ведомств, крупных промышленных предприятий, а также фейковые осуждения СВО от лица руководителей компании-владельца сайта. Такие атаки как минимум заставляли топ-менеджмент объясняться, а в некоторых случаях были и имиджевые потери.
Именно публичность инициатив стала в этом году гораздо более значимой, чем годом ранее. Так, немало атак было направлено на проникновение в системы организация для хищений информации и выведения из строя технологических процессов с последующим приданием гласности результатов акции.
Много создается и фейков об утечках, для чего собирается информация из разных ранних утечек и выдается за новую. Нередки случаи, когда кража данных из небольших организаций выдается за утечку из одной из ключевых для страны. У этого есть последствия: на устранение последствий приходится тратить ресурсы, разбираться, не фейк ли это, а аудитория реагирует негативно в отношении пострадавшего.
Ситуация с несанкционированным или неконтролируемым изменением программного кода и деятельностью разработчиков вылилась в целый ряд инцидентов и угроз. Некоторые вендоры заявили о прекращении поддержки продуктов и отзыве лицензий. Но если чаще всего собственники средств защиты просто заявляли о грядущем прекращении поддержки и у пользователей было время для принятия компенсирующих мер, то были случаи, когда решение ночью просто отключалось. Так что устройство или софт превращались в тыкву, а периметр организации рассыпался.
По словам Сергея Корелова, важной тенденцией стали и недружелюбные действия международного ИБ-сообщества. Например, глобальный форум групп реагирования на компьютерные инциденты FIRST приостановил сотрудничество с аналогичным российским центром. Т.е. сейчас речи о реальном создании безопасной ИКТ-среды не идет.
Планы на перестройку
И все же эксперты уверены: страна в целом справилась с кибервызовами, вставшими перед ней. Более того, к позитивным результатам роста числа и масштаба угроз можно отнести то, что и регулятор, и бизнес стали пересматривать подходы к обеспечению информационной безопасности.
По данным опроса одного из крупных российских игроков рынка кибербезопасности, к ноябрю 2022 года 42% российских организаций, в числе которых и госструктуры, и бизнес, пришли к выводу о необходимости перестраивать свою систему киберзащиты. Наиболее сознательными, согласно исследованию, оказались представители госсегмента: здесь доля тех, кто видит такую потребность, составила 61%.
Пересмотр, конечно, будет вынужденным: кроме роста киберугроз на желание изменений повлияли новые регуляторные требования, уход зарубежных вендоров из России и потребность в импортозамещении.
Возможно, усиления защиты отдельных организаций окажется недостаточно — понадобятся какие-то совместные или централизованные действия. Так, заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов в рамках SOС-форума предложил рассмотреть возможность взять на вооружение опыт борьбы с пожарами. В каждой организации есть свои ответственные за соблюдения правил пожарной безопасности, средства защиты и т.д. Но когда масштабный пожар все-таки случается, на помощь приезжает пожарная бригада, которая и занимается тушением.
Применим ли такой механизм к кибербезопасности, пока сказать сложно, но отрадно уже то, что потенциальные изменения рассматриваются, ведь без обеспечения информационной безопасности цифровизация станет невозможной.
Проект реализован на средства гранта Санкт-Петербурга.
