Объекты КИИ оказались под ударом

За 2020 г. центр мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком-Солар" зафиксировал более 200 хакерских атак со стороны профессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и сектора экономики. Примерно в 30 случаях за атаками стояли злоумышленники наиболее высокого уровня подготовки и квалификации - кибернаемники и кибергруппировки, преследующие интересы иностранных государств. В числе наиболее частых целей - объекты критической информационной инфраструктуры России.

Как отмечают эксперты Solar JSOC, целью наиболее профессиональных хакерских группировок обычно являются деструктивные воздействия и кибершпионаж. Ущерб от атак такого класса измеряется не только финансовыми потерями, но и влиянием на экономику страны в целом, безопасность жизнедеятельности граждан и политическую ситуацию. Только сопутствующий ущерб от компрометации инфраструктуры, такой как кража персональных данных сотрудников и клиентов, регуляторные и репутационные риски, возможности развития новых атак, в случае успеха киберпреступников, мог бы достичь десятков миллионов рублей. Совокупный ущерб от полномасштабной реализации такого рода атаки составил бы несколько миллиардов рублей.

Слабый уровень защищенности веб-приложений на объектах критической информационной инфраструктуры (КИИ) и в органах государственной власти способствовал тому, что этот вектор атак стал наиболее популярным у злоумышленников в 2020 г. В 45% случаев хакеры атаковали именно веб-приложения, еще в 35% использовали известные и незакрытые уязвимости периметра организаций.

После проникновения в инфраструктуру киберпреступники пытались получить доступ к конфиденциальной информации организации за счет доступа к почтовым серверам (85% случаев) и рабочим компьютерам первых лиц, их заместителей и секретарей (70%). Параллельно киберпреступники стремились захватить максимальный контроль над инфраструктурой, атакуя рабочие станции ИТ-администраторов с высоким уровнем привилегий (80% случаев) и системы ИТ-управления инфраструктурой (75%). При этом чаще всего использовалось ПО, направленное на сокрытие атаки от стандартных средств защиты, в 20% атак хакеры также применяли легитимные корпоративные или свободно распространяемые утилиты, маскируясь под действия администраторов и пользователей.

Основным оружием киберкриминала остается фишинг, успешно реализуемый благодаря низкому уровню грамотности сотрудников компаний в области информационной безопасности. В 74% злоумышленники пользовались этим, применяя для проникновения в инфраструктуру социальную инженерию. Для заражения рабочих станций и дальнейшего развития атаки кибергруппировки использовали массово доступное в даркнете вредоносное ПО (40% случаев), а также ПО для ИТ-администрирования и проведения анализа защищенности (40%).

По данным исследования Group-IB, в 2020 г. также резко увеличилось количество киберугроз. Произошел стремительный рост компьютерной преступности, в первую очередь финансовых мошенничеств с использованием социальной инженерии (см. новость ComNews от 2 ноября 2020 г.).

Group-IB также представила результаты своего мониторинга ситуации с глобальной киберпреступностью по итогам второго полугодия 2019 г. и первой половины 2020 г. Главные итоги состоят в том, что наибольший финансовый ущерб зафиксирован вследствие атак вирусов-шифровальщиков. Переживает расцвет рынок продажи доступа в скомпрометированные сети компаний. Более чем в два раза вырос объем рынка по продаже данных краденых банковских карт. Появились новые проправительственные хакерские группы, в том числе возобновили атакующие действия те из них, которые считались сошедшими со сцены (см. новость ComNews от 26 ноября 2020 г.).

"Набирает силу тренд так называемых атак supply chain на органы госвласти и ключевые предприятия России. То есть злоумышленники все чаще атакуют не саму организацию напрямую, а действуют через ее подрядчика, который меньше заботится об информационной безопасности и при этом имеет доступ к инфраструктуре конечной цели атаки. Поэтому очень важно обращать внимание на уровень защищенности подрядных организаций и выстраивать максимально безопасный способ их доступа в инфраструктуру", - рассказал директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков.

Руководитель департамента системных решений Group-IB Станислав Фесенко утверждает, что технологически организации - владельцы КИИ нередко отстают от других сфер рынка (финансовый сектор, ретейл и т.д.) в части используемых средств защиты от киберугроз. По его словам, бюджетные учреждения и компании с госучастием не всегда могут выделить на это необходимый объем инвестиций. Нельзя также сбрасывать со счетов долгие процедуры бюджетирования, проведение сложных отборов конкретных решений и длинных конкурсов. В результате при крайне динамичном развитии киберпреступности объекты КИИ зачастую не могут использовать актуальные технологии защиты от нее.

Станислав Фесенко считает, что объекты КИИ должны сменить устаревшую парадигму кибербезопасности, взяв вектор на построение умных технологических экосистем, способных полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и немедленного реагирования на инцидент.

По мнению Станислава Фесенко, продукты ИБ в России - одни из лучших на мировом рынке и вполне способны конкурировать с западными аналогами в качестве выявления угроз и реагирования на компьютерные атаки.

Технический директор Check Point Software Technologies в России Никита Дуров рассказывает, что за последние полгода компании в России подвергались кибератакам примерно 689 раз в неделю, в то время как по всему миру среднее количество атак на организацию составило 503 раза. При этом, по словам Никиты Дурова, в России число атак снижается: в августе-январе в среднем происходило 893 атаки в неделю. Чаще всего, в 87% случаев, атаки происходили по электронной почте.

"Можно предположить, что теперь хакеры переключили внимание с организаций на рядовых пользователей, которые по-прежнему работают из дома. Так как далеко не все компании смогли обеспечить надежную корпоративную защиту своим сотрудникам и многие работают с личных устройств без защитных решений, то они достаточно уязвимы, а значит, злоумышленникам через них будет легче проникнуть в сеть компании", - говорит Никита Дуров.

"Все современные информационные системы находятся под постоянным риском взлома, так как навыки злоумышленников улучшаются, а системы защиты устаревают. Далеко не всегда предприятия могут позволить себе использовать самые современные и лучшие решения и оптимально их применять. При этом информационные технологии идут вперед семимильными шагами, и попытки сдержать прогресс приведут в будущем к убыткам из-за неэффективности используемых инфраструктур. Компромиссом может быть эшелонированная защита, использующая продукты и технологии разных поколений, чьи объединенные возможности позволят динамично развивать существующие информационные системы, не подвергая риску самые ценные цифровые активы предприятия", - отмечает технический директор Trend Micro в России и СНГ Михаил Кондрашин.

Директор департамента информационной безопасности компании Oberon Евгений Суханов считает, что рост количества событий кибербезопасности актуален для всех направлений. "Владельцем КИИ в России в основном является госсектор. Поэтому сроки реализации проектов, бюджетирования, закупок, внедрения больших систем защиты тут больше, чем в коммерческом секторе. Это обусловлено требованиями законодательства, закупочными процедурами и масштабами сферы. Тем не менее в своем портфеле клиентов мы видим ежегодный рост потребности не только в "минимально требуемом" уровне безопасности КИИ, согласно нормам федерального закона, но и в дополнительных возможностях по киберзащищенности", - сообщает Евгений Суханов. По его словам, российские средства защиты играют не последнюю роль в комплексе организационно-технических мер. Однако в стратегии важна эшелонированность и мультивендорные решения, поскольку совершенной защиты и лекарства "от всего" не существует ни у одного производителя.

Генеральный директор ООО "Доктор Веб" Борис Шаров подчеркивает, что обилие атак не дает основания говорить о том, что КИИ плохо защищена. В качестве мер защиты Борис Шаров рекомендует не стараться сэкономить там, где необходимо потратить определенные средства для полноценной защиты информационных систем, а также постоянно подвергать сомнению уровень своей защищенности, стараться найти изъяны в системе до того, как их найдут злоумышленники.

Директор по развитию продуктов InfoWatch ARMA Игорь Душа объясняет, что объектами КИИ являются предприятия с крайне разным уровнем защищенности. Например, банки и государственные системы защищены гораздо лучше, чем промышленные объекты и объекты в сфере здравоохранения. "Что касается, например, промышленных объектов, то они ранее не защищались по причине нераспространенности атак и неосведомленности об актуальности такой задачи. Данная сфера начала активно развиваться лишь в 2016-2018 гг.", - говорит Игорь Душа.

В 2021 г. он ожидает конструктивное развитие ситуации. "Это произойдет по двум причинам. Первая - государственные инициативы, ФЗ-187, приказы ФСТЭК уже стали мощным драйвером развития сферы безопасности. Вторая - это рост зрелости, который происходит в службах ИБ АСУ ТП. Руководители задумываются о модернизации системы защиты информации, и, главное, многие готовы переходить на уровень активной защиты, а не простого мониторинга и наблюдения за ИБ", - рассказал Игорь Душа.

По его словам, основная проблема иностранных средств в том, что нет возможности точно определить наличие в них закладок и каналов управления. В то же время отечественные аналоги должны быть не хуже зарубежных. Поэтому защищенность действительно может быть повышена при грамотном выборе решений и их аккуратном и плановом внедрении.

Заместитель директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Павел Кузнецов считает, что высокая доля именно атак на объекты КИИ среди всех атак на российские компании, в первую очередь связана с повышением уровня информатизации российского бизнеса и государственных структур. Причем самые большие темпы развития цифровизации демонстрируют как раз наиболее крупные структуры, в первую очередь подпадающие под классификацию критических активов.

По словам Павла Кузнецова, наименее защищены, как правило, те объекты КИИ, на которых исторически информационные технологии не являлись значимой частью их обычной операционной деятельности. "То есть те, которые не успели "набить шишки" одновременно с цифровыми гигантами и кому приходится получать свой опыт, зачастую болезненный, только сейчас. Однако в целом я смотрю на тенденции позитивно: регуляторы в сферах связи, информационной и экономической безопасности сейчас стараются чутко прислушиваться к мнению отраслевых экспертов. В результате все объекты КИИ получают методическую, информационную и организационную поддержку, достаточную для повышения уровня защищенности в разумные сроки", - объяснил Павел Кузнецов.

Технический директор ESET в России и СНГ Виталий Земских считает, что причина слабой защищенности КИИ заключается во многих факторах, варьирующихся для разных отраслей и объектов. "Первый и общий - требование об установке сертифицированных средств защиты информации. Требование логичное и справедливое, практическая реализация вызывает ряд вопросов. Чтобы пройти все бюрократические и технические процедуры и сертифицировать продукт, нужно около года. Изменения ландшафта угроз за год таковы, что версия продукта, заявленная на сертификацию, на момент получения всех разрешительных документов устаревает и для квалифицированных атакующих не составит труда проникнуть в инфраструктуру. Кроме того, стоит учитывать, что далеко не во всех организациях система безопасности отвечает современным требованиям - нет продуктов для защиты рабочих станций, нет выделенных сотрудников, отвечающих за ИБ, нет защиты периметра", - рассказал Виталий Земских.