Анастасия Башкатова
Руководитель Минцифры Максут Шадаев возлагает большие надежды на кооперацию искусственного интеллекта с сервисом «Госуслуг». Фото РИА Новости
Россия в списке наиболее приоритетных целей для киберпреступников: примерно каждая шестая успешная кибератака в мире приходится именно на нашу страну – на российские предприятия, ставшие жертвами взлома. По прогнозам представителей отрасли информационной безопасности (ИБ), в следующем году число успешных кибератак на российские организации на треть превысит показатель этого года. Причины – геополитическая напряженность и дальнейшая цифровизация внутри РФ. Под особой угрозой госсектор: как сообщают IT-специалисты, он не в первый раз подвергается результативным проникновениям хакеров из других стран.
«Аффилированные с иностранной разведкой киберзлоумышленники стремятся заполучить информацию о планах и решениях России по глобальным вопросам», – предупредили эксперты компании Positive Technologies в новом обзоре.
По их данным, Россия входит в число наиболее приоритетных целей киберпреступников: с июля 2024-го по сентябрь 2025 года на нее пришлось от 14% до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ.
Картину киберугроз значительно определяет роль России на мировой политической арене. Помимо этого Россия представляет особый интерес для киберпреступников в силу своего энергетического и промышленного потенциала.
Но даже при снижении геополитического накала опасность для России никуда не исчезнет, ведь останутся финансово мотивированные киберпреступники: они и без политических установок все равно будут рассматривать российские предприятия и организации в качестве перспективных жертв.
Таков контекст, в котором существует российская экономика и в котором явные успехи страны в вопросах цифровизации промышленных и бизнес-процессов, а также государственных услуг становятся в определенном смысле и рисками.
И особенно серьезными эти риски становятся тогда, когда нередко показная цифровизация на практике сопровождается нехваткой квалифицированных специалистов и отсутствием эффективной системы киберзащиты персональных данных и той цифровой инфраструктуры, с которой взаимодействуют учреждения всех уровней – от районного детского сада до федерального ведомства.
По прогнозу Positive Technologies, в 2026 году число успешных атак на российские организации может превысить показатель этого года на 30–35%. По количеству результативных атак в России сейчас лидируют промышленные предприятия и госучреждения.
«В 2026 году ситуация не изменится даже в случае урегулирования острых геополитических вопросов, – считают авторы обзора. – Российские IT-сектор и телеком также останутся одними из самых частых мишеней злоумышленников».
«Госсектор под угрозой, есть жертвы», – сообщили также специалисты центра исследования киберугроз Solar 4RAYS. Они выявили неизвестную ранее хакерскую «восточно-азиатскую группировку», атаковавшую в России федеральное ведомство – атаковавшую, надо отметить, успешно. «Хакеры смогли проникнуть в инфраструктуру жертвы и выполнить команды в операционной системе сервера», – сообщается в опубликованном по итогам проведенного анализа пресс-релизе (проблема на текущий момент уже решена).
На то, что это была группировка именно из Восточной Азии, указывают запросы хакеров к веб-серверу из данного региона и ряд других косвенных признаков: например, время начала атак: четыре утра по московскому времени, когда начинается рабочий день в регионе.
Сообщается, что, судя по результатам расследования, атака началась еще в декабре 2024 года. На протяжении нескольких дней хакеры интенсивно сканировали онлайн-ресурс на предмет различных уязвимостей, в определенные моменты нагрузка на систему измерялась тысячами запросов в час. Еще спустя несколько недель злоумышленники перешли на ручное сканирование уязвимостей.
В ходе различных манипуляций взломав веб-приложение ведомства, злоумышленники смогли внедрить вредоносное программное обеспечение и получить доступ к инфраструктуре организации.
|
|
Для многих кибермошенников атаки на государственные учреждения – их основной хлеб. Фото Reuters |
У ведомства была определенная система киберзащиты, но она не остановила продвижение атакующих, хотя и замедлила их работу, а также сигнализировала о возможном проникновении. «Это говорит о необходимости комплексного подхода к внедрению средств защиты и ручного анализа аномальных ИБ-событий высококвалифицированными экспертами», – считают авторы исследования.
Кроме того, по их данным, атакующие обменивались информацией об уязвимостях с другими схожимыми группировками и пытались применить опробованные ими методы взлома к веб-приложениям других организаций из госсектора РФ.
Напомним, судя по выводам IT-аналитиков, в российской практике уже есть примеры, когда кибервзломщики могли годами оставаться незамеченными в той цифровой инфраструктуре, с которой активно взаимодействуют подрядчики госорганов либо сами госорганы.
В частности, эксперты Solar 4RAYS в прошлом году сообщили об обнаружении уникального вредоносного программного обеспечения, получившего название GoblinRAT: вредонос долгое время мимикрировал под легальное программное окружение зараженной системы и скрытно сканировал все внутренние информационные потоки с сомнительными целями.
Как затем показал анализ, самые ранние следы этого заражения датировались 2020 годом. Однако первые намеки на подозрительную активность сотрудники зараженной организации зафиксировали лишь в 2023 году (см. «НГ» от 10.11.24).
Опрошенные «НГ» эксперты подтверждают: кибератаки на госструктуры происходят в России регулярно, и некоторые из них действительно оказываются успешными.
«Главная причина – сложность инфраструктуры и наличие устаревших систем, которые не всегда вовремя обновляются», – пояснил ведущий инженер компании CorpSoft24 Михаил Сергеев. По его словам, хакеры чаще всего пытаются получить доступ к данным граждан или к внутренним документам, чтобы использовать их в политических или экономических целях.
«Госсектор традиционно привлекает внимание киберпреступников, ведь такие организации владеют ценной информацией: персональными данными пользователей, их платежной информацией, сведениями о состоянии здоровья, кредитной историей», – перечислил представитель пресс-службы компании RooX.
Для многих кибермошенников атаки на такие учреждения – «основной хлеб»: они долго разрабатывают отдельных сотрудников с целью воздействовать на них, обмануть и завладеть доступом к системам, содержащим любую потенциально интересную информацию.
«В нашей практике мы чаще всего сталкиваемся с атаками проукраинских группировок и группировок из Восточной Азии, – сообщил «НГ» руководитель направления по расследованию инцидентов центра Solar 4RAYS Геннадий Сазонов. – Азиатские атакующие в основном нацелены на шпионаж: они ориентированы на длительное и незаметное присутствие в атакованных инфраструктурах. Цели проукраинских группировок помимо шпионажа включают нанесение ущерба: это удаление данных, остановка бизнес-операций. Также их цель – вымогательство».
Эксперты отметили, что если не брать все случаи, предполагающие политические и идеологические мотивы, киберпреступники прежде всего пытаются монетизировать украденные ими данные: продать в даркнете или использовать для вымогательства.
Один из ключевых вопросов, возникающих на этом фоне: в каком случае уязвимость перед кибератаками выше – когда вся информация о гражданах, бизнесе и государственных структурах аккумулируется в одном месте по типу «Госуслуг» или когда эта информация находится в разрозненном виде у разных ведомств в многочисленных базах?
«Когда все данные хранятся в одном месте, как в «Госуслугах», удобно работать, но и риск выше: если хакеры туда пробьются, они получат все и сразу. Однако сделать это по факту не так просто, ведь подобные сервисы очень сильно защищены. Если же информация распределена по разным базам и ведомствам, взлом одной системы не даст злоумышленникам полного доступа, но при такой схеме сложнее контролировать актуальность и защиту данных на каждом уровне», – пояснил Сергеев.
По его оценкам, наилучший вариант – «комбинированный подход: централизованный доступ при распределенном хранении и строгой сегментации сетей; тогда даже при атаке потери будут минимальны».
«Дело не в способе хранения данных, а в том, какие меры защиты к ним применены, – отметил Сазонов. – Если они адекватны рискам, то по большому счету нет разницы, распределены сведения по разным базам данных или нет».
Кроме того, по его уточнению, как правило, к тем узлам, сегментам и сервисам, которые аккумулируют данные из других источников, применяются крайне высокие требования обеспечения информационной безопасности, поэтому добраться до них не так просто.
Вопреки всем угрозам, в российском правительстве сейчас строят все более амбициозные планы по поводу работы сервиса «Госуслуг».
Как сообщил в среду, 8 октября, глава Минцифры Максут Шадаев, министерство изучает возможность создания национального ИИ-агента на базе «Госуслуг».
ИИ-агенты – это умные онлайн-системы, использующие искусственный интеллект, нейросети: цифровые помощники, исполнители заданий. Например, гипотетически ИИ-агент мог бы выполнять без участия человека такие многоэтапные задачи, как запись к врачу, бронирование столика в ресторане, покупка товаров онлайн.
