Анастасия Башкатова Почти две трети атак на российскую промышленность приводят к утечкам конфиденциальных данных, выяснили специалисты информационной безопасности (ИБ). Утекают не только персональные сведения, но и те инженерные данные, от которых зависят бесперебойность производства, конкурентоспособность бизнеса и даже технологический суверенитет. Однако о киберинцидентах готовы открыто говорить в лучшем случае 40% атакованных предприятий. Разработчики отечественного программного обеспечения (ПО), устанавливаемого организациями, тоже, по экспертным оценкам, сообщают не обо всех уязвимостях.
Промышленность вместе с госсектором и такими отраслями массового спроса, как торговля и транспорт, стабильно попадает в перечень самых атакуемых хакерами сфер в России.
При этом несмотря на тот урон, который наносится утечками персональных данных репутации организаций и финансовой устойчивости конкретных семей, все-таки не они создают самую серьезную угрозу для функционирования отраслей экономики.
Еще более опасной проблемой становится утечка инженерных данных – технической информации, которая касается проектирования, разработки и производства различных изделий или систем в зависимости от профиля предприятия. Обсуждению этой проблемы была посвящена панельная сессия прошедшего в Москве инженерного форума «Сила платформы».
Как пояснил, выступая на форуме, руководитель развития бизнеса по защите данных компании Positive Technologies Виктор Рыжков, когда речь идет об атаках киберзлоумышленников на промышленный сектор, то в первую очередь имеется в виду кибершпионаж – нападения организованных, часто высокопрофессиональных хакерских группировок, приводящие к утечкам.
Сейчас 61% всех кибератак на отечественную промышленность приводят к утечкам конфиденциальной информации, сообщил Рыжков. Затем следы этих утечек ИБ-специалисты находят в темном сегменте интернета – дарквебе.
|
|
Российская промышленность в списке главных жертв киберпреступников. Их основная цель – шпионаж, кража данных. Также сильны финансовая мотивация (продажа данных, вымогательство) и хактивизм (взлом по идеологическим причинам). Источник: презентация компании Positive Technologies на форуме «Сила платформы» |
В Positive Technologies выяснили, что в 69% кибератак применялись методы социальной инженерии, и чаще всего это были фишинговые рассылки. То есть ставка делалась на человеческий фактор, на недостаточную цифровую гигиену сотрудников, которым предлагалось перейти по зловредным ссылкам или открыть зараженные файлы. Причем такие файлы могли имитировать важную внутреннюю документацию.
В 79% случаев в цифровую инфраструктуру предприятий специально внедрялось вредоносное ПО для удаленного управления и шифрования. В 27% случаев хакеры эксплуатировали уязвимости уже установленного на предприятии ПО, например если оно было устаревшим и с брешами. А в 13% атак киберзлоумышленникам удавалось в ходе особых манипуляций извлечь для себя выгоду из вполне обычных функций легального качественного ПО, которые, однако, тоже таили в себе риски удаленного доступа.
Главная развилка, на которой сейчас оказались российские промышленные предприятия, – с каким инженерным программным обеспечением им работать: с иностранным (массовая практика до санкций) или с отечественным (при его наличии)?
Судя по презентации Рыжкова, проблемы будут и в том и другом случае. Сейчас как раз из-за санкций иностранное ПО в основном больше не обновляется, а значит, оно не получает необходимых исправлений, учитывающих новые киберуязвимости. Это явный риск.
Другой не меньший риск – использование пиратских версий иностранного ПО, полученных по серым схемам: нет никаких гарантий, что там не окажется скрытых, недекларируемых возможностей для проникновения. «Наоборот, мы наблюдаем, что часто в пиратском ПО действительно есть каналы утечки данных», – сообщил Рыжков.
Лучшим решением в такой ситуации кажется импортозамещение ПО, тем более к нему при поддержке государства подключается все больше российских разработчиков. Но эксперт призвал не идеализировать даже отечественные решения и сохранять здоровый скепсис при выборе новых вендоров, анализировать рынок и разные предложения.
Главный риск отечественного ПО – «сложность с доказуемостью безопасности», считает Рыжков. Ведь разработчики и поставщики могут не сообщать обо всех уязвимостях своих цифровых продуктов, чтобы не терять нишу на рынке.
В вероятности такого сценария ИБ-специалистов убеждает тот факт, что и сами предприятия, которые подвергаются успешным кибератакам, тоже в большинстве своем стараются об этом открыто не говорить, чтобы не запятнать репутацию.
Так, по данным другого исследования, проведенного экспертами компании «Инфосистемы Джет», лишь 40% организаций готовы публично рассказывать о произошедших инцидентах. Соответственно 60% стараются об этом молчать, по факту затрудняя формирование прозрачной и зрелой культуры киберустойчивости в масштабах всей экономики.
Хотя предприятиям уже сейчас нужно готовиться не только к кибератакам, чтобы им противостоять, но и к оперативной ликвидации негативных последствий успешного взлома, ведь всегда есть опасность, что не все атаки получится отразить.
По экспертным оценкам, теперь именно инциденты, связанные с информационной безопасностью, и масштабные IT-сбои стали основными причинами прерывания бизнес-процессов. Тогда как классические риски в виде природных катаклизмов, техногенных аварий и эпидемий отошли на второй план.
Несмотря на это, более 50% компаний возлагают ответственность за непрерывность бизнес-процессов исключительно на IT-отдел, не считая это системной задачей, и лишь 20% имеют согласованный со всеми подразделениями план восстановления IT-инфраструктуры в случае разрушительной киберагрессии.
После успешных хакерских атак почти никогда не удается восстановиться с первого раза, если это не отрабатывалось на практике. «Устойчивые организации – это те, кто хотя бы раз отрепетировал катастрофу: провел учения, смоделировал атаку, проверил коммуникации и распределение ролей. Однако самое важное – вовлеченность всей компании», – пояснил директор ИБ-центра «Инфосистемы Джет» Андрей Янкин.
По его словам, киберустойчивость невозможна, если в ее поддержании участвует только служба информационной безопасности. На самом деле IT-отдел, бизнес, финансовый отдел, отдел кадров – все должны понимать, что в кризисной ситуации они не наблюдатели, а часть единой команды по спасению.
В то же время у обозначенной проблемы есть еще одно измерение. При всей обоснованности опасений, возникающих из-за циркулирующих в дарквебе заявлений хакеров об инициированных ими взломах и утечках, стоит помнить, что сами хакеры тоже могут манипулировать информационным полем, чтобы доказать свой «профессионализм» либо посеять панику.
На такой аспект обратили внимание эксперты центра мониторинга внешних цифровых угроз компании Solar Aura. Они привели пример: «С начала года в сети было опубликовано несколько баз данных госорганов, однако после проверки выяснилось, что утечки оказались фейковыми и представляли собой компиляцию данных из множества источников за последние несколько лет».
Иногда для атакующей стороны важнее не утечка как таковая, а тот эффект, который может произвести в обществе новость о якобы случившейся утечке. Особенно это актуально для заявлений проукраинских хакеров в условиях сегодняшней информационной войны. «Именно поэтому каждое сообщение об утечке требует тщательного анализа и проверки на достоверность», – пояснил директор по развитию центра мониторинга внешних цифровых угроз Solar Aura Александр Вураско.
Такие наблюдения, однако, вовсе не должны быть поводом расслабиться при выстраивании киберзащиты предприятий и отраслей. Как пояснили IT-эксперты, для снижения уровня угрозы необходим консолидированный подход к формированию единой стратегии по защите со стороны государства, бизнеса и самих ИБ-компаний.
