Киберугрозы и бизнес: другая сторона цифровизации

860
7 минут
Киберугрозы и бизнес: другая сторона цифровизации

Киберугрозы обострились из-за пандемии COVID-19, а работа на «удаленке» ставит под удар безопасность данных южных компаний, считает вице-президент Ростелекома по информационной безопасности Игорь Ляпунов. Под прицелом хакеров сразу несколько сфер бизнеса

Мнение составлено на основе выступления вице-президента по информационной безопасности ПАО «Ростелеком», генерального директора «Ростелеком-Солар» Игоря Ляпунова на онлайн-конференции «В сети» 26 ноября.

Удаленные рабочие места — колоссальный источник угрозы

С началом пандемии сотрудники компаний стали переходить на удаленную работу. Это вылилось в предоставление удаленных доступов к базам данных компаний — размывание периметров организаций. Процесс перехода для всех был болезненным, так как все приходилось делать быстро. Безопасность отошла на второй план. Количество атак на информационные системы компании в марте и апреле выросло более чем на 30%.

В большинстве случаев, вопросы кибербезопасности в момент ухода на «удаленку» не решались никак. Компании «сверлили дырки» в своем периметре и предоставляли удаленные доступы. Проблема в том, что люди ушли на «удаленку», как правило, не с корпоративной техникой. Они стали работать на своих домашних компьютерах, с которых качают музыку, заходят в социальные сети, или заходят на сайты, где предлагается скачать контент «бесплатно без регистрации». Такие удаленные рабочие места — колоссальный источник угрозы. Поэтому март, апрель и май для «Ростелекома» стал «высоким сезоном».

В 2019 году было зафиксировано в ЮФО свыше 60 тысяч кибератак. В 2020 — примерно 95 тысяч. При этом 36% всех инцидентов связано с распространением вредоносного ПО. В округе отмечается самый высокий процент заражения вирусным ПО через почтовые рассылки. Около 30% таких случаев связаны с уязвимостями веб-приложений (веб-порталов, электронной почты, интернет-банков, личных кабинетов и т.д.). Прочие инциденты — взлом учетных записей системных администраторов, DDoS, «эксплуатация» известных уязвимостей.

Почему атаки на бизнес участились

Пандемия коронавируса сыграла на руку ИТ-отрасли — продвинула цифровизацию бизнеса на пять-шесть лет вперед: сработала как машина времени. То, что произошло за несколько месяцев, в обычной жизни развивалось бы несколько лет. Речь идет о цифровых бизнесах, которые за две недели доказали свою эффективность и больших проектах цифровизации в организациях.

В цифровизации видят ключ к преодолении турбулентностей в экономике, вызовов пандемии. Но здесь есть обратная сторона — угроза кибербезопасности. Информатизация глубже проникает внутрь организации. Это уже не просто автоматизация бухгалтерии, а цифровизация управления производством, бизнесом, отношений с клиентами. Формируется зависимость от цифровых технологий и, как следствие, на другой уровень выходит потенциальный ущерб бизнесу от инцидентов нарушений в работе и кибератак.

Кто «охотится» на бизнес в сети

Сейчас кибербезопасность — это одно из самых быстрорастущих бизнес-направлений в «Ростелекоме». За последний год изменился профиль, ландшафт киберугроз.

За ними стоят финансово мотивированные группировки. Там нет места «одиночкам», это уже сформированный, работающий, отлаженный механизм, реализующий кибератаки и на этом зарабатывающий.

Можно выделить несколько типов угроз и атакующих группировок.

Самые простые угрозы связаны с всевозможными автоматическими атаками — ботами. Пример — Wannacry, который атаковал в 2017 году. В их основе автоматические сканеры, которые «перебирают» интернет, взламывают незащищенные узлы, берут их под контроль, присоединяя к своим бот-сетям. Сюда же относятся и массовые фишинговые рассылки, постоянные сканирования и «обстукивания».

Есть «одиночки-энтузиасты» — киберхулиганы, — среди которых много молодежи. Молодые люди легко находят в интернете качественный и бесплатный инструментарий и пробуют это применять.

Иногда атаками занимаются и группировки хакеров. Их жертвами, как правило, становятся финансовые организации. Сейчас много атак идет на e-commerce, всевозможные программы лояльности у ритейлеров. Туда, где денег нет, эти группировки не идут. Они уже используют коммерческий инструментарий, иногда заказывают «под себя» специальные инструменты для атак.

Конечно, банки этому принципу следуют: у тебя защищенность должна быть выше, чем «средняя по больнице». Тогда злоумышленники из этой категории идут кратчайшим путем и выбирают наиболее незащищенных жертв.

Есть и другие группировки. Их цель — критическая информационная инфраструктура.

Когда мы говорим об атаках на электроэнергетику или систему госуправления, там никакой монетизации быть не может. Есть основания полагать, что это прогосударственные группировки, действующие в политических целях. Они атакуют критические информационные инфраструктуры, системы жизнеобеспечения и государственные системы.

Цели у них, как правило, две: кибершпионаж и получение точки присутствия в информационной системе для потенциального воздействия, вывода ее из строя в «час икс».

Новая арена киберборьбы

Конечно, они применяют продвинутый инструментарий: он не обнаруживается, не детектируется никакими средствами защиты — это специально написанное программное обеспечение, различные бесфайловые вирусы. Когда они проникают внутрь информационной системы, они действуют очень скрыто. Когда их начинают исследовать специалисты, они саморазрушаются.

Стоимость одной такой атаки может достигать полутора миллиона долларов с учетом стоимости оборудовании. Здесь мы перешли в плоскость национальной безопасности. В пример можно привести ситуацию в Белоруссии. Политическое противостояние после выборов президента там сопровождалось серьезными атаками на государственные информационные системы и правительственные сайты.

Возьмем вторую историю этого года — это Армения и Азербайджан — вооруженный конфликт, который также сопровождался кибератаками на государственные инфраструктуры.

Сейчас эти кибергруппировки серьезно эволюционируют, они профессиональные, вовлекают много молодежи. Молодые люди «заряжены», им интересно, но они не всегда понимают и знают, кто их работодатель. Для нас это сейчас серьезная проблема.

Статистика, которую мы сейчас видим по заказчикам ЮФО, отражает общий ландшафт угроз. В целом по России мы наблюдаем рост кибератак. В 80% случаев заказчики имеют базовые уязвимости — вовремя не устанавливают обновления и тем самым легко подвергаются атакам группировок начальной квалификации.

Малый бизнес «перестреливается» Ddos-ами

Количество Ddos-атак растет на Северном Кавказе. Это самая дешевая атака, стоимостью от 100 долларов, мощные можно купить за 1,5 тыс долларов. В мелком онлайн-бизнесе такие атаки стали инструментом конкуренции.

Возьмем для примера цветочные онлайн-магазины. Рынок локальный, но у него жесточайшая конкуренция! Они борются «ни на жизнь» за первые места в выдаче в поисковых системах и посылают друг на друга эти атаки в пики продаж. Битвы разгораются в «хлебные дни»: 8 марта, 1 сентября и другие праздники. Купить Ddos-атаку которая «уложит» интернет-магазин на три дня можно дешево: хватит 10 тысяч рублей. Одна из крупнейших Ddos-атак, которую мы зафиксировали в конце прошлого года — громадная 400-гигабитная атака на одну из компаний. Произошла она как раз на Северном Кавказе.

Как защищаться?

Ставить антивирус на рабочую станцию — это то малое, что следует делать. Пароли должны быть сложными. Не страшно, если вы придумаете сложный пароль и запишете у себя на бумажке. Лишь бы не писали в заметках в телефоне. Менять пароли нужно раз в полгода — год. Пароли должны быть разные.

Также необходимо вовремя устанавливать обновления. Посмотрите, сколько обновлений у вас сейчас не установлено на телефоне. Если больше десяти, то вы не в безопасности. Ставить нужно обновления на телефон на все программы.

Однако для квалифицированного ответа на современные угрозы одного индивидуального умения недостаточно. Это задача государственного уровня. Поэтому в сентябре этого года в России создан специальный киберполигон стоимостью 364 млн рублей. Это один из крупнейших проектов по информационной безопасности, реализуемых в рамках Национальной программы «Цифровая экономика» в 2020 году. Задача по его созданию возложена на Ростелеком.

Создание киберполигона поможет существенно сократить время и затраты на планирование и подготовку киберучений. Это платформа для проведения тренировок по информационной безопасности разного формата. Полигон предоставляет эмуляцию бизнес-процессов и информационной инфраструктуры типовых организаций различных отраслей (кредитно-финансового сектора, промышленности, энергетики, транспорта, связи). Участникам киберучений предоставляются технологии и инструменты для получения и отработки практических навыков по защите от кибератак.

Подпишитесь на каналы «Эксперта Юг», в которых Вам удобнее нас находить и проще общаться: наша группа в Facebook, формат «без галстука» в канале Telegram, наш канал на Youtube, наш Instagram, наш Яндекс.Дзен.