Киберудар по бизнесу

Алексей Грамматчиков
обозреватель «Монокль»
19 июня 2017, 00:00

Волна мировой киберпреступности, накрывшая мир в последние месяцы, с новой силой заставила говорить о поиске путей защиты от киберугроз, которые обрушиваются в первую очередь на представителей бизнеса

ТАСС
Читайте Monocle.ru в

Волна мировой киберпреступности, накрывшая мир в последние месяцы, с новой силой заставила говорить о поиске путей защиты от киберугроз, которые обрушиваются в первую очередь на представителей бизнеса Новый виток развития киберпреступности, который мы наблюдаем в последнее время, в первую очередь затрагивает представителей бизнеса. Специалисты по информационной безопасности (ИБ) констатируют, что сплоченные и разветвленные мощные преступные виртуальные синдикаты ставят перед собой задачу атаковать в первые очередь организации, где есть чем поживиться. Преступники понимают, что у рядового пользователя можно украсть со счета максимум сотню-другую тысяч рублей, в то время как, например, при атаке на финансовую организацию добыча может составлять миллионы долларов. «Если говорить о российских происшествиях за последний год, то к самым значительным киберпреступлениям в России можно отнести утечку информации о 57 миллионах пользователей Mail.ru. Еще один значимый инцидент связан с кражей более ста миллионов рублей у одного из российских банков. Атаке подвергся филиал регионального банка, и злоумышленники вывели все средства, которые были в этом филиале. Источники сообщили, что Банк России зафиксировал факт атаки и делом занимаются правоохранительные органы», — говорит Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв».

Страдают все

Статистика компаний, занимающихся кибербезопасностью, неутешительна: за последний год жертвой того или иного киберинцидента стала практически каждая российская организация. Это, например, выяснило исследование «Информационная безопасность бизнеса», которое «Лаборатория Касперского» провела совместно с международной компанией B2B International в виде опроса более четырех тысяч ИТ-специалистов из 25 стран, включая Россию. В частности, большинство опрошенных заявили, что их компания в прошлом году пострадала от неправомерного использования ИТ-ресурсов сотрудниками либо от проникновения в корпоративные сети вредоносного ПО, что привело к снижению производительности бизнеса.

Примечательно, что, по данным «Лаборатории Касперского», ущерб от одного инцидента информационной безопасности для крупных российских компаний составляет в среднем 11 млн рублей, а для сектора среднего и малого бизнеса — 1,6 млн. Чтобы вычислить сумму ущерба, устроители исследования попросили организации оценить потери, понесенные ими в результате наиболее серьезного приключавшегося с ними киберинцидента. Компании оценивали объем прибыли, который они теряют в результате упущенных сделок, а также суммы, затрачиваемые на борьбу с последствиями кибератак. В них входят в том числе траты на выплату сверхурочных, улучшение системы безопасности, привлечение специалистов со стороны, наем новых штатных сотрудников и организацию тренингов по информационной безопасности, а также на дополнительную PR-активность, вызванную необходимостью исправлять репутацию компании. Выяснилось, что крупные организации в среднем тратят 1,2 млн рублей на услуги внешних экспертов и 726 тыс. рублей на обучение сотрудников тому, как в будущем не допустить подобных атак. А для небольших компаний эти показатели составляют 164 тыс. и 102 тыс. рублей соответственно. «К сожалению, ситуация в российской экономике остается достаточно сложной. Но решения по информационной безопасности всегда были востребованы на рынке, — рассказал “Эксперту” Сергей Земков, управляющий директор “Лаборатории Касперского” в России и странах СНГ. — Бюджеты крупных клиентов, прежде всего государственных заказчиков, стабилизировались после снижения в кризис, но очень сложная ситуация сохраняется в сегменте малого и среднего бизнеса, где основной задачей сейчас является простое выживание. Инвестировать средства в ИБ в этом сегменте готовы немногие. Но при этом появились новые ниши, которые традиционно были заняты иностранными решениями, а сейчас замещаются российскими продуктами».

Трояны, вымогатели и другие

Разновидность технологий кибератак на предприятия множатся в геометрической прогрессии. Например, представители международной компании Check Point заявляют, что только за последний год произошло девятикратное увеличение количества неизвестных программ, атакующих организации. Согласно статистике, сейчас сотрудники антивирусных компаний по всему миру каждые четыре секунды скачивают новые неизвестные зловредные программы, а каждый месяц специалисты обнаруживают почти 12 млн новых вариантов вредоносных программ. При этом за последние два года число таких находок превысило «урожай» за все прошлое десятилетие.

Например, компьютерные злоумышленники по-прежнему активно пользуются таким видом виртуального кибернападения, как DDoS-атака (распределенная атака, когда тот или иной веб-ресурс массово атакуют запросами, с которыми он не может справиться). Кстати, крупнейшая в истории DDoS-атака на российские организации произошла в конце прошлого года, когда пять ведущих российских банков в течение 12 часов подвергались массированной атаке хакеров. В результате оперативного реагирования ИТ-служб атаку удалось отразить; ее последствия выражались в том, что ряд веб-сайтов и сервисов банков были заблокированы в течение нескольких часов.

Пышным цветом продолжают расцветать различные виды киберпреступлений, связанные с так называемыми троянскими программами, которые хитрым образом проникают в корпоративные системы и там делают свое черное дело. Например, недавно один российский банк стал жертвой киберпреступников, которые с помощью подобной программы смогли получить контроль над сетью банкоматов. Из зараженных вирусом банкоматов похищались деньги, а чтобы не оставлять следов, преступники после киберкраж умело удаляли вредную программу.

И, конечно, тренд последнего времени — так называемые программы-вымогатели, которые, проникая на компьютер, зашифровывают важную информацию и позже требуют выкуп за ее восстановление. Согласно исследованиям «Лаборатории Касперского», в прошлом году каждая пятая компания в мире столкнулась как минимум с одним инцидентом, связанным с действием программы-вымогателя. При этом 67% жертв таких программ полностью или частично потеряли свои корпоративные данные, а у каждой четвертой жертвы на попытки восстановления доступа к данным ушло несколько недель. 32% атакованных компаний заплатили выкуп, но каждый пятый плательщик не смог восстановить свои данные после оплаты. Так произошло и с последней, самой громкой атакой вируса под названием WannaCry, жертвами которого стали более 300 тыс. пользователей компьютеров в 150 странах мира, в том числе такие крупные российские компании, как «Мегафон», «Сбербанк», РЖД (см. «Грабеж без ножа и пистолета», «Эксперт» № 21 за 2017 год).

В поисках жертв

Что касается типов компаний, которые чаще всего подвергаются кибератакам, то здесь, по мнению экспертов, речь идет практически обо всех отраслях экономики. Но особенно пристальное внимание киберпреступников сейчас направлено в сторону предприятий финансовом сферы. «В 2017 году мы ожидаем как минимум тридцатипроцентного роста атак на компании финансовой сферы — банки, процессинговые компании, брокерские компании, компании, занимающиеся денежными переводами, и финтехстартапы. Это связано с общим ухудшением экономической ситуации в финансовом секторе, многие финансовые организации проводят оптимизацию расходов и сокращают вложения в обеспечение безопасности. Для финансовой сферы также будет характерно смещение цели атакующих с клиентов на сами банки», — говорит Максим Филиппов, директор по развитию бизнеса компании Positive Technologies в России.

По его словам, в последнее время усиливаются атаки на предприятия телекоммуникационной отрасли (в частности, так называемые атаки на сигнальную сеть SS7). «Необходимо учитывать и тему интернета вещей (IoT). Последние кибератаки, основанные на использовании IoT-устройств, наглядно показывают, что интерес со стороны киберпреступников к этой теме велик и в ближайшем будущем такие случаи только участятся», — подчеркивает Максим Филиппов.

Наконец, усиливаются киберугрозы в отношении промышленных предприятий. «В число актуальных трендов также стоит включить киберугрозы промышленным системам, — указывает г-н Филиппов. — Интеграция в глобальную сеть систем управления технологическими процессами влечет за собой увеличение возможностей для атакующих по доступу и нарушению их работы. Согласно нашим данным, в 2016 году в компонентах, применяемых для управления технологическими процессами на промышленных объектах, было обнаружено 115 уязвимостей. Используя общедоступные поисковые системы, потенциальные злоумышленники могут удаленно получить доступ к 162 039 компонентам автоматизированной системы управления технологическим процессом, в том числе к 4500 устройств, обеспечивающих работу энергетических объектов».

Как защищаться

В каких направлениях будут развиваться ключевые киберугрозы в ближайшее время и как компании могут им противостоять? Специалисты Information Security Forum (ISF), международной ассоциации по вопросам кибербезопасности и управления информационными рисками, опубликовали свой прогноз главных тенденций в области информационной безопасности на ближайший год. Как полагают в ISF, нынешний год будут характеризовать четыре основные тенденции: неконтролируемые риски, связанные с IоT и распространением сетевых соединений; стремительный рост «киберпреступлений в виде сервиса» — предоставления цифровых «услуг» криминальными синдикатами; рост правовых рисков, связанных с необходимостью выполнять новые нормативные акты; хакерские атаки все чаще будут направлены на подрыв репутации брендов и доверия к ним.

Однако наряду с развитием киберпреступности совершенствуются и технологии борьбы с ними. «В информационной безопасности, как и в жизни, стопроцентной защиты не существует. Мы работаем в очень динамичной отрасли, здесь быстро эволюционируют как продукты, так и угрозы. Создать законченный идеальный продукт в такой среде невозможно. Поэтому мы идем по другому пути: создаем технологии, подходы, комплексные решения, которые защищают от современных и еще неизвестных угроз. Эти технологии и решения постоянно эволюционируют, при этом их можно использовать как конструктор, выстраивая надежную многоуровневую систему безопасности», — говорит Сергей Земков из «Лаборатории Касперского»

В борьбе с киберпреступностью повышается и роль государства. «За последние годы во всех отраслях экономики произошло достаточно большое количество заметных инцидентов в области информационной безопасности, ущерб от которых оценивался в десятки миллионов рублей. Поэтому усиливающаяся роль государства в регулировании вопросов защиты информационных систем и ресурсов абсолютно закономерна. Основными изменениями, которые повлияли на отрасль информационной безопасности, были новые нормативные требования ФСТЭК и ФСБ, но главное — принятая в декабре 2016 года новая доктрина информационной безопасности Российской Федерации, которая определяет развитие всего рынка ИБ на ближайшие годы», — говорит Дмитрий Огородников из «Техносерва».

Впрочем, совершенствованию систем киберзащиты мешает ряд трудностей, к которым относится, например, проблема кадров. «Основной проблемой поддержания высокого уровня защиты, на мой взгляд, является недостаточная обеспеченность направления ИБ финансовыми и кадровыми ресурсами. К сожалению, в нашей стране слабо развиты профильные институты, которые готовят специалистов в области защиты информации — такие учебные заведения можно по пальцам сосчитать. Кроме того, не стоит забывать, что мы упустили определенный временной период, когда западные вендоры активно технологически развивались и вкладывали миллиардные бюджеты в маркетинг и продвижение своих продуктов. В такой ситуации взятый правительством страны курс на импортозамещение может стать серьезным толчком для развития отечественных продуктов и решений в области ИБ. Но без действительно серьезных финансовых вложений и существенной поддержки со стороны государства это маловероятно», — говорит Дмитрий Бирюков, директор направления информационной безопасности группы «Астерос».

По мнению участников рынка, из последних громких кибератак должен быть извлечен ряд важных уроков. «Как ни странно, последние громкие атаки, включая WannaCry, произошли не по вине специалистов по информационной безопасности, а из-за ИТ-специалистов, пусть они этого и не хотели. Все уважающие себя компании — разработчики программного обеспечения имеют специальную службу, которая взаимодействует с компаниями, специализирующимися на поиске уязвимостей в программных продуктах, ищет проблемы и выпускает обновления для защиты. Многие специалисты из компаний, подвергшихся атакам, отключили онлайн-обновления или, следуя “букве” поместили обновления в “песочницу” без их развертывания во внутренней сети, что в итоге и привело к кризису. Суть проблемы, которую необходимо решить, состоит в том, что ИТ-специалисты действовали согласно внутренним регламентам. Если выходит обновление и ИТ-специалист сразу его устанавливает, то какие-то старые приложения или сервисы собственной разработки могут перестать работать. Нужно пересмотреть внутренние правила по установке обновлений, чтобы не откладывать критически важные патчи на много месяцев», — говорит Дмитрий Костров, директор по информационной безопасности SAP СНГ.

Ну и нельзя забывать о человеческом факторе. «Главное, что нужно помнить: атаки часто не обходятся без человеческого фактора, — говорит Евгений Курт, управляющий партнер uKit Group. — Взлом сайтов и всего остального часто производится не только путем поиска уязвимостей, но и через социальную инженерию. То есть вы открываете некий незнакомый файл или ссылку, будучи параллельно авторизованным где-то с правами администратора, — и вы попались. Совсем плохо, если на том же сервере, где лежит ваш сайт, хранятся иные информационные ресурсы компании, например CRM, почтовый сервер. Разносите эту инфраструктуру, регулярно создавайте резервные копии на изолированных носителях, не давайте доступа тем, в чьи обязанности это на самом деле не входит (грубо — секретарше), вовремя лишайте доступа уволенных сотрудников. Ну и нанимайте тех, кто будет следить за вашими системами и своевременно устанавливать обновления на всех узлах. А если не можете, то лучше доверить это платформе, выбрав решение с историей, и желательно российское: поддержав отечественного разработчика рублем, вы получите техподдержку на русском языке. Помните, что по статистике тот же WannaCry произвел наименьший урон как раз в наиболее зрелых в плане развития ИБ компаниях. Информационная безопасность не та сфера, в которой можно сделать что-то один раз и забыть на десять лет. Это направление, которое нужно развивать поступательно — в свете новых возможных угроз и непрекращающегося противостояния мошенников и специалистов по информационной безопасности».