Хакеры усиливают натиск

Алексей Грамматчиков
обозреватель «Монокль»
4 апреля 2022, 00:00

В России усложнилась ситуация с кибербезопасностью: на фоне русофобской истерии за рубежом хакеры всех мастей бросились атаковать информационные системы российских компаний, а ведущие мировые IT-компании в области защиты данных из-за санкций в одночасье ушли с рынка РФ

Михаил Прибочий: «Раньше хакеры пытались в первую очередь заработать, но сейчас задача “хактивистских” кибератак против России — нанести как можно больший урон, разрушить экономику или инфраструктуру предприятия»
Читайте Monocle.ru в

«Обрушена вся сеть, стерт документооборот, почта, файлы на серверах, суммарно стерто примерно 65 терабайт данных», — пишет телеграм-канал «Авиаторщина» о недавно произошедшей хакерской атаке на Федеральное агентство воздушного транспорта России (Росавиация). Российские государственные органы и бизнес переживают всплеск атак на свои информационные системы. Подпитываемые русофобскими настроениями и при попустительстве своих властей хакеры из разных стран пытаются «наказать» Россию за действия в Украине. По данным компании «Лаборатория Касперского», число атак на российские предприятия в первом квартале текущего года выросло в четыре раза. По данным международной компании StormWall, после 24 февраля массированным хакерским атакам подверглись российские компании топливно-энергетического сектора, финансовой отрасли, производственной сферы, телеком-индустрии. В частности, это «Газпром», «ЛУКойл», «Норникель», «Сибур», «Яндекс», Сбер. К счастью, пока действия международных кибепреступников не привели к ощутимым сбоям в работе российских предприятий. Так, руководство Росавиации заявляет, что атака отражена, ведомство хоть и пострадало, однако работает в нормальном режиме, переведя часть своей документации в бумажный документооборот. Но ситуация на российском рынке информационной безопасности (ИБ) остается тревожной, рассказывает в интервью «Эксперту» Михаил Прибочий, управляющий директор компании «Лаборатория Касперского» в России и странах СНГ.

— Михаил, многие IT-компании, в том числе ваша, констатируют беспрецедентный рост кибератак на Россию. Насколько критичен такой натиск киберпреступников для российского бизнеса?

— Без ложного алармизма хочу сказать, что после 24 февраля Россия стала самым опасным местом на Земле с точки зрения киберугроз. Киберпреступность всегда была большим международным бизнесом, нацеленным на получение денег. Но сейчас появились хакеры, атакующие российские предприятия не только по финансовым, но и по идеологическим соображениям. Раньше злоумышленники не стремились делать гадости, более того, они не ставили целью «поломать» экономику заражаемого объекта, чтобы пострадавшая компания имела возможность заплатить выкуп. Но сейчас задача у «хактивистских» кибератак против России — нанести как можно больший урон, разрушить экономику или инфраструктуру предприятия. Раньше хакер, скажем, запускал шифровальщик в сеть жертвы, после чего предлагал за деньги расшифровать ценную информацию. Сейчас зачастую данные могут уничтожаться без попыток монетизации.

Еще один тревожный момент заключается в усилении атак на средние предприятия с относительно небольшим оборотом. До обострения конфликта между Россией и Западом они могли жить в относительной иллюзии, считая, что крупный бизнес чаще подвергается угрозам. На самом деле это не так: мы всегда предупреждали об атаках на сегмент малого и среднего бизнеса, но сейчас они попали под еще более плотный прицел взломщиков. И третий критический фактор для систем информационной безопасности в России заключается в том, что из страны ушли многие иностранные IT-компании, что нанесло сильный удар по их российским заказчикам.

— Но российские IT-решения всегда были сильны, особенно в сфере информационной безопасности. Неужели на рынке ИБ в России роль иностранных компаний до сих пор столь заметна?

— Увы, в некоторых сегментах информационной безопасности зависимость от иностранных решений в России все еще высока. В ряде секторов рынка ИБ западные компании занимали более 50 процентов. В частности, в области межсетевых экранов (так называемых файрволов, осуществляющих контроль проходящего трафика) значимая доля принадлежала таким компаниям, как Cisco и Check Point, в области защиты веб-трафика — американской Fortinet и японской Trend Micro, в области защиты почтового трафика — американским Barracuda, Fortinet и Cisco. Но сейчас об уходе из России в одночасье заявили столпы мировой IT-индустрии. Кто-то из них объявил о «мягком» варианте — остановке новых продаж, кто-то сообщил, что прекращает техподдержку или обновления, а кто-то сделал так, что проданные ими устройства, по сути, превратились в «кирпичики». Например, перешли в деморежим с перезагрузкой раз в час. Владельцем такой техники может быть, скажем, интернет-магазин, у которого все перестает работать 12 раз в сутки, что неприемлемо для любой организации. Даже если зарубежный IT-продукт не заблокирован и вроде бы продолжает работать, но у него не приходят обновления, то его использование становится большим риском для компаний. Пропуск двух-трех обновлений приводит к существенному снижению уровня защиты. Злоумышленникам останется выбрать наиболее «удобную» из не закрытых патчами уязвимостей для взлома корпоративной сети.

— Могут ли российские производители решений в области информационной безопасности заменить в РФ продукты иностранных компаний? Что ваша компания делает в таких условиях?

— Исторически российские компании сильны в области информационной безопасности. Мы и десятки других значимых российских ИБ-разработчиков можем закрыть основные потребности российского рынка информационной безопасности. У нашей компании есть передовые решения: защита серверов и рабочих станций, почты и веб-шлюзов, защита промышленных сетей, защита от целевых атак, инструменты мониторинга и корреляции событий. Причем эти продукты зачастую превосходят по своим характеристикам зарубежные аналоги. Сейчас мы заняты тем, что спасаем попавшие под кибератаки компании, причем делаем это в круглосуточном режиме, и некоторые мои коллеги в последние сутки, бывает, спят по три-четыре часа. Мы наблюдаем рост DDoS-атак (когда большое число зараженных интернет-устройств одновременно начинают обращаться на выбранный ресурс, лишая доступа легитимных пользователей). Это и традиционные массовые веерные атаки по принципу «хоть кого-то, но заразим». И самые опасные — это целевые, или, иначе говоря, таргетированные атаки, когда конкретную компанию сначала изучают, рассматривают ее сильные и слабые стороны, а потом атакуют, возможно с использованием уникальных, написанных именно к этому случаю, киберинструментов.

Чтобы повысить защищенность организации, мы предлагаем проведение аудита, что позволяет увидеть себя глазами киберпреступников, осознать, что организовано неверно, какими могут быть векторы атаки. После чего будет легче построить действительно надежные барьеры. Скажем, в большинстве случаев, чтобы проникнуть в информационную систему предприятия, сначала взламывается один компьютер — ассистенту или любому младшему сотруднику отдела присылается фишинговое письмо, дальше вредоносная программа проникает вовнутрь и пытается попасть, к примеру, либо в бухгалтерию, либо к руководителю. Но пока внутри вредитель пытается что-то найти, наша система его увидит и сумеет заблокировать.

Здесь речь идет о централизованных решениях для организации центров мониторинга безопасности, называемых SIEM (Security Information and Event Management). Принцип их работы объясняет такой пример: допустим, я захожу в метро, плачу кредитной карточкой на входе, а через десять минут с этой же карточки в Нигерии в банкомате снимаются наличные деньги. По отдельности оба события легитимны, но, будучи сопоставленными, они говорят о том, что здесь, скорее всего, происходит обман, и карточка сразу блокируется.

Буквально неделю назад мы запустили новую линейку решений для бизнеса под названием Kaspersky Symphony, она разбита на несколько уровней для компаний с различной степенью зрелости информационной безопасности. Малый и средний бизнес, в котором нет службы информационной безопасности или она небольшая, получает свой набор легких в использовании защитных решений. Более крупным компаниям уже необходимы инструменты реагирования и расследования информации об угрозах, мониторинга и корреляции событий. В линейке реализован экосистемный подход к кибербезопасности, когда в рамках одной лицензии заказчик может закрыть все свои потребности благодаря синхронизированным друг с другом продуктам. Это очень востребовано, в том числе на фоне ухода с рынка ряда иностранных игроков.

— Насколько большой урон российским компаниями и организациям хакеры смогли нанести за последний месяц? Есть ли примеры, когда урон был ощутимый? Вообще, какие технологии используются в современных хакерских атаках, как они могут навредить жертве?

— Хакерские технологии развиваются постоянно, я помню времена, когда обнаруживалось всего по несколько вирусов в день, потом их были сотни. Год назад мы фиксировали ежедневно 300–350 тысяч уникальных вирусов. Сегодня этот показатель приближается к отметке 400 тысяч уникальных вредоносных программ в день с тенденцией к росту. Киберпреступники взламывают даже очень защищенные предприятия, причем самыми хитроумными способами. Помню курьезный случай, когда хакеры удаленно вывели деньги из казино в американском Лас-Вегасе, где была достаточно серьезная киберзащита. Во взломе оказался виноват… красивый аквариум в зале! А точнее, встроенный в него температурный датчик, который имел выход в интернет — через него и была взломана сеть компании. А теперь представьте, сколько таких IoT-устройств (имеющих выход в интернет) вокруг нас: датчиков, умных телевизоров, колонок и прочего.

Или недавно в Латинской Америке хакеры смогли взломать ни много ни мало один из центробанков. У киберпреступников, как у серьезных бизнесменов, зачастую практикуется разделение труда: кто-то совершает взлом, потом другая группировка производит действия внутри организации (скажем, крадет или шифрует данные), третья этот взлом монетизирует, получая выкуп с пострадавшей стороны или продавая украденные данные. Мы обнаружили, что эта финансовая организация взломана и злоумышленники ищут «подрядчика» на дальнейшие действия. Предупредили через Интерпол жертву, успели предотвратить хищение. Когда действия киберпреступников не блокируются, это может привести к непоправимым последствиям. В Германии несколько лет назад из-за хакерской атаки на металлургическом заводе сталелитейное производство было физически разрушено.

Что касается ситуации в России, то, к счастью, вопиющих случаев нам удавалось избегать. Да, есть сбои и нарушения в работе некоторых российских компаний, но серьезного урона или критических остановок в работе это не повлекло. Мы мониторим на различных онлайн-ресурсах примерно тысячу хакерских группировок по всему миру, в результате чего заказчик может вовремя узнать о готовящейся атаке или «слитой» базе.

— Тот факт, что в России предприятия не останавливаются из-за хакерских атак, — можно ли объяснить его в том числе тем, что в последние годы государство и бизнес взяли курс на импортозамещение в сфере IT и вопросам кибербезопасности уделяется особое внимание?

— Безусловно, это так. Мне трудно представить другую страну мира, из которой при уходе в одночасье такого числа ведущих ИБ-компаний все бы не пошатнулось. Здесь публично хочется сказать большое спасибо тем людям, которые в свое время продвигали непопулярную у значительной части игроков IT-отрасли тему импортозамещения. Многим было гораздо комфортнее взять что-то готовое иностранное и не использовать российское, требовавшее кастомизации. В результате мы подошли к нынешней ситуации подготовленными, хоть и не безупречно и идеально, но почти в каждом сегменте ИБ есть отечественные решения. А в области обеспечения безопасности критически важной информационной инфраструктуры (КИИ) особую роль играет регулятор, здесь действия специалистов координируются комплексом ГосСОПКА, с помощью которого централизованно обнаруживаются и отражаются кибератаки на предприятия КИИ.

Сегодня самоотверженную работу ведет вся отрасль информационной безопасности, очень важно защитить каждого клиента. Спасибо всем моим коллегам, которые работают в две смены, спасибо специалистам из других компаний. Если медики спасают жизни, то мы точно такие же врачи в киберпространстве: делаем диагностику и профилактику здоровья, чтобы болезнь не случилась в будущем, и срочно спасаем, если все плохо здесь и сейчас.

Человек — слабое звено

— Что можно сказать о вашем международном положении? За последний месяц еще больше усилились нападки на деятельность российских компаний за рубежом, на днях в США «Лабораторию Касперского» включили в список компаний, которые представляют угрозу для национальной безопасности этой страны. Правда, появилась информация, что американские власти опасаются ввести санкции против компании, потому что очень много пользователей по всему миру используют ваши продукты. Как все это влияет на международную деятельность «Лаборатории Касперского»?
-— «Лаборатория Касперского» — международная компания, представленная практически во всем мире. Основную долю продаж нам приносят зарубежные рынки, на Россию приходится пятая часть. За последние годы было много информационных атак на страну, и российские организации, конечно, пытались что-то предъявить и нам как одному из мировых ИБ-лидеров. Поэтому, чтобы обезоружить недоброжелателей, «Лаборатория Касперского» открыла пять центров прозрачности в разных точках планеты, куда можно прийти, посмотреть наши продукты, узнать, как они работают. И главное, в этих центрах можно проанализировать наш исходный код на отсутствие в нем «закладок». Насколько я знаю, мы единственные в мире, кто не побоялся быть открытым со своими бизнес-заказчиками.

Мы предлагаем большое портфолио качественных продуктов и продолжаем динамично развиваться в глобальном смысле. Во многих самых авторитетных мировых специализированных рейтингах мы продолжаем занимать первые места. Международные аналитические компании признают, что наши решения одни из лучших, в некоторых случаях они единственные, которые обеспечивают стопроцентную защиту. Поэтому «Лаборатория Касперского» продолжает глобально развиваться и работать с партнерами по всему миру.

— В каких новых направлениях планирует развиваться «Лаборатория Касперского», на что вы делаете ставку в своей стратегии?

— Мы создаем экосистему безопасности для различных целевых аудиторий и стремимся обеспечить защиту от всех векторов кибератак. Мы также развиваем свою деятельность в перспективных направлениях: например разрабатываем решения для интеллектуальных транспортных систем, беспилотных тепловозов или автомобилей. Вы знаете, что сейчас в конструкции машин, к примеру, нет «тросика» между педалью тормоза и тормозными колодками? Все управление осуществляется электронно. Соответственно, теоретически можно ехать рядом с машиной, подключиться к ней по беспроводной связи Bluetooth, взломать информационную систему автомобиля и спровоцировать аварию. Мы разрабатываем решения, предотвращающие такие сценарии.

Еще одно интересное направление — мониторинг и защита от гражданских дронов: система по ИБ вмешивается в систему управления дроном и принудительно сажает его на землю. Большое значение мы придаем развитию нашей операционной системы, над которой кропотливо работаем много лет. Это так называемый подход к безопасности на этапе проектирования (secure-by-design), когда уже в основе информационной системы по определению отсутствует возможность хакерских атак и защищенность заказчика поднимется на недосягаемую ранее высоту. Уже сейчас мы предлагаем наш подход и использование нашей операционной системы, например, в сфере обеспечения бесперебойной работы интернета вещей и промышленной безопасности.

— Что можно посоветовать представителям российского бизнеса сейчас в плане защиты от новых киберугроз?

— Первое, на что стоило бы обратить внимание, — использование ИБ-решений тех зарубежных компаний, которые ушли из России. Если такие продукты продолжают применяться, киберриски возрастают. Стабильность сейчас на стороне российских производителей и их комплексных решений. И никогда не стоит забывать, что самое слабое звено в информационной безопасности — это человек. Попробуйте зайти, допустим, в бухгалтерию своей компании и спросить рядовых специалистов, получали ли они письма от какого-либо регулятора с предложением установить «официальный» антивирус или другую программу. Хакерские рассылки такого рода сейчас распространены. Или нередко на домашний компьютер сотруднику приходит сообщение, что профиль якобы взломан и нужно срочно поменять пароль от какой-нибудь социальной сети. Пользователи переходят по такой ссылке, где их просят ввести старый пароль, в результате человек теряет свой личный аккаунт с риском утраты и своих средств, так как к аккаунту могут быть привязаны банковские карты. При этом часто жертвы используют одинаковые пароли дома и в офисе для входа в корпоративные системы, что также ставит под удар предприятие. Сценариев подобных опасных ситуаций много, поэтому бизнесу стоит потратить усилия не на разовый инструктаж сотрудников, а на ведение этой практики на постоянной основе, чтобы во всеоружии противостоять киберпреступникам во все времена.