Cпpoc нa пpoвeдeниe кибepyчeний в кpyпныx кoмпaнияx зa 2023 гoд выpoc вдвoe. B ocнoвнoм зa этoй ycлyгoй oбpaщaлиcь кoмпaнии из cфep тeлeкoмa, финaнcoв и пpoмышлeннocти, пoдcчитaли в кoмпaнии «Инфocиcтeмы Джeт». 3a двa гoдa пocтoянныx aтaк poccийcкий бизнec yбeдилcя, чтo люди — этo caмoe cлaбoe мecтo любoй инфopмaциoннoй cиcтeмы, и, пoкa oни нe гoтoвы пpoтивocтoять внeшним yгpoзaм, любыe инвecтиции в ПO и oбopyдoвaниe мoгyт oкaзaтьcя бecпoлeзны.
В 2022 году из 350 компаний в сегменте крупного бизнеса, с которыми работает «Инфосистемы Джет», с заказом на проведение киберучений обращалось 60. В 2023 году за услугой обратилось уже 130 партнеров, уточнил представитель «Инфосистем Джет». Рост спроса на киберучения подтверждают эксперты Positive Technologies и ГК «Солар».
В 2023 году количество проведенных ГК «Солар» коммерческих учений выросло в пять раз относительно 2022 года, говорит директор киберполигона группы Евгений Акимов. «По нашим данным, больше половины российских организаций проводило киберучения, а 75% респондентов намерены проводить их в будущем. В 2024 году мы прогнозируем рост еще в три раза», – отметил он. Всего ГК «Солар» провела киберучения более чем в 200 организациях, 50 из них – это госорганы и около 10 – силовые ведомства. Остальные – это коммерческие организации, в том числе зарубежные, уточнил представитель компании.
«В 2022 году число DDoS-атак на инфраструктуру компании выросло на порядок, также предпринято несколько неудачных попыток взлома различных ресурсов компании. В результате было принято решение временно ограничить доступ к сайтам компании с адресов за пределами РФ. В 2023 году участились фишинговые атаки с попытками подмена адресов и реквизитов менеджеров. Так, в том числе от имени генерального директора рассылались фишинговые сообщения клиентам и партнерам. IT-департамент провел несколько тренингов для персонала с целью повышения знаний в области кибербезопасности и предотвращения возможных кибератак, также был проведен инструктаж, посвященный необходимым действиям в случае реальных террористических атак на инфраструктуру компании», – рассказал источник в одной из крупнейших металлургических компаний.
3aщитa oт aктивиcтa
Число кибератак растет по всему миру. Люди используют их, чтобы выразить свое отношение к широкому кругу проблем: от войн между государствами до экологии. Согласно данным компании StormWall, в 2023 году количество DDoS-атак во всем мире увеличилось на 63% – в основном из-за геополитических факторов.
На Россию пришлось 7,3% от общего количества нападений – это 7-е место в мире. США продолжают лидировать по частоте DDoS-атак: на их долю приходится 12% атак по всему миру. За ними следует Китай с 10,6%, на 3-м месте – Индия с 9,6%. В России и в Украине также наблюдается значительное количество атак – 7,3% и 4,6% соответственно. Большинство инцидентов в России и Украине эксперты связывают с хактивизмом из-за продолжающегося конфликта между странами.
В начале мая президент Владимир Путин подписал указ №250 «О дополнительных мерах по обеспечению информационной безопасности РФ», вводящий ряд дополнительных требований по обеспечению безопасности для компаний и организаций, имеющих стратегическое значение для страны. Двe глaвныe нoвaции в документе – тpeбoвaниe coздaть нoвyю cтpyктypy, oтвeтcтвeннyю зa ИБ и пoдчиняющyюcя пepвoмy лицy кoмпaнии, и зaпpeт нa иcпoльзoвaниe пpoгpaмм и тexнoлoгий, coздaнныx в нeдpyжecтвeнныx cтpaнax.
Пoлигoн в кибepпpocтpaнcтвe
Самый частый способ проникновения киберпреступников в инфраструктуру компании – компрометация учетных записей через различные виды фишинга. Поэтому поддержка необходимого уровня бдительности и отработка сценариев определения и реакции на попытки злоумышленников получить доступ к учетной записи сотрудника – эффективный способ профилактики киберпреступности, говорит заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов.
Лучше всего проводить учения по защите цифровой системы в условиях, максимально приближенных к реальности, идеально – на реальной инфраструктуре, наполненной реальными приложениями и данными. Однако опасно проводить жесткий спарринг нападающих и защищающихся на действующей цифровой системе – не все методы нападения и защиты можно использовать без риска потерять данные или работоспособность цифровой системы. Поэтому создается киберполигон – виртуальная копия корпоративной инфраструктуры, максимально повторяющая реальную цифровую систему, на которой и у нападающих, и у защищающихся гораздо больше свободы действий ввиду низкой цены ошибки.
«На киберполигонах службы информационной безопасности отрабатывают тактику групповой защиты – при активных атаках важны не только профессионализм защитников, но и слаженность их действий, навыки работы в команде. Именно такие задачи отрабатываются в первую очередь. Также на киберполигоны выносятся задачи защиты критической инфраструктуры, где в случае ошибки защитников может быть нанесен существенный ущерб», – резюмирует Хайретдинов.
Эксперт согласен с подсчетами компании «Инфосистемы Джет». Цифра отражает текущее состояние спроса, причем если учитывать не только коммерческие киберполигоны, «заказные», которые собираются под крупные киберучения их организатором без привлечения коммерческих игроков, то реальное число случаев использования киберполигонов может быть и больше.
Интенсивность атак не снизилась, но и не растет – атакующие исчерпали ресурсы для роста. Основной мотив атакующих сегодня – нанести ущерб гражданам России (хищение средств и данных, недоступность сервисов, провокации паники и т. п.), но, если при этом киберпреступники смогут заработать на прямых хищениях, шантаже, мошенничестве или на продаже данных, они от этого, конечно, не откажутся.
DDoS в современных тактиках редко используется один. Чаще это лишь видимая и легко измеримая часть атаки, попадающая в сводки. Задача DDoS в целевых атаках – отвлечение команды защитников и перегруз средств защиты. Поэтому после крупных DDoS-атак проводится аудит инфраструктуры – не подсадили ли атакующие под прикрытием DDoS компоненты шпионского ПО, которое соберет данные, протестирует инфраструктуру, определит точки последующей атаки, скачает незаметные для средств защиты компоненты боевого вируса, который будет собираться из них внутри зараженной инфраструктуры и т. п., рассуждает Рустэм Хайретдинов.
Интенсивность кибератак в 2023 году не снизилась по сравнению с 2022 годом, а выросла на 40%, но многие компании научились с этим жить. Усвоили уроки, усилили ресурсы, особенно те, кто соприкасался с атаками раньше, считает Юлия Коновалова, руководитель отдела ИБ компании «Рексофт». «В ИБ-комьюнити я много раз слышала запрос на киберучения в совершенно различных интерпретациях. От регулярных эмуляций фишинга на всех сотрудников до масштабных тренингов команд IT и представителей бизнеса. Приведу пример, который особенно врезался в память. Кейс с „прокачкой“ в три этапа знаний и навыков объединенной ИТ- и ИБ- команды с анализом подготовки на старте и после тренинга. Правда, такие тренинги пока делаются только для самых крупных заказчиков», – говорит Коновалова.
He жaлeть pecypcoв
Обучать информационной безопасности нужно абсолютно все категории сотрудников и не жалеть на это ресурсы, считает эксперт. Варианты могут быть самые разные: лекции, инструктажи, рассылки, тренинговые платформы. Например, в 2024 году «Рексофт» проводила обучение ключевых сотрудников в обычном режиме, тренинг с эмуляцией фишинга, запустила информационные рассылки правил ИБ с карточками, постоянно информировала сотрудников о новых схемах мошенничества.
Кроме того, были запущены пилотные программы на нескольких внешних платформах обучения ИБ с привлечением сотрудников всех направлений. «В результате постоянного обучения и поднятия важности темы ИБ в последнем квартале года в закрытом корпоративном ТГ-канале сотрудники сами предупреждали друг друга о новых схемах, которые мошенники пробовали провернуть. Самое уязвимое место любой информационной системы – это люди, ее эксплуатирующие», – резюмирует Юлия Коновалова.