Все статьи

Отбить атаку

Опубликовано в Ъ

30 /10 2020

Интенсивная цифровизация бизнес-процессов во всех сферах экономики обострила проблему кибербезопасности: хакеры стремятся получить доступ к финансам, технологиям и конфиденциальной информации компаний. Эксперты обращают внимание на то, что количество хакерских атак на бизнес быстро растет, а инструменты злоумышленников совершенствуются вместе с цифровым развитием.

По данным отчета Microsoft за 2019 год, 39% российских предприятий малого и среднего бизнеса сталкивались с целенаправленными атаками, а с массовым переходом на удаленную работу кибератаки стали еще более изощренными, говорит руководитель программ информационной безопасности Microsoft в Центральной и Восточной Европе Артем Синицын. С октября 2019 года по июль 2020 года наиболее частой причиной реагирования на инциденты стали программы-вымогатели, но не теряет своей популярности и фишинг: около 70% всех киберинцидентов пришлось на данный вид мошенничества. Среди новых видов угроз, указывает эксперт,— атаки на цепочки поставки и устройства IoT, в частности, на конечные точки интернета вещей: в первом полугодии 2020 года число таких атак выросло на 35%.

В течение последних двух-трех лет число атак действительно неизменно увеличивается от квартала к кварталу, солидарен с представителем Microsoft директор экспертного центра безопасности Positive Technologies Алексей Новиков: по итогам второго квартала 2020 года показатель вырос на 9% по сравнению с первым кварталом и на 59% по сравнению с аналогичным периодом прошлого года. «Любое громкое мировое событие неминуемо сопровождается ростом числа кибератак, поскольку они создают благоприятную почву для применения злоумышленниками методов социальной инженерии. Так, апрель и май 2020 года стали рекордными по числу успешных кибератак, в том числе использующих тематику эпидемии, а также ориентированных на нюансы авральной диджитализации бизнеса, которая зачастую проходила без учета требований безопасности»,— отмечает он.

Ведущий системный инженер компании Varonis Александр Ветколь обращает внимание на то, что хакеры атакуют организации по всему миру каждые 39 секунд, 2,244 тыс. раз в день, но большая часть таких атак не достигает цели. По подсчетам центра мониторинга и реагирования на кибератаки Solar JSOC, в России в 2018 году совершено 765 тыс. атак, а в 2019 году — уже более 1 млн, говорит инженер по безопасности REG.RU Артем Мышенков, при этом в разгар пандемии коронавируса количество атак увеличилось в пять раз, в том числе из-за удаленной работы. Директор по внешним связям в Восточной Европе и Средней Азии координационного центра RIPE NCC Максим Буртиков приводит альтернативные статистики: по данным компании «Ростелеком-Солар», за 2019 год попытки взлома фиксировались на 30% чаще, доля внешних инцидентов выросла с 54 до 58%, по данным же Cybersecurity Ventures, попытки мошенничества совершались раз в 14 секунд.

С переходом на удаленную работу количество инцидентов информационной безопасности растет, соглашается с коллегами руководитель департамента IT-решений и продуктов информационной безопасности компании «Билайн Бизнес» Александр Пономарев: «цифровая гигиена» в России пока еще недостаточно развита. «Сейчас набирают популярность подготовленные атаки на бизнес, целью которых является как кража денег или конфиденциальной информации в рамках промышленного шпионажа, так и причинение репутационного ущерба. Иногда просто переход по ссылке в браузере корпоративного компьютера запускает очень опасные процессы, цена которых измеряется шестизначными цифрами и может устраняться несколько месяцев»,— говорит он.

Руководитель направления внедрения и поддержки корпоративных решений компании Sharesoft Константин Замков напоминает, что ежегодно в публичных источниках появляются сведения о сотнях случаев утечки данных из российских компаний, а по количеству утечек РФ занимает второе место в мире после США, и чаще всего в них виновны сотрудники компании, лишь менее одной пятой части утечек происходит из-за хакеров.

Широкий круг интересов

Раньше основной целью самых опасных атак были преимущественно финансовые организации, поскольку главной мотивацией хакерских групп являлась прямая финансовая выгода, рассказывает руководитель центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT Алексей Мальнев, однако все чаще целью кибератак является информация, которую можно монетизировать лишь косвенно, а постепенная трансформация организаций буквально всех отраслей в IT-компании делает их равнозначной целью: неважно, идет ли речь о системах управления инфраструктурой в медицинских учреждениях, в логистических и транспортных компаниях или химической промышленности, так как шифровальщики могут парализовать любой бизнес.

Генеральный директор ООО «Доктор Веб» Борис Шаров отмечает, что его компания чаще всего сталкивается с атаками, проводимыми против госкомпаний и крупных коммерческих структур, при этом профиль не важен, принцип один: атакуемая организация должна представлять определенный финансовый интерес для атакующего. По словам Александра Ветколя, наибольшие потери от атак в 2019 году — $25 млрд — фиксировались у медицинских организаций.

По данным Positive Technologies, распределение категорий «жертв» среди юридических лиц по итогам первого полугодия такое: госучреждения — 16%, промышленность — 15%, торговля — 7%, медучреждения, финансовые организации и IT-компании — по 6%.

Традиционно атакам наиболее часто подвергаются финансовый, государственный и промышленный сектора, соглашается с коллегами директор департамента информационных технологий Accent Capital Иван Мельник, а меры противодействия могут быть самые разные: защита периметра, шифрование хранящихся данных, проведение penetration-тестов и устранение выявленных уязвимостей, антивирусная защита, повышение осведомленности персонала.

Иван Мельник Директор. IT

Бизнес-консультант по безопасности Cisco Алексей Лукацкий в качестве примера крупных хакерских атак приводит несколько инцидентов: компания Garmin пострадала от атаки вымогательского ПО, и многие ее системы оказались зашифрованными; морской перевозчик Maersk столкнулся с шифровальщиком NotPetya (Neytya), в результате чего встали многие перевозки по всему миру на несколько недель, а в результате взлома Sony в 2014 году были украдены не только персональные данные сотрудников и данные о доходах руководства компании, но и релизы еще не вышедших фильмов, планы по новым картинам и их сценарии. «Хакеры зарабатывают на своей деятельности доходы, сопоставимые с торговлей оружием, наркотиками и алкоголем»,— подчеркивает он.

Скрытая угроза

Чаще всего компании не замечают наличие атаки, поскольку хакеры становятся хитрее и прорабатывают многоэтапные атаки длительностью до нескольких лет, говорит генеральный директор компании Omega Алексей Рыбаков. В таких случаях подключение ведется чаще всего через партнеров или поставщиков компании-объекта атаки, с которыми налажены доверительные информационные каналы. «Если проанализировать, насколько быстро крупные промышленные или энергетические компании с их киберзащитой и закрытостью могут выходить из строя, логично предположить, что защита многих из них уже взломана, но программа взлома находится в спящем режиме, и для завершения атаки с реальными последствиями требуется лишь политический или иной триггер»,— отмечает он, добавляя, что 5G откроет «новую эру кибервойн», в том числе и межгосударственных.

По статистике на выявление проникшего в сеть хакера у современных компаний уходит в среднем не менее месяца, и за это время нанесенный вред может быть самым разным: кража данных, вывод денег, шифрование файлов и требование выкупа, но главный ущерб неустраним — это репутация компании, которую восстановить будет гораздо сложнее, чем работу IT-системы, считает технический директор TrendMicro в РФ и СНГ Михаил Кондрашин.

Владелец компании «Интернет-розыск» Игорь Бедеров подчеркивает, что последствия атак не всегда можно обнаружить: злоумышленник может годами сидеть в информационных системах жертвы, воровать деньги, клиентов или информацию. Скорость устранения последствий хакерских атак зачастую зависит от готовности IT-системы компании к восстановлению после сбоев, говорит начальник отдела информационной безопасности компании «ХайТэк» Юрий Миронов. Если в системе заложена необходимая избыточность, предусмотрены сценарии восстановления при частичной или полной утрате функционала сервисов, восстановление может быть вполне нормальной, хоть и стрессовой процедурой, занимающей часы, но в наиболее негативных случаях компания может и не оправиться от последствий и прекратить свое существование

Самый безопасный компьютер с точки зрения информационной безопасности — «компьютер без питания и интернета, вмонтированный в бетон», замечает директор по информационной безопасности компании Bercut Алексей Кощиенко, потому что как только он подключается хотя бы к электросети, то потенциально может стать объектом хакерской атаки.

От Белиза до Вануату

Если говорить о географии атакующих, то довольно активными «игроками» характерны страны, в которых хакерские группировки опираются на поддержку государства: Китай или Северная Корея, где хакеры выполняют обычные «производственные функции» в течение рабочего дня, рассказывает руководитель отдела информационной безопасности СКБ «Контур» Александр Дельва.

«Анализ информации, которой хакеры обмениваются в даркнете на английском, русском, немецком, испанском, китайском и прочих языках, позволил сделать выводы, что в каждой среде есть небольшая специализация, но из года в год обмен между сообществами, разделенными языковым барьером усиливается, стирая тем самым границы и выравнивая возможности. Так, например, португальский андеграунд традиционно силен в обмене инструментов для фишинга. А между немецко- и русскоговорящими хакерами идет активный обмен инструментарием, что стирает границы»,— делится господин Кондрашин.

На вопрос о географии хакеров ответить достоверно практически невозможно, считает господин Ветколь, поскольку они используют средства анонимизации, располагающиеся по всему земному шару — от Белиза до Вануату. Среди стран с наиболее «квалифицированными» хакерами, помимо Китая и Северной Кореи, есть и Россия, а за лидерами следуют Израиль и Германия благодаря большому количеству выходцев из бывшего СССР, говорит господин Миронов. Господин Бедеров причисляет к лидерам и США, при этом, подчеркивает он, локальная хакерская «элита» тесно сотрудничает со спецслужбами своих стран, которые часто покрывают их «активность» за рубежом, если это не наносит ущерба национальным интересам собственных стран.

Эксперт компьютерно-технического направления RTM Group Юрий Муравский включает в топ и индийских хакеров. «Нельзя не отметить и романтизацию образа хакера, они редко выставляются в дурном свете. Что касается квалификации, то, пожалуй, самые квалифицированные те, о ком мы и СМИ ничего не знаем»,— говорит он.

Зачастую атаки осуществляются отнюдь не профессиональными хакерами, а начинающими злоумышленниками, которые используют готовые инструменты для взлома, запуска DDoS-атак, а также ресурсы, на которых можно приобрести нелегальные или полулегальные услуги, указывает на еще одну особенность хакерских атак CEO и сооснователь компании Storm Wall Рамиль Хантимиров.

Организованная преступная деятельность в сфере IT является не той классической ОПГ, которую могут представить люди, говорит директор департамента развития технологий компании «Аладдин Р.Д.» Денис Суховей. Почти всегда это хакеры, не знающие друг друга в реальной жизни, координация их действий осуществляется только через интернет, они разговаривают на разных языках, проживают в разных странах. «У преступных группировок нет прописки и принадлежности к какой-либо определенной стране. То, что мы с вами слышим в новостях об этом,— зачастую плод воображения СМИ или дезинформация»,— заключает эксперт.

Дмитрий Матвеев