Кибероборона: непрерывное соревнование с хакерами

47
Александр Злой
Александр Злой

Киберриски сегодня занимают одно из ключевых мест в актуальной повестке многих компаний – вероятность их реализации как никогда высока. При этом бизнес предпочитает действовать на опережение – заранее предпринимать шаги, направленные на снижение этих рисков. Опытом предотвращения киберрисков поделился руководитель службы информационной и коммерческой безопасности бренда EKF Александр Злой.

 

Пытаются прощупать защиту

– Мы занимаемся разработкой, производством и продажей электрооборудования и комплексных решений, в частности, программных продуктов для управления умными устройствами нашего бренда и автоматизации промышленности. У нас два завода во Владимирской области и четыре логистических центра по России.

Подобная структура компании характерна для многих предприятий производственных отраслей. Архитектура цифрового периметра также является во многом унифицированной, поэтому можно говорить о киберрисках нашей конкретной компании и о сегменте отрасли в целом.

Практически каждый день мы сталкиваемся с теми или иными попытками киберпреступников прощупать нашу защиту. Это касается как информационных систем, так и пользователей. Если с защитой сервисов, опубликованных в интернете, уже есть выработанные подходы и проверенная практика, то защита пользователей – более динамичный процесс. Мошенники ищут новые пути доступа к информационным или финансовым активам через психологический взлом. Их цель – украсть учетную запись и попасть в периметр, обойдя системы защиты, и далее – зашифровать или украсть данные, чтобы требовать выкуп либо провести махинацию со счетами на оплату. Но в последнее время чаще стали заявлять о себе хактивисты, нацеленные нанести наибольший урон атакуемой компании.

 

Подход от обратного

В текущих реалиях правильнее оценивать степень вероятности реализации киберрисков в парадигме «когда взломают», а не «если взломают». Эта установка позволяет идти от обратного или отталкиваться от пессимистичного сценария.

Принимая во внимание текущий уровень зрелости информационных технологий (ИТ) и информационной безопасности (ИБ) в компании, стратегию и планы развития, следует понимать, как быстро вы сможете восстановить доступность сервисов после инцидента. И в зависимости от требований бизнеса по ряду параметров, например, таких, как минимальные показатели времени простоя (RTO – Recovery Time Objective) и объема возможных потерь данных (RPO – Recovery Point Objective), формировать архитектуру системы восстановления после аварий и сам план аварийного восстановления. Как минимум это должны быть бэкапы наиболее критичных ресурсов, не забывайте о бэкапах конфигурационных файлов оборудования. Более продвинутые версии – системы Disaster Recovery (DRaaS), представляющие собой облачный сервис для восстановления IT-инфраструктуры и данных после катастроф.

 

Два вектора атак

Сейчас широкое распространение имеют два вектора атак – уязвимости программного обеспечения (ПО) и социальная инженерия. Еще возможна атака через поставщика, но в ее основе также лежат эти два вектора. У хакеров есть своя бизнес-модель, принципиально не отличающаяся от бизнеса созидательного. У них есть трудозатраты и рентабельность. На той стороне также хорошо знают про принцип Парето. Эти векторы позволяют при максимальной автоматизации процесса и минимальных трудозатратах получить точку входа в периметр компании. С такими угрозами мы и многие компании отрасли сталкиваемся если не ежедневно, то очень часто. А с социальной инженерией – телефонными мошенниками, наверное, у всех нас был шанс познакомиться лично, в частном порядке.

Если компания выстраивает эшелонированную систему киберобороны, то ключевым принципом противодействия киберпреступникам будет являться усложнение их работы. Использование встроенных механизмов защиты в операционных системах и прикладном ПО, руководство принципами белого списка и минимально необходимых привилегий. Регулярная оценка уязвимостей и обновление ПО, а также непрерывная и масштабная программа по повышению осведомленности пользователей в вопросах кибербезопасности. В качестве системного подхода, охватывающего исчерпывающий спектр контролей, можно использовать любой современный фреймворк, наш или международный. Лично мне нравится CIS CSC 18 за его структурированность, простоту и этапность при внедрении.

 

Страхование от киберрисков

 

Ольга Горчицына
Ольга Горчицына

Бизнес стал почти в два раза чаще интересоваться страхованием от киберрисков – спрос на него, по оценкам аналитиков, в 2023 году вырос на 76%.

О страховании от киберрисков чаще всего задумываются коммерческие предприятия из Москвы, Санкт-Петербурга, Тюменской области, Республики Татарстан и Новосибирской области, отмечают специалисты электронной торговой площадки «ТендерПро».

– Ужесточение условий страхования в прошлом году подтолкнуло компании чаще проводить тендеры на электронных торговых площадках, чтобы получать выгодные условия, – комментирует директор по развитию цифровых продуктов ООО «ТендерПро» Ольга Горчицына. – Учитывая, что количество кибератак только растет, мы ожидаем, что и количество тендеров на страхование от киберрисков тоже увеличится.

 

 

Вопросы остаются

Страхование – один из методов управления рисками, применяемый в различных направлениях хозяйственной деятельности как компаний, так и частных лиц. Цифровизация бизнеса с присущими ей киберрисками является направлением хозяйственной деятельности, принципиально ничем не отличающимся от других. Если страхование груза при доставке от поставщика к клиенту является устоявшейся практикой, то страхование доставки цифрового контента внешнему или внутреннему клиенту – актуальное веяние времени.

 

Цифровизация бизнеса с присущими ей киберрисками является направлением хозяйственной деятельности, принципиально ничем не отличающимся от других. Если страхование груза при доставке от поставщика к клиенту является устоявшейся практикой, то страхование доставки цифрового контента внешнему или внутреннему клиенту – актуальное веяние времени.

 

Принципиального непонимания или отторжения этого метода, наверное, уже и не встретишь. Однако остаются вопросы практического характера: какие есть примеры полисов у компаний из отрасли? Какова правоприменительная и судебная практика? Какой использовать подход к оцифровке рисков, какова может быть величина страховой премии и суммы покрытия? Какие условия должна соблюдать компания и какой уровень зрелости процессов кибербезопасности должен быть достигнут для экономически выгодного участия в такой программе?

 

Преобладают трояны и черви

 

В первом квартале 2024 года чаще всего хакеры пытались атаковать корпоративный сегмент с помощью троянов и червей. К такому выводу пришли эксперты компании МТС RED, входящей в ПАО «МТС» (MOEX: MTSS), проведя исследование вредоносного программного обеспечения (ВПО), использовавшегося для атак на российские компании.

Так, по их данным, в первом квартале центр мониторинга и реагирования на кибератаки отразил около 2,5 тысячи атак на отечественные компании с применением вредоносного ПО. В 54% использовались трояны и черви, преимущественно с функцией кражи учетных данных или шпионажа (56%). Доля программ-шифровальщиков составила примерно 7%, а доля программ для скрытного майнинга криптовалюты – около 6%.

Вторыми по частоте использования злоумышленниками стали эксплоиты (встречались в 36% атак) – программы, использующие для своей работы различные уязвимости. Чаще всего хакеры пытались эксплуатировать уязвимости во фреймворках, библиотеках, протоколах передачи данных (36%) и операционных системах (33%).

Промышленный сектор чаще обычного атакуют троянами (61%), причем трояны и черви, используемые для атак на эту отрасль, имеют функциональность кражи учетных данных и шпионажа (38%) или шифрования данных (19%). Всего за первый квартал текущего года на промышленность пришлось 20% от общего объема атак с применением ВПО.

Чаще всего атаки с применением вредоносного ПО были направлены на компании ИТ-отрасли (31%), где преобладают эксплоиты (54%). На втором месте по числу атак с помощью вредоносного ПО ритейл – на него пришлось 27% таких инцидентов. В первом квартале 2024‑го основную угрозу для компаний этой сферы составляли трояны (44%) и эксплоиты (37%).

 

 

Важны превентивные меры

Диапазон проблем от кибератаки может быть значительным. Если компания из промышленной отрасли или отрасли энергетики является субъектом критической информационной инфраструктуры по Федеральному закону от 26 07 2017 года № 187‑ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», последствия кибератаки могут выходить за границы влияния только на информационные активы самой компании. Атака может повлечь за собой техногенные аварии с риском для жизни граждан.

 

Изображение: от Freepik
Изображение: от Freepik

 

Финансовый ущерб может складываться из многих факторов в зависимости от уровня компании и ее участия на рынке. Стал ли инцидент публичным, и насколько он повлияет на доверие клиентов.

Ключевым, на мой взгляд, тут будет являться время простоя критичных процессов, влияющих на производство продукта. Совокупная величина финансовых потерь будет коррелировать с этим показателем. Для укрупненного анализа можно отталкиваться от величины выручки компании. Три с половиной дня простоя – минус один процент годовой выручки. Даже для среднего бизнеса это могут быть десятки миллионов рублей.

Можно ли быть готовым к атаке? Это непрерывное соревнование. Хакеры хотят усложнить жизнь нам, мы против и хотим усложнить жизнь им. Как и в любом другом деле, здесь не может быть 100% гарантии. Большой парк информационных систем и сервисов, большое количество сотрудников предоставляет для атакующих широкое поле деятельности.

Что касается превентивных мер, которые мы используем. В первую очередь, это планомерная, последовательная работа во взаимодействии со всеми заинтересованными участниками оцифрованных бизнес-процессов. Стремимся встраивать кибербез в процессы как можно раньше, на самом старте проекта. Уделяем внимание и выявленным недостаткам в защите систем, стараемся быть в курсе о новых техниках и тактиках киберпреступников, повышаем осведомленность пользователей информационных систем. Проводим регулярные проверки эффективности выстроенных процессов, определяем планы развития ИТ и ИБ, ориентируясь на планы бизнеса.

 

Точка зрения

Наталия Леднева
Наталия Леднева

Наталия Леднева, советник генерального директора компании RooX (специализируется на аутентификации, авторизации и разработке веб-платформ для корпоративного сектора):

 

– За последние два года бизнесу стало понятно, что кибератакам теперь подвержены не только крупные компании, а вообще все. Так, по данным InfoWatch, объем слитых персональных данных (ПДн) в России только в 2023 году вырос почти на 60%. Увеличилось и число смешанных мультивекторных атак – по оценкам Qrator Labs, их рост составляет свыше 20% в квартал. Самые уязвимые отрасли – электронная коммерция, финтех и телеком.

Киберстрахование пока не стало распространенной практикой у бизнеса, однако его популярность увеличивается. По данным «Российской газеты», такой тип полисов оформляют не более 5% компаний. При этом «АльфаСтрахование» отмечает существенный рост интереса бизнеса к страхованию от киберрисков. По их данным, за последние два года количество договоров увеличилось на 60%.

Рост рынка киберстрахования будет многомерным. Например, кроме увеличения спроса на заключение страховых договоров возрастет потребность страховых компаний в специалистах по кибербезопасности для оценки текущего уровня защиты. Кроме того, можно ожидать, что к параметрам, по которым компании выбирают решения по защите от киберугроз, добавится еще один – одобрено ли конкретное решение, гласно или негласно, страховыми компаниями.

Защита от кибератак – сложная проблема, для решения которой требуется комплексный подход. Одна из обязательных мер – использование современных систем управления доступом. Такие системы предусматривают сценарии адаптивной многофакторной аутентификации, детальную модель полномочий и доступ к данным только в контексте конкретной операции. Они работают по принципу «нулевого доверия» (zero trust), который предполагает строгий контроль доступа к информационным системам компании. Даже работая внутри корпоративной сети на корпоративном устройстве, пользователь должен проходить процедуру идентификации и аутентификации, а также подтверждать свои права при каждом доступе к корпоративным ресурсам. Кроме того, для комплексной защиты нужны шифрование данных, меры по обеспечению безопасности сетей, физическая безопасность серверов и баз данных, регулярные тренинги для сотрудников по кибербезопасности, а также мониторинг и аудит безопасности ИТ-инфраструктуры организации.

 

 

Елена ВОСКАНЯН