Не секрет, что атаки на информационные системы, в том числе в крупных компаниях, происходят регулярно по всему миру. С 28 по 30 июля в России мы наблюдали целую череду громких сбоев, затронувших критически важную инфраструктуру. Один из самых обсуждаемых случаев — атака на «Аэрофлот».
Почему подобные инциденты происходят даже в таких масштабных организациях, где, казалось бы, все должно быть под контролем, порталу «Риск-менеджмент. Практика» рассказал специалист по тестированию на проникновение информационных систем компании Compliance Control Александр Ястремской.
Во-первых, во всех проанализированных нами случаях злоумышленники находились в инфраструктуре задолго до начала активной фазы атак и оставались незамеченными. Это может говорить либо об отсутствии полноценного мониторинга, либо о том, что система защиты была устаревшей или некорректно настроенной. Такая ситуация позволила злоумышленникам изучать систему изнутри и постепенно готовить атаку.
Во-вторых, большое значение имеет техническое состояние инфраструктуры. Например, в случае с «Аэрофлотом» сообщалось о скомпрометированных серверах, работающих на Windows XP, для которой давно прекращена поддержка, а уязвимости в ней хорошо известны и активно эксплуатируются. Использование таких систем приводит к большим рискам для компании. Отсутствие регулярных обновлений программного и аппаратного обеспечения — прямая угроза безопасности. Соответствующие риски можно было бы выявить заранее с помощью базового аудита ИС.
Интересный факт: компания «Аэрофлот» заключила ранее контракт с аутсорс-компаниями по кибербезопасности, но это произошло всего за неделю до атаки. Очевидно, что за это время специалисты просто не успели внедрить какие-либо реальные меры защиты.
Потенциальный ущерб мог быть гораздо серьезнее. Теоретически злоумышленники могли вмешаться в системы управления рейсами, нарушить цепочки поставок медикаментов в аптеки или вызвать остановку критических важных сервисов, что могло привести к прямому ущербу не только бизнесу, но и людям. На этот раз дело ограничилось утечкой данных, которые уже попали на теневые площадки.
Вывод простой: крупным компаниям, особенно тем, чья деятельность связана с КИИ, необходимо всерьез подходить к вопросам кибербезопасности. Нужна не формальная защита, а полноценная система: с работающим мониторингом, квалифицированными SOC-специалистами, регулярными аудитами и плановым обновлением инфраструктуры. Только так можно обеспечить устойчивость компании в условиях растущих угроз и снизить возможные риски.
