По данным компании Positive Technologies, больше всего кибератак (19%) по-прежнему совершается в отношении госучреждений. Они вызывают широкий общественный резонанс, в результате чего организации несут серьезные репутационные риски. «В государственных системах обрабатывается огромное количество информации. Многие привычные для граждан сервисы сейчас предлагаются удаленно, без необходимости личного присутствия. И развитию цифровизации способствовала пандемия», — поясняет руководитель группы отдела аналитики информационной безопасности (ИБ) Positive Technologies Екатерина Килюшева. Она добавляет, что появление новых электронных сервисов неизбежно должно было заинтересовать преступников и потребовать особого внимания с точки зрения ИБ. По сравнению с 2019 годом существенно выросла доля атак на госучреждения с использованием вредоносного программного обеспечения (71%) и социальной инженерии (64%). Также увеличилось количество атак, в которых злоумышленники эксплуатируют уязвимости на сетевом периметре компаний: в четвертом квартале 2020 года доля таких атак составила 20%.
При этом государственные системы в большинстве своем защищены хуже, чем коммерческая отрасль, считает руководитель группы по оказанию услуг в области кибербезопасности представительства компании KPMG в России и СНГ Илья Шаленков. «Этому способствует недостаточное внимание к проблеме среди руководящих лиц, а также недофинансирование данного аспекта в ряде ведомств», — считает он. Атакам чаще всего подвергаются так называемые объекты критической информационной инфраструктуры (КИИ), к которым относятся в том числе многие крупные компании из банковской сферы, энергетики, оборонной промышленности. Вместе с тем в «Лаборатории Касперского» подчеркивают, что большинство организаций серьезно подходят к вопросу текущей защищенности: они выстраивают эффективную многоуровневую защиту, которую важно поддерживать в актуальном состоянии, чтобы действовать на опережение.
Кибератаки на государственные системы имеют свою специфику — в частности, в этих случаях отличается поведение злоумышленников после успешного проникновения в систему. «Если, например, в финансовой сфере атакующие действуют довольно быстро и последствия вторжения почти сразу становятся известны, то в государственном секторе в большинстве случаев цель злоумышленников смещается в сторону шпионажа. Это значит, что их основная задача — скрывать свое присутствие в инфраструктуре для получения доступа к закрытым данным», — рассказывает управляющий директор «Лаборатории Касперского» в России, СНГ и странах Балтии Михаил Прибочий. Так, по данным Positive Technologies, доля шпионажа при атаках на государственные организации составляет 58%.
«В начале 2020 года были замечены рассылки APT-группировок SongXY, APT36, TA428, TA505 и Higaisa, которые распространяли вредоносные документы, используя тему COVID-19. Эта же тема использовалась в атаках с помощью вредоносных программ Chinoxy и KONNI», — говорит руководитель исследовательской группы отдела аналитики информационной безопасности компании Positive Technologies Екатерина Килюшева. По мнению Михаила Прибочего, такие атаки в основном сложно выявлять, они требуют особого подхода к формированию защитных мер.
Эксперты подчеркивают, что причиной утечки наиболее часто становится человеческий фактор
Вместе с тем эксперты подчеркивают, что причиной утечки наиболее часто становится человеческий фактор. «По неосторожности или из-за недостаточной осведомленности сотрудники совершают действия, которые приводят к утечкам ценных информационных активов», — полагает руководитель группы развития бизнеса Solar Dozor компании «Ростелеком-Солар» Алексей Кубарев. По его мнению, внедрение технических средств позволит создать политики, которые в соответствии с регламентом и полномочиями ограничат действия сотрудников с информацией, исключив высокую вероятность человеческой ошибки. «На мой взгляд, на повышение уровня защиты информации в стране окажет влияние включение в законодательство ряда требований к организациям, обрабатывающим чувствительную информацию, и совершенствование органами исполнительной власти регламента по применению технических средств защиты информации», — добавляет он.
По оценке Solar JSOC, около 90% госструктур уязвимы не только для продвинутых кибергруппировок, но и для злоумышленников с низким уровнем квалификации (киберхулиганов). «По нашим данным, профессиональные хакерские группировки стали чаще атаковать органы власти через инфраструктуру подрядных организаций. Так, кража пароля, заражение машины подрядчика или компрометация статического канала связи между инфраструктурами позволяют злоумышленникам, используя технику supply chain, развивать атаку на организацию», — замечает Алексей Кубарев. Атаки типа supply chain, направленные на органы власти и объекты КИИ, в 2020 году показали двукратный рост и могут в скором времени стать одной из ключевых угроз для национальной кибербезопасности.
При этом злоумышленники со средним уровнем квалификации часто эксплуатируют уязвимости, которые возникают из-за отсутствия обновления ПО на серверах и рабочих станциях в изолированных сегментах: то есть на тех носителях, которые не подключены к интернету из соображений безопасности, так как хранят чувствительные данные. «Чтобы этого избежать, необходим формализованный ручной или полуручной процесс по обновлению, который отсутствует в 96% госорганизаций», — говорит Алексей Кубарев.
