Осознание последствий
Перед тем как оценивать уровень защищенности компаний от киберугроз, нужно понимать различия организаций, которые напрямую влияют на их уровень информационной безопасности (ИБ). «Это не только размер компании и отраслевая принадлежность, но также ее осведомленность о сложных киберинцидентах, готовность к отражению подобных угроз и поддержанию в актуальном состоянии имеющейся защиты. И стоит отметить, что у разных организаций — разная степень необходимости следовать требованиям регуляторов», — говорит управляющий директор «Лаборатории Касперского» в России, СНГ и странах Балтии Михаил Прибочий.
Сегодня растет заинтересованность в оценке реальных последствий от возможных киберугроз, и компании стремятся определить возможность осуществления недопустимых для бизнеса рисков, подготовиться ко встрече с хакерами и снизить возможные негативные последствия. Передовыми в вопросах информационной безопасности можно назвать компании, которые понимают свои риски, знают, каким образом злоумышленник может ими воспользоваться и как выявить злоумышленника в инфраструктуре, и строят безопасность таким образом, чтобы предотвратить реализацию рисков. При этом зрелые российские компании в вопросе обеспечения кибербезопасности стоят на достаточно высоком уровне, а более молодые фирмы, которые находятся на стадии активного роста, обладают средним уровнем обеспечения киберзащиты. «Небольшие компании зачастую просто не могут себе позволить передовые и дорогостоящие системы, закупаемые крупными корпорациями. Поэтому в компаниях малого и среднего бизнеса уровень ИБ в целом ниже, чем в сегменте Enterprise», — объясняет руководитель группы развития бизнеса Solar Dozor компании «Ростелеком-Солар» Алексей Кубарев.
Зачастую целью киберзлоумышленников становится получение прибыли, и в первую очередь в их поле зрения попадают финансовые организации. Так, по словам зампреда правления Сбербанка Станислава Кузнецова, банк подвергается хакерским атакам чаще других организаций в Европе: в среднем банку приходится иметь дело с 26 млрд событий кибербезопасности в сутки. При этом проникнуть во внутренние системы банка хакерам еще не удавалось. «Конечно, представители этого сектора прекрасно понимают объем угроз, направленных на них, и уделяют особое внимание эффективным комплексным мерам для качественного противодействия атакам. На наш взгляд, быстрее и эффективнее повышают свой уровень кибербезопасности субъекты критической информационной инфраструктуры (КИИ, — прим. ред.)», — отмечает Михаил Прибочий. Речь идет о тех организациях, которые должны соблюдать нормы действующего законодательства, выполнять обязательства по уведомлению о нарушениях, по оперативному предоставлению необходимой информации о произошедших компьютерных инцидентах и соблюдению требований по обеспечению безопасности значимых объектов КИИ. Компании, деятельность которых опирается на информационные технологии (ИТ), уделяют вопросам информационной безопасности куда больше внимания, считает руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков. «То есть, например, абстрактная крупная площадка электронной коммерции обычно защищена лучше, чем абстрактный завод тяжелой промышленности», — замечает он. Среди передовых организаций с высоким уровнем безопасности эксперты выделяют «Ростелеком», «Россети», Сбербанк, «Роснефть» и «Северсталь».
Для того чтобы обеспечить необходимый уровень защищенности бизнеса в долгосрочной перспективе, нужно понимать, каким окажется бизнес компании через 3–5 лет. «Таким образом, стратегия кибербезопасности становится необходимым управленческим инструментом, наряду со стратегией развития бизнеса и технологической стратегией», — уверен партнер и руководитель практики управления киберрисками компании Deloitte в СНГ Денис Липов. При этом средства кибербезопасности не могут действовать реактивно, а организационные и технические меры защиты должны быть адекватны уровню сложности и автоматизации бизнес-процессов. «С учетом того, что развертывание современных технологий и процессов в области кибербезопасности может занимать длительное время, необходимо четко понимать, когда в них возникнет потребность, и начинать подготовку заранее», — объясняет он. Кроме того, стратегия кибербезопасности должна показывать руководителям варианты стратегического развития исходя из текущего и предполагаемого профиля риска организации, а также риск-аппетита руководства. «Мы видим запрос на разработку стратегии кибербезопасности в таких технологичных отраслях как телекоммуникации и розничная торговля», — добавляет Денис Липов.
Скрытые киберугрозы
С каждым годом количество утечек информации лишь увеличивается. «Обратный тренд мы не наблюдали очень давно и, вероятнее всего, не будем наблюдать в ближайшие несколько лет», — замечает Алексей Кубарев. Это связано с несколькими причинами, среди которых цифровизация всех отраслей (которая сопровождается усложнением ИТ-ландшафта организаций), отсутствие регуляторных мер по использованию средств защиты от утечек информации (что в том числе стало причиной недостаточно высокого уровня обеспечения ИБ), сравнительно низкие штрафы за утечки данных из компаний. «В мировой практике санкции значительно выше, что стимулирует бизнес внедрять специализированные средства защиты», — продолжает он.
Что касается итогов 2020 года, то мощным драйвером утечек информации стал стремительный переход на удаленную работу, к которому организации не были технически подготовлены, уверены эксперты. В результате периметр компаний размылся, обнажив слабые места. Так, в период первой волны самоизоляции из-за коронавируса (конец марта – начало июня) эксперты «Ростелеком-Солар» отметили 25%-ный рост числа инцидентов, связанных как со случайной утечкой конфиденциальной информации, так и с попытками умышленного «слива» данных в российских компаниях. «Сотрудники использовали личные устройства и для рабочих задач, и для своих повседневных дел. Для злоумышленников ситуация сложилась как нельзя лучше. Во время пандемии не раз фиксировался рост фишинговой активности хакеров», — рассказывает Алексей Кубарев.
Увеличение доли DDoS-атак, особенно на сферу онлайн-торговли, где этот хакерский инструмент стал применяться в 2 раза чаще, чем в 2019-м, эксперты объясняют тем, что в 2020 году существенно выросла значимость каналов связи и онлайн-сервисов, которые обеспечивали не только доступность онлайн-ресурсов, но также удаленный доступ сотрудников к корпоративной инфраструктуре. Такое изменение ИТ-ландшафта открыло новые возможности для злоумышленников.
В 65% случаев целью злоумышленников в атаках на организации является кража данных, а в 37% — финансовая выгода, говорят в Positive Technologies. Одной из главных угроз 2020 года стали шифровальщики; в четвертом квартале2020 года уже более половины атак с использованием вредоносного программного обеспечения (ПО) совершали именно операторы программ-вымогателей. «Компании платили огромные выкупы за восстановление инфраструктуры или неразглашение украденных данных и даже были вынуждены приостанавливать свою деятельность. Растет и число атак APT-группировок (advanced persistent threat — сложные целенаправленные атаки, — прим. ред.)», — замечает руководитель группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева. Кроме того, по ее словам, набирают популярность атаки типа supply chain (атаки на цепь поставок, — прим. ред.): поскольку уровень защищенности крупных компаний повышается, злоумышленники чаще начинают атаку со взлома их партнеров и поставщиков услуг — например, атакам подвергаются разработчики ПО и средств защиты, провайдеры облачных услуг. Рост популярности метода supply chain указывает не просто на изменение технической специфики атак, а на появление новой ключевой угрозы кибербезопасности на государственном уровне.
Для защиты от кибератак необходимо придерживаться базовых правил обеспечения корпоративной кибербезопасности, советуют эксперты. Рекомендуется обратить внимание на защиту сетевого периметра, в том числе своевременно устанавливать обновления и выстроить автоматизированный процесс управления уязвимостями. «Следует использовать современные средства защиты, включая web application firewall (файервол веб-приложений, — прим. ред.), средства анализа сетевого трафика, SIEM-системы (Security information and event management — мониторинг инцидентов безопасности, — прим. ред.). Для предотвращения атак, связанных с доставкой вредоносных программ по электронной почте, следует проверять вложения в “песочнице” — специальной виртуальной среде, предназначенной для анализа поведения файлов», — объясняет Екатерина Килюшева. Чтобы построить максимально эффективную систему защиты, необходимо руководствоваться принципами риск-ориентированного подхода и проверять возможность реализации конкретных рисков, недопустимых для бизнеса. «Оптимальным решением является проверка рисков на киберполигоне, где есть возможность смоделировать атаки без ущерба для реальной инфраструктуры. Отметим, что ФСТЭК (Федеральная служба по техническому и экспортному контролю, — прим. ред.) выпустила проект новой методики моделирования угроз, в которой основополагающим моментом является понимание организацией и ее руководством недопустимых последствий от кибератаки, а также вероятного сценария развития такой атаки в инфраструктуре», — заключает эксперт.
Необходимые средства
Бюджеты на защиту от киберугроз сильно разнятся в зависимости от размеров и зрелости компании. «При этом расходы на меры защиты не должны превышать уровень киберрисков. Рациональный риск-ориентированный подход к определению инвестиций в кибербезопасность позволяет соотнести риски снижения финансовых показателей и репутационные риски с размером инвестиций в кибербезопасность и обеспечить нужный уровень защищенности бизнеса, не блокируя при этом динамичное развитие и эффективность работы», — объясняет Денис Липов.
Хорошей практикой формирования бюджета на обеспечение информационной безопасности является выделение 5–7% от выручки компании, добавляет Алексей Кубарев. На обеспечение информационной безопасности средние и крупные компании тратят примерно одну пятую от всего бюджета на ИТ. В компаниях с большим количеством офисов бюджет на ИБ в среднем начинается от 10 млн рублей. При этом, например, «Россети» ежегодно тратят на мероприятия по кибербезопасности около 2 млрд рублей. Согласно данным глобального исследования PwC «Доверие к цифровым технологиям» 2021 года, более половины российских компаний готовы увеличить бюджет на кибербезопасность. Вместе с тем большой бюджет не всегда гарантирует высокий уровень кибербезопасности: эффективность во многом зависит от гибкости применяемых систем и подходов и грамотного управления процессами безопасности.
Участники рынка убеждены, что согласование бюджета на применение нового средства защиты может занять довольно долгое время. При этом цикл внедрения многих продуктов (в частности, систем предотвращения утечек) длительный и состоит из нескольких крупных этапов. «Принято думать, что за сроки внедрения отвечает вендор, однако это не совсем так. Скорость прохождения всех этапов зависит в том числе от заказчика, так как многие процессы требуют его непосредственного участия», — замечает Алексей Кубарев. Так, с момента осознания потребности в продукте до ввода решения в эксплуатацию может пройти полгода или даже год — в зависимости от сложности проекта и слаженности работы вендора и заказчика. Кроме того, сдерживающую роль играет такой фактор как низкий уровень образованности в сфере кибербезопасности. Согласно исследованию «дочки» Сбербанка Bi.Zone, около 30% российских компаний пренебрегают систематическим обучением персонала правилам защиты от цифровых угроз. Однако в конце 2020 года — начале 2021-го количество работодателей, которые проводят киберобучение сотрудников, выросло на 8% по сравнению с 2019 годом.