В ходе пресс-конференции компании Positive Technologies, посвященной итогам 2022 года, советник генерального директора Артем Сычев подчеркнул, с точки зрения нормативно-законодательного направления важным событием стал выход 250-го указа президента «О дополнительных мерах по обеспечению информационной безопасности РФ».
Вторым важным событием он назвал дискуссии вокруг оборотных штрафов, связанные с утечками персональных данных (ПД). В конце декабря Минцифры доработало соответствующий законопроект, который отныне устанавливает оборотные штрафы за утечки персональных данных в размере от 5 до 500 млн рублей. «Но вопрос в том, как убедиться, что утечка произошла действительно по вине оператора [персональных данных], а не потому, что злоумышленник воспользовался какой-то лазейкой, о которой никто и подумать не мог? Камнем преткновения становится доказательство вины оператора», — отметил Артем Сычев.
К концу года правительство также утвердило Концепцию формирования и развития культуры информационной безопасности граждан РФ. Причиной появления этого документа стало непонимание людей сути технологий, которые они используют.
Кто и как атакует российские организации?
В 2022 году сотрудники экспертного центра безопасности Positive Technologies провели более 50 расследований инцидентов в области ИБ. Пик их количества пришелся на апрель. Уровень сложности атак заметно варьировался: начиная от энтузиастов и заканчивая проправительственными APT-группировками (advanced persistent threat — хакеры с современным уровнем специальных знаний и значительными ресурсами, — прим. ред.).
Больше половины инцидентов было совершено квалифицированными злоумышленниками. 20 % случаев составили атаки типа на цепочку поставок и атаки типа через доверительные отношения, которые сложно расследовать специалистам по ИБ. Злоумышленники не изобретают новые способы нападений, но количество инцидентов с применением известных методов продолжает расти, поделился директор экспертного центра безопасности Positive Technologies Алексей Новиков.
За большинством атак в прошедшем году стояли политически мотивированные хактивисты — как хакеры-одиночки, так и спонтанно организованные группы, которые преимущественно состояли из разрозненных энтузиастов.
Каким отраслям досталось больше всего?
В топ самых атакуемых, учитывая общемировые данные, вошли следующие отрасли: государство, медицина, промышленность, финансы, информационные технологии и наука.
Госучреждения столкнулись с наибольшим количеством кибератак: их доля от общего количества атак составила 17 %, это на 2 п. п. больше, чем в 2021 году. Злоумышленники использовали вредоносное программное обеспечение (ПО) почти в каждой втором нападении. Наиболее популярными типами оказались шифровальщики (56 % среди атак с применением вредоносного ПО) и программы для удаленного управления (29 %). Действия злоумышленников в каждой третьей атаке на госучреждения приводили к утечке конфиденциальной информации. С нарушением деятельности в том или ином виде столкнулись учреждения в более чем половине случаев.
Действия злоумышленников в каждой третьей атаке на госучреждения приводили к утечке конфиденциальной информации.
В случае с медучреждениями в более чем 80 % случаев действия злоумышленников приводили к утечкам данных о клиентах. Наиболее резонансным стал инцидент с кражей сведений клиентов (персональных данных и результатов анализов) лаборатории «Гемотест». Каждая третья атака становилась причиной перебоев в функционировании рабочих процессов.
Почти каждая десятая атака на организации приходилась на промышленные предприятия. Так, производитель мясной продукции «Мираторг» подвергся атаке шифровальщика BitLocker, в Ростовской области в результате действий злоумышленников был временно остановлен завод «Тавр», а в агрохолдинге «Селятино» киберпреступники попытались испортить 40 тыс. тонн продукции, получив несанкционированный доступ к системам, отвечающим за температурный режим хранения замороженной продукции.
Общее количество атак на финансовые организации снизилось на 7 % по сравнению с аналогичным периодом 2021 года, и сейчас составляет около 4 % от количества всех атак на организации. Для осуществления атаки чаще всего (47 %) применялась социальная инженерия.
Финансовые организации в основном сталкивались с кражей конфиденциальных данных (53 % атак) и остановкой бизнес-процессов (41 %). Непосредственные финансовые потери в результате атаки происходили в 6 % случаев.
Количество нападений на ИТ-компании несколько уменьшилось по сравнению с 2021 годом, однако на них все еще приходится 6 % атак на организации. Как полагает аналитик исследовательской группы отдела аналитики информационной безопасности Positive Technologies Федор Чунижеков, атаки на цепочки поставок ПО и услуг будут продолжаться по мере того как компании переносят свои данные в облачную инфраструктуру.
Количество атак на учреждения из сферы науки и образования сопоставимо с результатами 2021 года: в более чем половине случаев злоумышленники смогли украсть конфиденциальные данные. В каждой второй атаке использовались шифровальщики, а основной целью было получение выкупа от образовательного учреждения.
Что приобрел рынок после ухода иностранных вендоров?
После ухода западных вендоров российские разработчики выиграли с точки зрения конкуренции, говорят участники рынка. «Однако это колоссальная потеря тех компонентов и модулей, из которых создавались продукты — нет западных облаков, привычных управляемых сервисов и систем для разработки. Мы оказались в ситуации, когда либо создаем свои компоненты, либо пользуемся доступными, но менее качественными», — посетовал управляющий директор Positive Technologies Алексей Андреев.
Эксперты задаются вопросом, как за короткий срок разработать такие системы, которые на западе создавалась десятилетиями, менялись в результате конкуренции, эволюционировали?
Эксперты задаются вопросом, как за короткий срок разработать такие системы, которые на западе создавалась десятилетиями, менялись в результате конкуренции, эволюционировали? Например, межсетевые экраны (файерволы, — прим. ред.).
«Качественный файервол на должном уровне разработали всего три компании в мире, и все они не российские. Это технологически сложный продукт с высокими требованиями к отказоустойчивости, нагрузкам. Чтобы нам преодолеть этот разрыв с западом, нужно найти уникальный путь. Конечно, невозможно сделать новую сетевую “железку”, не повторив все те протоколы, которые все еще встречаются в интернете. Но если смотреть на причины, по которым до сих пор существуют почти все сетевые технологии, созданные начиная с 60-х годов, — это обратная совместимость. Устаревшие технологии, которые априори небезопасные, но их нельзя убрать в процессе эволюции. А в результате революции — можно. То есть тут тоже есть пространство для сокращения времени разработки и кратное улучшение технологической базы сетей», — рассуждает руководитель продуктов для обеспечения безопасности приложений Positive Technologies Алексей Астахов.
Что ждет рынок?
Директор по развитию бизнеса Positive Technologies Максим Филиппов убежден, что в ближайшие годы на рынке ИБ останутся только отечественные разработчики, а сам он вырасет в разы. Еще больше увеличится востребованность технологий, позволяющих предотвращать хакерские атаки до того, как компаниям будет нанесен непоправимый ущерб. В частности, новым трендом можно считать рост интереса к платформам типа bug bounty (обнаружение проблем в безопасности сервисов и приложений, — прим. ред.) у компаний различных сфер бизнеса, практическим киберучениям и средствам защиты с максимальным уровнем автоматизации в части выявления хакерских атак и противодействия им.
Среди основных трендов изменений в законодательной и нормативно-правовой базе в области информационной безопасности в новом году Артем Сычев назвал развитие 250-го указа. В его поддержку должны появиться некоторые методологические документы и практика применения мер воздействия на нарушителей. «Российское законодательство и нормативная база не оперирует таким понятием, как “недопустимые события”. Крайне важно, чтобы оно под этим или каким-то иным названием появилось в законодательстве и нашло свое отражение в целой цепочке нормативных актов — от приказов ФСТЭК до методических рекомендаций Минцифры», – пояснил он.
Еще один тренд — легализация отраслевых центров ГосСОПКА, аккредитацию которых запустил 250-й указ. Теперь перед ФСБ стоит задача по нормативному оформлению этого процесса.
Бизнес-консультант по информационной безопасности Алексей Лукацкий добавил, что кадровый голод и запрос на практическую кибербезопасность будут, с одной стороны, стимулировать развитие рынка, а с другой — формировать запрос на появление технологий с высокой автоматизацией противодействия киберугрозам, когда роль оператора продуктов ИБ будет все больше замещаться технологиями автоматического противодействия атакам.
«Новая норма об уведомлении ФСБ и Роскомнадзора об утечках персональных данных в течение суток распространяется на 8 млн предприятий — от органов власти и компаний первого эшелона до индивидуальных предпринимателей. Если добавить к этому требование указа №250 о наличии почти в полумиллионе российских организаций заместителя генерального директора, ответственного за кибербезопасность, а также отдельной службы ИБ, то ситуация становится еще более сложной — в России сейчас просто нет такого количества специалистов по ИБ», — предупредил он.
По-прежнему будет наблюдаться дефицит «железа». С одной стороны, эта ситуация подстегивает переезд компаний в облака, а с другой — заставляет их больше фокусироваться на софте и меньше закупать специализированное «железо». Будут заменяться первоочередные решения в области ИБ: межсетевые экраны следующего поколения, системы мониторинга событий ИБ, сетевых аномалий и атак, системы защиты оконечных устройств, межсетевые экраны для веб-приложений, сканеры безопасности, средства идентификации и аутентификации, системы предотвращения вторжений.
Эксперты прогнозируют, что в 2023 году у злоумышленников возрастет интерес к отечественным ОС (Astra Linux, ALT Linux, РЕД ОС). Доля атак на Linux-системы в III квартале 2022-го выросла до 30 % от всех атак с использованием вредоносного ПО. Для GNU/Linux появляются новые типы вредоносных программ.
Проблемы, связанные с уходом зарубежных производителей ПО, отсутствием обновлений безопасности, нарушением привычных цепочек поставок, спровоцировали разрыв связей между разработчиками и исследователями безопасности из разных стран, уверяют специалисты Positive Technologies. Это приведет к тому, что в софте станет значительно больше уязвимостей, о которых не знают разработчики, но которые могут быть выявлены злоумышленниками.
Очевидной окажется необходимость российских компаний сменить парадигму построения кибербезопасности в пользу обеспечения цифровой устойчивости предприятия. Они начнут с самых ценных активов, негативное воздействие на которые недопустимо для бизнеса, а затем переключатся на второстепенные активы, полагают эксперты.
