Нависла киберугроза: почему российские компании страдают от хакеров и как защитить свой бизнес от DDoS-атак

Согласно данным аналитического центра компании StormWall, в первом квартале 2024 года количество DDoS-атак в России увеличилось на 73% по сравнению с аналогичным периодом прошлого года. Специалисты выяснили, что наибольшее количество киберинцидентов произошло в телекоммуникационной отрасли — 32% от общего числа атак. Далее следуют онлайн-ритейл (21%), энергетический сектор (18%), государственный сектор (14%) и финансовая отрасль (7%). Аналитики отмечают, что число хакерских атак на телеком-сферу выросло на 142% — за последние месяцы они совершались регулярно.

На прошлой неделе вопросы информационной безопасности на промышленных предприятиях обсуждали в Совете Федерации. «С учетом потенциальных угроз и последствий, связанных с технологическими сбоями, хакерскими атаками, обеспечение кибербезопасности на промышленных предприятиях является нашей приоритетной задачей», — подчеркнул заместитель председателя Совета по развитию цифровой экономики при СФ Артем Шейкин.

При этом в России ввели запрет на использование с 2025 года услуг кибербезопасности из недружественных стран.

Вирус-шифровальщик проник в СДЭК

В конце мая произошел технический сбой в работе компании СДЭК. Оператору доставки документов и грузов пришлось остановить прием и выдачу отправлений. Следом в одной из запрещенных в РФ социальных сетей группа хакеров Head Mare взяла на себя ответственность за происходящее и заявила, что использовала для своих целей вирус-шифровальщик.

Эксперты отмечали, что ущерб от сбоя работы сервисов СДЭК может достигнуть 1 млрд рублей.

«На текущем этапе внутреннего расследования, для которого были привлечены эксперты компаний BI.ZONE, "Инфосистемы Джет" и других организаций, мы можем подтвердить, что технический сбой был вызван внешним воздействием. На данный момент у нас нет оснований полагать, что произошла утечка персональных данных», — прокомментировали первые результаты расследования представители службы экспресс-доставки.

Сегодня можно взломать любую систему, заявляют эксперты. // Иллюстрация: Stable Diffusion

При этом технические сбои в работе компании происходят далеко не впервые. В этой связи резонно возникает вопрос: почему это происходит?

Отвечая на это вопрос, начальник отдела информационной безопасности предприятия «Абак-2000» Виталий Борка отмечает, что любую систему можно взломать – вопрос только в необходимом количестве средств и времени, потраченных на взлом.

«За последние пару лет ландшафт угроз для российских компаний существенно изменился. Если раньше даже крупные компании не рассматривали в своих моделях угроз в качестве «нарушителей» хактивистов и сотрудников спецслужб иностранных государств, то сейчас это реальность, — констатирует руководитель.

В 99% случаев кибератака это очень сложная процедура, которую выполняют профессионалы своего дела, и надо понять, для чего они это делают, говорит генеральный директор компании FIRECODE Андрей Морозов.

«Сейчас прошли времена, когда хакеры взламывают банки и похищают деньги, для злоумышленников намного проще обманывать обычных людей на небольшие суммы, но в больших объемах. Поэтому мы не знаем предыстории взлома СДЭК, а там могут быть интересные предпосылки, — комментирует эксперт.

Российские компании — цель для иностранных хакеров

По мнению основателя и управляющего RNDSOFT Романа Забродина, большинство профессиональных хакерских атак на крупные компании обусловлено современной геополитической ситуацией. В этом плане российские компании являются целью для международных хакерских группировок по причине потенциальной безнаказанности.

«Объекты атаки находятся вне юрисдикции атакующих, что существенно затрудняет расследование инцидентов и привлечение виновных лиц к ответственности. Кроме того, крупная компания может заплатить неплохой "выкуп" за восстановление информации, — объясняет собеседник. — В настоящее время подавляющее большинство профессиональных хакерских группировок курируют спецслужбы, где получают негласное одобрение (или молчаливое согласие) и необходимые консультации. Что касается объектов атаки, то здесь российские компании все еще пренебрегают мерами информационной безопасности, стараясь соответствовать требованиям регуляторов лишь формально».

Подавляющее большинство профессиональных хакерских группировок курируют спецслужбами, считает Роман Забродин. // Фото предоставлено спикером

Директор ЦКТ «Арктурус», заместитель директора по научной работе НИИ «Спецвузавтоматика» Константин Гуфан добавляет, что, как правило, супер безопасная система неудобна в эксплуатации и обладает слабыми функциональными возможностями. Удобство пользователя при этом обходится дорого, поскольку оно дает дополнительные возможности для злоумышленников.

«Бизнес, вынужден находить компромисс между бизнес-целями, которые связаны с его возможностями, и безопасностью систем их реализующих. Поэтому практически любая компания не застрахована от потенциального вредоносного воздействия, особенно от таких угроз, как атаки со стороны "внутреннего злоумышленника" или целевые атаки сильных хакерских группировок. Достаточно одной ошибки в конфигурации, которая была вызвана разовой необходимостью срочно решить какую-то задачу в старой и давно забытой информационной системе компании, чтобы злоумышленник ею воспользовался для успешной атаки», — комментирует «Эксперту Юг» Константин Гуфан.

Когда компания попадает под действие кибератаки, то самое сложное найти дыру в безопасности и устранить ее, считает Андрей Морозов.

«Это всегда выходит для бизнеса дорого и больно. Бизнес видит последствие атаки (не работают программы и т.п.), но не может понять причину, на поиск которой могут уйти часы или дни. И очень часто бывает, что злоумышленник после продолжительной атаки, предлагает компании выкупить найденную уязвимость, — рассуждает руководитель FIRECODE.

Сформировать модель угроз и сократить поверхности атаки

Специалисты сходятся во мнении, что защитить свой бизнес на 100% от атак хакеров в современном мире невозможно. Однако компаниям стоит приложить усилия, чтобы снизить риски подобных угроз.

Виталий Борка уверен, что помочь в этом плане сможет регулярное обновление программного обеспечения, обучение сотрудников правилам кибербезопасности, проведение регулярных аудитов и тестирований на проникновение и внедрение многослойной системы защиты (антивирусы, фаерволы, системы обнаружения вторжений, системы ). Компаниям также необходимо разработать и внедрить план реагирования на киберинциденты.

Андрей Морозов напоминает, что меры по обеспечению кибербезопасности должны быть финансово оправданы. // Фото: «Эксперт Юг»

 «В зависимости от ценности данных и уровня доступа системы, бизнесу необходимо применять соответствующую защиту, чтобы не усложнять свою жизнь, а меры по обеспечению безопасности были финансово оправданы. Например, для того чтобы безопасно хранить дома 10 тыс. рублей, нет необходимости ставить банковский сейф и охрану с автоматами. Этот пример можно отнести к защите от кибератак: всегда нужно обращаться к консультантам по ИБ, которые дадут оптимальное решение для бизнеса, чтобы оно было финансово оправданно», — напоминает Андрей Морозов.

От последствий может помочь грамотное резервирование. Существенно снижает риски сокращение поверхности атаки, для этого необходимо сделать так, чтобы у хакера было как можно меньше способов провести атаку, отмечает Роман Забродин.

«Важно также учитывать, что самым опасным нарушителем является нарушитель внутренний (работник), который с удовольствием поделится чувствительной информацией, если работодатель его как-то обидел. Поэтому здесь важны и организационные меры: разграничения доступа, обучение и воспитание сотрудников», — говорит основатель и управляющий RNDSOFT.

По мнению Константина Гуфана, общей для всех рекомендацией может служить необходимость формирования модели угроз информационной безопасности организации. Это позволит не только определить потенциальных злоумышленников, но и структурировать информацию о том, как нужно защищать предприятие.

«При этом, на мой взгляд, самым важным является вопрос расстановки приоритетов в системе защиты, — комментирует эксперт. — В реальности невозможно создать полностью безопасную и при этом достаточно функциональную систему. Нужен разумный компромисс, и он состоит в том, чтобы распределить усилия по защите между "важными" и "неважными" объектами. Такой подход не позволит гарантированно избежать хакерских атак, однако, их последствия будут не столь значительны».

Запрет на услуги кибербезопасности из недружественных стран

В середине июня Владимир Путин подписал указ об ограничении с 2025 года на использование российскими организациями услуг кибербезопасности от компаний из недружественных стран. Нововведения закрепляют границы уже созданных ранее указов.

Как пояснили представители Angara Security, речь идет о запрете на использование международных репозиториев открытого кода, облачные сервисы и технологии. По сути, таким образом президент дал понять, что до 1 января следующего года импортозамещение в этом направлении должно выйти на финишную прямую.

Компаниям необходимо создавать модель угроз информационной безопасности, считает Константин Гуфан. // Фото предоставлено спикером

Константин Гуфан уверен, что ограничения на услуги из недружественных стран стали очевидной необходимостью для обеспечения безопасности государства и граждан, поскольку одна из самых известных и опасных угроз в мире кибербезопасности — «атака на цепочку поставки».

«Представьте, что вы заказываете себе кофе в любимой кофейне, проходя мимо нее в одно и тоже время каждый день. Зная об этом, злоумышленник в нужный момент времени подменяет зерна на отравленные, при этом бариста об "атаке" даже не подозревает. Звучит пугающе? А теперь примем во внимание другой факт: кибербезопасность — это "издержка" для бизнеса. Традиционно во всех странах компании, работающие в этой сфере, непосредственно связаны с государством, которое в конечном итоге "настаивает" на том, чтобы компании пользовались средствами защиты. Таким образом, атака на цепочку поставки может быть реализована через любое средство кибербезопасности под влиянием иностранных спецслужб», — привел аналогию эксперт.

По его словам, другое направление для регулирования в этой сфере — анализ безопасности программных и технических средств экспертными системами. В совокупном итоге именно такие решения формируют технологический суверенитет России.

«К сожалению, в настоящий момент, рост спроса, вызванный необходимостью "переключения" компаний на российские решения, вызвал резкий рост цен на подобную продукцию, однако в целом на рынке представлена практически вся необходимая номенклатура и кибербезопасность. Это одна из отраслей, где возможно пресловутое импортозамещение», — подытожил Константин Гуфан.