Кибербезопасность. Итоги 2021, тренды 2022 - Часть1

За сложными для ИТ-индустрии 2020 и 2021 годами последовал не менее сложный 2022-й, который принес очередные перемены в ландшафт киберугроз. С весны технологическое развитие российских компаний стало стремительно перестраиваться под новые экономические реалии. Уход из России крупнейших разработчиков IT-решений и последующая перенастройка процессов цифровизации повлекли за собой обострение вопросов кибербезопасности и дальнейший пересмотр компаниями собственных продуктовых ресурсов в сторону тотального импортозамещения.

Понятие «кибербезопасность» включает в себя совокупность методов и техник защиты от атак злоумышленников для серверов, компьютеров, мобильных устройств, сетей и данных - защиту от атак в киберпространстве. Стоит подчеркнуть, что этот термин не является синонимом информационной безопасности, включающей в себя защиту данных от любых форм угроз, и аналоговых, и цифровых. Директор Центра информационной безопасности «Галэкс» Павел Плетнев называет кибербезопасность «базовым условием выживания в цифровой экономике». По мнению участников профессионального сообщества, на сегодняшний день российский сектор развивается поступательно, а глобальные показатели цифрового развития РФ в целом считаются достаточно высокими.

В Глобальном рейтинге уровня цифровизации и развития информационно-компьютерных технологий за 2021 год (Network Readiness Index 2021) Российская Федерация заняла 45 строку, а в Рейтинге глобальной кибербезопасности 2021 (ITU Cybersecurity Index) - 5 место, что является очень высокими результатами. Однако такая степень развития цифровизации и внедрения ИТ систем не означает, что уровень кибербезопасности будет ей соответствовать, поскольку эксперты утверждают, что по мере роста цифровой грамотности страны уровень кибербезопасности падает.

На рисунках ниже представлены результаты рейтингов. Стоит обратить внимание, что страны, опережающие Россию, уже на протяжении многих лет обладают очень высоким уровнем развития и внедрения цифровых технологий.

Источник: Network Readiness Index 2021

Рейтинг глобальной кибербезопасности впервые вышел в 2015 году. Он обновляется раз в два года, охватывает 194 страны и производит оценку по 5 направлениям: технические, правовые и организационные меры, меры для развития потенциала и меры в отношении сотрудничества. Как и все основные мировые рейтинги, исследование оценивает фактическое положение государств по комплексу показателей с целью определить слабые и сильные стороны (в первую очередь, необходимые для самого государства), а также для придания импульса ведущим игрокам рынка для обмена опытом в сфере кибербезопасности.

Источник: ITU Cybersecurity Index 2021

Источник: ITU Cybersecurity Index 2021

По словам президента ГК InfoWatch и соучредителя «Лаборатории Касперского» Натальи Касперской, процесс импортозамещения в индустрии кибербезопасности в России происходит давно и очень успешно. Так, например, накануне пандемии на рынке шифрования отечественные разработки достигли 100%. По словам Натальи Касперской, в мире в целом было обнаружено порядка 150 тыс. киберуязвимостей. Третья часть из них до сих пор не исправлена, а некоторые производители не планируют устранять их в принципе. Наиболее уязвимым сектором остаются мобильные приложения, а наибольший рост кибератак отмечается в секторе IоT (Интернет вещей). Причем в IоT проблема может заключаться не только в программных уязвимостях, но и в умышленных (хоть и незаконных) действиях самого производителя. Основные типы угроз, представляющие предмет деятельности сектора кибербезопасности, следующие:

• Вредоносное ПО. К нему относятся любые программы или файлы, способные причинить ущерб компьютеру, сети или серверу. Это вирусы, «черви», трояны, программы-вымогатели, программы-шпионы. Их целью является кража, шифрование и удаление личных данные, изменение вычислительных функций и контроль активности устройств.

• Социальная инженерия – атаки, основанные на человеческом общении, когда злоумышленники вынуждают пользователей путем обмана выдавать им конфиденциальную или личную информацию.

• DoS-атака - при которой злоумышленники пытаются сделать невозможным предоставление услуги. При успешной реализации такой атаки можно заблокировать доступ ко всем устройствам атакуемого - серверам, сетям, приложениям, службам и др.

• Фишинг – рассылка пользователям сообщений или электронной почты, подделанных под профили надежных ресурсов, для получения личной информации (пароли, данные банковских карт).

• Целевая атака – направлена на кражу данных у крупных компаний или госструктур, суть которой состоит в том, что злоумышленник получает доступ к сетевым ресурсам и может очень долгое время оставаться незамеченным.

• Внутренние угрозы. Сюда относятся действия сотрудников или внешних клиентов вследствие нарушения основных требований безопасности или в результате плохого умысла.

• Сталкерское программное обеспечение – приложения, распространяемые под видом сертифицированного ПО. Оно предназначено для слежения за пользователями (просмотр файлов, фото, переписки, геолокации в режиме реального времени).

• Новый вид атак, направленный на ресурсы добычи и торговли криптовалютой, – криптоджекинг.

• Атаки на цепочку поставок – взлом контрагентов для доступа к ресурсам организации, являющейся объектом взлома. Производится в тех случаях, когда у компании, в отличие от ее поставщиков надежная система безопасности.

Источник: Positive Technologies

По данным Cyber Polygon, в мире в 2021 году 85% составили «классические» атаки. Это фишинговые сайты на тему коронавируса, оформление «подлинных документов» о вакцинации, а также реклама проектов, приносящих мгновенных доход. Порядка 10% пришлось на программы-вымогатели, которые были нацелены на крупные корпорации (пример - атака на гигантскую сеть заправок Colonial Pipeline в США), 5% хорошо организованных атак, направленных на госструктуры разных стран до сих пор не расследованы. Согласно статистике, собранной в «Ростелеком-Солар», фишинг в прошлом году оставался популярным у кибермошенников с низкой квалификацией. Хакеры более высокого уровня подготовки использовали для своих действий веб-уязвимости государственных органов власти (50% атак).

В России, по итогам 2021 года, количество атак увеличилось всего на 6,5% по сравнению с 2020 г., при этом доля целевых атак составила 74% от общего количества. Основными объектами стали системы хранения данных госучреждений и медорганизаций, а предметом – хищение больших объемов информации. В трети атак использовались уязвимости в программном обеспечении. Самым популярным вредоносным ПО остались шифровальщики (6 из 10 атак). По-прежнему большое количество атак происходит в секторе социальной инженерии. Все больше разработчиков вредоносного ПО нацеливают свои продукты на устройства. Также, по данным компании CrowdStrike, растет количество атак на устройства на базе Linux (+35%). Соответственно, если компания использует данную продукцию требования к кибербезопасности должны быть повышенными. По информации экспертов Positive Technologies, растет количество атак на облачные технологии, в ИТ-среде появился новый термин ransomcloud (шифровальщики, ориентированные на облака). Эксперты компании подчёркивают, что в текущем году данные тренды также актуальны. Динамика количества атак в 2020 и 2021 гг. показана на рисунке ниже.

Источник: Positive Technologies

В прошлом году 86% всех атак были направлены на различные организации, их распределение по категориям показано на рисунке ниже.

Источник: Positive Technologies

В связи с геополитической ситуацией интерес киберпреступников к российской инфраструктуре резко повысился. Генеральный директор Positive Technologies Денис Баранов считает, что оценка кибератак должна быть в первую очередь качественной, а не количественной: «Ломать начали все и всех, уязвимости ищут на периметре любой компании. Страна превратилась в один большой киберполигон». Однако, по его мнению, сам характер атак говорит о том, что они производятся не самыми высококвалифицированными специалистами, поэтому сложившуюся на сегодня ситуацию «нельзя назвать полноценной кибервойной». Начинающие киберпреступники, не обладающие знаниями и навыками для атак хорошо защищенных систем, пытаются взламывать всё, что получается. Примером стало большое количество СМИ уровень защиты, которых не высок, поскольку ранее они не являлись предметом активных атак. По словам Руководителя Positive Technologies, цели и мотивы атак также поменялись. Если ранее в большинстве взломов прослеживался финансовый интерес, то сегодня это нанесение максимального ущерба – уничтожение данных и ущерб оборудованию.

Согласно экспертным оценкам, в I полугодии количество ИБ-инцидентов выросло на 25%. Однако точной количественной оценки не существует, поскольку не существует единой методики оценки. Сегодня предметом обсуждения бизнеса и власти является выбор пути, по которому будет следовать Россия для преодоления многочисленных вызовов и восстановления ИТ-сектора. Экспертное сообщество всё чаще обсуждает модели и комплексы мер, которые применяют иностранные государства – лидеры отрасли для реализации целей кибербезопасности. При этом наиболее адаптивным и полезным для нашей страны, по мнению многих специалистов, может стать опыт Южной Кореи. В качестве примера можно привести законодательные меры. Так свод законов о защите данных в этой стране включает в себя «Закон о защите персональных данных», ряд отраслевых законов (таких, как закон «О сетях информации и связи») и Акт национальной безопасности. В практической части - в 2003 году был создан Корейский центр Интернет безопасности (KISА), который работает в режиме 24/7, предоставляя и контролируя всю информацию, проходящую через сеть в стране. В этом огромном информационном центре фиксируются все инциденты в области кибербезопасности. С другой стороны, правоохранительные органы Южной Кореи проводят проверки безопасности, информирования KISА о каждом случае, а также блокируют вредоносных порты в случае их обнаружения. То есть система выстроена таким образом, что она объединяет в себе все необходимые звенья реагирования и принятия решений при попытках злоумышленных действий в киберпространстве.

Денис Баранов недавно завил, что для того, чтобы мир становился более безопасным и защищенным, между всеми специалистами в области кибербеза должен происходить обмен информацией и знаниями о новых уязвимостях и угрозах: «Санкционная реальность нарушила контакты с крупными западными разработчикам и поставщиками. Более того, западные разработчики известных решений, в частности, не принимают информацию об обнаруженных уязвимостях или других чувствительных ошибках. Конечно, для рынка это нездоровые отношения».

Так сложилось исторически, что около 50% решений на рынке предоставлялось западными компаниями, поэтому их уход из нашей страны стал дополнительным фактором, стимулирующим развитие российского рынка кибербезопасности. Импортозамещение в отрасли одномоментно превратилось в насущную необходимость: ключевые западные игроки одним днем ушли с рынка, и бизнес постепенно начал переходить на российские продукты.

Жертвой кибератаки может стать любая организация, независимо от отраслевой специфики, но последствия этой атаки будут напрямую зависеть от того, какие меры по недопущению реализации негативных событий были приняты. Сегодня у большинства компаний произошло переосмысление подхода к построению киберзащиты, а отношение к кибербезопасности и к специалистам, ее осуществляющим, существенно изменилось. Эксперты Positive Technologies, говорят о том, что предотвращение злоумышленных действий, количество которых только возрастает, должно быть в постоянном фокусе бизнес-структуры: «Важную роль в достижении этой цели играет триада безопасной IT-инфраструктуры - это конфиденциальность, целостность и доступность. Под конфиденциальностью подразумевается набор правил, ограничивающих доступ к информации. Целостность гарантирует, что информация является точной и достоверной. Доступность, в свою очередь, отвечает за надежность доступа к информации уполномоченных лиц».