Эксперты крупных российских компаний отвечают на два вопроса:
Какие угрозы кажутся вам наиболее актуальными для российского рынка в первом полугодии 2023 года?
Руслан Ложкин, руководитель службы информационной безопасности АКБ «Абсолют Банк»
Во-первых, DDoS. Основной заказчик — IT ARMY of Ukraine. Эти ребята публикуют в открытом доступе список доменов организаций с датами будущих атак и отрабатывают его. По какому принципу они составляют свой план, известно только им. В распоряжении IT ARMY of Ukraine имеется большой пул мощностей как за границей, так и в России. Нужно отметить, что злоумышленники стал чаще использовать DDoS L7, который схож с легитимными запросами и требует более детального анализа. В целом такие кейсы решаются довольно быстро (при условии подготовленности персонала), но могут возникать разного рода побочные эффекты, которые лучше отработать на киберучениях. К таким побочным эффектам можно отнести, к примеру, невозможность корректной удаленной работы в условиях фильтрации трафика, а также потерю связи с глобальным DNS при включении геофильтрации.
Во-вторых, фишинг, в том числе с вредоносными вложениями. Чаще всего это тот же заказчик. Сейчас распространяется масса писем с разными угрозами, в которых злоумышленники просят выкуп за отказ от реализации атаки. Обычно письма рассылаются массово, некоторые содержат вложения, вредоносное ПО и реквизиты для перевода средств. Здесь я бы предложил создать чат российских CISO для оперативной отработки таких кейсов.
В-третьих, социальная инженерия. Причем дело даже не в самой «социалке», а в степени обработки жертв. Участились кейсы с поколением 65+, когда в офис банка для перевода средств привозят человека, находящегося под сильным влиянием злоумышленников. Жертва не отрывается от телефона и доверяет удаленному собеседнику больше, чем сотрудникам банка и службы безопасности. В некоторых случаях приходится вызывать полицию, чтобы человека просто забрали, потому что иначе остановить злоумышленников просто не получается.
Антон Нечипоренко, начальник отдела информационной безопасности департамента анализа и защиты информации СПАО «Ингосстрах»
В первом полугодии 2023 года изменился вектор воздействия управляемых из-за рубежа и технически оснащенных организаций на информационную безопасность российских компаний, в том числе на «Ингосстрах». Злоумышленники преследуют конкретные цели, направленные на массовую дестабилизацию деятельности, — подобные кейсы автоматически получают серьезные оценки в карте рисков любой организации. ИБ-специалисты и ранее сталкивались с подобными случаями, однако не в таком объеме, масштабе и количестве. Мы фиксируем абсолютно новый уровень воздействия: у злоумышленников достаточно много ресурсов и средств для проведения длительных информационных атак с постоянно меняющимся вектором. Их цель — компании, обеспечивающие функционирование критической информационной инфраструктуры.
Юрий Шабалин, генеральный директор «Стингрей Технолоджиз» (ГК Swordfish Security)
Как мы и прогнозировали осенью 2022 года, количество кибератак на российские компании значительно возросло. Согласно данным «РТК-Солар», во II квартале 2023 года было выявлено 325 000 инцидентов в области ИБ. Это на 12% больше, чем в I квартале, и на 38% превышает показатель аналогичного периода прошлого года.
Мы заметили увеличение числа кейсов с применением шифровальщиков, причем не столько взломов, сколько уничтожения критически важной информации. В целом атаки хорошо организованы, в них участвует множество группировок и индивидуальных хакеров. Кроме этого, злоумышленники используют технологии искусственного интеллекта, машинного обучения и средства автоматизации атак.
Также мы столкнулись со впечатляющим ростом числа атак на цепочку поставок ПО через компоненты с открытым исходным кодом (не менее 100% в первом полугодии 2023 года по сравнению с первым полугодием 2022 года). Мы ожидали подобного в свете проблем с железом и переходом компаний в облака, но тренд, похоже, оказался мощнее, чем мы прогнозировали. Во втором полугодии он только усилится.
Особым интересом у злоумышленников, по нашим данным, пользуются веб-приложения компаний. Причем эксплуатируются известные уязвимости. Кроме того, потенциальную угрозу как для компаний, так и для частных лиц несут мессенджеры и бездумная установка любого рода приложений на смартфоны из надежных и не очень источников. Некоторые сервисы умеют в фоновом режиме осуществлять запросы на доступ к другим приложениям и похищать оттуда информацию. Злоумышленников интересует банковский и криптовалютный софт, а для доставки вредоносного кода используются игры. Это не новая информация, но, к сожалению, о ней крайне редко информируют россиян.
Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности Ренессанс Банка
Нельзя не обратить внимание, что DDoS-атаки, присутствовавшие в новостной повестке почти весь 2022 год, в 2023-м пошли на убыль. На мой взгляд, это связано с несколькими вещами: естественным падением интереса злоумышленников-энтузиастов, отсутствием каких-либо значимых результатов и в целом неплохой готовностью отрасли к отражению угрозы.
К сожалению, прослеживается тенденция, связанная с ростом количества утечек информации у клиентов. В том числе хешированных паролей, которые потом могут применяться для взлома аккаунтов на других ресурсах. На эту тенденцию обращают внимание и сами организации, и регулирующие органы. Причем нельзя сказать, что это сугубо российская история: утечки происходят по всему миру, и пока эффективные способы переломить ситуацию неочевидны.
В результате утечек и консолидации персональных данных в руках злоумышленников усиливается фишинг, в том числе взлом соцсетей крупных организаций. Мы ожидаем применения нейросетей для создания дипфейков — изображений, видео, голоса.
Помимо прочего, отмечаем увеличение числа атак на периметр организаций и доступные из интернета информационные системы, а также усиление давления со стороны шифровальщиков.
Сохраняется высокий риск атак через цепочки поставок — на ИТ-поставщиков вместо самих организаций. Это вызывает некоторое беспокойство, поскольку вся работа по защите ИТ-инфраструктуры может быть обнулена атакой через поставщика, обладающего удаленным доступом к ресурсам компании.
В заключение можно отметить усиление позиций IoT (автомобили с автопилотом, дроны). Пересечений физического и виртуального мира становится все больше, и интернет вещей заходит во все более критичные области: физическую безопасность, здоровье, частную жизнь.
Какие события являются для вашей компании недопустимыми и почему?
Руслан Ложкин, руководитель службы информационной безопасности АКБ «Абсолют Банк»
Я думаю, в этом плане Абсолют Банк не отличается от других финансово-кредитных организаций. На ситуацию нужно смотреть несколько шире. В начале XX века недопустимым событием для банка была кража средств из хранилища, 10 лет назад — с корсчета, а сейчас недопустимые события сильно завязаны на степень цифровизации компании. Процесс завязан на зависимость: от данных, технологий и людей, которые являются субъектами данных либо участниками технологий. Если все это является активами компании, ответ очевиден. Если злоумышленник повредит данные или процесс доступа к ним либо будет оказывать негативное воздействие на людей, которые могут повлиять на активы компании, это и будет недопустимым событием.
В случае неполной цифровизации можно рассматривать в качестве недопустимых событий нарушение работоспособности отдельных критически важных систем (например, АБС, КБР, ДБО) или кражу данных из них. Но когда цифровая трансформация завершена, люди, данные и технологии становятся единым целым и их нужно рассматривать в совокупности. Информационная безопасность становится неотъемлемой составляющей цифровизации, поэтому ее отсутствие можно считать недопустимым событием.
Антон Нечипоренко, начальник отдела информационной безопасности департамента анализа и защиты информации СПАО «Ингосстрах»
Это перечень из нескольких событий. Приведу примеры, но специально расположу их в случайном порядке.
- Недоступность внешнего сайта компании. В современном мире сайт — уже не визитка, а рабочее пространство для клиентов и партнеров, которым необходимо управлять своими договорами. Например, вносить дополнительных водителей в поездку, добавлять актуальные риски при страховании имущества или покупать страховой полис для путешествующих. Клиентоцентричность — одна из основных ценностей нашей компании, поэтому инструменты, которые мы предоставляем, должны работать безотказно.
- Потеря базы данных клиентов/договоров. Это основная ценность для любой страховой компании. Исторические данные для расчета оптимальных тарифов, все контакты и конфиденциальная информация о клиентах выводят эту БД на первое место по значимости. Фактически достоверность информации, которая содержится в ней, является основой нашего бизнеса.
- Призывы к неправомерной деятельности. Мы работаем в строгом соответствии с законодательством Российской Федерации. Для нас недопустимы какие-либо формы воздействия на население для дестабилизации обстановки. Мы проводим целый комплекс мер по контролю передачи информации на всех этапах (данные на внешних сайтах, исходящие e-mail-рассылки и др.). Ситуация осложняется большим количеством вирусов, дефейсов и лозунгов, заложенных в свободно распространяемых библиотеках и ПО. Для недопущения нарушений мы отклоняем использование почти 35% запрошенных сотрудниками библиотек.
Юрий Шабалин, Генеральный директор «Стингрей Технолоджиз» (ГК Swordfish Security)
Для нас в первую очередь критичны те события, которые могут ударить по бизнесу клиента, и, как следствие, по нашей репутации.
Наш бизнес делится на два направления: консалтинг и решения, обеспечивающие анализ защищенности цифровых сервисов и программных продуктов. Для консалтинга недопустимо, если злоумышленники взломают непосредственно нас и получат данные клиентов. К примеру, исходный код или информацию для удаленного доступа, а также результаты анализов защищенности с перечислением набора найденных уязвимостей, которые хакеры смогут эксплуатировать.
Для решений по анализу защищенности недопустимо, если осуществится утечка исходников (например, алгоритмов по анализу, данных фидов, результатов аудитов). А также, поскольку мы предоставляем сервисы в облаке, утечка данных об уязвимостях, найденных у наших клиентов.
Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности Ренессанс Банка
Если считать недопустимыми события, наступление которых несет катастрофические последствия для бизнеса (остановку либо существенное снижение прибыли), то к их перечню можно отнести недоступность ИТ-систем и данных, несоблюдение существенных требований со стороны регуляторов, а также репутационные потери.
Если говорить о применимости официального термина «недопустимые события», мы ждем выработки критериев, по которым их можно будет однозначно определить. Пока можно сказать, что это хоть и перспективная методология, но она еще не апробирована в реальной жизни с учетом наличия смежных процессов — моделирования угроз и риск-менеджмента.