О недопустимых событиях

15 сентября 202310 минут

Антон Нечипоренко

Начальник отдела информационной безопасности департамента анализа и защиты информации СПАО «Ингосстрах»

Дмитрий Стуров

Исполнительный директор, начальник управления информационной безопасности Ренессанс Банка

Руслан Ложкин

Руководитель службы информационной безопасности АКБ «Абсолют Банк»

Юрий Шабалин

Генеральный директор «Стингрей Технолоджиз» (ГК Swordfish Security)

Угрозы 2023
Недопустимые события

Эксперты крупных российских компаний отвечают на два вопроса:

Какие угрозы кажутся вам наиболее актуальными для российского рынка в первом полугодии 2023 года?

Руслан Ложкин, руководитель службы информационной безопасности АКБ «Абсолют Банк»

Во-первых, DDoS. Основной заказчик — IT ARMY of Ukraine. Эти ребята публикуют в открытом доступе список доменов организаций с датами будущих атак и отрабатывают его. По какому принципу они составляют свой план, известно только им. В распоряжении IT ARMY of Ukraine имеется большой пул мощностей как за границей, так и в России. Нужно отметить, что злоумышленники стал чаще использовать DDoS L7, который схож с легитимными запросами и требует более детального анализа. В целом такие кейсы решаются довольно быстро (при условии подготовленности персонала), но могут возникать разного рода побочные эффекты, которые лучше отработать на киберучениях. К таким побочным эффектам можно отнести, к примеру, невозможность корректной удаленной работы в условиях фильтрации трафика, а также потерю связи с глобальным DNS при включении геофильтрации.

Во-вторых, фишинг, в том числе с вредоносными вложениями. Чаще всего это тот же заказчик. Сейчас распространяется масса писем с разными угрозами, в которых злоумышленники просят выкуп за отказ от реализации атаки. Обычно письма рассылаются массово, некоторые содержат вложения, вредоносное ПО и реквизиты для перевода средств. Здесь я бы предложил создать чат российских CISO для оперативной отработки таких кейсов.

В-третьих, социальная инженерия. Причем дело даже не в самой «социалке», а в степени обработки жертв. Участились кейсы с поколением 65+, когда в офис банка для перевода средств привозят человека, находящегося под сильным влиянием злоумышленников. Жертва не отрывается от телефона и доверяет удаленному собеседнику больше, чем сотрудникам банка и службы безопасности. В некоторых случаях приходится вызывать полицию, чтобы человека просто забрали, потому что иначе остановить злоумышленников просто не получается.

Антон Нечипоренко, начальник отдела информационной безопасности департамента анализа и защиты информации СПАО «Ингосстрах»

В первом полугодии 2023 года изменился вектор воздействия управляемых из-за рубежа и технически оснащенных организаций на информационную безопасность российских компаний, в том числе на «Ингосстрах». Злоумышленники преследуют конкретные цели, направленные на массовую дестабилизацию деятельности, — подобные кейсы автоматически получают серьезные оценки в карте рисков любой организации. ИБ-специалисты и ранее сталкивались с подобными случаями, однако не в таком объеме, масштабе и количестве. Мы фиксируем абсолютно новый уровень воздействия: у злоумышленников достаточно много ресурсов и средств для проведения длительных информационных атак с постоянно меняющимся вектором. Их цель — компании, обеспечивающие функционирование критической информационной инфраструктуры.

Юрий Шабалин, генеральный директор «Стингрей Технолоджиз» (ГК Swordfish Security)

Как мы и прогнозировали осенью 2022 года, количество кибератак на российские компании значительно возросло. Согласно данным «РТК-Солар», во II квартале 2023 года было выявлено 325 000 инцидентов в области ИБ. Это на 12% больше, чем в I квартале, и на 38% превышает показатель аналогичного периода прошлого года.

Мы заметили увеличение числа кейсов с применением шифровальщиков, причем не столько взломов, сколько уничтожения критически важной информации. В целом атаки хорошо организованы, в них участвует множество группировок и индивидуальных хакеров. Кроме этого, злоумышленники используют технологии искусственного интеллекта, машинного обучения и средства автоматизации атак.

Также мы столкнулись со впечатляющим ростом числа атак на цепочку поставок ПО через компоненты с открытым исходным кодом (не менее 100% в первом полугодии 2023 года по сравнению с первым полугодием 2022 года). Мы ожидали подобного в свете проблем с железом и переходом компаний в облака, но тренд, похоже, оказался мощнее, чем мы прогнозировали. Во втором полугодии он только усилится.

Особым интересом у злоумышленников, по нашим данным, пользуются веб-приложения компаний. Причем эксплуатируются известные уязвимости. Кроме того, потенциальную угрозу как для компаний, так и для частных лиц несут мессенджеры и бездумная установка любого рода приложений на смартфоны из надежных и не очень источников. Некоторые сервисы умеют в фоновом режиме осуществлять запросы на доступ к другим приложениям и похищать оттуда информацию. Злоумышленников интересует банковский и криптовалютный софт, а для доставки вредоносного кода используются игры. Это не новая информация, но, к сожалению, о ней крайне редко информируют россиян.

Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности Ренессанс Банка

Нельзя не обратить внимание, что DDoS-атаки, присутствовавшие в новостной повестке почти весь 2022 год, в 2023-м пошли на убыль. На мой взгляд, это связано с несколькими вещами: естественным падением интереса злоумышленников-энтузиастов, отсутствием каких-либо значимых результатов и в целом неплохой готовностью отрасли к отражению угрозы.

К сожалению, прослеживается тенденция, связанная с ростом количества утечек информации у клиентов. В том числе хешированных паролей, которые потом могут применяться для взлома аккаунтов на других ресурсах. На эту тенденцию обращают внимание и сами организации, и регулирующие органы. Причем нельзя сказать, что это сугубо российская история: утечки происходят по всему миру, и пока эффективные способы переломить ситуацию неочевидны.

В результате утечек и консолидации персональных данных в руках злоумышленников усиливается фишинг, в том числе взлом соцсетей крупных организаций. Мы ожидаем применения нейросетей для создания дипфейков — изображений, видео, голоса.

Помимо прочего, отмечаем увеличение числа атак на периметр организаций и доступные из интернета информационные системы, а также усиление давления со стороны шифровальщиков.

Сохраняется высокий риск атак через цепочки поставок — на ИТ-поставщиков вместо самих организаций. Это вызывает некоторое беспокойство, поскольку вся работа по защите ИТ-инфраструктуры может быть обнулена атакой через поставщика, обладающего удаленным доступом к ресурсам компании.

В заключение можно отметить усиление позиций IoT (автомобили с автопилотом, дроны). Пересечений физического и виртуального мира становится все больше, и интернет вещей заходит во все более критичные области: физическую безопасность, здоровье, частную жизнь.

Какие события являются для вашей компании недопустимыми и почему?

Руслан Ложкин, руководитель службы информационной безопасности АКБ «Абсолют Банк»

Я думаю, в этом плане Абсолют Банк не отличается от других финансово-кредитных организаций. На ситуацию нужно смотреть несколько шире. В начале XX века недопустимым событием для банка была кража средств из хранилища, 10 лет назад — с корсчета, а сейчас недопустимые события сильно завязаны на степень цифровизации компании. Процесс завязан на зависимость: от данных, технологий и людей, которые являются субъектами данных либо участниками технологий. Если все это является активами компании, ответ очевиден. Если злоумышленник повредит данные или процесс доступа к ним либо будет оказывать негативное воздействие на людей, которые могут повлиять на активы компании, это и будет недопустимым событием.

В случае неполной цифровизации можно рассматривать в качестве недопустимых событий нарушение работоспособности отдельных критически важных систем (например, АБС, КБР, ДБО) или кражу данных из них. Но когда цифровая трансформация завершена, люди, данные и технологии становятся единым целым и их нужно рассматривать в совокупности. Информационная безопасность становится неотъемлемой составляющей цифровизации, поэтому ее отсутствие можно считать недопустимым событием.

Это перечень из нескольких событий. Приведу примеры, но специально расположу их в случайном порядке.

Недоступность внешнего сайта компании. В современном мире сайт — уже не визитка, а рабочее пространство для клиентов и партнеров, которым необходимо управлять своими договорами. Например, вносить дополнительных водителей в поездку, добавлять актуальные риски при страховании имущества или покупать страховой полис для путешествующих. Клиентоцентричность — одна из основных ценностей нашей компании, поэтому инструменты, которые мы предоставляем, должны работать безотказно.
Потеря базы данных клиентов/договоров. Это основная ценность для любой страховой компании. Исторические данные для расчета оптимальных тарифов, все контакты и конфиденциальная информация о клиентах выводят эту БД на первое место по значимости. Фактически достоверность информации, которая содержится в ней, является основой нашего бизнеса.
Призывы к неправомерной деятельности. Мы работаем в строгом соответствии с законодательством Российской Федерации. Для нас недопустимы какие-либо формы воздействия на население для дестабилизации обстановки. Мы проводим целый комплекс мер по контролю передачи информации на всех этапах (данные на внешних сайтах, исходящие e-mail-рассылки и др.). Ситуация осложняется большим количеством вирусов, дефейсов и лозунгов, заложенных в свободно распространяемых библиотеках и ПО. Для недопущения нарушений мы отклоняем использование почти 35% запрошенных сотрудниками библиотек.

Юрий Шабалин, Генеральный директор «Стингрей Технолоджиз» (ГК Swordfish Security)

Для нас в первую очередь критичны те события, которые могут ударить по бизнесу клиента, и, как следствие, по нашей репутации.

Наш бизнес делится на два направления: консалтинг и решения, обеспечивающие анализ защищенности цифровых сервисов и программных продуктов. Для консалтинга недопустимо, если злоумышленники взломают непосредственно нас и получат данные клиентов. К примеру, исходный код или информацию для удаленного доступа, а также результаты анализов защищенности с перечислением набора найденных уязвимостей, которые хакеры смогут эксплуатировать.

Для решений по анализу защищенности недопустимо, если осуществится утечка исходников (например, алгоритмов по анализу, данных фидов, результатов аудитов). А также, поскольку мы предоставляем сервисы в облаке, утечка данных об уязвимостях, найденных у наших клиентов.

Если считать недопустимыми события, наступление которых несет катастрофические последствия для бизнеса (остановку либо существенное снижение прибыли), то к их перечню можно отнести недоступность ИТ-систем и данных, несоблюдение существенных требований со стороны регуляторов, а также репутационные потери.

Если говорить о применимости официального термина «недопустимые события», мы ждем выработки критериев, по которым их можно будет однозначно определить. Пока можно сказать, что это хоть и перспективная методология, но она еще не апробирована в реальной жизни с учетом наличия смежных процессов — моделирования угроз и риск-менеджмента.