Крупные компании становятся лёгкой добычей для хакеров

• 2021-й станет годом киберпиратов
• Киберпанк-2020. Атака на всех
• Александр Лосев: «Искусственным интеллектом должны заниматься давшие присягу»

13 января один из пользователей портала Habr заявил о взломе сети РЖД: якобы в его распоряжении оказались данные с 10 тысяч камер видеонаблюдения, и он получил доступ к системам управления кондиционированием, вентиляцией и табло на перронах, а также к сетевому оборудованию. Потенциальный ущерб от вывода из строя камер взломщик оценил примерно в 130 млн рублей. Он уточнил, что первым в системе не был: «...Есть признаки, что там уже кто-то “живёт”».

Взломами тех или иных компаний анонимы хвастаются нередко, а проверить эту информацию почти невозможно, поэтому такие сообщения без доказательств не вызывают доверия. Однако телеграм-каналы, посвящённые кибербезопасности, тут же вспомнили, как в августе 2019 года в свободном доступе опубликовали персональные данные 703 тысяч сотрудников РЖД.

В госкомпании заверили, что утечки персональных данных не произошло, угрозы движения не было. Позднее в пресс-службе РЖД «Октагону» пояснили, что в публикации на Habr речь шла об отдельной сетевой инфраструктуре филиала, находящейся в стадии формирования, не введённой в постоянную эксплуатацию и не связанной с технологической инфраструктурой холдинга.

«Были проведены мероприятия по выявлению и устранению уязвимостей строящейся сети с целью недопущения несанкционированного доступа. Защищённая технологическая сеть РЖД не пострадала в результате описанных в материале действий, а инцидент не был связан с обеспечением перевозочного процесса».

Пресс-служба РЖД

То есть проникнуть в систему госмонополии взломщику всё же удалось.

Основатель компании DeviceLock и сервиса разведки утечек DLBI Ашот Оганесян отметил, что «исследователь» брешей в системе остановился и сами сервисы взломать не пытался, но это не означает, что такой взлом невозможен или труден.

– При этом последствия его могут быть тяжкими: хакеры могут просто заразить значительную часть сети РЖД вирусом-вымогателем и вывести её из строя, а могут вмешиваться в работу конкретных сервисов – попытаться, например, воздействовать на устройства путевой сигнализации, если получат доступ к ним из сети. И это может привести уже к авариям, – пояснил эксперт.

Между тем РЖД – транспортная компания, а значит – объект критической информационной инфраструктуры. Для защиты таких объектов в 2018 году был принят Федеральный закон № 187-ФЗ. Помимо транспорта, к КИИ относятся госорганы, банки, учреждения связи, здравоохранения, предприятия оборонной, топливной и атомной промышленности и энергетики.

Все они, согласно закону, должны определить свои категории значимости, от которых будет зависеть степень необходимой защиты систем. Информацию об инцидентах – взломах, утечках, других угрозах – они должны передавать в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданную ФСБ по поручению президента.

РЖД – транспортная компания и является объектом критической информационной инфраструктуры.Фото: Станислав Красильников/ТАСС

Представители РЖД заверили, что работу в рамках закона о КИИ ведут, однако до сих пор не завершили категорирование.

– Для создания систем защиты информации используются как встроенные, так и наложенные сертифицированные средства защиты информации, – уточнили в организации.

Впрочем, за счёт размеров сетевой инфраструктуры, разветвлённой филиальной сети и огромного коллектива поддерживать должный уровень информбезопасности в РЖД сложно, уверен Оганесян.

– Эта задача требует высокого профессионализма, с которым сегодня в госкорпорациях достаточно сложно. Железные дороги во всём мире – одна из самых взламываемых отраслей, так как «зоопарк» применяемых решений и в том числе большое количество унаследованных систем делают их крайне сложным объектом для защиты, – пояснил он.

Цена небезопасности

Определение категорий объектов компании должны были закончить к 2019 году и приступить к их защите, однако закон постоянно вызывает вопросы у тех, кто под него подпадает.

В Федеральной службе по техническому и экспортному контролю (ФСТЭК, контролирует прохождение категорирования), впрочем, отметили, что компании нередко занижают значимость, целенаправленно скрывают объекты КИИ или игнорируют сроки реализации закона.

«Некоторые из участников конференции приступили к процедуре категорирования месяц назад. Спасибо, хорошо, что приступили. Но закон в 2017 году вышел, и уже вовсю пора меры реализовывать».

Алексей Кубарев
замруководителя управления ФСТЭК России

Защита систем – задача не сегодняшнего, а вчерашнего дня: хакеры вовсю проверяют их на прочность. Весной прошлого года группировка Kimsuky из КНДР, спонсируемая, по данным СМИ, северокорейским правительством, атаковала военные и промышленные организации России. В Group-IB тогда пояснили, что хакеры путём фишинговых атак пытались получить конфиденциальную информацию из аэрокосмических компаний. Телеграм-канал SecAtor со ссылкой на южнокорейскую компанию IssueMakersLab сообщал, что в числе атакованных оказался и «Ростех».

В «Ростелекоме» отметили, что ущерб от атак профессиональных группировок напрямую зависит от цели.

«Например, трудно оценить финансовые потери от риска долгосрочного шпионажа, но полученная злоумышленниками информация может повлиять на финансовое положение компании или даже государства в целом».

«Ростелеком»

В случае кражи персональных данных сотрудников и клиентов компании сопутствующие риски (регуляторные, репутационные и риски развития атаки на инфраструктуру или пользователей) обычно исчисляются десятками миллионов рублей. Самый крупный ущерб (сотни миллионов рублей) несут атаки на технологические процессы и системы компаний.

Крупные компании, в том числе государственные, больше заняты организацией, поддержанием и оптимизацией бизнес-процессов, чем защитой от хакерских вторжений, отмечают эксперты. Кроме того, информбезопасность снижает затраты организаций только косвенно – до первой успешной атаки.

– С определённого момента, вкладывая, условно, 1 тыс. рублей, мы повышаем уровень безопасности на 10 процентов, а затем, вкладывая 1 млн рублей, мы снижаем риски на 0,1 процента. Поэтому нужно проводить качественную и количественную оценку рисков как можно более точными методиками, чем в крупных компаниях мало кто занимается регулярно, вне зависимости от требований контрольных органов, – рассказал «Октагону» руководитель ИТ-отдела одной из российских компаний.

На практике большие компании, в том числе и государственные, заняты в основном бизнес-процессами, а не защитой от хакерских вторжений. Бюджет на инфобезопасность выделяется по остаточному принципу.Фото: Евгения Яблонская/Коммерсантъ

Однако, по его словам, реализации закона о КИИ в госучреждениях и госкомпаниях, где зачастую бюджеты планируются на год и распределяются на информационную безопасность (ИБ) по остаточному принципу, мешает не административный барьер, а технический и человеческий факторы.

Технические моменты

Внедряя средства защиты, предусмотренные требованиями регуляторов, компании рискуют столкнуться с отказом оборудования, несовместимостью программных решений и их высокой стоимостью. Потому бывают случаи, когда защита внедряется формально: её покупают, формируют нормативную документацию, но не устанавливают и не готовят персонал.

Для некоторых объектов КИИ требуется закупка сертифицированного оборудования и программного обеспечения. Поставщики порой не прописывают его совместимость с уже имеющимися в учреждениях информационными системами, даже при наличии соответствующих заявок от пользователей, а протестировать его удаётся не всегда.

– Стоит защищённое оборудование, приходит обновление от поставщиков по стороннему прикладному или бизнес-ПО – и начинается крах: вылезает несовместимость и как минимум допзатраты, максимум – остановка бизнес-процессов. Потому что затягивать с обновлениями нигде нежелательно, а в некоторых случаях они слабоконтролируемы и не зависят от владельцев обновляемого оборудования, – пояснил руководитель ИТ-отдела одной из российских компаний. На предприятиях в случае внедрения средств защиты на автоматизированных системах управления технологическими процессами (АСУ ТП, программные средства для промышленного оборудования) эти системы требуется останавливать, что также влечёт затраты, добавил он.

Для стыковки старого оборудования с новым в соответствии с предлагаемыми законом мерами нужен компетентный сотрудник, способный предложить и реализовать корректное решение. По словам эксперта, отсутствие таковых и привело к описанной выше ситуации с РЖД, где уязвимость ликвидировали спустя год после обнаружения. Немалую роль здесь сыграло отсутствие регулярного (как минимум внутреннего) аудита информбезопасности.

Менеджер по развитию бизнеса Kaspersky Industrial CyberSecurity Антон Шипулин пояснил «Октагону», что проблему совместимости могут скорее решить вендоры оборудования или производители ПО:

«Необходимо адаптировать продукты под специализированные или устаревшие технологии. Если невозможно использовать прямые средства защиты – принимать компенсирующие меры, например, средства мониторинга сетевого трафика».

Антон Шипулин
менеджер по развитию бизнеса Kaspersky Industrial CyberSecurity

Пользователям пора начать требовать от поставщиков решений, учитывающих их специфику, подчеркнул Шипулин. На фоне роста конкуренции среди вендоров эта тенденция уже прослеживается в промышленности: пользователи понимают, что они являются заказчиками оборудования, проблема безопасности – их проблема, и начинают диктовать условия вендорам.

Люди

В большинстве случаев самым слабым звеном кибербезопасности оказываются люди: так работают, например, фишинговые рассылки с вирусами-шифровальщиками на борту. Летом 2020 года, рассказывали в Group-IB, такие письма якобы от медиахолдинга «РБК», металлургической компании и Минского тракторного завода получили российские финансовые и промышленные компании. За расшифровку одной из атакованных организаций злоумышленники потребовали 50 тыс. долларов в криптовалюте.

Часто из-за ошибки сотрудника на формально безопасную систему может быть совершена успешная атака. Однако вложения в обучение рядовых сотрудников ИБ окупаются.

– Подготовка персонала, в том числе линейного, в течение двух лет снижает количество инцидентов фишинга в среднем процентов на 80 при численности сотрудников порядка 1000 человек. В некоторых случаях достигли снижения числа успешных фишинг-атак до уровня в 5 процентов от позапрошлогоднего показателя, – рассказал руководитель ИТ-отдела.

В случае промышленных компаний к стандартным проблемам добавляется инертность, говорит Антон Шипулин: состояние информбезопасности промышленности сейчас сравнимо с тем, как ИТ-компании были защищены лет 10 назад, шутят специалисты. По данным опроса «Лаборатории Касперского», уязвимость в АСУ ТП может быть обнаружена, но не устранена сразу. Среди причин этого респонденты чаще называли нежелательную остановку производства (34 процента), слишком долгий процесс утверждения (31 процент) и большое количество сотрудников, вовлечённых в процесс принятия решений (23 процента).

Болезненные атаки

Чаще всего в информационном поле появляются сообщения об утечках данных клиентов банков. Ранее они указали на отсутствие у отечественных производителей необходимого оборудования, на которое нужно будет перейти всем владельцам КИИ, и предложили перенести переход на российское ПО на 2024 год, а на отечественное оборудование – с 2025 года.

При этом реализацию требований закона в Центробанке комментировать отказались, назвав тему неактуальной для широкой аудитории. В пресс-службах «Альфа-Банка», Сбербанка и ВТБ на запрос «Октагона» не ответили. Между тем первый заместитель директора департамента информационной безопасности регулятора Артем Сычёв, выступая в Госдуме в феврале, рассказал, что за несоблюдение требований кибербезопасности ЦБ оштрафовал 17 банков.

Прошлогодние утечки данных о больных ещё раз показали, насколько уязвимы перед хакерами медицинские учреждения. О каком соблюдении врачебной тайны может идти речь?Фото: Алексей Сухоруков/РИА Новости

Отдельно стоит отметить, насколько не готовыми к защите своих систем оказались медучреждения. В начале февраля замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов сообщил, что в 2020 году ведомство впервые отметило случаи атак программ-шифровальщиков на российские медучреждения. И действительно, сначала из-за человеческого фактора утекли персональные данные москвичей, переболевших COVID-19, а позднее – документы нескольких московских медицинских (стоматологических) организаций. Свердловский областной онкологический диспансер в прошлом сентябре столкнулся с хакерской атакой: зашифрованными оказались около 400 исследований. Сотрудница диспансера Светлана Лаврова на своей странице в Facebook рассказала, что хакеры потребовали за восстановление информации 80 тыс. рублей.

«Это катастрофа, потому что от гистологии зависит, какое назначать лечение. Часть восстановили примерно по операционным журналам, но остальное погибло. Хакеры потребовали 80 тыс. за возврат. Руководство согласилось заплатить, но сейчас хакеры не выходят на связь, до них не могут “дозвониться”», – написала она.

Позднее Лаврова сообщила, что данные удалось восстановить.

Информационный обмен

Статистика и векторы атак не выглядят утешительными. Всё большую долю в общем объёме занимают атаки киберпреступников на конкретную цель: по данным Positive Technologies, по итогам III квартала 2020 года их доля выросла с 63 до 70 процентов.

Навредить технологическим и бизнес-процессам хакеры могут неосознанно, как в случае с вирусами-шифровальщиками и требованием денег за снятие блокировки. Ресурсы атакованных систем могут использоваться для генерации криптовалюты.

– Какие-то злоумышленники получают доступ и продают его другим, которые могут монетизировать его по-своему. Проправительственные группировки получают доступ и собирают информацию для планирования дальнейших операций, – перечисляет Антон Шипулин.

Однако не стоит забывать, что статистика ИБ-компаний учитывает только обнаруженные проникновения в системы. Одним из способов мониторинга уязвимостей для организаций остаётся поиск информации в даркнете, а рынок продажи ключей для доступа к корпоративным сетям между тем растёт, его пик пришёлся на 2020 год, указывают в Group-IB.

©octagon.media, 2021

Стоимость целевой атаки в России, по оценке руководителя ИТ-отдела одной из российских компаний, в среднем может составлять порядка 15–20 тыс. долларов с закупкой и подготовкой оборудования, ПО и расходами на реализацию и сопровождение атаки. А средние затраты организации на устранение последствий такой атаки могут достигать полумиллиона долларов без учёта работы ИТ-персонала по восстановлению атакованных систем.

Между тем из-за отсутствия в открытом доступе полной информации об атаках и уязвимостях в российских компаниях создаётся впечатление, что всё хорошо. При этом экспертное сообщество констатирует: случаи нарушения безопасности есть.

В России сейчас развивают ГосСОПКА, которая ведёт мониторинг инцидентов и уязвимостей.

– Детальный разбор атаки и название компании – большая роскошь не только в России, но и за границей. Люди опасаются получить от такого раскрытия больше вреда, чем пользы. Эту проблему пытаются решать организации ISAC и CERT. Они пытаются понять, как мотивировать компании делиться информацией и предотвращать угрозы, – рассказывает Шипулин.

Кроме того, в России начали наказывать за неправомерное воздействие на КИИ (ст. 274.1 УК РФ). По данным телеграм-канала ZLONOV, из 16 возбуждённых по этой статье уголовных дел (без учёта повторных после апелляций) четыре были прекращены, по 10 вынесены обвинительные приговоры.