Хакеры научились взламывать системы компаний через цепочку подрядчиков

В прошлом году около 12 процентов от общего числа кибератак в РФ пришлось на УрФО - такие данные приводит Positive Technologies. Целью киберпреступников стали в основном государственные и медицинские учреждения, промышленные предприятия. И, хотя многие организации основательно подготовились к нападениям, хакеры изобретают все новые способы проникновения в информационную инфраструктуру.

Как отмечают в компании-разработчике в сфере информационной безопасности, в четвертом квартале 2022-го число киберинцидентов по стране выросло на 15 процентов к аналогичному периоду 2021 года. Результатом взломов чаще всего становились утечки конфиденциальной информации (51 процент), то есть публикация данных пользователей, исходных кодов IT-продуктов в Сети, на втором месте - перебои в работе бизнеса (36 процентов). Число атак выросло даже в отношении самих IT-компаний - на 18 процентов.

- Расследуя инциденты, мы видели, как предприятия взламывали по цепочке и через пятую компанию уже похищали нужную информацию. Как правило, находят слабо защищенного партнера, например, был случай, когда бизнес атаковали через подрядчика, поставлявшего плитку, - рассказывает директор экспертного центра безопасности Positive Technologies Алексей Новиков. - Помимо этого хакеры нередко подкупали сотрудников самой компании: предлагали деньги за доступ к корпоративным данным, запуск вируса с флешки. Особенно часто такие случаи фиксируются в промышленности и энергетике.

По мнению аналитиков "Лаборатории Касперского", вымогатели останутся угрозой для корпораций и в нынешнем году: этому способствует распространение шпионского ПО и легкий вход в ряды хакеров. Так, возможность организовать кибератаку с использованием вредоносной программы-шифровальщика стала доступной широкому кругу лиц: злоумышленники даже разработали сервисы, чтобы масштабировать свою деятельность. К слову, по данным "Ростелеком-Солар", Уральский федеральный округ оказался в тройке самых атакуемых территорий страны: на местные организации зафиксировано 100 тысяч DDoS-атак (цель которых - заблокировать работу сайта или сервера).

Специалисты предупреждают: некоторые алгоритмы шифрования делают восстановление IT-инфраструктуры после атаки в принципе невозможным. Это означает, что бизнесу нужно еще серьезнее подходить к вопросам кибербезопасности. Многие предприятия УрФО уже давно используют технические средства защиты информации, например, межсетевой экран, фильтрующий трафик в различных веб-ресурсах, изолированные среды, или "песочницы", для анализа поведения файлов в виртуальной среде и т. д. Но насколько эффективно?

Возможность организовать кибератаку стала доступной широкому кругу лиц: злоумышленники даже разработали сервисы, чтобы масштабировать свою деятельность

Научные сотрудники Юридического института Южно-Уральского госуниверситета провели на пяти крупных промпредприятиях Челябинской области анонимный опрос работников, так или иначе отвечающих за информационную безопасность (ИБ), - системных администраторов, программистов, сотрудников службы безопасности и отдела кадров, представителей инженерного управления и руководящего состава. Исследование показало: федеральное законодательство, регламентирующее обеспечение кибербезопасности объектов критической инфраструктуры, работает. Но вместе с тем многие недооценивают значимость кибератак, умалчивают об инцидентах или несвоевременно их расследуют.

По мнению представителей банковского сектора, пожалуй, более других сфер продвинутого в части внедрения цифровых технологий, в борьбе с хакерами могут помочь и организационные меры. Вице-президент, директор департамента информационной безопасности "Тинькофф банка" Дмитрий Гадарь считает, что нужно обратить внимание на внутренние бизнес-процессы, которые не требуют наложенных (то есть невстроенных) средств защиты. Другими словами, нужно перейти к управлению киберрисками: определить, какие события недопустимы для компании, и составить план необходимых мер реагирования, компенсации ущерба.

- Мы регулярно анализируем те или иные сценарии, встроив информационную безопасность в каждое подразделение, кроме того, используем страхование киберрисков, - делится опытом начальник управления рисками и развития процессов ИБ Росбанка Александр Кондратенко. - Однако для комплексной оценки нужно иметь максимум информации, а все данные о киберинцидентах скрыты. С помощью регулятора можно было бы наладить такой обмен.

Представители других банков согласны: работать в сфере кибербезопасности лучше сообща, создав единую базу данных об атаках. В том же промсекторе сбор таких сведений реально организовать путем кооперации и обсуждения готовых решений. На уровне правительства поддержано намерение создать платформу для обмена информацией о киберинцидентах, но пока такое соглашение достигнуто только между ИБ-компаниями.

Кстати

Портрет современного киберпреступника специалисты описывают так: это по большей части "активисты", которые вламываются в инфраструктуру предприятия любым способом, чтобы нанести весомый ущерб. Они не боятся засветиться даже в медиапространстве, публично шантажируя бизнес.