Принимаю условия соглашения и даю своё согласие на обработку персональных данных и cookies.

Уже год против России ведется кибернетическая война. Как она изменит IT-отрасль страны

Уже год против России ведется кибернетическая война. Как она изменит IT-отрасль страны
Фото: Антон Буценко, 66.RU
Начиная с начала 2022 года российские сети находятся под постоянными и растущими атаками хакеров. Пик их активности пришелся на май — тогда число кибератак по сравнению с аналогичным периодом прошлого года выросло в 80 раз. О том, что против России ведется кибервойна, заявили в Сбербанке и Министерстве цифрового развития. Информационная безопасность отечественных компаний оказалась под угрозой после ухода из страны ряда зарубежных производителей программного обеспечения — сейчас их продукты пытаются импортозаместить российские разработчики. О том, как продвигается этот процесс и как растущая кибернетическая угроза повлияет на внутренний рынок программного обеспечения, 66.RU рассказала заместитель директора Аналитического центра Уральского центра систем безопасности (УЦСБ) Диана Лейчук.

Интервью получилось довольно длинным. Потому если у вас нет времени прочитать его сейчас целиком, даем короткую выжимку. Она же — оглавление: по клику на короткий тезис Дианы Лейчук вы быстро попадете ровно в ту часть текста, где он раскрывается.

Фото: Антон Буценко, 66.RU

Интервью проводили на фоне honeypot (горшочек меда) — специальный сервис, имитирующий слабо защищенный сервер, привлекающий злоумышленников (часто поиск уязвимых узлов в интернете ведется ими автоматически, поэтому на honeypot атаки идут массово, их можно фиксировать и анализировать).

«Можно ли говорить о том, что ведется кибервойна? Определенно, да»

— Эксперты говорят, что после 24 февраля произошел серьезный рост кибератак. Более того, зампред правления Сбербанка Станислав Кузнецов заявил, что против РФ развернута масштабная кибервойна. Действительно ли можно текущую ситуацию охарактеризовать как кибервойну? Что вообще понимается в 2022 году под этим термином?

— Под кибервойной понимаются деструктивные действия одного государства в отношении информационных систем и сетей противника, которые ведутся не на реальном поле боя, а в киберпространстве. Киберпространство — это, например, наши смартфоны, компьютеры и домашние «умные» приборы, компьютеры корпоративных сетей, подключенные к интернету, — все эти вещи находятся в киберпространстве.

Вообще, если устройство подключено к какой-либо локальной сети, уже есть риск, что до него можно «дотянуться» из интернета. Ведь даже владельцы систем иногда не знают, что к их устройствам есть доступ из внешних сетей, а значит, недоброжелатель может нанести тот или иной вред, находясь где угодно.

Можно ли говорить о том, что ведется кибервойна? Определенно, да. Хакерское движение Anonymous объявило в начале года кибервойну России. Помимо представителя Сбербанка, о кибервойне в начале октября также заявил министр цифрового развития Максут Шадаев. Он отмечал, что атаки направлены на государственные информационные системы (в частности, на сайт «Госуслуги»). Также отмечают рост кибератак в отношении финансового сектора, отдельные атаки на сайты интернет-провайдеров, СМИ и другие сервисы.

У нашей компании есть свой корпоративный центр мониторинга информационной безопасности (USSC-SOC), который фиксирует компьютерные атаки. С февраля 2022 года мы отметили всплеск деструктивных действий, направленных на российскую инфраструктуру. Если говорить о цифрах, то пик таких атак пришелся как раз на весну этого года. Если говорить об инцидентах, зафиксированных нашим центром мониторинга, то количество атак увеличилось в 8–10 раз.

Есть общедоступные данные по финансовому сектору. Как заявил представитель Банка России на SOC-форуме 2022, число кибератак в отношении финансовой отрасли в марте увеличилось в 20 раз. Пик активности пришелся на май — в 80 раз. После этого начался спад. Однако и сейчас число атак в два раза выше по сравнению с аналогичным периодом 2021 года.

Фото: Антон Буценко, 66.RU

— В истории уже были случаи, когда страны оказывались в ситуации кибервойны? С какими последствиями они сталкивались?

— В целом кибероперации проводятся достаточно давно. По мнению экспертов, первая известная кибервойна в мировой истории была зафиксирована в 2010 году и велась с помощью вируса Stuxnet. По имеющимся предположениям, программу разработали, чтобы сорвать ядерную программу Ирана. В итоге вирус нарушил работу почти 20% (около 1000) центрифуг для обогащения уранового топлива. Ущерб, нанесенный ядерным объектам Ирана, был сопоставим с ущербом от бомбардировки с воздуха.

Ситуация с вирусом Stuxnet продемонстрировала, насколько серьезно нужно относиться к кибербезопасности — ведь при помощи подобных продуктов можно разрушить жизненно важную инфраструктуру. И если страна хочет обладать преимуществом на киберарене, государство должно развивать ИТ-технологии.

До недавних событий еще не было масштабных киберстолкновений, чтобы однозначно ответить на вопрос, как страны переносят кибервойны. Как правило, если идет открытое противостояние двух государств, то оно идет в «гибридном» режиме: и на реальном фронте, и в виртуальном мире. Высокий уровень развития ИТ-технологий и наличие киберармии лишь помогают получить преимущества и заметно ослабить силы противника.

Например, можно отметить взлом американцами военных сетей в ходе конфликта в Ираке, когда всем иракским военным пришли письма, предписывающие им выстроить военную технику и покинуть позиции. Многие военные так и сделали, что, несомненно, облегчило противнику задачу по уничтожению военной техники.

— Сегодня все сферы нашей жизни так или иначе связаны с IT-технологиями. Получается, что теперь абсолютно все данные, все системы в опасности?

— Степень цифровизации тех или иных отраслей экономики и регионов разная. Чем выше уровень цифровизации, тем выше риски кибератак. Высшая школа экономики в 2021 году измерила этот индекс для России по отраслям.

Фото: ИСИЭЗ НИУ ВШЭ

Чем выше степень цифровизации компании, тем выше риски от кибератак. И речь не только об утечках персональных данных, но и о других возможных последствиях.

Например, во многих компаниях (промышленности, энергетики, иных отраслей) технологические процессы управляются с использованием автоматизированных систем. Хакеры могут проникнуть в такие системы и собрать, изменить, зашифровать или уничтожить данные. Вмешательство в функционирование таких систем может приводить к достаточно серьезным последствиям — если проникнуть в системы химического завода, то злоумышленник может вызвать взрыв горючих веществ, утечку химически опасных жидкостей или газов, что нанесет ущерб здоровью людей, ущерб экологии, финансовый ущерб самим компаниям.

В связи с этим предприятия должны уделять большое внимание вопросам защиты таких критических систем. Компании в определенных отраслях обязаны выполнять предписанные законодательством мероприятия по их защите.

Всего таких отраслей 12. В частности, это финансовая сфера, оборонно-промышленный комплекс, энергетика, химическая промышленность и прочие. Если законодательно закрепленных требований нет, то компании должны самостоятельно оценить риски, связанные с возможными атаками, и выстроить адекватную защиту.

Фото: Honeypot

Honeypot УЦСБ собирает статистику. На момент интервью в топе атакующих стран были США, Китай и Иран. Это не значит, что хакеры действуют именно с их территории, но используемые ими серверы расположены именно там.

«Если компания не готова к атакам, она несет серьезные финансовые и репутационные потери»

— Какие виды атак распространены сейчас? На что они направлены и чем опасны?

— Атаки, как правило, направлены на финсектор, промышленность, интернет-провайдеров, государственные информационные системы, образовательные учреждения, СМИ. Виды атак, которые фиксировались нашим USSC-SOC (корпоративным центром мониторинга):

  • DDOS-атаки (атаки, направленные на перегрузку систем);
  • внедрение вирусов-шифровальщиков;
  • массовая рассылка «проукраинских» писем с почтовых адресов взломанных компаний;
  • демонстрация «проукраинских» лозунгов на взломанных сайтах;
  • кража персональных данных.

Средства защиты могут успешно отражать такие атаки. Если компания не готова противостоять подобным угрозам (как было в мае с Rutube), то последствия — недоступность сервисов, возможные финансовые потери и репутационный ущерб компании.

Наш центр фиксирует атаки, в большинстве случаев проводимые в автоматическом режиме. Также наш SOC фиксирует фишинговые атаки, не всегда детектируемые антивирусами, поэтому важно донести до пользователей информацию о том, как работать с «подозрительными» письмами.

Чем опасны такие атаки? Чуть ранее мы уже рассмотрели пример с химическим заводом. Можно также предположить различные варианты последствий злонамеренных вмешательств в зависимости от отрасли. Если злоумышленник проникнет в сеть энергетической компании, то может нарушить работу энергоблоков, в случае длительного воздействия в перспективе возникает риск прекращения выработки энергии, то есть можно оставить население без электричества или тепла. Вмешательство в сети операторов связи может оставить нас с вами без мобильной связи. Поэтому вопросы защиты ИТ-инфраструктуры актуальны сейчас как никогда.

— Появились ли новые виды кибератак в последнее время?

— Новые типы массовых кибератак не появились. Единственное, можно выделить встраивание «вредоносов» в веб-страницы и вредоносных программ в обновления программного обеспечения. Ну и DDOS-атаки раньше не были распространены в таких масштабах, как в 2022 году.

При этом стоит отметить, что сместился фокус. Если ранее злоумышленники своей целью выбирали достаточно крупные платежеспособные компании, чтобы получить материальную выгоду (например, выкуп в случае с атакой вирусом-шифровальщиком), то сейчас основная цель злоумышленников — это российская ИТ-инфраструктура. Теперь выбирают любые компании, чтобы киберинцидент нанес значительный ущерб. То есть фокус сместился на промышленные и государственные информационные системы.

Фото: Антон Буценко, 66.RU

— Какие способы защиты от кибератак существуют и применяются сегодня?

— Компании должны защитить периметр сети (межсетевое экранирование с настройками фильтрации), установить средства обнаружения вторжений (позволяют отследить злоумышленника или вредоносную активность) и средства антивирусной защиты. Также важно провести обучение персонала по вопросам информационной безопасности — в частности, по борьбе с фишингом. Это некий гигиенический минимум, который должны выполнить предприятия.

Также сейчас стали еще более востребованными услуги специализированных компаний, предлагающих услуги в сфере информационной безопасности. Например, среди наших клиентов стала более востребованной услуга тестирования на проникновение. В рамках таких работ «белые хакеры» (пентестеры) имитируют действия потенциальных злоумышленников и показывают, как они могут навредить инфраструктуре компании. Специалисты выявляют проблемы в безопасности и формируют рекомендации по повышению уровня защищенности информационных систем.

Для обнаружения реальных злоумышленников и попыток взлома также важно проводить регулярный мониторинг безопасности. Для этого есть специализированные средства управления событиями информационной безопасности (SIEM-системы). Если своих людей на мониторинг нет, то можно прибегнуть к услугам коммерческих центров мониторинга.

— А есть ли какие-то средства защиты, представленные исключительно зарубежными продуктами и российских аналогов которых сейчас нет?

— Если смотреть по тем или иным типам решений, то почти по всем направлениям есть отечественные средства защиты. Правда, есть проблемы с межсетевыми экранами нового поколения (NGFW). Но в этом направлении работа ведется в том числе с государственной поддержкой. Уже есть российские компании, которые взялись за разработку таких решений.

«Через несколько лет мы получим конкурентоспособные решения во всех нишах, из которых ушли зарубежные разработчики»

Фото: Антон Буценко, 66.RU

— Сейчас российские компании переходят на отечественное программное обеспечение: сделать такой переход довольно трудно. Как с этим быть? И не перестанет ли у нас в один момент все работать?

— Действительно, сложно перейти в один момент с зарубежных решений на отечественные, ведь российский рынок ПО к этому не был готов. Переход на отечественные решения происходит поэтапно. Но, например, сроки переходов на российское ПО по объектам критической информационной инфраструктуры официально установлены — это 1 января 2025 года.

Проблемы перехода решаются с государственной поддержкой, финансированием и поддержкой ИТ-отрасли. И разработчики стараются заполнить эти ниши. Конечно, есть некоторый дефицит специалистов в области информационной безопасности — но он был и раньше. Сейчас вузы и компании совместно активно работают над вопросом привлечения молодых людей на программы по этим специальностям.

Некоторые государственные организации — например, Федеральная служба судебных приставов — уже перешли на отечественные решения и операционные системы.

Отечественные решения — это все же разные решения от разных производителей, поэтому нет оснований предполагать, что все перестанет работать в один момент. Также важно понимать, что нынешняя реальность подталкивает ИТ-отрасль к разработке «безопасных» решений. Чтобы оставаться конкурентными, разработчики должны уделять вопросам безопасности достаточное внимание.

— Считается, что российские разработки сильно уступают в качестве зарубежным. Действительно ли это так? И реально ли полностью перейти на российское ПО?

— Надо детальнее смотреть по каждому типу решений. Например, если мы говорим о «Лаборатории Касперского», то ни у кого не возникает сомнений в конкурентоспособности этой компании на мировом рынке.

Конечно, раньше отдавалось предпочтение зарубежным разработчикам. Поэтому сейчас российские компании не смогут сразу полноценно заменить зарубежные продукты. Но мы находимся в ситуации «вынужденного» импортозамещения, и со временем такие продукты будут развиваться и совершенствоваться. Это займет какое-то время, но тем не менее мы получим конкурентоспособные решения во всех нишах, из которых ушли зарубежные производители.

Поскольку такая работа ведется, то в перспективе — да, предполагаю, что российским компаниям удастся полностью перейти на отечественные решения. При этом не надо думать, что наши решения сразу заменят зарубежные по уровню функциональности, но со временем, по мере обкатки этих решений, они будут развиваться и совершенствоваться.

— Остаются разнообразные программные продукты, которые тоже становятся все уязвимее из-за отсутствия обновлений. Как с этим быть?

— Если речь об иностранных решениях, производители которых отказались от взаимодействия с РФ, то при наличии аналогичных российских решений, даже с ограниченной функциональностью, рекомендуем использовать российские решения. При их отсутствии —отслеживать обнаруженные уязвимости в ПО и предпринимать компенсирующие меры, чтобы блокировать возможность эксплуатации этих уязвимостей злоумышленниками. Универсальных компенсирующих мер нет, надо отталкиваться от каждой отдельной уязвимости и определять, как ее можно «закрыть» без обновлений.

Если речь про opensource решения (программы с открытым исходным кодом), в которые внесены уязвимости по политическим причинам, то здесь также есть свои риски. Например, известны случаи внедрения закладок в opensource, реализующих деструктивные действия для систем с российскими IP-адресами. Применение opensource-решений, как и любого другого ПО, допустимо при исключении критических уязвимостей, путем принятия мер в отношении каждой уязвимости (обновления — при их наличии, иные меры по нейтрализации уязвимостей).

Если обновления есть, но к ним есть недоверие, то важно проводить проверку обновлений ПО перед их установкой.

Также можно проводить мониторинг уязвимостей — отслеживать публикуемую информацию об уязвимостях в общем доступе или на специализированных сайтах либо использовать специализированные программные решения для обнаружения уязвимостей.

«Вопрос утечек персональных данных стоит остро. Но нельзя снимать ответственность с людей, предоставляющих свои персональные данные различным компаниям»

— Отдельная боль в области кибербезопасности — это утечки персональных данных. Недавно была очередная громкая утечка — в этот раз в Сеть слили данные пользователей кикшерингового сервиса Whoosh. Эксперты ожидают, что число утечек будет только расти. Получается, компании не могут сейчас гарантировать безопасность данных. Что же делать пользователям?

— Кибератаки выявляют слабые стороны не только в инфраструктуре организаций, но и в регулировании тех или иных вопросов. Вопрос утечек персональных данных и «беззащитности» пользователей перед ними стоит довольно остро и сейчас активно обсуждается на законодательном уровне.

Уже ввели изменения в закон о персональных данных: теперь все компании должны сообщать об утечках в Роскомнадзор. Также есть инициативы по ужесточению ответственности и введению больших штрафов. Предполагается, что такие санкции сподвигнут операторов персональных данных обеспечивать необходимый уровень защищенности систем персональных данных.

Безопасность — это процесс, а не результат, поэтому ни одна компания не может гарантировать стопроцентную защищенность данных. Компании, применяя те или иные средства защиты, могут только снижать вероятность успешности таких киберинцидентов. В то же время нельзя снимать ответственность с самих людей, которые предоставляют свои персональные данные различным компаниям.

Владельцы данных, конечно, слабо влияют на состояние защищенности инфраструктуры других компаний, поэтому мы, как физические лица, не влияем на то, могут утечь наши данные или нет.

Но надо понимать, кому и для каких целей, какие данные мы предоставляем. Важно читать пользовательские соглашения, предусматривающие дачу согласия на обработку персональных данных, и знакомиться с политикой обработки таких данных на сайтах, если их сбор идет посредством интернета.

— Это те самые длинные сообщения, которые никто не читает и просто ставит в конце галочку «Согласен»?

— Да, это они. Рекомендуем обращать внимание на прописанные цели обработки ваших данных, а также на информацию о том, в какие организации их могут передавать.

Основная рекомендация — это предоставлять свои персональные данные в минимальном объеме. По закону компаниям запрещено требовать от субъекта предоставление избыточных личных данных, однако не все операторы соблюдают это требование. Например, для заказа товара в большинстве онлайн-магазинов совершенно не обязательно указывать свои ФИО полностью, достаточно корректно указать адрес доставки и контактную информацию. Можно указывать не полный адрес, а доставку в ближайший пункт самовывоза, если это не приводит к существенным временным затратам.

Следующая рекомендация — не оставлять свои личные данные на подозрительных сайтах. В таких случаях можно указывать фейковую информацию или завести специальный почтовый ящик для регистрации на сомнительных ресурсах. Имя почтового ящика не должно содержать ваши личные данные и должно быть нейтральным.

Для личных целей рекомендуется использовать лицензионное программное обеспечение. Его нужно скачивать с официальных сайтов, так как «взломанные» версии ПО могут содержать в себе специальные возможности по сбору данных и отправке их злоумышленникам.

Если все-таки взломали компанию, которая обрабатывала ваши персональные данные и они утекли, то можно обратиться в суд за компенсацией морального ущерба.

Также можно предотвратить использование ваших данных злоумышленником. Утекшие базы персональных данных продают на черном рынке, где недоброжелатели могут их купить и использовать в своих целях. Используют их обычно ради материальной выгоды. Чтобы минимизировать риски, что вашими данными воспользуются, важно соблюдать ряд простых правил: для оплаты в интернет-магазинах использовать специальную виртуальную карту, не держать на этой карте деньги, переводить их туда непосредственно перед покупкой либо ввести лимиты на платежи.

«Прогнозы оптимистичные — уровень информационной безопасности компаний со временем будет расти»

— Ваш прогноз, что будет происходить дальше в сфере кибербезопасности в России?

— У меня не такие пессимистичные прогнозы. Переход на российские решения будет способствовать повышению уровня защищенности перед лицом иностранных кибервоинов. Понятно, что и компьютерные атаки будут совершенствоваться, но наряду с этим будет расти и уровень защищенности компаний, ведь компьютерные атаки выявляют слабые места, которые необходимо закрывать.

Сейчас организации просто вынуждены обеспечивать безопасность своих систем. Если раньше о проблемах с информационной безопасностью многие компании не задумывались, считали атаки хакеров чем-то «виртуальным», что не может навредить бизнесу, то сейчас уже многие осознали, что имеющиеся проблемы в защите информационных ресурсов вполне реальные, могут привести к критическим последствиям и их нужно решать.