Кибервойна против России?

Логотип компании
Кибервойна против России?
Кибервандализм и непрекращающиеся атаки сделали ИБ ключевой темой новой реальности. На Санкт-Петербургском экономическом форуме обсудили кибербезопасность России.

Сейчас происходит беспрецедентное противостояние в киберпространстве. В конце февраля — начале марта безопасники российских компаний столкнулись с такой волной внешней агрессии, которую вряд ли могли себе представить. К тому же готовность к киберрискам далеко не везде была на высоте. И хотя ИБ-специалистам вначале было очень сложно, сейчас они уже приобрели боевой опыт и научились работать в экстремальных условиях. Неслучайно тема информационной безопасности и противодействия угрозам стала одной из ключевых на Петербургском международном экономическом форуме.

Изменение приоритетов ИБ-бизнеса

Евгений Касперский, генеральный директор компании «Лаборатория Касперского» считает, что вектор атак серьезно изменился. Вместо пользователей основными мишенями стали бизнес, госорганы и медиаресурсы.

«Мы весной занимались тремя важными вещами. Первая — это тушение пожаров, вторая — замещение тех, кто ушел и третья — спасение международного бизнеса», — говорит Евгений.

Действительно, российские ИТ-инфраструктуры оказались в прямом смысле под бомбежкой, так как количество атак выросло многократно. Причем он считает, что, несмотря на массовый всплеск, это все же были удары «пионерии», грамотно скоординированные через официальные каналы. По словам Касперского, в основном пострадали те, кто уделял недостаточное внимание кибербезопасности. В то же время обычный криминальный шум, например фишинг, упал на 20%.

Говоря о замещении, Евгений вспомнил о том, как в 2019 году после ухода компании Splunk, предоставлявшей популярную платформу для сбора, хранения, обработки и анализа машинных данных, «Лаборатория Касперского» разработала свою SIEM-платформу. Так что опыт у нее есть.

Что касается международного бизнеса, здесь, как и у многих, происходит переориентация. Когда-то «ЛК» продавала на экспорт 80% своих решений и основными покупателями были Европа и США, а Россия занимала только третье место. Сейчас продажи в Европе существенно упали, не говоря о США, где продукты компании практически под запретом, зато выросли продажи в Латинской Америке и на Ближнем Востоке. Продолжается сотрудничество и с азиатскими странами. И конечно, огромный спрос наблюдается в России.

Изменение вектора атак

Большинство объектов критической инфраструктуры нашей страны традиционно защищает «Ростелеком». Комментируя текущую ситуацию, Игорь Ляпунов, вице-президент по ИБ компании, сделал акцент на двух проблемах, с которыми столкнулась российская безопасность. Первая — отключение иностранных средств защиты, особенно облачных сервисов. Вторая связана с открытым ПО, разработка на котором в мире очень популярна. По данным «Ростелекома», за март в открытых библиотеках появилось более 30 закладок, специально внедренных уязвимостей, предоставляющих доступ к информационным системам. А сейчас их уже больше 100.

Что касается целевых атак, то самому большому давлению подверглись медиа. «Мы находимся в ситуации организованного нападения на наши информационные ресурсы. Атаки на СМИ создают дымовую завесу, за которой идет целевое наступление», — говорит Игорь. Так, на государственные и социально-значимые ресурсы было зафиксировано много атак, которые продолжаются до сих пор.

«Все кибератаки можно разделить на несколько видов. Первый — массовые DDOS-атаки. В конце февраля — начале марта они били рекорды. В течение первых недель каждый день в даркнете заканчивались ботнеты для организации атак на следующий день. Все доступные ресурсы были задействованы для атак на Россию», — добавляет он.

Изменились и задачи киберпреступников. Если раньше их интересовали только деньги, то сейчас в приоритете другая идеология. В конце февраля в даркнет был выложен весь инструментарий для осуществлений DDOS-атак. Базы утечек, доступы к информационным ресурсам, которые ранее продавались задорого, теперь отдают бесплатно.

Изменение подходов

«Меры по ИБ, принимаемые государством, можно условно разделить на две части: создание защищенной инфраструктуры и противодействие атакам. Внедрение ИБ на ранней стадии, Secure by design — эти темы появились не вчера, но по существу они не были приоритетными для компаний, поскольку отстраивать информационную безопасность «от и до» дорого и сложно. Сейчас все изменилось. Бизнес стал понимать, что можно получить огромный репутационный и финансовый ущерб от подобных атак», — отмечает Александр Шойтов, заместитель министра цифрового развития, связи и массовых коммуникаций Российской Федерации.

Кибервойна против России?. Рис. 1

фото ТАСС

Что было сделано в первую очередь для защиты с точки зрения технологий? По его словам, первое — это прекращено обновление иностранного ПО. Для координации работы с госорганами в сотрудничестве с регуляторами были созданы оперативные штабы в Совете Безопасности и в Минцифре. Были выпущены системные документы, касающиеся защиты объектов критической инфраструктуры, ответственности профильных руководителей, импортозамещения средств защиты информации иностранного производства. «Ряду компаний будет предписано провести обязательный аудит своих систем. Есть государственное регулирование, контроль и меры поддержки», — добавляет Александ Шойтов.

Кибервойна или кибероперация?

Здесь мнения о терминологии у специалистов разделились. Если замминистра считает, что пока назвать сложившуюся ситуацию кибервойной все же нельзя, так как прямого противостояния стран нет, то заместитель председателя правления Сбербанка Станислав Кузнецов говорит именно о кибервойне и о том, что против России сейчас воюют примерно 300–350 тыс. кибербойцов.

Он добавляет, что наш бизнес оказался к ней не готов: «Хакеры профессионально использовали сканеры-уязвимости. Сбербанк фиксировал 1500 таких атак в день. По оценкам банка, количество атак на бизнес выросло не менее чем в 15 раз, а экономический ущерб — многократно. Основные удары были направлены на финансовый и энергетический сектор, авиаотрасль, интернет-ретейл, энергетические и нефтегазовые компании». Из-за DDOS-атак были заблокированы сервисы 87 крупных организаций страны. Сильно пострадали СМИ, в которых безопасности не уделяли достаточного внимания — на 17 крупных медийных ресурсах появился антироссийский контент. По словам Станислава Кузнецова, Сбербанк обеспечивает защиту не только своей инфраструктуры, но и более 100 крупнейших компаний России.

Также, кроме регулярных ударов по госсектору и бизнесу, атаковали и обычных граждан, скомпрометировав не менее 13 млн карт. В результате этих действий было украдено 65 млн персональных данных россиян.

Читайте также
Когда ИИ в программировании — благо, а когда — вред, разбирался IT-World.

Если в конце февраля почти исчезло телефонное мошенничество, пропали «службы безопасности банков», то позднее, примерно через месяц, оно возобновилось и сегодня составляет примерно 70% от прежнего уровня. Ожидается, что через полтора-два месяца оно не только вернется к прежним цифрам, но и может превзойти их.

Как с этим справиться? Что надо менять? Станислав Кузнецов говорит, что сегодня в правоохранительной сфере сложилось такое правило: должен быть ущерб, пострадавший и заявление от него. Однако с развитием информационных технологий, если фиксируется даже попытка преступления в киберпространстве, нужен другой порядок по розыску подобных преступников. Например, сейчас набирают силы так называемые дропперы — те, кто снимает кэш в банкоматах и передает дальше, получая свою комиссию. По данным Сбербанка, их в России не менее 500 тыс. Возникает вопрос, как их привлечь к ответственности, если законодательной базы для обвинения нет.

Оборона или наступление?

Александр Моисеев, генеральный директор Rutube, уверен, что необходимо тесное взаимодействие безопасников крупных компаний с обсуждением взломов, атак, инструментов и, конечно, ущерба. Игорь Ляпунов («Ростелеком») считает, что все-таки нужно очень взвешенно подходить к открытому обсуждению, чтобы не стать учебником для темной стороны. Кроме того, по его мнению, сильно изменилась модель угроз. «Сейчас доминирует кибервандализм. Ломают все, что ломается. Хакерские группировки начинают сразу уничтожать инфраструктуру, к которой получили доступ, — говорит он. — Мы находимся перед сложным выбором. С одной стороны, согласно доктрине Российской Федерации о кибербезопасности, запрещены какие-либо наступательные действия. Поэтому если речь идет о зарубежных серверах, то мы ничего сделать с ними не можем. С другой — сегодня очень востребованы системы активного подавления». По его словам, Россия сейчас находится в ситуации сложнейшего международного противостояния и должна иметь инструменты, чтобы отстаивать свои интересы.

Атаки на СМИ

Ранее медиа мало интересовали хакеров, целью которых всегда было получение денег. Однако весной 2022 года все изменилось. Отключения, подмена контента, попытки полного уничтожения ресурсов — то, с чем столкнулись за эти месяцы российские СМИ. По данным «Лаборатории Касперского», в феврале количество нападений на медиаресурсы выросло в 43 раза по сравнению с январем. Атакам подвергаются как федеральные СМИ, так и региональные. Среди них — RT, «Коммерсант», «Фонтанка», «Форбс», «Лента.ру» и другие. В мае от злоумышленников пострадали МТС, «Яндекс», «Ростелеком», телеканал «Россия», НТВ, Rutube, и список постоянно пополняется. По разным данным, за атаками стоят не меньше 20 крупных международных хакерских группировок.

Кибервойна против России?. Рис. 2

фото ТАСС

Руководители медиакомпаний, представители власти и производителей ИБ-решений обсудили, что в этой ситуации нужно делать, чтобы справиться с беспрецедентной агрессией.

Александр Жаров, генеральный директор «Газпром-Медиа Холдинг» считает, что необходим консорциум ИБ-профессионалов, которые объединенными усилиями могут противостоять угрозам. Он уверен, что стране нужна единая система цифровых защищенных сервисов. «Нам необходимо стать самодостаточными в области информационной безопасности», — подчеркивает он.

По словам Николая Мурашова, заместителя директора Национального координационного центра по компьютерным инцидентам, векторы атак меняются в зависимости от политических и социальных мероприятий и, конечно, от международной обстановки. Ранее основными объектами нападений были государственные органы и промышленные предприятия, особое внимание уделялось избирательным технологиям в периоды выборов. Сейчас же под атаки попали все, кто мог попасть. При этом сайты президента и правительства России не пострадали, во многом благодаря проактивным мерам защиты.

Игорь Ляпунов («Ростелеком») добавляет, что индустрия медиа очень сложна: это продакшн, агрегаторы контента, онлайн-кинотеатры, поставщики рекламы и другие. Все они взаимосвязаны. Поэтому, когда недавно была взломана одна баннерная сеть, дальше фейк разлетелся по многим СМИ. «Нам нужна координация, нужна регуляторика и мотивация владельцев медиа для того, чтобы построить нормальную защиту», — уверен Игорь.

Rutube –— это гиперконвергентная сеть, сложная инфраструктура, расположенная в пяти дата-центрах, в которой с декабря прошлого года внедряются совершенно новые протоколы кибербезопасности. Тем не менее 9 мая сервис стал жертвой атаки, парализовавшей его на много часов. Денис Баранов, генеральный директор компании Positive Technologies, которой пришлось разбираться с инцидентом, поделился своими наблюдениями. Исследователи выяснили, что злоумышленники проникли в инфраструктуру сервиса в начале марта. Все это время они изучали внутренности платформы. Затем написали целевой скрипт под конкретную дату — 9 мая, который начал удалять компоненты инфраструктуры, виртуальные машины, базы данных и все остальное. ИТ-специалисты включились в борьбу, начав отключать и изолировать компоненты, заметив, что на них оказывают воздействие. Через 50 часов битва закончилась победой Rutube.

Добавим, что Денис тоже считает, что пока все происходящее нельзя считать полноценной кибервойной, поскольку за ней обязательно должны стоять спецслужбы государств, а такого не наблюдается. При этом многие хактивисты действительно высоко квалифицированы. Для того чтобы им противостоять, он предлагает всерьез заниматься проактивной защитой, в том числе с привлечением отечественных ИБ-разработчиков, тех, кто хорошо зарекомендовал себя на нашем рынке.

Несмотря на различные мнения, спикеры сходятся в одном: вопросы кибербезопасности сегодня для всех стали ключевыми. Информационная защита перестала быть обязанностью узких специалистов, ее обеспечением должны сегодня заниматься все — от руководителей государственных органов и бизнеса, находящихся под прицелом профессиональных группировок, до обычных людей, которые не хотят потерять свои данные и финансы. Судя по всему, в ближайшее время киберпротивостояние не закончится.

Опубликовано 26.06.2022

Похожие статьи