Алексей Новиков, Positive Technologies: Фишинг и DDoS-атаки сопровождают все крупнейшие мероприятия в стране

Кибербезопасность массовых мероприятий в России – отдельный вид защиты со своими нюансами и задачами. Как предусмотреть все аспекты, точки сбоя и когда надо начинать выстраивать защиту? Об этом порталу Cyber Media рассказал Алексей Новиков, директор экспертного центра безопасности Positive Technologies. В интервью он поделился личным опытом и трендами в области ИБ в ивент-индустрии.

Cyber Media: В чем специфика информационной безопасности крупных мероприятий? Чем она отличается от традиционной ИБ в компаниях? 

Алексей Новиков: Во-первых, крупные мероприятия уровня Олимпиады или Чемпионата мира по футболу всегда на слуху. Но злоумышленников интересуют не только они. Им важны и менее известные события, например, чемпионаты по шахматам или конференции по информационной безопасности. 

И группировки пользуются такими событиями как информационным поводом в фишинговых письмах. Фишинг – один из самых используемых методов атак, который дает возможность хакерам успешно атаковать и обычных граждан, и компании. А еще они используют схемы, связанные с социальной инженерией. В результате страдают обычные граждане, а злоумышленники с их помощью обогащаются и получают доступ к сетям компаний. Основным каналом социальной инженерии в атаках на организации является электронная почта (86%), а на частных лиц – веб-ресурсы и сервисы (59%).

Второе отличие – обычно мероприятия краткосрочные. Инфраструктура под них создается быстро с нуля или из готовых блоков. Именно поэтому при обеспечении ИБ здесь сложно применить долгий проектный подход, как это принято в компаниях. Не получится годами выбирать средства защиты, закупать их, внедрять, дополнять. За короткий спринт ИБ-специалистам нужно успеть сделать все. Необходимо предусмотреть все аспекты, как хакеры могут атаковать мероприятие, и сразу выстроить защиту.  Так, например, первый международный фиджитал-турнир «Игры будущего», который состоится только в следующем году, озаботился своей кибербезопасностью уже сейчас и подписал с нами соответствующий меморандум. И наша задача в этом проекте – развитие и поддержание ИТ-инфраструктуры мероприятия при его подготовке и во время проведения именно в концепции результативной киберзащиты с использованием технологий и сервисов Positive Technologies.

Плюс, конечно же, нужно быть проактивным и оперативным, так как все крупные ивенты организуются по agile-принципу – последнее обновление сайта может выкатываться за два часа до начала или во время мероприятия. Об этом следует всегда помнить.

Следующий момент – в организацию крупных мероприятий вовлечено колоссальное количество участников и подрядчиков. При обеспечении ИБ нужно учитывать, что точка сбоя может произойти, где угодно. Допустим, проводится известный российский форум для безопасников. Есть сайт мероприятия, который принадлежит организатору. Он все время дополняется. Но также есть видеотрансляция, которую осуществляет подрядчик. Проводить работы по защите нужно с обеими организациями, потому что, как показал опыт многих медиа в прошлом году, хакеры могут атаковать как сам сайт, так ресурс для видеотрансляции. 

Cyber Media: Сколько в среднем может длиться один спринт, за который нужно организовать защиту мероприятия? 

Алексей Новиков: Все зависит от уровня планирования мероприятия. К ежегодным крупным ивентам обычно начинают готовиться за полгода, к каким-то – за два месяца. Что касается мероприятий уровня всей страны или международного масштаба, таким как Чемпионат мира по футболу, то там только планирование может длиться годами.

Тем не менее обеспечение ИБ часто завязано на сроках сдачи ИТ-проекта в эксплуатацию. А они, как правило, очень близки к началу мероприятия. Вот почему работа ИБ-команды почти всегда проходит в последние недели перед событием. 

Обычно, когда к нам обращаются организаторы крупных мероприятий, мы закладываем срок в два месяца до мероприятия. Но не всегда на практике получается именно так. Многое зависит от готовности инфраструктуры. Иногда за два месяца до старта даже нет понимания, какой именно она будет. Может быть только известно, будут ли использоваться ЦОДы, станут ли разрабатывать собственное приложение и т.д. В этом случае мы выдаем общие требования к защите. Анализ, поиск уязвимостей и их закрытие – все эти работы запускаются намного позже, когда инфраструктура готова.  

Cyber Media: Насколько в целом распространена практика обеспечения ИБ мероприятий в России?

Алексей Новиков: Все значимые мероприятия обязательно защищаются с точки зрения информационной безопасности. В личной практике я наблюдаю это минимум с Олимпиады 2014 года. 

Cyber Media: С какими уязвимостями приходится иметь дело на крупных ивентах?

Алексей Новиков: Обычно это уязвимости веб-ресурсов и мобильных приложений. Атаки на них могут привести к утечкам баз данных, форматированию сервисов и их выводу из строя.

Чаще всего злоумышленники проводят DDoS-атаки на различные системы. В их числе система пропуска на пленарное заседание, с атаками на которую столкнулись организаторы Петербургского международного экономического форума в 2022 году. Из-за DDoS образовалась очередь на входе на мероприятие, так как организаторам не удавалось проверить статус гостей. 

Cyber Media:  Как часто проводятся DDoS-атаки? 

Алексей Новиков: На самом деле, они происходят на всех крупных мероприятиях уровня страны и мира. Учитывая специфику систем защиты от DDoS, без потерь не обходится. Отказы сервисов могут занимать минуты, но пользователи все равно успевают это заметить. 

Фишинговые письма тоже рассылаются во время массовых федеральных мероприятиях. Обычно злоумышленники крадут данные учетной записи, просят перевести деньги и т.д., Например, во время чемпионата мира по футболу людям сообщали, что их заявка выиграла в лотерее FIFA. При переходе на подменный сайт, браузер пользователя считывал код, который перенаправлял по вредоносной ссылке. Также создавались копии сайтов банков — «фарминг» с целью получения данных банковских карт.

Однако таких примеров, чтобы хакерам удалось остановить работу сервисов совсем, в моей практике не встречалось, за последние четыре года их не было точно. 

Cyber Media: Каких злоумышленников обычно интересуют крупные мероприятия? С какой целью они атакуют?

Алексей Новиков: Опять же все зависит от мероприятия. Если это массовое событие общемирового масштаба или уровня страны, то хакеры чаще пользуются им для атак на физических лиц. И делают это с целью монетизации. Примеры заходов всем известны: «‎Получите бесплатный билет на Чемпионат мира по футболу!» или «‎Примите участие в розыгрыше билета …». 

Вторая группа злоумышленников – хактивисты. В последние годы они все чаще хотят заявить о своей активной позиции в каком-либо вопросе. 

И третья группа атакующих – шифровальщики. Они понимают, что если им удастся остановить сервисы мероприятия, то можно потребовать от организаторов внушительный выкуп. 

Cyber Media: Что посоветуете людям, которые занимаются организацией мероприятий? Какие тенденции по ИБ им стоит учесть? 

Алексей Новиков: Я бы напомнил, что информационной безопасностью нужно начинать заниматься как можно раньше. К слову, с каждым годом все больше компаний-организаторов это делают на старте подготовки к мероприятию. Некоторые закладывают расходы на ИБ уже на этапе бюджетирования, такие примеры в нашей практике есть. Еще пять-десять лет назад такого подхода еще не было.

Cyber Media: А раньше на какой стадии обращались к специалистам по кибербезопасности?

Алексей Новиков: Ситуация всегда была типичной – когда уже случился инцидент. Например, организаторы запустили анонс мероприятия и сразу произошел взлом инфраструктуры, которая еще не была готова к противодействию хакерам. Но таких компаний-организаторов, сейчас уже, к счастью, мало. 

Cyber Media:  Какие тенденции в ИБ мероприятий вы считаете важными? 

Алексей Новиков: Главная тенденция – чем крупнее мероприятие, тем больше оно интересует злоумышленников. Так было, есть и будет. Хакеры продолжат использовать крупные события как инфоповоды в своих целях. 

Еще один тренд – атаки хактивистов. Думаю, их будет интересовать любое громкое событие, где они могли бы заявить о своей позиции. Наши мероприятия хактивисты тоже не обходят стороной. В этом году за неделю до PHDays они начали тестировать наши ресурсы на DDoS-уязвимости. 

И, пожалуй, еще одна тенденция последних лет – появился пул компаний, которые обеспечивают информационную безопасность крупнейших мероприятий «под ключ». Сегодня все ивенты масштаба страны, особенно ежегодные, традиционно проходят под патронажем конкретного ИБ-подрядчика. И это еще раз подтверждает, что кибербезопасность становится важным моментом для организаторов мероприятий.