Как строится киберзащита бизнеса сегодня

2022 год существенно изменил подход к кибербезопасности для многих российских компаний. В информационном пространстве выросли риски, а уход иностранных решений заставил многие компании оперативно искать замену.

Основные угрозы кибербезопасности для российского информационного пространства иллюстрирует следующая статистика:

• общее число кибератак за 2022 год в России составило 911 тысяч, то есть удвоилось по сравнению с прошлым годом по версии «Ростелеком-Солар»;
• заместитель главы МИД РФ Олег Сыромолотов в конце декабря 2022 года озвучил, что число кибератак выросло на 80%.

И хотя в 2022-м году в три раза выросло число атак на органы и структуры государственной власти, предпринимателям также не удалось избежать повышенного внимания хакеров. Обеспечение кибербезопасности за год превратилось для многих компаний из статьи расходов в бюджете в одну из приоритетных задач.

Александр Санин

Коммерческий директор компании «Аванпост»

Изменился базис, и теперь всем должно быть понятно и очевидно, что почти любой элемент ИТ-инфраструктуры, системы защиты и прочих компонентов, если они зависят от производителя, работающего в стране из списка недружественных, не может быть на 100% в безопасности. Пресловутое импортозамещение и ныне модный «цифровой суверенитет» теперь не просто лозунги на бумаге, но и реальные шаги в реальных стратегических документах многих компаний. Да, это сложно, да это долго, но риски неприемлемы, если не делать ничего.

С какими угрозами кибербезопасности сталкивается бизнес

Системы кибербезопасности российских компаний сегодня подвергаются более длительным кибератакам, чем год назад. Так, в июле 2022 года эксперт говорил о росте продолжительности в 150 раз. Выросла не только длительность и интенсивность, но и общий уровень сложности.

Список актуальных угроз, борьба с которыми входит в цели кибербезопасности для российского бизнеса, выглядит следующим образом:

• DDoS-атаки, по которым уже есть неутешительный прогноз роста на 300% в ближайшее время. Сейчас они являются не просто угрозой для кибербезопасности сайтов, так как злоумышленники активно атакуют сервисы, внедренные в IT-системы компаний;
• целевые атаки, которые отличаются целенаправленностью и требуют серьёзной предварительной подготовки. Например, чтобы узнать адреса электронной почты сотрудников, составить и разослать фишинговые письма;
• всевозможное вредоносное ПО, в том числе вирусы-шифровальщики, которые попадают на компьютеры сотрудников как через фишинговые ссылки, так и другими способами;
• утечки данных, которые не всегда становятся следствием кибератак. Нередко за ними стоят сотрудники, которые пренебрегли мерами безопасности или продали ценную информацию третьему лицу.

В новостном разделе Cyber Media практически ежедневно появляются масштабные примеры того, для чего нужна кибербезопасность:

1. Всего за неделю атакам подверглись сразу три банка: Росбанк, Уральский банк реконструкции и развития и Уралсиб. Сайты и банковские приложения всех трёх в итоге были недоступны для пользователей некоторое время.
2. Дело об утечке данных клиентов компании «Спортмастер» готовится к рассмотрению в московском суде.
3. Атака на информационные сервисы Федеральной таможенной службы повлияла на работу информоператоров, оказывающих услуги субъектам внешнеэкономической деятельности.

Год назад серьёзное изменение претерпели мотивы некоторых хакерских группировок. Получение выгоды вследствие кибератаки перестало быть её ведущей мотивацией. Зато появились другие цели, которые пришлось учитывать в построении киберзащиты.

Филипп Щиров

Директор сервиса для работы в 1С через интернет «Альтап»

Год назад основной целью профессиональных кибератак было получение прибыли. Например, взломы с целью продажи данных. За последний же год возросло количество атак с идеологической целью: чтобы бизнес в России испытывал трудности. Если посмотреть на работу крупных сервисов весной-летом прошлого года, многие компании не могли оказывать услуги на должном уровне. Атакующий не получал никакой финансовой выгоды, но таким образом показывал свою идеологическую позицию.

Кто на острие атаки

В СМИ попадает информация об атаках на крупные компании с многотысячным пулом клиентов. Может показаться, что и основные правила кибербезопасности актуальны именно для них. 42% представителей крупных и средних компаний, а также госсектора, которые приняли участие в исследовании, по итогам 2022 года признали необходимость изменений в своих принципах кибербезопасности. Однако не только они оказываются под ударом.

Представители мелкого и среднего бизнеса тоже несут риски. Иногда даже большие, если учитывать отсутствие таких же ресурсов и бюджетов на информационную и компьютерную безопасность, как у гигантов.

Антон Кузнецов

Ведущий инженер информационной безопасности в компании R-Vision

Наряду с крупными компаниями, жертвами хакерских атак всё чаще становятся и небольшие организации. Яркий тому пример – атака шифровальщика Dharma, которой в последние несколько месяцев подверглись ряд предприятий малого и среднего бизнеса разных сфер деятельности. Злоумышленники, которым удавалось проникнуть в сеть таких организаций, блокировали доступ к критичным пользовательским данным, шифруя имеющиеся файлы: базы данных 1С и MS SQL, в которых, как правило, хранятся сведения о клиентах, партнерах, бухгалтерская и другая чувствительная информация. Также в ряде случаев зашифрованными оказались важные документы компаний форматов doc, docx, xls, xlsx, pdf и др, включая финансовую отчётность и договора.

Компании-жертвы узнавали об атаке, когда на компьютерах пользователей всплывало сообщение, что данные могут быть восстановлены с помощью ключа дешифрования. Сам ключ злоумышленники готовы передать обмен на выкуп в криптовалюте эквивалентный суммам от 3 000 до 5 000 долларов США. Однако случаев предоставления средств дешифрования после получения операторами Dharma выкупа не было.

Во всех зафиксированных случаях Dharma атаковал организации, проникая из сети Интернет через публично доступные серверы по протоколу удаленного рабочего стола RDP (Remote Desktop Protocol).

Для небольших компаний без бюджетов на сложные и масштабные технологии кибербезопасности меры по защите своей инфраструктуры не менее важны. Пренебрежение установкой и своевременным обновлением антивирусного ПО, недостаточное внимание к паролям, локализации используемого ПО и другим защитным мерам, а также отсутствие обучения сотрудников может дорого обойтись. Всё большее количество представителей российского бизнеса приходят к этому выводу.

Максим Меженков

Основатель компании LocalCarHires.com

Мы как бизнес пользуемся услугами и сотрудничаем с другими бизнесами и не знаем, где они держат свои данные. Даже если они скажут, что они российская компания с российской инфраструктурой, они могут являться ею только на бумаге. Если завтра отрубят свет большим рубильником, пострадают эти бизнесы, и пострадаем мы - все те, кто доверял им обработку части своих данных. И тут возникает такой риск: если рухнет кто-то крупный, у кого часть серверов будет не в России, а в Германии, например, то вместе с ним пострадает огромное количество более мелких компаний.

С понятием кибербезопасности многим небольшим компаниям также пришлось познакомиться вследствие появления у хакерского движения идеологической составляющей. Ведь с точки зрения получения прибыли малый бизнес обычно не вызывает повышенного интереса у киберзлоумышленников.

Дмитрий Пудов

Генеральный директор NGR Softlab

Громкие атаки и утечки демонстрируют нам, что даже крупные компании, системно занимающиеся информационной безопасностью, могут быть успешно атакованы. Небольшие компании, с одной стороны, представляют меньший интерес для злоумышленников, с другой — прошлый год показал, что риски для всех российских организаций существенно выросли. Например, такое явление как хактивизм не учитывает перспективы монетизации удачной атаки, достаточно самого факта взлома или вывода из строя ряда сервисов практически любой компании.

Говорить на одном языке с бизнесом

Прежде сфера cybersecurity в России нередко сталкивалась с непониманием со стороны собственников бизнеса. Иначе и быть не могло, ведь ИБ-инструментарий обходится компании дорого, а специалистам собственного отдела по информационной безопасности нужно платить немалую по меркам рынка зарплату. Последняя существенно выросла за год вслед за ростом спроса на подобных специалистов. По данным сервиса Superjob средняя заработная плата специалиста по информационной безопасности составляет 140 тысяч рублей. По состоянию на январь 2023 года в Москве отмечали дефицит ИБ-специалистов.

Компьютерная безопасность, если её организовывать по всем правилам,  по-прежнему остаётся значимой статьёй расходов в бюджете компаний. Однако ситуация в киберпространстве изменила отношение многих представителей бизнеса к этим затратам.

Григорий Ревенко

Директор Центра экспертизы в компании R-Vision

Многие компании наконец пришли к осознанию того, что обеспечение кибербезопасности – это не просто «галочка» для соблюдения требований регулятора, а важнейший инструмент для продолжения эффективной деятельности организации. И на сегодняшний день уже не нужно никого убеждать в необходимости использования тех или иных ИБ-решений, скорее в нынешних условиях критическое значение приобретает их надежность, эффективность и возможность комплексного подхода к защите от существующих и потенциальных угроз.

Говорить о том, что безопасник сегодня находится полностью «на одной волне» с собственником бизнеса пока рано. Но важные шаги к пониманию задач и возможностей друг друга во многих компаниях делают обе стороны. Ситуация с кибербезопасностью информационных систем сегодня располагает к тому, чтобы это встречное движение продолжалось.

Кирилл Уголев

Руководитель дивизиона информационной безопасности TEGRUS

Пока о разговоре на одном языке говорить, наверное, преждевременно, но процесс созревания бизнеса к задачам ИБ происходит. Все больше компаний начинает оглядываться на ситуацию вокруг, и к вопросам ИБ сейчас более пристальное внимание, чем, к примеру, пару лет назад. Плюс регулятор начал требовать создавать подразделения ИБ с наличием представителя на уровне заместителя руководства компании в государственных организациях или компаниях с критической инфраструктурой. Все эти меры, так или иначе, создают предпосылки к тому, что проблемы с информационной безопасностью будут озвучены и услышаны, и компании начнут наращивать силы в этой сфере.

Государственное регулирование

Тем компаниям, которые пока не осознали, что такое кибербезопасность и к каким последствиям может привести пренебрежение ею на собственном опыте, государство напоминает о серьёзности ситуации ужесточением законодательства.  2022-й год стал своеобразным рекордсменом по числу изменений в этой сфере.

Одним из самых громких для всех сфер кибербезопасности стал указ №250, который устанавливает персональную ответственность руководителя за инциденты с безопасностью, которые произошли в его организации. С 1 марта текущего года при трансграничной передаче данных необходимо уведомлять Роскомнадзор.

Часть изменений в информационной и кибербезопасности пока не введены, однако их внедрение анонсировано на ближайшее время. Так, Госдума в скором времени приступит к рассмотрению законопроекта о введении оборотных штрафов за утечку данных при повторном нарушении. Если он будет принят, их размер может вырасти до 500 млн рублей. Портал Cyber Media спросил экспертов о том, стоит ли ожидать изменений в отношении бизнеса к киберзащите под угрозой таких штрафных санкций.

Ольга Карпова

Руководитель отдела по информационной безопасности RooX

Безусловно, и увеличение штрафа логически вольется в пул факторов, мотивирующих компании развивать системы защиты информации.

Правда, у этого развития есть конкурент за бюджет — киберстрахование. Пока спрос невелик, но он растет. По данным одного из опросов в 2022 году 6% российских компаний страховали киберриски и 21% планировали воспользоваться такой услугой.

Однако часть экспертов отмечает, что не стоит ожидать от штрафов кардинального эффекта в деле решения задач кибербезопасности. Ресурсы российского бизнеса  в любом случае ограничены и ни одна из компаний не может «прыгнуть выше головы», если уже приняла все необходимые и возможные с учётом её ресурсов меры.

Дмитрий Мазанов

Представитель компании Arbitroom

Ужесточение штрафов за утечки данных может принудить компании принимать кибербезопасность более серьезно и выделять бюджет на ее улучшение. Однако, необходимо учитывать, что штрафы являются лишь одним из аспектов кибербезопасности и не могут гарантировать полную защиту. Компании также должны инвестировать в обучение персонала и улучшение технологической инфраструктуры, а также сотрудничать с квалифицированными поставщиками услуг по кибербезопасности.

Выводы

За прошедший год безопасность компьютерных систем и сетей стала частью стратегии развития многих российских компаний. Необходимые меры пришлось спешно принимать даже тем, кто ранее не уделял должного внимания данному вопросу.

Изменился характер угроз, с которым сталкиваются ИБ-специалисты. Часть компаний становятся жертвами не ищущих выгоду хакеров, а так называемых хактивистов, стремящихся навредить скорее по идеологическим соображениям. В этом смысле «под раздачу» попали даже небольшие компании, которые раньше оставались в стороне.

Собственники бизнеса и ИБ-специалисты пока не достигли идеального взаимопонимания. Однако рост киберугроз существенно упростил их взаимодействие и достижение целей в обеспечении безопасности.

Нежелающим уделять достаточное внимание вопросу представителям бизнеса о такой необходимости настойчиво напоминает государство. Процесс ужесточения законодательства в этой сфере продолжается, что дополнительно мотивирует компании усилить свою киберзащиту.