Директор по развитию бизнеса по информационной безопасности макрорегионального филиала «Юг» ПАО «Ростелеком» Андрей Федоренко — об опасности фишинга и DDoS-атак, киберугрозах для сельского хозяйства и стартапов и дефиците экспертов в сфере информационной безопасности.
В нынешнем году наметилась тенденция к увеличению массовости кибератак на бизнес и государственные структуры. При этом, если раньше главной целью злоумышленников было хищение денежных средств, то сейчас их внимание все больше привлекают объекты критической информационной инфраструктуры — крупные промышленные предприятия, инженерные сети и т. п. На фоне снижения IT-бюджетов рост уровня угроз повышает спрос на услуги защиты информации по сервисной модели.
— Как изменился в нынешнем году ландшафт киберугроз в южных регионах России?
— Если говорить об отраслях экономики, которые наиболее подвержены кибератакам, то здесь картина достаточно традиционная. В первую очередь это кредитно-финансовые организации (банки и страховые компании), интернет-магазины, процессинговые центры — словом, все кто имеет дело с живыми деньгами. Это главная цель злоумышленников.
Второй сегмент, где активно растет количество атак — предприятия, в управлении которых находятся объекты критической информационной инфраструктуры (КИИ), например, топливно-энергетический комплекс, промышленность, добыча полезных ископаемых, системы жизнеобеспечения и т. п.
И, естественно, это государственные структуры и их системы управления. Если злоумышленникам удастся перекрыть им доступ к IT-инфраструктуре, это, фактически, приведет к прекращению социального обеспечения граждан.
Что касается инструментов, которыми пользуются злоумышленники, то в 2019 году мы зафиксировали серьезное увеличение количества DDoS-атак (они заключаются в отправке на тот или иной сайт или веб-сервис большого количества ложных запросов, что приводит к его отказу). Сейчас «Ростелеком» отбивает огромное количество зловредного трафика, который обрушивается на наших клиентов. Около трети DDoS-атак связаны с уязвимостями интернет-порталов и онлайн-сервисов e-commerce. Тенденция такова, что организовать DDoS становится все проще и дешевле. Условно говоря, домохозяйка может успешно атаковать интернет-магазин, а сделать фишинговую рассылку (массовая отправка пользователям сообщений с предложением открыть определенную ссылку или файл, в результате чего их устройства подвергаются заражению) способен чуть ли не школьник, буквально «на колене». При этом по статистике около 80% кибератак начинаются именно с фишинга.
— Появляются ли у злоумышленников новые инструменты?
— Растут и сложность атак, и «хитроумность» кибермошенников. Во-первых, становится все больше хакеров — идет сильный приток в их ряды IT-специалистов, вышедших с университетской скамьи. Соответственно, увеличивается и количество вредоносного программного обеспечения — кто-то пишет его самостоятельно, кто-то — покупает в даркнете. В 2019 году стало меньше вирусов-шифровальщиков (с их помощью злоумышленники шифруют важную для бизнеса информацию, чтобы потребовать плату за ее расшифровку), но больше атак, направленных на захват контроля над КИИ. Это достаточно важный момент. Главный инструмент таких атак — различные ботнеты (сети зараженных вредоносным ПО устройств). Все, что мы называем «умными устройствами» — домашние Wi-Fi—роутеры, модемы, любая техника, имеющая IP-адрес, — может стать частью ботнета, маленьким винтиком в большой системе, которая причинит серьезный ущерб.
Кроме того, играет свою роль тот факт, что мир становится все быстрее, злоумышленники и их атаки, соответственно, тоже. Как только уязвимость в том или ином программно-аппаратном комплексе обнаружена, она распространяется молниеносно, ее начинают использовать огромное количество группировок и отдельных хакеров.
— Успевают ли за этими тенденциями средства защиты информации?
— Недавно в Москве прошел «SOC-Форум» — одно из крупнейших российских мероприятий, посвященных информационной безопасности, на котором собрались эксперты в этой области, отечественные и зарубежные производители ПО и оборудования для защиты информации, IT- и ИБ-директора. И одной из тем, вызвавших наиболее оживленное обсуждение на форуме, стал вопрос кадров. С атакующими проблем нет, потому что, совершив успешную атаку, можно быстро получить немалые деньги. А вот с обороняющимися, с людьми, которые владеют технологиями на стыке IT и информационной безопасности, — проблема. Экспертов же мирового уровня, способных погрузиться в IT-ландшафт, увидеть стратегическую картину целиком, и вовсе единицы.
— Как, по вашему мнению, можно решить эту проблему?
— Есть два основных подхода. Первый — увеличение количества факультетов, кафедр и специальностей по направлению информационной безопасности в вузах. Однако практические знания такого рода быстро устаревают. За год основной вектор атак может полностью смениться — и все, выпускник покидает вуз с устаревшими знаниями, которые никому не нужны. И второй подход, основанный на системном образовании, которое будет давать фундаментальные знания в сфере IT и защиты информации: построения компьютерных сетей, криптографии и т. д., а затем уже производить «точную настройку» специалистов на уровне предприятий, специальных курсов и т. п. И «Ростелеком» в этом направлении тоже принимает активное участие: мы сотрудничаем с вузами, проводим образовательные смены для школьников и студентов — погружаем их в реальную практику ежедневной деятельности специалиста по кибербезопасности. Мы считаем, что важно как можно раньше дать молодым людям представление о будущей профессии — это поможет им определиться с конкретным направлением и к моменту выпуска быть достаточно подготовленными для старта карьеры. При этом ключевой темой, которую мы обязательно включаем в повестку таких образовательных мероприятий, является этика деятельности в сфере ИБ — доступно объясняем, чем чревато хакерство и почему на светлой стороне намного лучше.
— С конца прошлого года в России развивается Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА, представляет собой сеть центров кибербезопасности, оперативно обменивающихся между собой данными об угрозах), в создании которой «Ростелеком» играет заметную роль. Она уже успела показать свою эффективность?
— Принятие №187-ФЗ, регулирующего обеспечение безопасности КИИ, и запуск ГосСОПКА, на мой взгляд, действительно были необходимы. Сейчас говорить об их глобальной эффективности, наверное, еще рано. «Ростелеком» реализовал проект по защите информации для администрации Волгограда, также мы запустили ряд других проектов на базе ГосСОПКА в ЮФО и СКФО. Радует, что мы видим реальный интерес. Руководители государственных учреждений осознают наличие угроз для данных граждан, понимают, что IT-инфраструктура может быть скомпрометирована, что приведет к серьезному урону. Заказчики начинают развивать свою IT-инфраструктуру, чтобы подготовить ее к подключению к ГосСОПКА. В целом эта система представляет собой живой организм, который состоит из множества частей. Для его полноценного функционирования необходима и организационная работа, и применение IT-инструментов, и обучение персонала, и др. Наш проект в Волгограде показывает, что система эффективна и помогает отражать атаки. Но в масштабах страны ГосСОПКА еще не построена. Думаю, в полной мере ее эффективность покажет следующий год.
— Зафиксировал ли в нынешнем году «Ростелеком» крупные кибератаки на предприятия Юга России?
— Как таковых глобальных атак не было. Но в начале года крупное промышленное предприятие столкнулось с атакой на базе шифровальщика, целью которой оказалась финансовая документация компании. Организация обратилась в ФСБ и к нам, мы подключились к расследованию инцидента и обнаружили, что действовала хакерская группировка, возможно, по чьему-то заказу.
— Какова динамика ущерба от кибератак в этом году в ЮФО и СКФО?
— В мировых масштабах на анализ и мониторинг киберугроз тратятся огромные деньги — компании ищут уязвимости и в программном обеспечении, и в устройствах — бытовых, серверном оборудовании, автоматизированных системах управления (АСУТП) и т. п. Это естественно, потому что сейчас глобальный ущерб от действий хакеров исчисляется уже миллиардами долларов. На Юге России он тоже растет, но мой опыт показывает, что у нас о подобных инцидентах стараются молчать. Таков менталитет: люди боятся репутационных и финансовых рисков. Обсудить эту тему удается только без имен и в очень узких кругах, но, разговаривая с клиентом, иногда понимаешь, что он тратит реальные деньги не на мониторинг и предупреждение атак, а уже на устранение их последствий. По моей оценке, в этом году счет таких расходов в ЮФО и СКФО идет на десятки миллионов рублей.
— По исследованию «Лаборатории Касперского», отдельный бюджет на информационную безопасность выделяет меньше четверти российских компаний, у остальных он является частью IT-бюджета. На ваш взгляд, какой подход эффективнее?
— Позиция «Ростелекома» заключается в том, что IT- и ИБ-бюджеты должны быть раздельными. Потому что IT-службы тоже входят в группу риска. Крупные предприятия выделяют на цифровизацию огромные деньги. Поэтому в IT необходим контроль, мониторинг и анализ киберугроз. Это сложно обеспечить, если бюджеты в одной корзине. Они должны быть автономны и подчинены либо напрямую собственникам бизнеса, либо как минимум их заместителям, которые курируют эти направления. К счастью, мы видим, что заказчики все более восприимчивы к объяснениям относительно того, какие риски несут кибергурозы. Когда собственник понимает, что его бизнес зависит от онлайн-сервисов, недостаточный уровень защиты которых может привести к тому, что у него из кармана могут вытащить деньги и перевести их в кипрский офшор, — это приводит в чувство.
— Как изменился в 2019 году российский рынок услуг по обеспечению информационной безопасности?
— Во-первых, на фоне экономической обстановки наблюдается тенденция к сокращению IT-бюджетов. Особенно это заметно в сегменте малого и среднего бизнеса. Поэтому рынок идет в сторону распространения сервисной модели, управляемых услуг защиты информации (Managed Security Services, MSS) на облачных платформах, к которым заказчик может подключить свою инфраструктуру. Как раз такие решения предлагает «Ростелеком» на базе экосистемы управляемых сервисов кибербезопасности Solar MSS — использовать их заказчику гораздо проще. Он может направить на это небольшую часть OPEX, а не делать огромные капитальные вложения. Тем более, что малый и средний бизнес в принципе не может себе их позволить. В наши сервисы кибербезопасности зашиты все самые новые, дорогостоящие и эффективные технологии. Это виртуализация сетей и оборудования, программно-определямые сети (SD-WAN), что позволяет автоматически обновлять инструментарий защиты и настройки оборудования во всех филиалах и точках присутствия заказчика и т. д. В основе сервисов «Ростелеком» – сложное технологическое ядро, которое помогает нам решать достаточно нетривиальные задачи. В первую очередь речь о защите IT-периметра предприятия от всех видов сетевых угроз. Это файерволлы, межсетевые экраны, брандмауэры и т. д. Вторая часть работы заключается в защите веб-приложений и всей той части IT-инфраструктуры заказчика, которая связана с интернетом. Отдельно необходимо обеспечить безопасность электронной почты. Имеющиеся у нас инструменты позволяют также отражать DdoS-атаки, шифровать данные в каналах связи и управлять навыками персонала в сфере информационной безопасности. При этом они работают 24 часа в сутки без выходных и соответствуют всем требованиям российского законодательства в части защиты информации.
Преимуществом сервисной модели защиты от киберугроз является также скорость подключения к нашей платформе: информация об уязвимостях и угрозы на их основе, как я уже говорил, распространяются молниеносно. Сервис по защите от них должен разворачиваться с той же скоростью. Наконец, важна масштабируемость этих услуг. Вне зависимости от физического местоположения подразделений компании, бизнесу интересны решения, которые можно быстро распространить на любое количество торговых точек, офисов, производственных предприятий и т. д. Мы предоставляем такую возможность без капитальных затрат со стороны заказчика. Для него это удобно и с точки зрения финансового планирования.
Не стоит забывать и о дефиците специалистов по информационной безопасности, который я уже упоминал. Малый и средний бизнес в принципе не может позволить себе экспертов, способных защитить всю IT-инфраструктуру предприятия, тем более в режиме 24/7.
— Традиционно считается, что главная угроза информационной безопасности любой организации исходит в первую очередь от ее же сотрудников, незнакомых с требованиями к защите информации. Каковы основные сценарии таких угроз?
— Во-первых, отмечу, что это совершенно верная точка зрения. В объектах КИИ уже долгие годы главной целью любой атаки является именно человек. Наибольшее внимание злоумышленники уделяют финансово-экономическим службам, управляющим потоками «живых» денег, а также юридическим подразделениям, секретариатам и IT-отделам. На них в основном направлен фишинг. Для предотвращения такого рода угроз мы считаем необходимым системное обучение сотрудников основам киберграмотности. Здесь, как в спорте, нужна регулярная тренировка навыков. Такая работа выводит защищенность организации на совершенно иной уровень. Когда человек осознает степень угроз и рисков, у него совершенно меняется отношение к рабочему процессу. У нас есть сервис Security Awarness, направленный на повышение осведомленности сотрудников об информационной безопасности. По нашему опыту, если в среднем в группу риска входит каждый четвертый или шестой сотрудник российских компаний, то в организациях, где проходит обучение и регулярные тренировки персонала, рискам подвержен уже каждый двенадцатый.
— Приведите примеры сценариев, по которым на практике развиваются атаки, основанные на отсутствии у сотрудников предприятий знаний в области информационной безопасности.
— Перед прошлым Рождеством мы зафиксировали массовую фишинговую рассылку по адресам сотрудников промышленных предприятий Юга России. Письма рассылались в преддверии «черной пятницы», в них сообщалось, что в приложении — купон на скидку, а пройдя по ссылке, указанной в письме, можно принять участие в очень выгодной акции и т. п. Естественно, многих это заинтересовало, они начали переходить по ссылкам, в результате чего на их устройства попадало вредоносное ПО.
В этом году мы столкнулись с фишинговой атакой на крупную логистическую компанию. Ее руководство обнаружило активный отток клиентов. Анализ показал, что кто-то создал поддельный сайт с доменным именем, похожим на то, которым пользуется компания. Также в руках злоумышленника оказалась клиентская база предприятия, по которой и проводилась рассылка с предложением обращаться за транспортными услугами к другому участнику рынка. Мы помогли клиенту разобраться в этой ситуации, провели работу с его партнерами. Информационная безопасность — это не только технические средства защиты, но и эксперты, способные взаимодействовать с людьми.
Классика жанра, с которой приходится сталкиваться почти во всех организациях: IT-подразделение или служба информационной безопасности утверждает, что инфраструктура полностью защищена, но во время экскурсии по офису или производству ты обнаруживаешь логины и пароли доменных записей на стикерах, приклеенных к мониторам или нижней стороне клавиатур. Все. Больше ничего не нужно. На этом, в принципе, с IT-инфраструктурой организации покончено. Зная данные учетной записи, развить атаку для злоумышленника не составит труда.
Технологические аудиты сетей заказчиков показывали, что иногда ради автоматизации процессов администраторы вставляют в приложения незашифрованные логины и пароли для входа на устройства. Очень часто предприятия не следят за обновлениями и патчами для ПО, которые закрывают ту или иную уязвимость.
— В каких отраслях экономики уровень рисков, связанных с киберугрозами, растет наиболее активно?
— В этом году мы зафиксировали такую тенденцию в сегменте технологических стартапов. В ЮФО есть несколько IT-кластеров, в том числе, формируемый сейчас на базе учебного центра «Сириус» в Сочи российский аналог Кремниевой долины, IT-парки в Краснодаре и Ростове. Стартапы создают инновационные продукты и зарабатывают довольно серьезные деньги. В их проектах все завязано на онлайн, облачные вычисления, быстрые платежи и т. д. Поэтому им важно обеспечить своим сервисам высокий уровень защиты, что их пользователи могли не беспокоиться о защите своих данных и клиентов. Поэтому молодые технологические компании и являются группой риска с точки зрения киберугроз, и очень заинтересованы в развитии инструментов обеспечения информационной безопасности.
— Цифровизация затрагивает и традиционные отрасли экономики. На Юге России большую долю в экономике занимает сельское хозяйство — растет ли уровень киберугроз в этой отрасли?
— В этом году мы вели переговоры о сотрудничестве с крупным агрохолдингом в одном из южных регионов и были удивлены подходом этого предприятия к информационной безопасности и оценке соответствующих рисков. Многие сельскохозяйственные компании в ЮФО пользуются сервисами, созданными вышеупомянутыми технологическими стартапами. С их помощью они, например, получают информацию с датчиков, замеряющих уровень освещенности, влажности, температуры и т. п. Стартапы агрегируют эти данные, передают их в информационные системы агрохолдингов, берут оттуда, анализируют, обрабатывают и т.д. И мы обнаружили, что взаимодействие между сервисами интернета вещей в таких системах ничем не защищено. Данные передавались в незашифрованном виде: отправлялись в незашифрованных архивах по почте или выгружались по API. При этом речь шла об информации, которая используется в расчетах необходимого количества удобрений, управлении сельскохозяйственной техникой, передается для принятия решений высшему руководству компании. Достаточно творческий злоумышленник, немного исказив такие данные, сможет внести средств защиты растений больше, чем нужно, или взломать компьютер, который управляет комбайном за 12 млн руб., и пустить его под откос, внести ошибки в отчетность для министерства сельского хозяйства и т. д. Мы открыли заказчику глаза на эти угрозы, подключили его к сервисам «Ростелеком-» и обеспечили шифрование данных. Кроме того, наши специалисты провели аудит инфраструктуры компании. Проведение таких аудитов и формирование у заказчика понимания рисков — важная часть нашего взаимодействия с клиентами. Когда они понимают, к чему могут привести киберугрозы, проблема почти во всех случаях очень быстро доходит до высшего руководства.