Рост уровня цифровизации экономики и доли удаленной работы из-за пандемии обусловил увеличение количества угроз информационной безопасности предприятий. Эксперты по-разному оценивают готовность южнороссийского бизнеса к новому ландшафту киберугроз, однако сходятся во мнении, что далеко не все компании обеспечивают необходимую защиту своих коммерческих данных. Малые и средние предприятия зачастую в принципе не используют специальных средств обеспечения кибербезопасности.
В период действия режима самоизоляции количество кибератак в России возросло вдвое
Фото: Евгений Павленко, Коммерсантъ
В период действия режима самоизоляции количество кибератак в России возросло вдвое
Фото: Евгений Павленко, Коммерсантъ
Вдвое опаснее
Об увеличении в период пандемии COVID-19 количества угроз для корпоративных информационных систем как в масштабах страны, так и в регионах юга России говорят все опрошенные эксперты. «По нашим оценкам, можно говорить о двукратном росте количества кибератак в России; схожа и ситуация на Юге,— рассказывает директор компании «Мегафон» в Ростовской области Алексей Барков.— По данным Центробанка, за 2019 год в России произошло более 1 млн инцидентов такого рода, а общая сумма хищений составила 1,4 млрд руб. В 2020 году с учетом пандемии ожидается рост суммы хищений в два – два с половиной раза».
Директор филиала МТС в Ростовской области Игорь Марьясов со ссылкой на исследование компании Check Point Software Technologies говорит о росте количества кибератак в России после начала режима самоизоляции до 5 тыс. случаев при среднем показателе в предыдущие периоды 2,6 тыс. в сутки.
Россия входит в число лидеров среди стран мира по количеству киберугроз. В среднем российские организации подвергаются атакам с использованием информационных технологий 609 раз в неделю, тогда как аналогичный глобальный показатель — 473 атаки в неделю, утверждает, также ссылаясь на данные Check Point, Алексей Барков.
Исследование, проведенное банком «Открытие» и бизнес-школой «Сколково», свидетельствует о том, что российский МСБ не уделяет достаточного внимания вопросам обеспечения информационной безопасности. В нынешнем году, несмотря на рост количества киберугроз, доля компаний, которые вовсе не используют средств защиты своей коммерческой информации, выросла с 17% до 28%. Утвержденной политики информационной безопасности не имеют 67% малых и средних компаний; ранее этот показатель составлял 60%, говорится в результатах исследования.
Один из авторов работы, руководитель направления по оценке и развитию школы управления «Сколково» Ярослав Слободской-Плюснин объясняет снижение бдительности предприятий перераспределением ресурсов на IT в пользу цифровых решений для организации внутренних процессов, коммуникации с контрагентами и продвижения товаров и услуг. «Естественным образом, наращивая цифровой потенциал в одном сегменте, МСБ должен был оттянуть ресурс из другого,— говорит он.— Но киберзащита, очевидно, не самый правильный выбор в ситуации, когда в мире ежегодно фиксируется кратный рост киберпреступлений. Стоит ожидать обучения на опыте: кибератаки, наносящие заметные удары по крупному бизнесу, вполне способны привести МСБ к полному краху. После ряда таких кейсов уровень осознанности предпринимателей неизбежно будет расти — логично ожидать роста уровня использования инструментов киберзащиты».
Переменчивый ландшафт
Несмотря на то что пандемия коронавируса подстегнула цифровизацию экономики, значительная часть киберугроз, с которыми сталкиваются российские предприятия, осталась прежней. Это инструменты, которые уже показали свою эффективность. Среди них, например, рассылка вредоносного контента по e-mail. Таким образом пользователям доставляется 81% «зловредов», говорит Алексей Барков. Также, по его словам, увеличилось число неправомерных установок майнеров криптовалют и шифровальщиков — вредоносных программ, шифрующих важную для пользователя информацию, после чего злоумышленники требуют плату за ее расшифровку. Помимо этого, выросло количество случаев мобильного мошенничества и социального фрода — получения информации, в первую очередь финансовой, методами социальной инженерии. Эксперт также отмечает рост интереса к такому инструменту мошенничества, как SMS-активаторы, которые используются для массовой регистрации аккаунтов в сервисах подписок, а также предназначенных для получения скидок и бонусов и анонимизации.
«Актуальной проблемой для пользователей в разных странах остается рекламное программное обеспечение, при этом мы фиксируем снижение числа программ-вымогателей,— отмечает региональный представитель «Лаборатории Касперского» в ЮФО и СКФО Игорь Малышев.— На протяжении года растет количество мобильных угроз. Если говорить о наиболее распространенных из них, то во втором квартале 2020 года в топе оказались рекламные приложения, нежелательные утилиты RiskTool и SMS-троянцы».
Согласно статистике центра мониторинга и реагирования на кибератаки Solar JSOC (принадлежит компании «Ростелеком-Солар»), на Южный федеральный округ приходится сравнительно небольшое количество киберинцидентов. В 2019 году на организации ЮФО была направлена только 61 тыс. из 1,1 млн атак, зафиксированных центром в России. В то же время на Юге фиксируется самый высокий процент заражения компьютерными вирусами через фишинговые рассылки.
Пандемия обеспечила взрывной рост онлайн-продаж и стимулировала развитие сервисов по доставке. Уже в июле текущего года «Лаборатория Касперского» зафиксировала многократный рост фишинга в этих сегментах. «Наши эксперты выявили сотни поддельных ресурсов, похожих на популярные электронные торговые площадки,— рассказывает Игорь Малышев.— Например, в апреле было обнаружено 58 страниц, мимикрирующих под “Авито”, а в июле — уже 201. Злоумышленники создавали фишинговые сайты и заманивали пользователей возможностью что-то выгодно купить или продать».
Александр Баринов, директор MSS-проектов компании «Ростелеком-Солар», добавляет, что рост потребления онлайн-услуг и объемов электронной торговли значительно обострил конкуренцию между интернет-площадками. Иногда она принимает откровенно нецивилизованные формы. Речь, в частности, о росте количества DDoS-атак — когда на интернет-ресурс отправляется большее количество запросов, чем он способен обслужить. В результате сайт становится временно недоступным для пользователей. Динамика числа атак с начала нынешнего года — примерно 15%.
Удаленка повышает уязвимость
По мнению Алексея Баркова из «Мегафона», ситуацию ухудшает и то, что не все компании смогли должным образом подготовиться к переводу сотрудников на удаленку и обеспечить их защитой от кибератак. По этой причине наиболее популярными становятся атаки на компьютеры конечных пользователей и сервисы удаленной работы, масштабы использования которых значительно выросли с началом пандемии. В числе приоритетных целей злоумышленников — протокол удаленного рабочего стола RDP (Remote Desktop Protocol), виртуальные частные сети (VPN, Virtual Private Network) и виртуальные рабочие столы VDI (Virtual Desktop Infrastructure).
«В период пандемии выросло число атак на RDP,— говорит Александр Баринов.— Основная причина этого — резкое увеличение количества опубликованных в сети серверов, используемых для обеспечения удаленного доступа работников. Если хакер взламывает подобный сервер (а это достаточно простая задача), то через него получает доступ ко всей инфраструктуре организации».
Атакам подвергаются не только серверы, но и пользовательские устройства сервисов удаленной работы.
«Злоумышленники быстро осознали, что домашний незащищенный ноутбук удаленного работника — это практически открытая дверь в инфраструктуру организации,— считает Александр Баринов.— В итоге с начала пандемии рассылка фишинговых писем выросла примерно на 10%, а сами письма стали более таргетированными, чтобы вызывать больше доверия у получателей».
Статистика «Лаборатории Касперского» свидетельствует о том, что количество bruteforce-атак (заключаются в попытке подобрать нужную пару логин-пароль путем систематического перебора вариантов) на RDP выросло в нынешнем году почти в десять раз. По словам Игоря Малышева, в апреле нынешнего года только в России количество таких атак превысило 900 тыс. Еще в феврале этот показатель составлял около 100 тыс. в месяц.
«Внимание злоумышленников направлено на информацию о компании, в том числе на биометрические данные сотрудников, такие как запись голоса, изображение лица,— утверждает Игорь Марьясов.— Поэтому особое внимание необходимо уделять сервисам, предназначенным для коммуникаций и видеосвязи».
Президент Клуба ИТ-директоров юга России Михаил Сахно отмечает, что при удаленной работе возникает риск того, что кто-то из сотрудников отправит на сервер видео-конференц-связи файл, зараженный компьютерным вирусом. «При этом заражение через голосовой трафик невозможно,— добавил господин Сахно.— А изображения перед загрузкой на сервер для обеспечения безопасности стоит конвертировать в формат PDF: о случаях распространения вирусов с PDF-файлами я пока не слышал».
По данным «Лаборатории Касперского», PDF входит в число форматов, которые считают безопасными многие пользователи, хотя он позволяет злоумышленникам добавлять в файлы вредоносный код на JavaScript и фишинговые ссылки. Однако самыми опасными форматами производитель антивирусных решений называет ZIP- и RAR-архивы, а также документы MS Office.
Средства защиты
При переходе на удаленку южнороссийские компании уделили основное внимание эффективности коммуникаций внутри коллектива и между сотрудниками и клиентами. При этом защита данных редко рассматривалась как отдельный вопрос. Директор по работе с партнерами и ключевыми клиентами ООО «Аура 365» (занимается поставками оборудования для беспроводной передачи данных приборов учета коммунальных ресурсов) Александр Шипулин рассказывает, что при переходе на удаленку предприятие использовало опыт консалтинговой компании, принадлежащей тем же собственникам и ведущей бухгалтерию нескольких сотен ростовских предприятий.
«В период сдачи отчетности бухгалтеры могут не спать по несколько суток, но одно дело — работать в таком режиме в офисе, а другое — дома,— объясняет господин Шипулин.— Поэтому в работе аудиторской фирмы удаленка всегда применялась достаточно широко».
По словам топ-менеджера предприятия, работа с такой чувствительной для бизнеса информацией, как бухгалтерская отчетность, требует обеспечения ее надежной защиты. Для этого применяются виртуальные сети и криптографический протокол SSL. В период перехода на самоизоляцию «Аура 365» использовала тот же набор инструментов.
Михаил Сахно, обобщая практику ростовских IT-служб, отмечает, что при переводе сотрудников на удаленную работу для обеспечения защиты информации обычно используется традиционный набор инструментов — антивирусные программы и файрволы. Доступ к информационным ресурсам специалисты получают через VPN, по которым они подключаются к внутренней локальной сети.
«Сервисы удаленного доступа к внутренним ресурсам компании через VPN и APN (Access Point Name, имя точки доступа к интернету в мобильных сетях.— Прим. авт.) — это самый простой способ обеспечить минимальную защиту,— говорит Алексей Барков.— Если компания использует VDI, то важно применять сервисы двухфакторной аутентификации».
Среди востребованных специализированных сервисов информационной безопасности господин Барков называет также DLP-системы (Data Leak Prevention), которые позволяют отслеживать движение документов в корпоративной сети компании в режиме реального времени. Среди их функций — разграничение доступа, выявление фактов взаимодействия сотрудников с конкурентами и др. Также популярны инструменты криптографической защиты и средства отражения DDoS-атак.
«Спрос на решения для защищенной удаленной работы вырос,— отмечает Александр Баринов.— Некоторые компании стараются сделать менее уязвимыми домашние ноутбуки сотрудников, закупая для них антивирусное ПО и токены для двухфакторной аутентификации».
Актуальным для решения проблем информационной безопасности вопросом остается человеческий фактор. Игорь Малышев отмечает, что неосведомленность сотрудников компаний в вопросах информационной безопасности играет на руку злоумышленникам.
«Глобально существуют две концепции: использование выданного работодателем устройства, на котором установлено необходимое защитное решение и настроен доступ к тем или иным данным, и BYOD (Bring Your Own Device, “принеси свое собственное устройство”) — работа на личном устройстве без подключения к корпоративным ресурсам, включая базы данных и серверы,— объясняет представитель «Лаборатории Касперского».— В любом случае компаниям нужно помнить о необходимости применения специальных защитных решений, создании и соблюдении корпоративной политики доступа к различным ресурсам, запрете на использование рабочих устройств в личных целях, повышении осведомленности о кибербезопасности и других вопросах».
Беспечный бизнес
Провайдеры настаивают на том, что в среднем для МСП более выгодна аутсорсинговая схема защиты информационных систем. Обеспечить безопасность коммерческой информации собственными силами они могут далеко не всегда, считает Александр Баринов. Причина — в ограниченном бюджете и в дефиците необходимых специалистов. По оценке эксперта, реализация собственного проекта требует капитальных затрат в сумме нескольких миллионов рублей, а подписка на услуги провайдера обходится на 40–60% дешевле.
«Сельскохозяйственные предприятия юга России первыми заметили преимущества сервисной модели и сейчас активно покупают наши решения,— приводит пример господин Баринов.— Это связано с тем, что они имеют очень разрозненную структуру, а обеспечить присутствие специалистов в каждом филиале и сформировать единую политику безопасности для всех точек крайне сложно».
По оценке Игоря Малышева, в среднем на обеспечение информационной безопасности компаниям следует направлять 25% IT-бюджета. В этом году данный показатель составляет 22%, утверждает он.
В среднем, затраты МСБ на информационную безопасность составляют 4,7 млн руб. в год.
Вопреки утверждениям провайдеров, большинство опрошенных представителей малого и среднего бизнеса сообщили, что не используют аутсорсинговых и пакетных предложений для обеспечения информационной безопасности. «Удаленный режим работы компания применяет давно, для этого развернута инфраструктура с использованием VPN,— рассказывает Максим Болотов, основатель и директор компании Inostudio Solutions (занимается разработкой веб-приложений, программного обеспечения и других IT-решений; сервисов информационной безопасности не предоставляет).— Это гарантирует защищенное соединение с внутренней сетью компании и доступ к корпоративным ресурсам».
С началом пандемии компания полностью перевела сотрудников на работу в удаленном режиме. По словам господина Болотова, особого внимания при этом потребовало обеспечение устойчивости и надежности интернет-каналов. С этой целью Inostudio привлекла нескольких провайдеров связи.
«Что касается обеспечения информационной безопасности сотрудниками во время работы дома, важно обеспечить защиту рабочего места, прежде всего за счет использования исключительно лицензионного ПО и средств защиты, а также следования базовым правилам цифровой безопасности,— говорит предприниматель.— Речь о рабочих антивирусе и файрволе, наличии источников бесперебойного питания, использовании сложных паролей — разных для всех сервисов, а также осторожности при открывании ссылок, электронных писем и скачивании файлов с сайтов и т. д. Важно также не хранить в интернет-браузере свою персональную информацию и делать резервные копии важных данных».
Предприниматель добавляет, что информация на жестких дисках ноутбуков сотрудников его компании шифруется с использованием технологии Bitlocker.
Генеральный директор компании «Тендер-Дон», управляющей учебным центром и предоставляющей услуги консалтинга в сфере государственного и муниципального заказа, Константин Аршба говорит, что готовиться к переходу на удаленку начал еще за два месяца до объявления в Ростовской области режима самоизоляции — сразу после того, как в России заговорили о распространении коронавируса. За это время компания обучила всех сотрудников работе с CRM-системой. Для совместной работы с документами в компании используется облачная платформа Google Drive, для рабочего общения — группы в WhatsApp и Zoom.
«В нашем случае в защите нуждаются в первую очередь персональные данные клиентов учебного центра, а они обрабатываются только на одном компьютере,— добавляет господин Аршба.— Этот компьютер подключен к защищенному каналу связи, который сертифицирован в соответствии с требованиями ФСТЭК. Поэтому для нас не очень важны были риски, которые возникают из-за использования сотрудниками домашних сетей Wi-Fi и подключения к ним же устройств других членов семьи, которые могут быть недостаточно защищены».
По словам топ-менеджера компании, для обеспечения безопасности с каждым из сотрудников было подписано NDA — соглашение о неразглашении коммерческой тайны.