Эксперты: Против российских пользователей ведется кибервойна

В 2024 году российские компании, организации и частные пользователи оказались в ситуации кибервойны. Такое почти единодушное мнение высказали эксперты, представители бизнеса и государственных организаций на проходящей конференции по кибербезопасности SOC Forum 2024. Они уверены, что характер и тип кибератак, их количество кардинально изменились.
Хакеры нацелены на критическую информационную инфраструктуру.
Хакеры нацелены на критическую информационную инфраструктуру. / Сергей Михеев

"Мы воюем с профессионалами. Я неоднократно говорил, что за всеми масштабными атаками на государственную инфраструктуру и крупные российские компании стоит главное управление разведки Украины и киберцентр НАТО, и это отличительная особенность сегодняшнего момента", - заявил президент "Ростелекома" Михаил Осеевский.

Он также отметил, что три года назад, когда произошел взрыв киберактивности, направленный против российских организаций и частных лиц, она выглядела как проявление хактивизма (использование незаконными способами компьютеров и компьютерных сетей для продвижения политических идей).

"Это были DDoS-атаки, похищение персональных данных и другая подобная активность. Но за три года противостояние в информационной среде вышло на новый уровень. Сегодня враги пытаются проникнуть в нашу ключевую информационную инфраструктуру с тем, чтобы ее уничтожить. И это та реальность, в которой мы с вами находимся", - считает Осеевский.

Данные Национального координационного центра по компьютерным инцидентам (НКЦКИ) также подтверждают тренд на более высокий профессиональный уровень хакеров, действующих против целей в РФ. Они отходят от "громких", демонстративных атак в пользу максимального нанесения ущерба. Около 70% инцидентов, поступающих в НКЦКИ, связаны с уничтожением информации. При этом векторы атак не сильно изменились - это критические уязвимости, фишинг и атаки через IT-подрядчиков.

Заместитель директора НКЦКИ Петр Белов рассказал, что с начала года фиксируется кибероперация, которая не прекратилась до сих пор. В ходе нее последовательно атакуются российские объекты - как относящиеся, так и не относящиеся к критической информационной инфраструктуре.

"В операции участвуют различные хакерские группировки, но исходя из того, как методично осуществляется прощупывание объектов, поиск целей, заход на эти цели и последующие их выведение из строя, можно утверждать, что все эти инциденты объединены в одну кибероперацию, и что она координируется из единого центра", - считает Белов.

По его мнению, такой вывод подтверждает тот факт, что участвующие в кибероперации хакерские группировки придерживаются единой стратегии и нередко используют одинаковые инструменты.

Атаки проводятся в два этапа. Первый этап - эксплуатация критической уязвимости на периметре защиты, после чего происходит закрепление хакеров в информационной системе организации, куда кладется "легкий" программный инструмент, который трудно обнаружить: он практически никак себя не проявляет и предназначен исключительно для удаленного управления доступом. Вторая, активная фаза операции проводится через несколько недель. В IT-инфраструктуру заходят другие группировки, которые распространяются по атакованной системе, ищут активы, которые можно вывести из строя, и после этого шифруют их или стирают.

Говоря об обеспечении безопасности КИИ в отраслях промышленности, заместитель министра промышленности и торговли РФ Василий Шпак поделился данными мониторинга, который проводится с 2022 года. Специалисты центра по информационной безопасности проверили более 2 тыс. объектов критической инфраструктуры, и в 70% процентов случаев обнаружили нарушения. Всего же запланировано проверить 10 тыс. таких объектов. А Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила новую методику оценки минимального уровня технической защиты информации и обеспечения безопасности значимых объектов КИИ и выборочно проверила по ней 100 организаций. По словам заместителя директора ФСТЭК Виталия Лютикова, лишь 10% организаций полностью соответствовали минимальному уровню, 40% имели низкий уровень и 50% - критический.

Президент "Ростелекома" считает, что для защиты российской информационной инфраструктуры и пользователей от кибератак нужно сфокусироваться на трех главных направлениях: "Первое - импортозамещение. Наши решения в области киберзащиты должны быть на российской программной базе. Второе - необходим круглосуточный мониторинг в SOC (центрах мониторинга информационной безопасности) для быстрого реагирования на инциденты. Нельзя построить высокий забор и не контролировать, кто пытается его перелезть. Третье - это управление доступом сотрудников и подрядчиков, особенно когда IT-инфраструктура компании или организации очень большая".

По мнению опрошенных "РГ" на SOC Forum 2024 экспертов, еще одним важным фактором обеспечения корпоративной и личной информационной безопасности должна стать кибергигиена, что означает проведение на порядок большего объема просветительских мероприятий в области работы с информацией и поведением в интернете, причем как среди сотрудников компаний, так и среди и обычных пользователей.

Замглавы Минцифры России Александр Шойтов тоже согласен с тем, что "человеческий фактор" остается одним из главных актуальных рисков в области информационной безопасности, и, по его мнению, к 2030 году необходимо разработать новый подход к ИБ, в котором технологии искусственного интеллекта нивелировали бы этот фактор.