Кибератаки обрушили работу компаний, имеющих много филиалов в Северной столице. Так, в июле хакерскому нападению подверглась сеть супермаркетов "Винлаб" (по данным сайта компании, в Петербурге насчитывается 138 магазинов). Часть IT-инфраструктуры перестала работать, что сделало недоступными некоторые сервисы и инструменты сети. Спустя неделю компания начала восстанавливать бизнес-процессы: постепенно открывались офлайн-магазины и возобновлялась работа сайта и приложений. Другой масштабный сбой претерпела сеть аптек "Столички" (239 точек в Петербурге) - киберугроза нарушила работу аптек. Но через три дня неполадки удалось устранить. Позже DDoS-атаку претерпел петербургский интернет-провайдер AiRNet.
Эти инциденты не только парализовали бизнес-процессы, но и стали тревожным сигналом: под удар может попасть кто угодно - даже те, кто располагает масштабными IT-отделами и серьезными бюджетами на кибербезопасность. Все эти случаи указывают на системную уязвимость, которая может быть характерна для сотен компаний, отмечают эксперты.
- IT-безопасность зачастую воспринимают как разовую покупку "защиты" или набор разрозненных решений. И это ошибка. Информационная безопасность - постоянный процесс, где важно учитывать человеческий фактор, обновления, архитектуру систем и новые векторы угроз. Чем больше инфраструктура, тем выше ее сложность, а значит больше слабых мест. Например, сотрудники могут стать жертвами фишинга, подрядчики - принести уязвимость через сторонние сервисы, а устаревшие модули ПО оказаться лазейкой, про которую давно забыли. Даже у компаний с большими бюджетами не всегда хватает гибкости и скорости реакции, ведь хакеры используют все более изощренные методы и часто действуют точечно против конкретных организаций, - объясняет СЕО "Облакотека" Максим Захаренко.
Потенциально слабых мест в части киберзащиты достаточно. По словам начальника управления информационной безопасности "Свой Банк" Алексея Ахмеева, самое распространенное - "теневое ИТ", то есть неизвестные, оставленные без контроля, забытые компоненты ИТ-архитектуры, которые могут годами работать без установки обновлений, закрытия уязвимостей и какого-либо контроля.
Архитектор национальных систем цифровой идентичности, генеральный директор "РТК Софт Лабс" Евгений Семенов замечает, что во многих компаниях отсутствует принцип Zero Trust (нулевого доверия) - это подход, при котором не доверяют даже внутреннему трафику и пользователям внутри корпоративной сети. Каждый доступ и действие проверяется заново. Если этот принцип не соблюдается, злоумышленник, попав внутрь, получает почти полный простор действий.
Еще одна причина, которая добавляет уязвимости IT-инфраструктуре крупных игроков рынка, - пренебрежение DLP-системами, то есть технологиями для предотвращения утечек данных. Во многих компаниях есть такие системы, но используются они не как инструмент безопасности, а как средство внутреннего контроля за лояльностью и пересылкой "лишнего", подчеркивает Евгений Семенов.
Шансы взлома увеличивает также несоблюдение элементарных правил гигиены информационной безопасности в части работы и хранения паролей. Часто эта информация хранится в открытом виде (в формате текстовых файлов), пароли долгое время не меняются или применяются нестойкие их варианты. Итог игнорирования всех этих мер безопасности - взлом.
- Принципиально есть три типа последствий: утрата данных, утечка данных (в том числе персональных) и приостановка деятельности. Возможна комбинация этих последствий. Также компании несут финансовые потери из-за нарушения деятельности и для устранения последствий и возврата к стабильному режиму. В отдельных случаях организацию также штрафует регулятор. Когда дело касается крупных компаний, счет может идти на десятки и сотни миллионов долларов ущерба. Немаловажен и урон репутации, который в некоторых случаях может повлиять на отток клиентов, - перечисляет управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ Евгений Царев.
Сложившаяся обстановка требует незамедлительного и кардинального пересмотра стратегии управления киберрисками, уверены эксперты.
- Важно выстраивать киберзащиту как систему, а не набор разрозненных решений. И эта система включает регулярный аудит инфраструктуры, тестирование на проникновение, обучение сотрудников, сегментацию сетей, резервное копирование в географически распределенные хранилища. Ключевая роль у резервных копий в том, что если данные и сервисы зашифрованы вымогателями, компания сможет восстановить работу без выплаты выкупа. В дополнение ко всему - внедрение практик Zero Trust, контроль действий подрядчиков и внешних пользователей, а также использование облачных сервисов с сертифицированной защитой и возможностью масштабировать безопасность так же быстро, как растет нагрузка, - заключает Максим Захаренко.
По данным исследования компании "Кибериспытание", две из трех российских компаний (67 процентов) можно взломать менее чем за сутки и более чем в 60 процентах случаев реализовать событие, которое могло бы остановить работу бизнеса. Это выяснилось в результате проверки 74 организаций.
Виктор Журавков, руководитель дата-центра ESTT
Если раньше хакинг был хобби для "темных" гениев, то сейчас это полноценный теневой бизнес с огромными деньгами. Есть заказчики, исполнители, рынок инструментов и даже научная база, скрытая от глаз обычных людей. Возьмем любую крупную атаку - она всегда кому-то выгодна и кем-то спланирована. Мотивы? В основном финансовые: заказчики хотят подорвать конкурента или урвать преимущество, а хакеры - заработать на шантаже или продаже данных. Но в наше геополитическое время добавляются и политические аспекты. Что меня поражает в современных атаках, так это их масштаб и подготовка. На крупные корпорации не нападают спонтанно - это годы работы десятков профи. Обычно проникновение начинается задолго до появления сводок в СМИ.
Александр Щетинин, генеральный директор Xello
Надежная защита заключается не в нагромождении разрозненных решений, а в комплексном подходе. Ключевую роль играет многоуровневая защита. Это не только выстраивание барьеров вокруг периметра, но и реализация более современных и проактивных подходов киберебзопасности. Один из них - концепция Zero Trust, которая исходит из принципа "не доверяй никому и ничему по умолчанию". Каждый пользователь, устройство и сервис должны проходить проверку и аутентификацию при любом обращении к ресурсам, даже если они находятся внутри сети компании.
Кроме того, сотрудники должны регулярно проходить тренинги по цифровой гигиене: умение распознавать фишинг, аккуратно работать с правами доступа и понимать правила реагирования на подозрительные инциденты.