Есть разница
Проблемы защиты цифровой инфраструктуры обсуждали в Хабаровске, где прошло роуд-шоу "КиберДрайв" с участием столичных экспертов по информационной безопасности, а также их дальневосточных коллег из крупных государственных и коммерческих предприятий.
С одной стороны, ситуация в ДФО не сильно отличается от общероссийской. С другой - есть большая разница в часовых поясах.
- Из-за нее ночные кибератаки приобретают особую роль. Злоумышленники предпочитают это время суток, потому что штатных сотрудников информбезопасности нет на рабочем месте. Люди утром приходят и обнаруживают следы кибератаки, - рассказывает Денис Баскаков, директор по развитию бизнеса по информационной безопасности дальневосточного филиала одного из крупнейших российских провайдеров.
Чтобы "закрыть" этот ночной разрыв во времени, компания создала в Хабаровске один из четырех на всю Россию центров по мониторингу и реагированию на инциденты в сфере информбезопасности.
Отдаленность ДФО обостряет еще одну старую проблему - кадровую. Специалисты на Дальнем Востоке есть. Это вузовские выпускники, которые обучаются на производстве. Но они быстро набираются знаний и опыта, но долго здесь не задерживаются. Кадры утекают в Центральную Россию и даже за рубеж.
Эксперты считают: если на предприятии или в организации работает хотя бы один специалист, умеющий настраивать средства защиты информации (СЗИ), - это "закроет" большую часть киберугроз.
- В госструктурах, например, выбить ассигнования на СЗИ и новые ставки для тех, кто их будет обслуживать, - извечная проблема. В коммерческих ситуация лучше - там понимают, что от киберзащиты зависит деятельность предприятия, поэтому руководство быстрее все согласовывает, - уточняет Денис Баскаков.
Открыли доступ
Самыми распространенными стали атаки на веб-приложения - интернет-сайты и порталы, электронную почту, а еще интернет-банки - личные кабинеты как физических, так и юридических лиц. С подобными действиями столкнулись 34 процента пострадавших. За 2019 год прирост атак на целевые веб-приложения составил 13 процентов.
Этот тренд продолжился и в 2020-м, потому что в период пандемии множество организаций перешли на удаленный режим работы. Увеличилась нагрузка на веб-сайты и другую инфраструктуру.
- Удаленка дала хороший прирост кибератак. Компании открыли вход на сайты и порталы по банальному протоколу удаленного доступа. Люди с домашнего компьютера подключаются к инфраструктуре своего предприятия. При этом посещают разного рода сайты и могут даже не знать, что у них в системе давно сидит троян, собирающий данные по доступу в сеть организации, - говорит старший консультант крупнейшего центра защиты от киберугроз Solar JSOC Ксения Садунина. - Личные устройства и до пандемии были проблемой - есть целое направление киберзащиты, связанное с ними. Организация может обложиться массой СЗИ, но человек - слабое звено в этом периметре.
Целью атак стала почта корпоративная или личная, куда идет вал фишинговых рассылок. Точкой входа может послужить обычное "письмо счастья", полученное пользователем: "Вы выиграли, перейдите по ссылке". Либо используется любая злободневная тема, например, коронавирус: "Посмотрите свежую статистику".
Это до сих пор самый простой способ проникнуть в инфраструктуру, несмотря на то что о нем постоянно предупреждают. Злоумышленники знают, что не все пользователи щепетильны в вопросах кибергигиены.
Знать врага в лицо
Каждый час в округе фиксируют примерно 18 кибератак.
- Но оценивать их количественно неправильно. Нужно анализировать каждый случай, - настаивает Ксения Садунина. - В ДФО много значимых объектов критической информационной инфраструктуры. Они всегда представляют интерес в силу своей деятельности.
Так, одно из крупных дальневосточных предприятий едва не стало жертвой злоумышленника, который через открытый rdp-порт попал в инфраструктуру и принялся ее вручную шифровать.
- Инцидент оперативно зафиксировали, когда рабочий день в этой компании уже закончился. Мы дали свои рекомендации. Клиент успел изолировать сервер и процесс шифрования не пошел на всю инфраструктуру. Это предприятие непрерывного цикла, и если бы все случилось, как было задумано, то производство бы встало, - рассказывает Денис Баскаков.
Специалисты говорят, что нужно "знать врага в лицо", выбирая средства защиты, потому что определенные категории злоумышленников, как правило, атакуют организацию конкретного типа. Коммерческими структурами и банками интересуется киберкриминал, госорганизациями - кибернаемники, крадущие конфиденциальную информацию.
Полноценную защиту информационных активов предприятий могут дать комплексные решения - те же круглосуточные центры мониторинга кибератак.