09:42 03.03

Ликбез по кибербезу: Как противостоять хакерским атакам профессиональных кибергруппировок

Были зафиксированы сотни хакерских атак профессиональных кибергруппировок, включая попытки воздействовать на целые отрасли и даже сектора экономики

«Ростелеком» и компания SchneiderElectric провели онлайн-вебинар «Ликбез по кибербезу» для региональных журналистов и блогеров, посвященный теме кибербезопасности промышленных объектов и критической инфраструктуры. Несмотря на то, что понятие кибербезопасности предприятий малоизвестно широкой аудитории, тем не менее, его актуальность растет с каждым днем.

Рост кибератак на инфраструктуру России

Андрей Иванов, технический консультант по кибербезопасности компании Schneider Electric, которая является ведущей в сфере цифровых решений в сфере управления электроэнергией и промышленной автоматизации, сообщил журналистам из разных регионов России, что за 2019 год центр мониторинга и реагирования на киберугрозы Solar JSOC компании «Ростелеком» выявил и отразил свыше 1,1 млн внешних атак на информационные ресурсы. При этом традиционно наибольшее число инцидентов такого рода – более 430 тысяч, выявлено в Москве. Были зафиксированы сотни хакерских атак профессиональных кибергруппировок, включая попытки воздействовать на целые отрасли и даже сектора экономики РФ. В трети случаев за ними стояли кибергруппировки, представлявшие интересы иностранных государств, наиболее частые цели – объекты критической информационной инфраструктуры России.

По данным центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком», злоумышленники, особенно опытные, атакуют компании не со своего компьютера, а используя промежуточные сервера, которые могут располагаться в любой стране мира. То же самое касается серверов, на которые отправляет информацию вредоносное программное обеспечение. Поэтому определение «автора» атаки производится на основе множества косвенных признаков. По данным центра мониторинга и реагирования на кибератаки Solar JSOC,в прошлом году в 40% случаев целью атак был доступ к промышленным сегментам предприятий. Кроме того, наблюдается серьезный рост атак на объекты КИИ (критической информационной инфраструктуры). Он не столь значителен, как рост киберугроз в целом по России, но следует помнить, что именно атаки на КИИ, как правило, сложнее всего выявлять и противодействовать им.

Кибератаки на Дальнем Востоке

Статистика кибератак за 2020 год находится в процессе подготовки, поэтому эксперты пока используют данные за 2019 год. Согласно им, в Дальневосточном федеральном округе в 2019 году было зафиксировано свыше 115 тысяч кибератак.

Самыми распространенными на Дальнем Востоке стали атаки на вебприложения (веб-порталы, электронную почту, интренет-банки, личные кабинеты и т.д.). С подобными действиями злоумышленников организации сталкивались в 34% случаев. Этот метод атаки показывает рост и в целом по стране. По данным Solar JSOC, количество инцидентов, связанных с веб-приложениями, за 2019 год увеличилось на 13%.

Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком»:

- Такая динамика может быть связана с активным развитием корпоративных интернет-ресурсов, причем не только в традиционных для этого отраслях (банках, ритейле), но и в энергетике или госсекторе. При этом большая часть из них имеет критические уязвимости, позволяющие получить привилегированный доступ к ресурсам организации.

Вторым по популярности методом взлома инфраструктуры организаций ДВ-региона стало распространение вредоносного программного обеспечения (вирусы, трояны, шпионское ПО и т. п.) – 32% от общего количества инцидентов. В большинстве случаев злоумышленники используют фишинг для доставки вредоносного ПО на компьютер жертвы. При этом более трети фишинговых рассылок в регионе в 2019 году содержали в себе вирусы-шифровальщики. Попадая на компьютер жертвы, этот вредонос шифрует ценные данные, чтобы их невозможно было открыть, а за расшифровку злоумышленники, как правило, требуют выкуп.

Среди прочих типов кибератак, осуществлявшихся на компании и организации Дальнего Востока, эксперты SolarJSOC выделяют подбор и компрометацию учетных данных от интернет-ресурсов организаций, попытки компрометации логинов и паролей системных администраторов, DDoS (атаки, приводящие к недоступности веб-сайтов) и эксплуатацию известных уязвимостей, которые не были своевременно устранены службами информационной безопасности организаций.

Как «Ростелеком» борется с кибератаками?

Лаборатория кибербезопасности АСУ ТП компании «Ростелеком-Солар» и Schneider Electric сотрудничают в части выявления и устранения уязвимостей в элементах создания промышленных сетей — специализированном программном и аппаратном обеспечении. «Ростелеком» не разрабатывает собственные решения по защите АСУ ТП, но реализует комплексные проекты по обеспечению информационной безопасности промышленных сегментов предприятий.

В рамках он-лайн вебинара Андрей Иванов сообщил, что обеспечение кибербезопасности предполагает централизованное обеспечение информационной защиты и включает в себя антивирусное сканирование и обновление файлов антивирусных данных, обнаружение несанкционированного вторжения (HIDS), централизованную платформу управления безопасностью, систему предотвращения потери данных (DLP) и другие опции. Наилучшая стратегия снижения риска - это использование системы, где все компоненты спроектированы, протестированы, проверены и сертифицированы, где это возможно, принимая во внимание сквозную кибер и физическую безопасность.

Консультант подчеркнул, что безопасность - это непрерывный процесс, а не единичное усилие. Каждый этап проектирования должен включать в себя набор шагов безопасности, которые необходимо выполнить, интегрируя безопасность непосредственно в решение на протяжении его жизненного цикла. Чтобы быть наиболее эффективным, безопасность должна быть включена в проект жизненного цикла с самого начала.

По его словам, инциденты в современном информационном мире неизбежно будут происходить, но наличие хорошо документированного набора процессов и процедур реагирования позволит избежать серьезных последствий. Это не только скорость, с которой обнаруживаются угрозы безопасности, но и скорость, с которой они смягчаются и устраняются, что позволяет контролировать потенциальные риски и возникающие расходы.

Справка

Федеральный закон № 186 «О безопасности критической информационной структуры РФ» вступил в действие 1 января 2018 г. В нем определены объекты Критической Информационной Инфраструктуры – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры; а так же субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в таких сферах, как здравоохранение, связь, оборонная промышленность, атомная энергия, наука, транспорт, банковская и иные сферы финансового рынка, топливноэнергетический комплекс, ракетнокосмическая промышленность, металлургическая, горнодобывающая, химическая промышленность.

Андрей Иванов разъяснил отличия понятий «кибербезопасность» и «информационная безопасность», раскрыл преимущества комплексного подхода к обеспечению безопасности АСУТП, уделил внимание типовой архитектуре соответствующих решений и изложил основные требования российского законодательства к объектам критической информационной инфраструктуры.

В ходе сессии вопросов и ответов обсуждались темы кадрового обеспечения российских компаний в сфере информационной безопасности, готовности рынка внедрять современные цифровые решения, также внимание было уделено региональной специфике киберугроз и влиянию пандемии на кибербезопасность.

Татьяна БУРЦЕВА. SAKHAPRESS
Наш канал в Telegram