С распространением цифровых технологий у бизнеса появляются всевозможные киберуязвимости.
Kursiv Research продолжает публикации, посвященные киберпространству. В первом материале мы разбирали причины, почему в РК вырос киберкриминал и как этому противостоять обычным пользователям («Преступление и цифровизация»).
Тема информационной безопасности получила продолжение в текущем материале, но на этот раз в фокусе кибератаки на бизнес. Число киберинцидентов за последние три года стремительно выросло, соответствующим образом растут атаки на казахстанский бизнес, следует из обзора Kursiv Research.
Бизнес под прицелом
Основанную правительством РК в 2008 году Государственную техническую службу (ГТС), которая занимается межотраслевой координацией по вопросам информационной безопасности, еще называют технологическим ядром казахстанского «Киберщита». Напомним, в середине 2017 года была принята программа «Киберщит Казахстан», нацеленная на улучшение информационной безопасности страны.
ГТС в конце ноября 2022 года предоставила Kursiv Research статистику по кибератакам в казахстанском цифровом пространстве. Наблюдается взрывной рост кибератак, зафиксированных на едином шлюзе доступа к интернету. В 2020 году обнаружено более 26 тыс. событий, связанных с DDoS-атаками. Было зафиксировано свыше 193 млн критических событий, под которыми подразумеваются ботнеты, вирусы и целевые атаки.
Спустя два года ситуация заметно ухудшилась: за неполный 2022-й (статистика предоставлена в конце ноября) ГТС зафиксировала более 326 тыс. событий, связанных с DDoS-атаками, и свыше 626 млн критических событий, связанных с ботнетами, вирусами и целевыми атаками. Речь идет о двенадцатикратном росте в первом случае и о трехкратном увеличении во втором случае. К сожалению, организация не собирает детальную информацию по объекту атаки, поэтому сложно сказать, против кого именно – населения или бизнеса – больше всего работают киберпреступники.
Олжас Сатиев, основатель Центра анализа и расследования кибератак (ЦАРКА), также фиксирует рост киберинцидентов. «Количество атак растет по экспоненте», – считает он. И прогнозирует, что число инцидентов будет расти, а вектор атак – расширяться.
На рост кибератак на казахстанский бизнес указывают данные международной компании по разработке систем защиты от киберугроз «Лаборатория Касперского». Компания в декабре 2022 года опубликовала заявление, в котором говорится о высоком проценте киберинцидентов против автоматизированных промышленных систем (АСУ) в Казахстане. По ее данным, 41,5% компьютеров АСУ были атакованы вредоносным программным обеспечением с января по ноябрь 2022 года. Этот показатель в РК чуть выше, чем в среднем по миру (39,5%).
Наибольший рост количества кибератак наблюдается в нефтегазовой сфере: с 23% во втором полугодии 2021-го до 30% в первом полугодии 2022 года, а также в энергетике – с 28 до 32% и в транспортно-логистической отрасли – с 9,9 до 11%. В числе самых распространенных угроз – фишинг, вредоносные документы, шпионское ПО и криптомайнеры.
В нефтегазовой сфере в первом полугодии 2022 года по сравнению с аналогичным периодом 2021 года с 3,5 до 9,7% выросло количество угроз, распространяемых злоумышленниками через электронную почту, в том числе таргетированные фишинговые письма. Также увеличилась доля компьютеров АСУ, на которых были заблокированы вредоносные документы (с 1,5 до 3,4%), программы-шпионы (с 2 до 3,8%) и ПО для скрытого майнинга криптовалют (с 1 до 3,8%). Все эти угрозы, как правило, также доставляются с использованием фишинга.
«Угрозы для компьютеров АСУ в нефтегазовой, энергетической, транспортно-логистической отраслях в целом те же, что и в других сферах. И, как и в других промышленных секторах, основная проблема информационной безопасности – отсутствие эффективной изоляции технологической сети от корпоративной. Еще одна проблема, по мнению Валерия Зубанова, управляющего директора «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии, в том, что друг от друга не изолированы различные сегменты технологической сети, в том числе на уровне контроля прав доступа. Злоумышленники, получая доступ к одному компьютеру, могут захватить контроль над всей сетью.
Статистику по атакам на АСУ «Лаборатория Касперского» получает от пользователей распределенной антивирусной сети Kaspersky Security Network (KCN), которые, собственно, пользуются этой защитной системой и которые не против передачи и обработки информации. Атакованными компания считает те компьютеры, на которых в отчетный период защитные решения «Лаборатории Касперского» заблокировали одну и более угроз.
«Лаборатория Касперского» относит к технологической инфраструктуре организаций те компьютеры, которые выполняют одну или несколько функций: серверы управления и сбора данных, серверы хранения данных, шлюзы данных, стационарные рабочие станции инженеров и операторов, мобильные рабочие станции инженеров и операторов, Human Machine Interface и компьютеры, используемые для администрирования технологических сетей и разработки ПО для систем промышленной автоматизации.
Ориентир на ущерб
Kursiv Research отправил запрос в Министерство цифрового развития, инноваций и аэрокосмической промышленности РК, чтобы выяснить объем наносимого казахстанскому бизнесу денежного ущерба от кибератак.
Ведомство не предоставило запрошенные данные, но рекомендовало обратиться в ГТС. В свою очередь Государственная техническая служба ответила, что не располагает такой информацией, поскольку оценка ущерба не входит в ее полномочия.
В ЦАРКА также не стали предоставлять собственных оценок, но предложили взглянуть на расклады от английской IT-компании Synextra. «Все атаки так или иначе влияют не только на государственные системы, но и на бизнес. Например, DDoS-атаки, которые Казахстан почувствовал в осенний период, значительно повлияли на скорость и качество интернет-соединения, что несет финансовые потери для бизнеса», – объясняет Сатиев.
По его словам, масштаб потерь сложно оценить. Однако если отталкиваться от данных, предоставленных компанией Synextra, то из-за слабого интернет-соединения сотрудники компаний могут терять в среднем 7 тыс. тенге в час, но это в контексте Великобритании. «В Казахстане данная цифра может быть как больше, так и меньше», – говорит он.
Любители-злоумышленники
Рост киберугроз нельзя объяснить простой логикой, что с увеличением числа подключенных к интернету устройств возрастает и количество уязвимостей, которыми злоумышленники могут воспользоваться, чтобы проникнуть в цифровую инфраструктуру предприятия.
К примеру, в 2021-м, как и в предыдущие два года, доля субъектов предпринимательства, которые в своей работе пользуются интернетом, составляла порядка 80%. Иначе говоря, не отмечается существенный прирост пользователей, чтобы только этим объяснить стремительное увеличение киберинцидентов. Эти данные взяты из ежегодных обследований, которые проводит Бюро национальной статистики РК (БНС).
Крупный и средний бизнес, а также госсектор обследуются сплошным методом. Малый бизнес изучается выборочным методом. На момент подготовки материала самый свежий соцопрос был по итогам 2021 года. В его фокусе оказалось более 135 тыс. организаций, или почти треть от общего числа зарегистрированных юрлиц. Аналогичное соотношение выдержано в предыдущих опросах, что говорит о высокой репрезентативности исследования.
Более того, казахстанский бизнес находится на ранней стадии цифровой трансформации. Почти повсеместно использует уже ставшие привычными информационно-коммуникационные технологии, но эпизодически внедряет элементы Индустрии 4.0.
Сделанные в 2021 году наблюдения БНС указывают на то, что чаще всего организации пользуются интернетом для связи с госорганами (до 85,9% респондентов, у которых есть доступ к сети). То есть в первую очередь интернет нужен, чтобы получить информацию от госоргана или отправить заполненные электронные формуляры. Основная масса компаний (92,6% от всех респондентов, у которых имеется интернет) автоматизировала бухгалтерию, а у каждого пятого респондента есть собственный сайт. Из опроса следует, что на 135 тыс. субъектов предпринимательства приходится порядка 43 тыс. серверов.
Что касается более продвинутых технологий, то обследование БНС показывает, что, к примеру, не получили широкого распространения облачные технологии. А без этого нельзя развивать интернет вещей. Например, в 2021 году порядка 17,7 тыс. организаций из 135 тыс. респондентов пользовались облачными IT-услугами (или 13,1%). Автоматизированными внутренними бизнес-процессами могут похвастаться лишь 8,2% организаций, участвовавших в обследовании БНС в 2021 году.
Еще несколько цифр, иллюстрирующих медленный переход к Индустрии 4.0. К такой аддитивной технологии, как 3D-принтер, в производстве прибегает всего лишь 1% от всех опрошенных компаний. У менее сложной в освоении технологии RFID, подразумевающей автоматическую радиочастотную идентификацию, аналогичный уровень распространения.
Только 9,9% крупных и средних промышленных предприятий используют в производстве цифровые технологии. И только 180 крупных и средних компаний прибегают к помощи робототехники.
Одним из объяснений роста кибератак в Казахстане могут быть эффекты коронакризиса. В 2020 году многие компании перешли на дистанционную работу. На фоне COVID-19 проблема кибербезопасности, отмечают в ГТС, стала более актуальной.
«Поскольку большинство компаний хранят конфиденциальные и персональные данные пользователей на незащищенных устройствах, что ведет к увеличению роста хакерских атак. Во время пандемии коронавируса поток информации в виртуальном пространстве усилился, вследствие чего киберпреступники активно нацелились на банковский сектор и сектор здравоохранения, подвергая многих людей и компании риску из-за проблем с ответственностью и конфиденциальностью. Основной причиной большинства вторжений является человеческая ошибка», – считают в ГТС.
Нынешний тренд, объясняющий стремительный рост кибератак, отчасти связан с наращиванием компаниями своих вычислительных мощностей, следует из ответа ГТС. «Добавляют серверы, рабочие станции, сетевые и прочие устройства, а цены на оборудование продолжают расти. В таких условиях некоторые предприятия начинают сокращать затраты на кибербезопасность, чтобы приобрести нужное оборудование или продлить подписку на программное обеспечение», – указано в ответе ГТС.
Развитие цифровых технологий стимулирует и киберкриминал. В докладе Internet Organised Crime Threat Assessment – 2020 отмечается распространение Cybercrime-as-a-Service (CaaS). Киберпреступление как услуга подразумевает симбиоз технически грамотных преступников и неподготовленных в этом плане злоумышленников. Первые готовят инструменты и сопутствующую инфраструктуру, вторые за оговоренную комиссию арендуют эти технологические решения и совершают кибератаки. Другими словами, в киберпреступность вовлекается все больше людей, и теперь для этого не нужны специальные технические знания.
Киберщит и вирус
В прошлом году правительство РК презентовало проект «Концепции развития цифровой экосистемы на 2022–2027 годы». Этот документ еще называют «Киберщит-2», он продолжает госполитику по укреплению информационной безопасности страны (в первую очередь государственного сектора), начатую еще в 2017 году с принятием «Концепции кибербезопасности».
В новом документе, как и в предыдущем, основной акцент сделан на улучшение кибербезопасности государственного сектора. Авторы документа не забыли упомянуть и о частном секторе.
Они предлагают создать отраслевые центры в «критически важных направлениях». В первую очередь речь идет о финансовом и топливно-энергетическом секторах, образовании и здравоохранении. Нефтегазовая и горнодобывающая промышленность, транспорт, телеком, сельское хозяйство и оборона также входят в перечень критически важных направлений, где следует создавать отраслевые центры.
Подобный центр действует в банковской сфере. Работу системы Qainar в ноябре 2022 года публично презентовал начальник управления кибербезопаности Агентства РК по регулированию и развитию финансового рынка (АРРФР) Роман Перминов. История этого центра берет начало в 2020 году, когда законом «Об информатизации» на Агентство РК по регулированию и развитию финансового рынка (АРРФР) была переложена функция отраслевого центра информационной безопасности. Это означало, что АРРФР должно оценивать и прогнозировать состояние информационной безопасности на финансовом рынке.
Поэтому в 2021 году была запущена пилотная эксплуатация автоматизированной системы обработки информации по событиям и инцидентам информационной безопасности на финансовом рынке Qainar. Из длинного названия следует, что система в онлайн-режиме обрабатывает информацию о кибератаках, на основе которой АРРФР предупреждает все казахстанские БВУ об угрозах и уязвимостях, зафиксированных в нашем регионе.
В 2021 году система Qainar зафиксировала и отработала 66,9 тыс. событий информационной безопасности в подключенных к ней БВУ. Было направлено 111 предупреждений об угрозах и 286 предупреждений об уязвимостях, обработано 66 карт информационных инцидентов. Сейчас к этой системе подключены все коммерческие банки РК.
Проект был признан успешным, поэтому предложено создать аналогичные центры в первую очередь в ранее указанных отраслях. Помимо этого программа «Киберщит-2» предлагает усилить компетенции госорганов в обозначенных сферах, чтобы улучшить регулирование информационной безопасности, учитывая особенности автоматизации в каждой отрасли.
Защитим бизнес
В большинстве критических направлений, для которых планируется создать отраслевой центр, главными игроками являются крупные компании. Что касается предприятий малого и среднего бизнеса, недостаточная осведомленность в методах защиты и низкая обеспеченность системами безопасности в этом сегменте, как убеждены авторы документа «Киберщит-2», приводят к большому количеству неанализируемых событий и инцидентов. Они, в свою очередь, затрудняют как профилактику технологических уязвимостей, так и борьбу с киберзлоумышленниками.
Чтобы исправить ситуацию, в документе предлагается в целом повысить осведомленность населения о киберугрозах. Еще одной мерой повышения безопасности, о чем не сказано в госпрограмме, вполне могут быть готовые решения от IT-компаний, специализирующиеся на разработке систем защит от киберугроз.
Сегодня такие компании предоставляют широкий ассортимент решений. К примеру, компания «Лаборатория Касперского», которая с 2013 по 2021 год участвовала в 741 независимых тестах и обзорах, из них в 518 случаях заняла первое место, исповедует ступенчатый подход к кибербезопасности. Подход условно разделен на три этапа защиты: базовый, оптимальный и комплексный (или экосистема защиты). Линейка Kaspersky Security Foundations противодействует массовым и обычным угрозам, Kaspersky Optimum Security – скрытым и передовым угрозам, Kaspersky Expert Security – сложным и целевым угрозам. Кроме того, у компании есть решения для промышленных предприятий и объектов критической инфраструктуры – Kaspersky Industrial CyberSecurity.
ГТС, отвечая на вопрос о том, какие виды киберугроз станут наиболее актуальными в среднесрочной перспективе, рекомендовала бизнесу обратить внимание на следующее тренды.
Первым делом следует позаботиться о повышении осведомленности сотрудников о кибербезопасности. Поскольку в последние годы доминируют кибератаки с применением фишинга, когда злоумышленники, используя неподготовленность сотрудников, запускают вредоносные программы, например, для удаленного доступа, вирус-шифровальщик и прочее.
«После COVID-19 большинство предприятий перешло и на облако для хранения конфиденциальных данных. Однако большинство облачных провайдеров не обеспечивают безопасное шифрование, аутентификацию и ведение журналов аудита в качестве мер безопасности, что создает значительные неудобства для компаний, имеющих дело с особо конфиденциальными или персональными данными», – считают в ГТС.
Не является секретом для злоумышленников использование крупными организациями стороннего программного обеспечения, которое зачастую не является безопасным, предупреждают в ГТС. «Проникнуть в систему и получить доступ к методам и данным они могут, используя третьи лица или поставщиков. Поэтому компании должны внедрять строгие стандарты целостности кода, которые позволяют работать только авторизованным приложениям для защиты от атак на цепочку поставок», – рекомендуют в ГТС.
Также советуют обратить внимание на DDoS-атаки с вымогательством: «Распределенные атаки по типу отказа от обслуживания, направленные на подавление и отключение критически важных сетевых систем организации-жертвы, достигли беспрецедентного распространения в 2022 году».
Кроме того, злоумышленники организовали другую DDoS-активность. Речь идет о глобальной кампании по вымогательству, известной как «DDoS с выкупом» (или RDDoS). Киберпреступники угрожают запустить DDoS-атаку, если их требования не будут выполнены к указанному сроку. «С ростом количества DDoS-вымогательств увеличиваются риски для неподготовленных организаций», – считают в ГТС.