К каким новым видам киберугроз нужно приготовиться казахстанскому бизнесу
Кибератаки становятся многофункциональными и все более критичными для бизнеса. По прогнозам экспертов, в ближайшей перспективе хакерские вторжения будут связаны с монетизацией полученного контроля над производственным циклом.
Конвейер румынского завода Dacia (дочка концерна Renault) в результате кибератаки остановился на несколько дней. Автопроизводитель официально сообщил, что вторжение хакеров привело всего лишь к «некоторым перебоям информационных систем» и признал: эти перебои могут являться следствием кибератаки «на глобальном уровне», но в подробности вдаваться не стал. Об истории двухлетней давности вспомнили на конференции Cyber Security Day, назвав румынский кейс прообразом тех проблем, с которыми компании массово столкнутся уже в ближайшем будущем.
Взлом + заморозка производства
Что же на самом деле произошло в Румынии? Злоумышленники провели двухуровневую операцию: сначала получили доступ к внутреннему корпоративному домену подразделения автоконцерна и ознакомились с персональными данными сотрудников румынского актива. Затем с этого же домена отправили на корпоративную почту сотрудников уведомления с заголовком «Объем накопленных пенсионных начислений». В уведомлениях был вредоносный код. «Кто даже из сотрудников безопасности, понимающих всю угрозу писем, не открыл бы такое послание? Ведь документ пришел с внутреннего корпоративного домена, еще и подписанный вашим именем и фамилией?» – задает вопрос консультант по информационной безопасности Check Point Software Technologies Иван Чернышенко, который и рассказал подробности румынской истории. По мнению эксперта, такие письма будут открыты на компьютерах, находящихся в системе предприятия, с вероятностью почти в 100%. «Началось горизонтальное распространение вредоносного кода, он загрузил сеть, произошла потеря контроля над производственной линией, полная остановка конвейера. Людей отправили на выходные раньше на два дня, и сотрудники информационной безопасности все это вычищали два рабочих и два выходных дня», – рассказывает Чернышенко.
Потери румынского предприятия только в виде упущенной выгоды (не собранные за четыре дня автомобили) составили, по оценке экспертов, около $10 млн. Но эти убытки были лишь верхушкой айсберга: по словам Чернышенко, если сложить потери от срывов контрактов и потери вспомогательных структур – изготовителей комплектующих для основного сборочного производства, то глобальный сбой всей цепочки обошелся Dacia и ее материнской компании как минимум в три раза дороже, чем потери от остановки конвейера на несколько дней.
Темная сторона технологий
Атака на Dacia с элементами взлома, хищения персональных данных и использованием их для внедрения вредоноса в операционную систему предприятия – это наиболее вероятный сценарий хакерских вторжений ближайшего будущего. Еще один тренд, который отмечается в отчете работающей в сфере IT-безопасности компании Check Point Software Technologies, – методология и цели вредоносных программ стали более многофункциональными, а их атаки гибридными. «Важной вехой в 2018 году стал переход таких известных семейств вредоносных программ, как программа «Троян», собирающая банковскую информацию, Emotet – от кражи банковских учетных данных к распространению вируса. Семейства вредоносных программ, известные ранее единственной и хорошо функционирующей утилитой, сейчас расширяют свою деятельность и предлагают дополнительные возможности», – говорится в документе.
При этом, отмечают специалисты по киберзащите, в 2018 году также наблюдалось увеличение успешных атак на так называемые закрытые экосистемы, то есть экосистемы предприятий, которые для связи с интернетом использовали один контролируемый на уровне центрального сервера шлюз. Что еще раз доказывает: инструментарий хакеров расширился, а вместе с ним выросла и результативность их деятельности.
И тем не менее многие компании не готовы вкладываться в кибербезопасность, даже если их бизнес все больше зависит от IT. Они считают подобные инвестиции слишком дорогими и экономят на киберзащите, говорит глава представительства Check Point Software Technologies в России и странах СНГ Василий Дягилев. Тренд существует, несмотря на постоянно растущий объем рынка киберпреступлений. IDC начала измерять ущерб, нанесенный киберпреступностью мировой экономике, в 2014 году. Тогда это было $400 млрд. По прогнозу IDC в 2020 году годовой ущерб вырастет до более $1 трлн, ряд аналитиков предполагает и более негативные варианты развития событий с суммой ущерба в $2 трлн, а то и до $3 трлн.
В 2018 году на кибербезопасность в мире было потрачено на 11% больше, чем в 2017-м. При этом 46% компаний было успешно атаковано злоумышленниками – с ними случились инциденты, которые привели к потере данных; 36% компаний было вынуждено признать, что эта потеря данных стала для них критической.
Подход «скупаю все лучшее» устарел
Дягилев объясняет, почему об эффективной защите бизнеса говорить сейчас можно далеко не всегда, даже если бизнес, как ему кажется, использует средства предохранения. Современные киберугрозы классифицируются специалистами как волна пятого поколения, а противодействовать им и промпредприятия, и частные пользователи пытаются инструментами второго-третьего (firewall, HIPS), а то и первого (антивирусы) поколения. До виртуальной песочницы, инструмента защиты четвертого поколения, многие просто не доходят.
«Мы провели опрос среди заказчиков и выявили интересные факты. Практически 99% до сих пор использует антивирусы. 90% компаний утверждает, что использует firewall, инструменты третьего и четвертого поколения используют меньше. Получается, что чем выше уровень технологий, тем меньше тех, кто их внедряет в жизнь, – говорит Дягилев. – Но пятое поколение атак, первые примеры которого мы видели в 2017–2018 годах, минимальным инструментарием будет практически невозможно отразить. Это будут масштабные мультивекторные атаки, и даже защиты четвертого поколения окажется недостаточно».
Другая крайность – выделение компанией серьезных средств на построение защиты и одновременно неэффективное их использование. Так происходит, когда бизнес закупает все самое лучшее у разных вендоров, и задумывается, как софт разных производителей будет взаимодействовать друг с другом в случае, если атака на объект окажется многовекторной. «За последние 10 лет количество вендоров увеличлось в сотни раз. Приобретая продукцию разных вендоров, сложно достичь синергии, – утверждает руководитель направления по защите от кибератак компании Check Point Software Technologies Алексей Белоглазов. – Ставя самое лучшее, вы справляетесь с атаками третьего-четвертого поколения. С современными атаками это уже не работает, потому что этот подход дает вам эффект в каждом узком сегменте, но эти системы оказываются не интегрированными между собой. Максимум они сообщат о случившемся событии, но может быть уже поздно. Кроме того, между разными системами защиты отсутствует возможность обмена информацией. А это ключевой момент при атаках пятого поколения, которые направлены на всю инфраструктуру предприятия. Обмен информацией между сегментами защиты становится одним из главных моментов системы», – добавляет он.
В итоге, считает эксперт, и вендоры, и их заказчики должны прийти к пониманию – на действительно критичных с точки зрения киберугроз объектах должно устанавливаться комплексное решение, желательно от одного производителя. Либо от тех вендоров, программы которых могут поддерживать друг друга.
Есть, конечно, путь компании Norsk Hydro, которая в марте этого года после успешной атаки с помощью шифровальщика, убившего практически всю систему, сумела восстановить ее достаточно оперативно, поскольку, по словам Чернышенко, применяла технологию резервного копирования. Но проблема в том, что регулярная чистка 35 тыс. ПК (именно столько пользователей находится в системе Norsk Hydro) – это очень дорогое удовольствие даже для крупнейшего норвежского производителя алюминия. Похоже, что рынок кибербезопасности ждет заметное оживление – если крупные компании решат использовать только зонтичные решения по защите своих информационных систем.