• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Взгляд вверх, или Кибербезопасность-2022

Рост киберпреступности и рынка средств защиты, переход от «бумажной» безопасности к реальной, увеличивающаяся роль государства – основные тренды развития рынка кибербезопасности в нашей стране.

В вышедшем в конце прошлого года американском фильме «Не смотри вверх» (Don't Look Up) ученые обнаружили комету, которая неминуемо должна врезаться в нашу планету и уничтожить жизнь на Земле. Технически возможно принять меры и изменить курс кометы, но властям не до нее. Политикам важнее голоса на выборах, СМИ – рейтинги, бизнесменам – прибыль, людям – повседневные заботы. Большая часть общества не хочет замечать проблему и даже утверждает, что никакой кометы нет. Поддерживается лозунг – «не смотрите вверх», хотя комета на небе уже видна невооруженным глазом.

Сходная картина наблюдалась и в сфере кибербезопасности. Узкая группа специалистов давно пыталась привлечь внимание к проблеме, но руководители компаний в основном отмахивались, действуя по принципу «пока гром не грянет, мужик не перекрестится».

Минувший 2021 г. стал во многом переломным. Люди, принимающие в компаниях решения, наконец «посмотрели вверх» и поняли масштаб угроз. То, что топ-менеджмент значительной части компаний осознал необходимость не ограничиваться формальным выполнением требований регулятора, а делать конкретные шаги для обеспечения защиты информации, заместитель генерального директора Positive Technologies Борис Симес назвал одним из важнейших итогов ушедшего года. «Когда безопасность заказывается первым лицом, шансов на реализацию больше. И индустрия будет создавать продукты, ориентированные не только на выполнение формальных требований, но и на результат», – прокомментировал ситуацию он.

Роль регулятора в этом процессе недооценивать не стоит. Многие банки стали выполнять требования по информационной безопасности под давлением Центробанка, опасаясь наказания за невыполнение его предписаний. А потом перешли от «бумажной» безопасности к реальной. В итоге финансовая отрасль России оказалась лучше всех подготовленной в плане кибербезопасности и не пострадала в 2021 г. от крупных APT-атак.

Рост активности преступников

Вызванный пандемией массовый и резкий переход на удаленную работу привел к появлению новых угроз и повышению активности злоумышленников. Деятельность киберпреступников облегчает увеличившаяся поверхность атаки. Кроме того, работа из дома способствовала широкому распространению «теневых» ИТ-инструментов, использованию не контролируемых компаниями облачных и пользовательских ресурсов и растеканию по ним конфиденциальной корпоративной информации.

Сказываются как повышение доступности вредоносносных программ, и так усиливающееся разделение труда среди киберпреступников. Заказать атаку из облака теперь просто – для этого достаточно иметь необходимую сумму в криптовалюте. Владельцы MaaS (Malware-as-a-Service) за плату предоставляют доступ к ботнету, распространяющему вредоносное ПО. Клиент получает техническую поддержку и возможность управлять атакой через личный кабинет. Например, он может с помощью DDоS-атаки вызвать неработоспособность системы выбранной в качестве цели компании или, используя модель RaaS (Ransomware-as-a-Service), зашифровать жесткий диск и потребовать выкуп. Причем для этого не надо быть хакером-профессионалом, довольно и начальных знаний о компьютерах.

Все сервисы движутся в сторону коммодитизации, и хакерские услуги не исключение. «Яркий пример – использование так называемых стрессеров, или бутеров, сервисов организации DDoS-атак. Обычно это работает следующим образом: сначала разрабатывается новая техника атаки или новый ботнет, идут единичные нападения, а потом появляются несколько конкурирующих бутеров, которые данную услугу коммодитизируют. Сюда же относится и сдача ботнетов в аренду», – дал комментарий нашему изданию основатель и генеральный директор Qrator Labs Александр Лямин.

Наибольшую опасность представляют APT – продолжительные атаки повышенной сложности, направленные на конкретную организацию. В число самых громких преступлений минувшего года вошла атака на Colonial Pipeline – оператора крупнейшего топливопровода в США, которая остановила работу компании на пять дней и заставила власти ввести чрезвычайное положение в 19 штатах. По данным исследовательской компании Elliptic, хакеры DarkSide получили с жертв своих атак сумму в биткоинах, эквивалентную по меньшей мере $90 млн.

Получила развитие взорвавшая информационное поле в конце 2020 г. атака на SolarWinds. Летом 2021 г., используя аналогичный метод атаки на цепочку поставок, хакерская группировка REvil заблокировала ИТ-системы 1 тыс. предприятий, выставив счета на общую сумму $70 млн. Шифровальщик REvil не только шифрует, но и выводит данные из атакованной им инфраструктуры, что продемонстрировало нападение на корпорацию Acer c требованием выкупа в $50 млн.

Растет число киберпреступлений и в России. Так, по данным лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории РФ в 2021 г. увеличилось более чем на 200%.

Примерно половина (50,9%) опрошенных компанией бизнесменов считают программы-шифровальщики опасными. Причем если до пандемии компании принципиально отказывались платить выкуп вымогателям, во всяком случае публично, то в 2021 г. ради сохранения бизнеса на это были готовы пойти уже 17% опрошенных.

Размер запрашиваемого у российских компаний выкупа, как правило, зависит от величины организации и колеблется в пределах от нескольких сотен тысяч до десятков миллионов рублей. А средняя сумма выплаченного в 2021 г. выкупа составила примерно 3 млн руб.

Рост рынка кибербезопасности

На новые вызовы бизнес ответил ростом расходов на кибербезопасность. По оценкам аналитической компании J’son & Partners Consulting, объем мирового рынка продуктов и облачных сервисов для информационной безопасности увеличился за 2021 г. на 6% и достиг $32 млрд (см. рисунок).

Быстрее всего развивался облачный сегмент. Доля SECaaS (безопасность как услуга) увеличилась с 34 до 41%, что обусловлено влиянием пандемии, распространением облачных технологий и переносом вычислительной инфраструктуры предприятий в гибридные и публичные облака.

Темпы роста российского рынка кибербезопасности превысили мировые. В декабре 2021 г. компания «Ростелеком-Солар» оценила российский рынок в 98,6 млрд руб., отметив его годовой рост в 8%. Директор по развитию бизнеса Positive Technologies Максим Филиппов считает, что по итогам 2021 г. рынок ИБ в России вырос на 10–15%, причем не только за счет увеличения расходов пользователей, но и за счет появления новых игроков, желающих вкладывать деньги в рынок кибербезопасности. «Начались переговоры о создании совместных предприятий, покупки долей компаний, чего раньше мы на рынке не наблюдали», – поясняет Б. Симес.

Купол безопасности

Человек может обезопасить свой дом от криминала, поставив крепкую дверь и врезав надежные замки. Но он беззащитен при нападении вражеской армии. В этом случае не обойтись без помощи государства. «В условиях возможного переноса боевых действий в киберпространство государство должно позаботиться о своих гражданах. Идеальный формат – купол безопасности, защищающий инфраструктуру и граждан страны от атак из-за рубежа», – считает президент АРСИБ Виктор Минин.

Речь не о полном закрытии киберпространства страны, как в Северной Корее. Движение идет, скорее, по китайскому пути – в направлении контроля и регулирования пересекающего границы страны трафика и обеспечения функционирования Рунета в случае отключения его от мировой сети. В январе 2021 г. вступили в силу остававшиеся до этого неактивными нормы закона «о суверенном интернете» (№ 90-ФЗ), касающиеся национальной системы доменных имен (зоны .RU, .РУ и .SU) и соблюдения стандартов в области криптографической защиты.

Усиливался контроль и внутри «купола». Продолжается реализация требований неоднозначно принятого обществом «закона Яровой», который обязал операторов связи полгода хранить голосовые и текстовые сообщения абонентов, а интернет-провайдеров (операторов связи, оказывающих телематические услуги связи и (или) услуги связи по передаче данных) в течение месяца – интернет-трафик. Правила хранения сообщений пользователей предусматривают, что емкость «технических средств накопления информации» операторы должны увеличивать на 15% ежегодно в течение пяти лет. Правда, в июне 2021 г. постановлением правительства действие требования об увеличении объема хранимого трафика приостановлено на год – до 26 июня 2022 г. Зато появились инициативы, расширяющие действие закона. В декабре 2021 г. Госдумой в первом чтении принят законопроект, согласно которому владельцы внутренних технологических сетей связи должны в течение трех лет хранить передаваемую по этим сетям информацию о фактах приема, передачи, доставки и (или) обработки голосовых/текстовых/видео- и иных сообщений и по запросу предоставлять ее правоохранительным органам. Документ включен в примерную программу Госдумы на апрель 2022 г. и в случае окончательного одобрения может вступить в силу уже в текущем году.

Приняты и менее ресурсоемкие законы. Так, в феврале 2021 г. начали действовать поправки к закону «Об информации, информационных технологиях и о защите информации», требующие от соцсетей самостоятельно выявлять и блокировать запрещенный контент.

Для того чтобы иметь возможность воздействовать на иностранные интернет-компании, крупнейшие из них, с суточной аудиторией более полумиллиона российских пользователей, обязали с 1 января 2022 г. открыть в России свои представительства. Как сообщили в Госдуме, для стимулирования процесса подготовлены поправки в Кодекс РФ об административных правонарушениях, устанавливающие ответственность за «неприземление», а также за нарушение ограничений на рекламу и сбор персональных данных. К середине февраля в списке «уклонистов» оставались только Google, Meta, Discord, Pinterest, Twitch и Telegram.

В рамках работ по реализации норм закона № 187-ФЗ «О безопасности критической информационной инфраструктуры» в мае 2021 г. внесены дополнения в КоАП, которые устанавливают штрафы за нарушения в сфере безопасности КИИ. Появилась судебная практика по применению законодательства. А Минцифры России разработало и в октябре 2021 г. отправило на согласование в государственно-правовое управление Президента проект указа об экономических мерах обеспечения технологической независимости и безопасности объектов КИИ. Проект устанавливает единый срок перехода КИИ на отечественное оборудование и ПО – 1 января 2023 г. Контролировать импортозамещение в части софта будет Минцифры, а в части оборудования – Минпромторг.

Война санкций

Политика импортозамещения во многом вызвана войной санкций, которая в 2021 г. продолжила набирать обороты. В санкционные списки попадают уже не только российские промышленные компании и банки, но и компании, работающие в сфере кибербезопасности, и даже вузы. В ноябре 2021 г. Бюро промышленности и безопасности министерства торговли США внесло в санкционный список Московский физико-технический институт. Размытое обвинение в сотрудничестве с вооруженными силами своей страны переводит в зону риска огромное количество российских предприятий, чья продукция может использоваться в том числе силовыми структурами. Новые угрозы 2022 г., когда речь идет об отключении России от международных платежных систем и санкциях против крупнейших российских банков, заставляют задуматься о последствиях и население. Например, граждан, привыкших расплачиваться карточкой за рубежом.

Государство пытается снизить санкционные риски и риски информационной безопасности. Одна из мер – увеличение финансирования производства микропроцессоров, самого проблемного в российской ИТ-отрасли сегмента. Из достижений прошлого года стоит выделить появление долгожданного серверного процессора Baikal-S компании «Байкал Электроникс», снижающего риски информационной безопасности на аппаратном уровне.

Геополитика берет верх над здравым смыслом. Например, российская компания Positive Technologies находит новые уязвимости, критичные для работы популярных в мире программ, но компания Mitre, ведущая базу данных общеизвестных ИБ-уязвимостей Common Vulnerabilities and Exposures, их не регистрирует, так как Positive Technologies находится под американскими санкциями. В итоге страдают компании, не получающие информации о выявленных проблемах.

Пираты и флибустьеры

Ситуация в киберпространстве сегодня напоминает времена расцвета пиратства в Карибском море. Можно, как пират, грабить в киберпространстве всех подряд, но гораздо безопаснее путь флибустьера, нападавшего на торговые корабли только вражеских стран. В этом случае меньше шансов, что тобой заинтересуются местные правоохранительные органы.

Показательный пример приводит А. Лямин: «Два тинейджера из Израиля организовали бутер под названием vDOS. Чтобы обезопасить себя, они не атаковали сайты на территории родной страны, но даже не старались скрыть свою личность, используя в частности настоящие email-адреса. Точно так же цели, скажем, на территории Украины обычно заказывают у российских хакеров и наоборот. Чтобы минимизировать шансы быть пойманными, хакеры часто атакуют ресурсы, находящиеся в других странах, – такая картина наблюдается уже несколько десятков лет».

Для того чтобы бороться с киберфлибустьерством, нужны общие правила игры. Говоря словами принятых в апреле 2021 г. «Основ государственной политики Российской Федерации в области международной информационной безопасности», требуется «установление международного правового режима, при котором создаются условия для предотвращения (урегулирования) межгосударственных конфликтов в глобальном информационном пространстве».

Примеры международного взаимодействия в борьбе с криминалом в киберпространстве есть. Так, в январе 2022 г. ФСБ задержала участников банды кибервымогателей REvil. Но хотелось бы видеть и обратные примеры, в частности, ликвидации в сопредельных странах криминальных колл-центров и арестов мошенников, которые с помощью методов социальной инженерии, представляясь, скажем, сотрудниками службы безопасности Сбербанка, выманивают деньги у российских граждан.

Для киберпреступников не существует государственных границ. Мир информационной безопасности должен быть более прозрачным. Это дело не какой-либо одной компании или одной страны. Если существующие организации не справляются, нужно создавать новые, не зависящие от государств.

Только сотрудничество соперничающих держав в свое время позволило покончить с пиратством в Карибском море, что в итоге принесло пользу всей мировой торговле. И сегодня угрозы общие. Чтобы их увидеть, достаточно посмотреть вверх.