— То, что происходило в РФ с 24 февраля, можно назвать очень серьезным вызовом. В первую неделю с начала специальной военной операции (СВО) мы фиксировали волны DDoS-атак с кратно увеличившейся мощностью, которые были направлены на веб-представительства России и их вывод из строя.

В даркнете выставляются на продажу ресурсы, которые могут быть в задействованы DDoS-атаках на территории России. Первые дни СВО наблюдался колоссальный дефицит таких ресурсов. Ранее казалось, что они безграничны, но нет. В результате в моменте их стоимость подскакивала со 100-500 долларов в разы. Если до начала СВО в даркнете продавали базы учетных записей, то после 24 февраля две недели их предлагали бесплатно: берите и используйте. Это дало атакующим большой плацдарм для начала кибератак.

Под «дымовой завесой» DDoS-атак осуществлялись целевые атаки на СМИ, на «медийку», госорганы. Для атакующей стороны было важно создание визуального эффекта, поэтому были выбраны эти векторы.

То, что наша инфраструктура смогла выстоять и выдержать такие массированные DDoS-атаки, считаю нашим большим достижением. В итоге мы получили колоссальный опыт противодействия большим скоординированным атакам, в ходе которых была сформирована принципиально новая модель нарушителя и угроз. К примеру, раньше казалось: что можно сделать с обычным сайтом-визиткой? Сейчас атакуют все, до чего можно дотянуться. Все, что «плохо лежит». Ключевая задача — визуальный эффект, то есть прокричать об атаке и ее результатах как можно громче. В украинских телеграм-каналах сегодня активно муссируются самые маленькие победы, поэтому под угрозой находится все, что расположено в российском веб-пространстве.

Проанализировав ситуацию последних месяцев, мы можем сказать, что очень сильно изменились векторы атак.

Первый — это утекшие учетные записи и доступы в корпоративные системы через фишинг, а также слабости защиты.

• 80% атак сегодня идут через IT-подрядчиков или разработчиков. Как правило, это небольшие компании, которые не очень заботятся о своей безопасности. Через их удаленные доступы идет целевая атака. Это бич сегодняшнего времени.
• Третий вектор атаки — на внешних поставщиков контента. На любых сайтах в первые недели СВО шли атаки на СМИ: взламывали баннерные сети, сети информационного обмена.

Еще один момент, за которым сегодня очень внимательно наблюдает Минцифры РФ, ФСБ, — атаки через Open Sourse (программное обеспечение с открытым исходным кодом). Только за две недели СВО в него были внедрены более 20 «закладок» недекларированных возможностей. Так что сейчас в Open Sourse для нас большой проблемой является доверие к исходному коду. Через Open Sourse сегодня проходят почти 80% атак.

Помимо кибератаки, сегодня не меньшую актуальность приобретает информационная атака. Хакерам неважно — действительно взломана система или нет, главное — создать хайп. Мы постоянно мониторим то, что публикуется в телеграм-каналах, в соцсетях под видом взломанных данных, и точно можем сказать, что 95% этой информации — фейк. С сайтов госорганов, банков скачиваются открытые данные и подаются под видом утечки. Активно используются сливы прошлых лет, с которых стряхивается пыль — и они выдаются как свежий результат кибервойны.

В целом хочу сказать, что IT-ландшафт с начала СВО в России сильно изменился. Сейчас мы обсуждаем ряд инициатив, связанных с информационной безопасностью, с регулятором, заказчиками, участниками рынка, чтобы адаптироваться к новым реалиям.

• Первая касается развития нормативной базы. Необходимо переходить от наличия средств защиты к уровню защищенности информационных активов.
• Также необходимо вводить отраслевое управление уровнем защищенности. Например, в той же электроэнергетике все взаимосвязано, и кто-то сверху должен отслеживать уровень защищенности отрасли, координировать его. Для этого необходимо развивать отечественные платформы, чтобы обеспечить импортозамещение и кибербезопасность.
• Очень серьезной проблемой является кадровый дефицит. Он колоссален. При потребности в 20-25 тысячах специалистов информационной безопасности в год контрольные цифры приема в вузы страны составляют менее 10 тысяч. Мы должны идти в новую модель образования — практикоориентированную.
• И, наконец, еще одна инициатива — экспорт российских технологий кибербезопасности. Несмотря на санкционное давление на международном рынке, наш опыт противостояния кибервойне, опыт того как мы выстояли в течение трех месяцев массированных атак со всего мира, в том числе при активном участии США, крайне интересен. Это крутой экспортный продукт, который нужно двигать. В рамках Петербургского международного экономического форума, что пройдет в середине июня, у меня уже запланировано достаточно встреч с коллегами из разных стран по этой тематике.

Материал подготовлен на основе выступления на комитете РСПП по цифровой экономике, посвященного кибербезопасности российских предприятий в условиях киберпротивостояния.