Руководитель отдела продвижения и развития продуктов Positive Technologies Евгения Красавина на пресс-конференции в Новосибирске рассказала об основных угрозах информационной безопасности и о том, почему защита может быть не эффективной.

Внимание! Вас атакуют!

— Евгения, можете оценить актуальность ситуации с кибератаками?

— За 1 полугодие 2017 года от кибератак пострадали более 70 стран, при том что в мире их всего около 200. Ущерб, который понесли компании в результате публичных атак превысил $2 млрд. Результаты оценки ущерба по непубличным инцидентам говорят о примерно $445 млрд. Данные сильно разнятся в связи с тем, что компании предпочитают не распространяться и утаивают информацию об атаках.

Если говорить о разбивке атак по сегментам, то, прежде всего, они были нацелены на частных лиц (18% всех атак), далее — государственные и финансовые организации. По сравнению с прошлым годом ситуация несколько изменилась, так как в 2016 на первом месте были государственные организации.

— Каким образом производились атаки?

— Наиболее популярным типовым методом атак по всем индустриям является использование вредоносного программного обеспечения (ВПО) — 40% случаев. На втором месте — компрометация учетных данных (20%), на третьем — эксплуатация уязвимости (15%).

Самая распространенная цель атак— инфраструктура, то есть набор комплексов и сервисов (технические средства и люди), деятельность которых направлена на поддержание работоспособности предприятия для достижения его основных целей. Например, основная цель производителей — выпускать продукцию, телекоммуникационных компаний — обеспечивать сигнал, чтобы потребители могли связаться друг с другом по телефону и т.д.

— Как хакеры атаковали государственные органы и финансовые организации?

— Основная цель злоумышленников — доступ к конфиденциальной информации. В госорганах, к примеру, это гостайна. После получения доступа к информации ее использование — дело времени. Злоумышленники могут использовать ее сразу, то есть перепродать. Либо они могут находиться в системе, ждать и в какой-то определенный момент они попытаются вывести из строя сервер, нарушить работоспособность инфраструктуры, похитить данные. Злоумышленники могут находиться в системе компании более 5 лет, и их никто не замечает!

35% атак на государственные органы были направлены на их веб-ресурсы. В этой категории атак самыми распространенными были дефейс и DDoS (блокирование сайта). Дефейс — это тип хакерской атаки, при которой страница веб-сайта заменяется на другую — как правило, вызывающего вида (реклама, предупреждение, угроза).

В финансовой отрасли почти половина атак была связана с использованием вредоносного ПО. Причем существенна доля атак пришлась на POS-терминалы и банкоматы. Именно с использованием вредоносного ПО злоумышленники пытаются получить доступ к банкоматам и управлять выдачей денег или скомпрометировать внутренние ресурсы банка. Большое число веб-атак направлено на веб-сайты банков.

— Какие новые тренды кибератак вы можете отметить?

— Мы отмечаем рост кибератак на биткоин-кошельки. Применение криптовалюты набирает обороты в силу своей анонимности и удобности. В связи с тем, что люди на ней неплохо зарабатывают, она становится идеальной целью для злоумышленников. Растет процент кибератак на устройства интернета вещей (IoT). Возьмем самый популярный пример: это ботнет Mirai, сеть, в которую входило несколько десятков IoT-устройств. Основной целью ботнета были распределенные и массовые DDoS-атаки. Их последствия могут быть катастрофичны. Если подумать, то интернет вещей сегодня включает в себя массу устройств: веб-камеры, умные чайники, телевизоры, и даже детские игрушки, которые легко можно «перепрошить» на дурные дела. Это дело техники. А кардиостимуляторы? Их вывод из строя приводит к летальному исходу. Между тем, уже известны случаи, когда была обнаружена уязвимость этих устройств и злоумышленник мог ими управлять дистанционно.

В целом атаки на устройства интернета вещей набирают популярность, так как все вокруг становится очень умным и все хотят обладать такими устройствами. К 2020 году их количество вырастет до 30 млрд, то есть у каждого будет минимум одно такое устройство. А если учесть, что в каждом будет минимум одна уязвимость?

— Можно оценить кто атакующие?

— Сегодняшние киберпреступные группировки в некотором роде напоминают стартапы: есть идейный вдохновитель, разработчик, который подбирает людей на выполнение части задач за договорную плату. Нередко их деятельность переходит в разряд оказания услуг «под ключ»: появляются всевозможные сервисы типа «вымогатели как услуга», «DDoS как услуга» и пр. Такой подход существенно снижает так называемые квалификационные требования к организатору конкретной атаки.

Бдительность, обновление и системный подход

— Как защититься от кибератак?

— Самое главное — своевременное обновление программного обеспечения. Как только вы получили информацию о том, что это необходимо сделать — делайте.

Второе — следите внимательно за учетными записями, логинами и паролями. Пароли должны быть длинными — более 8 символов — и, обязательно, смешанными: буквы, цифры и символы. Пароли необходимо менять раз в три месяца и обязательно следить за блокировкой учетных записей уволившихся сотрудников, так как это одна из самых распространенных ситуаций: системный администратор забыл заблокировать учетную запись, и у постороннего человека есть удаленный доступ в систему.

Третье — используйте антивирусную защиту и вовремя обновляйте ее.

С уязвимостью также можно бороться с помощью автоматических средств защиты. Это актуально в том случае, если в компании огромное количество систем и уследить за всеми вручную просто невозможно. Система может оценить общую картину.

Четвертое — обязательно резервируйте критические ресурсы. Если сервер баз данных для вас критичен, если вы понимаете, что его вывод из строя принесет вам гигантские убытки, то его нужно зарезервировать. Это как с ключами от машины: на случай потери основных должны быть запасные, а то и в двух экземплярах. В большинстве компаний, которые пострадали от глобальных кибератак WannaCry и NotPetya, была резервная копия, и это их спасло, так как позволило минимизировать убытки и ускорить восстановление инфраструктуры.

— А что делать частным лицам?

— Это философский вопрос. Прежде всего, люди должны повышать свою осведомленность, следить за новостями, обновлять программное обеспечение, антивирусную защиту — все тоже самое. Когда к вам на телефон, на личный персональный компьютер и т.д. приходит сообщение о необходимости обновить ПО, нужно это сделать, а не откладывать на потом, как будильник.

Второе — это бдительность. Если вам что-то кажется подозрительным, «интуиция подсказывает», прислушайтесь к себе и не открывайте сомнительные письма, даже если вложения в них очень привлекательные. В данном случае ваша защита только в ваших руках.

— Многие ли компании и частные лица следуют таким советам?

— В последнее время процент людей, которые понимают проблемы, связанные с информационной безопасностью, и знают, что необходимо делать, растет. Причем во многих регионах ситуация не хуже, чем в Москве, там тоже много продвинутых компаний и грамотных людей. Но в регионах другие бюджеты на информационную безопасность, нежели в столице.

— Сколько, на ваш взгляд, компаниям необходимо закладывать на информационную безопасность?

— Ситуация такова, что в подавляющем большинстве компаний бюджеты выделяют на ИТ, и в этой сумме обычно «сидят» расходы на информационную безопасность (ИБ). Расходы на ИТ сильно зависит от сферы деятельности. При этом расходы на информационную безопасность составляют примерно 7% от бюджета ИТ.  Впрочем, сейчас внимание к информационной безопасности повышается: из-за кибератак люди понимают, что ситуацию нужно улучшать. Более прагматичный и системный подход к ИБ внедряется в госорганах. В медицине иная ситуация: если у главврача будет выбор купить томограф или средство информационной безопасности, то он выберет первое, так как это поможет ему спасать жизни.

Я бы хотела акцентировать внимание еще на одной проблеме. Важно не только выделение средств на ИБ, но и работа с процессами. Только бюджеты не гарантируют, что с безопасностью в компании все будет хорошо. Рассмотрим ситуацию на примере WannaCry. За несколько недель до массовой атаки вышло обновление. У того, кто его установил вовремя, ничего не произошло. Но известны случаи, когда в компании были выделены средства для централизованного обновления, оно закупалось, но не устанавливалось, так как обновление, связанное с уязвимостью, могло конфликтовать с другими системами, которые начинали работать некорректно. Пока компания их настраивала, вся система оставалась незащищенной.

Тем не менее, в последнее время чувствуется зрелость компаний и частных пользователей в вопросах информационной безопасности. Это, в частности, связано с тем, что в СМИ проходит информация о кибератаках. Народ начал «прокачивать» свою осведомленность по этой теме. Следующий этап: рост интереса к системному подходу в информационной безопасности.

Фото: пресс-служба Positive Technologies