По данным исследования Digital IQ 2020, проведенного компаниями PwC и ABBYY среди руководителей и специалистов промышленных предприятий, банков, телеком-, транспортных и логистических компаний, средний показатель их цифровой зрелости (степень готовности к внедрению цифровых решений, — прим. ред.) по итогам 2020 года составил 2,8 из 5 баллов. По мнению респондентов, в ближайшие два года повысить цифровую зрелость им помогут платформы глубинного анализа процессов и инструменты для интеллектуального анализа бизнес-процессов — спрос на эти системы может увеличиться на 140%. Такой интерес эксперты поясняют тем, что данные решения позволяют прогнозировать возврат инвестиций в технологии.
ИТ и ИБ на чаше весов
Пандемия показала, что развивая цифровую трансформацию, компании должны отделять информационную безопасность (ИБ) от информационных технологий (ИТ), а у каждого из этих направлений должна быть своя программа и бюджет. Директор департамента информационной безопасности компании Oberon Евгений Суханов пояснил «Телеспутнику», что ИТ-стратегия традиционно измеряется тем, как выполняются ключевые показатели по портфелю реализованных проектов, которые, в свою очередь, направлены на решение задач бизнеса, каково отклонение от бюджета, как выполняется SLA (Service Level Agreement — соглашение об уровне обслуживания, — прим. ред.) для ИТ-инфраструктуры.
Эффективность информационной безопасности также измеряется выполнением SLA на уровне не ниже 95% для подсистем защиты информации. При этом анализируются выявленные события информационной безопасности в инфраструктуре, а также зарегистрированные инциденты ИБ и оперативность реагирования на них. «При сравнении ИТ- и ИБ-бюджетов предприятий, насчитывающих от 1 тыс. рабочих мест, за 2019 и 2020 годы мы фиксируем увеличение бюджетных программ ИТ в среднем на 20%, ИБ — на 12% в нашем портфеле. Рост вызван цифровизацией многих отраслей экономики и переводом большинства бизнес-процессов в онлайн-формат», — поделился статистикой Евгений Суханов.
«После перевода на удаленку мы увидели рост количества взломов домашних компьютеров и корпоративных инфраструктур через те удаленные лазейки, с помощью которых сотрудники могли хоть как-то работать и коммуницировать. И это хорошо: спустя несколько месяцев компании, которые обожглись на таких взломах, изменили свой подход к ИБ — вывели “безопасников” из под ИТ и ввели в подчинение напрямую генеральному директору», — рассуждал руководитель отдела экспертного пресейла сервисов Solar JSOC компании «Ростелеком-Солар» Алексей Павлов в ходе конференции «ИТ-эффективность в эпоху цифровой экономики», организованной «Коммерсантом».
Многие компании приняли стратегию защищенного ИБ-бюджета, поскольку риски и угрозы с развитием цифровизации процессов увеличиваются. «Тема ИБ становится все более актуальной уже не для галочки. Во всем мире, в том числе в России, кибербезопасность прежде реализовывалась как проект формального соответствия. Отношение к этому сегменту было как к справке в бассейн, которую, если надо, то можно достать, а здоров человек на самом деле или нет — не понятно. Также было и с кибербезопасностью. По итогам года руководители организаций в разных сферах начали тратить на реальную безопасность реальные деньги, потому что и справку надо иметь, и быть действительно здоровым, защищенным тоже нужно», — поделился заместитель генерального директора по развитию бизнеса компании Positive Technologies Борис Симис на презентации исследования «Кибербезопасность 2020–2021 — тенденции и прогнозы».
Если до пандемии ИБ зачастую наследовала бюджет ИТ и финансировалась по остаточному принципу, то этот тренд окончательно поменялся, и безопасность получила собственный бюджет и программу управления рисками, соглашается Евгений Суханов.
Риски цифровизации
К основным рискам цифровизации в Oberon относят недостаточную проработку технологий обработки, передачи и защиты информации. Многие процессы полностью переходят в онлайн, формируются базы данных производственных систем для предиктивной аналитики. Часто для хранения и вычислений используются облачные решения, которые без должной защиты становятся целью мошенников.
Директор по развитию «Mail.ru Цифровые технологии» Леонид Аникин связывает риски цифровой экономики с тем, что типовые ИТ-проекты уже не гарантируют конкурентного преимущества. «Сегодня внедрение, допустим, системы ERP (Enterprise Resource Planning — планирование ресурсов предприятия, — прим. ред.) не делает компанию лидером рынка, так как конкуренту доступны те же самые технологии», — уточняет он.
Риски в сфере цифровой экономики могут прятаться и в юридическом поле. Если раньше, к примеру, в рамках охраны и защиты интеллектуальной собственности речь шла в основном о патентах на технологии и товарных знаках, то сейчас — о таком активе, как аудитория. «Так, условный Facebook или Uber может стоить дороже условных “Роснефти” или “Газпрома” не потому, что у него товарных знаков или патентов больше, а потому, что он сумел монетизировать свою многомиллионную аудиторию», — рассказал «Телеспутнику» владелец юридической компании «Катков и партнеры» Павел Катков.
С введением режима самоизоляции на удаленку ушли не один-два сотрудника, а компании целиком. В результате все проблемы безопасности обострились
Как показало исследование Security Navigator 2021 компании Orange Cyberdefense («дочка» телеком-оператора Orange, — прим. ред.), в 2020 году целью кибератак становились сами разработчики ИБ-решений. Эксперты выявили большое количество уязвимостей в продуктах безопасности, особенно в тех, которые используются для удаленной работы. Выяснилось, что при обнаружении уязвимостей разработчики не всегда своевременно выпускали необходимые обновления. Так, менее 19% обнаруженных экспертами проблем решались в срок от 7 до 56 дней, почти 57% — от 31 до 180 дней, а в 14% случаях исправления появлялись только спустя полгода и больше. По мнению руководителя департамента бизнес-решений и инноваций Orange Business Services в России и СНГ Робина Де Кейзера (Robin De Keyser), такие задержки в исправлении уязвимостей дают злоумышленникам достаточно времени, чтобы взломать и использовать в своих целях продукты безопасности.
При разработке программы управления рисками для ИБ необходимо учитывать и форс-мажорные ситуации, к примеру, когда на ИТ- и ИБ-специалистов легла вся ответственность за организацию и защиту удаленных рабочих мест. Несомненно, во многих компаниях сотрудники и ранее работали за пределами офиса, а службы информационной безопасности использовали различные способы защиты абонентского оборудования, подключенного к корпоративной сети. Однако с введением режима самоизоляции на удаленку ушли не один-два сотрудника, а компании целиком. В результате все проблемы, которые ранее неспешно решались в рамках общей ИТ-стратегии, обострились.
Опыт и тренды
Современные кибермошенники — это четко организованные структуры, которые постоянно следят за трендами, новыми правилами и законами, изменениями на рынке, биржевыми котировками. За всем, что подскажет им, куда движется рынок, чем интересуется общество, что из этого можно украсть и монетизировать. Кибермошенничество стало профессией, отмечают эксперты Orange Cyberdefense.
Так называемые APT-группировки (Advanced Persistent Threat — хорошо подготовленные кибермошенники, проводящие целевые атаки, — прим. ред.) организовываются подобно компаниям, на которые они нацелены, и проводят эффективные атаки типа отказа в обслуживании, предлагают вредоносное ПО как услугу. В 2020 году эксперты компании Positive Technologies отслеживали деятельность порядка 30 APT-группировок, из них в России отметили деятельность 10-ти. «Мы не раз сталкивались с атаками, которые проводили мошенники, явно не разбирающиеся в том, как применяемая ими технология и инструментарий работают. Преступники об этом не задумываются, потому что как раз есть люди, которые создают эти технологии и продают как сервис», — поясняет директор экспертного центра безопасности Positive Technologies Алексей Новиков.
У таких группировок есть своя экспертиза и направления работы. К примеру, для продажи похищенных данных операторы программ-шифровальщиков создают собственные сайты и организуют аукционы по продаже украденных данных. Предлагают сотрудничество, ищут партнеров для распространения их трояна-вымогателя и обещают подельникам долю от суммы выкупа. Операторы вредоносного ПО могут передавать доступ другим преступникам.
Весь 2020 год кибермошенники внимательно отслеживали все новостные поводы. Отдельное пристальное внимание они направляли на госсервисы, которые помогали людям удаленно получать субсидии, записываться в поликлиники и т. д. На конференции, посвященной формированию единой цифровой среды доверия в обществе, первый зампред комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова, ссылаясь на исследование компании InfoWatch, отметила, что чаще всего обнаруживаются утечки информации в ИТ-индустрии, сфере финансов и госсекторе. «Уровни защищенности информационных систем различных государственных ведомств и организаций также могут отличаться. О необходимости унификации и выработки стандартных требований к информационным системам, которые используются в госсекторе, неоднократно говорили и коллеги-сенаторы, и специалисты в ИТ-индустрии», — цитирует ее слова ТАСС.
Эксперты Positive Technologies подтверждают популярность атак на госструктуры: на них приходится 15% от всех атак, направленных на организации. «За 2020 год мы зафиксировали порядка 300 атак на госучреждения. Отметим, что ФСТЭК выпустила проект новой методики моделирования угроз, в которой основополагающими моментами являются понимание организацией и ее руководством недопустимых последствий от кибератаки, а также вероятного сценария развития такой атаки в инфраструктуре. Методика дорабатывается <…>, но уже заметно, что регулятор взял курс на существенное повышение эффективности ИБ российских компаний с учетом изменяющегося ландшафта угроз», — рассказал Алексей Новиков.
В 2021 году помимо традиционно высокого интереса к госкомпаниям стоит ожидать повышенного уровня угрозы для таких сфер как электронная коммерция, публичные цифровые сервисы, медицинские системы, платформы интернета вещей, видео- и аудиокоммуникации. Все это, несмотря на ослабление режима самоизоляции и выхода сотрудников в офисы, будет актуально и в этом году. «Шифровальщики и АРТ-атаки — наиболее актуальные киберугрозы для компаний в 2021 году. Персонализация и таргетирование лягут в основу написания кода и логики поведения зловреда. Для корпоративного сегмента и чиновников разных рангов все больше начнут применять так называемый уэйлинг — узконаправленные атаки, рассчитанные на высших должностных лиц», — спрогнозировал руководитель департамента ИТ-решений и продуктов информационной безопасности «Билайн Бизнес» Александр Пономарев.
Генеральный директор компании NGENIX Константин Чумаченко отметил, что госструктурам, ставшим на путь ускоренной цифровизации, предстоит защитить большой объем персональных данных. «Не менее острый вопрос — обеспечение безопасности собственной инфраструктуры госсектора, ведь изолированность сегмента усложняет процедуры по обеспечению кибербезопасности», — сказал он.
Чтобы добраться до больших компаний, которые, как правило, более серьезно подходят к защите сетевого периметра, мошенники запускали атаки на цепи поставок или атаки с эксплуатацией доверия к сторонней организации, отметили в Positive Technologies. То есть под удар APT-группировок попадали партнеры и поставщики жертвы.
Пандемия выявила новый пласт конечных пользователей, которые впервые вынужденно открыли для себя онлайн. «Они продолжат “оцифровывать” различные аспекты своей жизни, включая общение, покупки, образование, уплату налогов. При этом большая часть таких интернет-пользователей неспособна определить, какими данными они могут безопасно делиться с онлайн-сервисами и приложениями», — обратил внимание Константин Чумаченко.
Как отмечается в исследовании Positive Technologies, рынок приходит к осознанию того, что цель любой системы безопасности состоит в быстром обнаружении действий злоумышленников. В 2021 году на первый план выйдут задачи создания центров обеспечения безопасности нового типа. А в соглашении об уровне обслуживания будут перечисляться конкретные показатели, которые гарантируют недопущение нанесения злоумышленниками неприемлемого для организации ущерба.