«Болезнь легче предупредить, чем лечить». Это правило становится все более применимым и к кибератакам, с которыми, как оказалось, проще бороться превентивными мерами, чем справляться с их последствиями. И бизнес, и госсектор активнее инвестируют в свою кибербезопасность, понимая, что недостаточная защищенность своих систем, сетей и программ – это недопустимые риски.
Последствия WannaCry и NotPetya
В мае 2017 года вредоносная программа-вымогатель WannaCry заразила сотни тысяч компьютеров на операционной системе Microsoft Windows, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям по всему миру. Одна из самых массированных кибератак в истории одновременно нарушила привычный ритм работы и нанесла ущерб и МВД России, и организациям здравоохранения Великобритании, и французской корпорации Renault. В июне 2017 года СМИ писали о программе-вымогателе NotPetya, который, как и WannaCry, отличался быстрым распространением и масштабным охватом. Особенно остро атаку NotPetya ощутили на себе украинские государственные учреждения, медиа, банки, мобильные операторы. По подсчетам украинской компании Octava Cyber Defence, из-за вируса на три дня де-факто остановилась треть экономики страны[1].
WannaCry и NotPetya не были типичными программами-вымогателями. Они распространились с использованием эксплойтов, которые делают возможным удаленное выполнение кода, в то время как подавляющее большинство семейств программ-вымогателей тогда использовали фишинг. Эксперты компании Check Point утверждали, что WannaCry стал «поворотным моментом в среде кибербезопасности», отмечая многоуровневость кибератаки и доступ хакеров к сложным программам, разработанным американским Национальным агентством по киберзащите.
Однако нельзя сказать, что WannaCry или NotPetya принципиально изменили инструменты кибербезопасности. Эти атаки еще раз напомнили компаниям о важности комплексного подхода к защите и регулярного обучения сотрудников. Компании, которые обновляли свои антивирусные системы с последними исправлениями, выполняли резервное копирование и принимали упреждающие меры безопасности, не пострадали от WannaCry.
Обычно именно крупные инциденты заставляют руководство компаний «извлечь из них уроки для себя», пересмотреть свой подход к информационной безопасности и, как следствие, начать больше контролировать и больше финансировать эту область. Но такая универсальная причинно-следственная цепочка не всегда выстраивается на практике. Чарльз Купер, консультант американской компании Broadcom, в статье о последствиях WannaCry отмечает, что многие крупные предприятия работают с глубоко встроенными системами безопасности, которые слишком сложно обновлять[2]. Другие компании не принимают новые решения в области киберзащиты, так как удовлетворены имеющимися инструментами и не верят, что окажутся в качестве следующих мишеней для киберпреступников. О недооценивании рисков как об одной из самых распространенных ошибок кибербезопасности говорят и специалисты ESET[3].
После киберэпидемий 2017 года ярким трендом стал запрос не только на превентивные решения, которые могут справиться с традиционными кибератаками, но и на системы, способные максимально быстро обнаружить новые типы угроз и отреагировать на них. «Традиционные решения, основанные на машинном обучении, имеют низкую частоту обнаружения новых, невидимых вредоносных программ и генерируют высокие показатели ложноположительных результатов», – утверждает Гай Каспи, генеральный директор и основатель Deep Instinct. По словам эксперта, борьба с пока неизвестными вирусами становится все более важным приоритетом по мере роста киберпреступности[4].
Кибербезопасность в ОПК
Предприятия оборонно-промышленного комплекса традиционно уделяют повышенное внимание своей киберзащите. Несмотря на то, что вирусы WannaCry и NotPetya не нанесли серьезного ущерба предприятиям ОПК ввиду того, что были быстро обнаружены и блокированы, нет никакой гарантии того, что новые вредоносные ПО не повлияют на работу оборонного сектора в будущем.
Большинство предприятий ОПК подходят к обеспечению информационной безопасности комплексно и для достижения своих целей преимущественно используют только российское оборудование. Зачастую оборонно-промышленные предприятия не ограничиваются одним уникальным российским поставщиком, предпочитая интегрировать в свою работу продукты нескольких компаний. Например, о подобной стратегии в области информационной безопасности не раз говорили представители Госкорпорации «Ростех».
Игорь Рыжов, руководитель направления защиты АСУ ТП центра промышленной безопасности НИП «Информзащита», утверждает, что основные вопросы, которые решаются на оборонных предприятиях в области информационной безопасности, – это организация безопасного взаимодействия между территориально распределенной сетью предприятий, где требуется передача информации, и взаимодействие этих предприятий с сетью Интернет.
Если в коммерческом секторе стоят угрозы из серии «подхватить вирус-шифровальщик», то в ОПК существует угроза внешнего проникновения вероятного противника в сеть предприятия. Это могут быть и глобальные стратегические цели, и конкуренция на рынке продажи вооружения, так как рынок продажи оружия достаточно конкурентный
Игорь Рыжов, руководитель направления защиты АСУ ТП центра промышленной безопасности НИП «Информзащита»
Максим Филиппов, директор по развитию бизнеса Positive Technologies в России, поясняет, что в сфере ОПК востребованы услуги по расследованию инцидентов. Экспертный центр безопасности Positive Technologies (PT Expert Security Center – PT ESC) в последние годы отмечает рост активности кибергруппировок из различных стран по отношению к государственным компаниям, в числе которых оказываются и предприятия ОПК. Большинство атак таких группировок нацелены на хищение конфиденциальных документов и шпионаж.
По данным опроса, проведенного нами среди представителей государственных компаний, в топ-3 предполагаемых целей APT-атак входят: кража конфиденциальной информации (шпионаж) – 75%, удар по репутации – 63%, политические мотивы – 58%
Максим Филиппов, директор по развитию бизнеса Positive Technologies в России
О целевых кибератаках и кибершпионаже как о наиболее серьезных угрозах для оборонной индустрии говорит и Фонг Чунг Фук, генеральный директор LGMS – одной из крупнейших малазийских компаний в области кибербезопасности. «По нашему опыту работы мы наблюдаем тенденцию использования специализированных и сложных вредоносных программ для проникновения в организации. Основываясь на наших исследованиях и реверс-инжиниринге этих программ, мы также выявили свидетельства непосредственного участия целых государств в кибератаках и кибершпионаже на предприятиях различного уровня», – заявляет Фонг Чунг Фук.
Уже можно с уверенностью сказать, что кибератака станет самым эффективным оружием в будущем, если она не стала таковым сейчас
Фонг Чунг Фук, генеральный директор LGMS (Малайзия)
Несмотря на то, что предприятия оборонно-промышленного комплекса имеют высокую степень защиты, лазейки для киберпреступности остаются. Евгений Акимов, директор по кибербезопасности Концерна «Калашников», в интервью порталу «Безопасность пользователей сети Интернет» обратил внимание на то, что в области кибербезопасности, и особенно применительно к АСУ ТП, разрыв между идентификацией проблемы и ее закрытием остается недопустимо долгим[5].
Последний опрос ARC Advisory Group о состоянии кибербезопасности АСУ ТП, в котором приняли участие 282 промышленные компании и организации по всему миру, показал, что человеческий фактор до сих пор остается проблемным моментом кибербезопасности АСУ ТП. В ходе личных интервью многие менеджеры по безопасности отмечали, что спустя 6–9 месяцев после успешного прохождения курса повышения осведомленности в области кибербезопасности сотрудники снова возвращались к своим прежним потенциально опасным шаблонам поведения[6]. Андреа Пфундмайер, генеральный директор и соучредитель Boxcryptor, также выделяет человеческий фактор как наиболее уязвимый аспект кибербезопсности.
Человеческая ошибка по-прежнему является основной причиной успеха атак на компьютерные системы
Андреа Пфундмайер, генеральный директор и соучредитель Boxcryptor (Германия)
Для менеджмента компаний неприятным остается факт увеличивающихся затрат на обеспечение защиты от неосязаемых киберугроз. В целом стоит сказать, что чем более развита система информационной безопасности, тем больше средств будет потрачено на ее жизнеобеспечение. Так как оборонно-промышленный комплекс обладает одной из самых передовых систем, расходы, как следствие, будут только расти, в том время как сам рынок кибербезопасности станет предлагать еще больше новых, сложных и масштабных решений.
Количество атак в 2019 и 2020 годах по месяцам (данные Positive Technologies)
По итогам II квартала 2020 года существенно выросла доля атак, направленных на промышленность. Во II квартале среди атак на юридические лица она составила 15% против 10% в I квартале. Наибольший интерес к промышленности проявляют операторы шифровальщиков и кибершпионские APT-группы
Растущий рынок кибербезопасности
Мировой рынок информационной безопасности находится на подъеме: за 13 лет он вырос более чем в 30 раз. Согласно Australian Cyber Security Growth Network, глобальный рынок ИБ в 2020 году оценивается в 173 млрд долларов, а к 2026 году он возрастет до 270 млрд долларов. По оценке TAdviser, объем российского рынка средств информационной безопасности по итогам 2019 года увеличился на 14% и достиг отметки в 90,6 млрд рублей.
Активный рост рынка кибербезопасности обусловлен спросом на услуги по киберзащите. Цифровизация и автоматизация производств неизбежно приводят к увеличению затрат на информационную безопасность, а появляющиеся регуляторные инициативы государств по обеспечению безопасности систем, сетей и программ обязывают компании дополнительно увеличивать затраты на их защиту. Спрос на защиту, в свою очередь, объясняется непрерывно растущим числом киберпреступлений. Снижается «порог входа» на рынок киберпреступности, а сами киберпреступники совершенствуются в своих методах обхода защиты.
Максим Филиппов прогнозирует рост рынка киберуслуг в течение ближайшего десятилетия, поскольку «количество злонамеренных воздействий на информационные системы будет только увеличиваться». Игорь Рыжов тоже уверен в дальнейшем росте рынка, хотя отмечает, что «сама кривая не будет уже расти стремительно, потому что вряд ли количество хакеров и новых атакующих технологий резко возрастет в ближайшее время».
Орен Юнгер, инвестор в GGV Capital, специализирующийся на корпоративной IT-инфраструктуре, инструментах разработки и кибербезопасности, пишет о том, что кибербезопасность – это «пузырь, который еще не готов лопнуть». Эксперт уверен, что в будущем атаки киберпреступников только усилятся, а это значит, что рынок кибербезопасности станет только развиваться и расти вверх.
Фонг Чунг Фук также не сомневается в росте рынка, однако опасается, что рост этого сегмента увеличит количество «неуправляемых продуктов в сфере кибербезопасности и их поставщиков». «Использование некачественного ПО может дорого обойтись компаниям», – предостерегает эксперт.
«Предупреждение болезни» становится все более сложным и дорогим удовольствием, но, как утверждают специалисты, не безосновательным. Рынок киберзащиты продолжает свой уверенный рост в попытке «догнать и перегнать» киберпреступность. Однако для компаний остаются важными не столько погоня за новыми решениями в области ИБ, сколько постоянный контроль и сохранение работоспособности уже работающих систем.
Автор - Елизавета Гуляева
©«Новый оборонный заказ. Стратегии»
№ 6 (65), 2020 г., Санкт-Петербург
[1] https://delo.ua/special/god-posle-peti-nauchilis-li-kompanii-zaschischatsja-344965/
[2] https://symantec-enterprise-blogs.security.com/blogs/feature-stories/wannacry-lessons-learned-1-year-later
[3] https://eset.ua/ru/news/view/753/sovety-na-2020-god-rasprostranennyye-oshibki-kiberbezopasnosti
[4] https://techcrunch.com/2020/02/12/deep-instinct-nabs-43m-for-a-deep-learning-cybersecurity-solution-that-can-suss-an-attack-before-it-happens/
[5] https://safe-surf.ru/specialists/article/5234/610383/
[6] https://www.arcweb.com/sites/default/files/Documents/client-sponsored/the-state-of-industrial-cybersecurity-0719.pdf
