С начала 2024 года хакеры совершили более 20 тысяч атак на промышленные компании в России. Почти половина из них была совершена в нерабочее время — с 19:00 до 09:00. Заметно возрасла доля значимых инцидентов в ночное время: с 12% в рабочие часы компаний до 25% - в ночные. При этом 15% кибератак имели статус критических, то есть, по оценке предприятий, могли привести к прерыванию ключевых бизнес-процессов или повлечь серьезный финансовый ущерб. Такие данные представили аналитики МТС RED на конференции «Цифровая индустрия промышленной России» (ЦИПР). «Промышленность – одна из наиболее интересных целей для хакеров, особенно политически мотивированных. Мы видим и по характеру, и по времени реализации атак, что в большинстве случаев злоумышленники нацелены на незаметное проникновение и длительное скрытное присутствие в инфраструктуре промышленных предприятий, а не на быстрый и заметный результат. Поэтому мониторинг киберугроз в промышленности должен носить круглосуточный характер, а их анализ – проводиться специалистами с большим профильным опытом», – поделился результатами исследования технический руководитель направления МТС RED SOC Ильназ Гатауллин. Основным вектором угроз стал обход средств защиты – с попытками таких атак промышленность сталкивалась в 34% случаев. На втором месте оказались потенциально вредоносные действия сотрудников. В 11% это были нелегитимные действия администраторов, в 6% - нарушения политик информационной безопасности со стороны пользователей. Также было зарегистрировано около 1150 случаев инсайдерских действий сотрудников, грозивших утечкой конфиденциальной корпоративной информации. Попытки заражения промышленных компаний вредоносным ПО (ВПО) составили 4% от общего объема атак на отрасль, однако совокупно на промышленность пришлось около 20% от общего объема инцидентов данного типа. Промышленность чаще обычного атакуют троянами (61%). При этом трояны и черви чаще, чем в других отраслях, имеют функциональность кражи учетных данных и шпионажа (38%) или шифрования данных (19%). В ходе дискуссии эксперты заявили, что защиту от всех актуальных киберугроз невозможно доверить одному вендору. «Сейчас роль информационной безопасности в ТЭК, безусловно, является значимой и в наивысшей степени актуальной. Говоря о выборе тех или иных решений, существующих на российском рынке инфобеза, следует помнить, что подходы в этом вопросе должны рассматриваться индивидуально и комплексно. Мы должны выстраивать эффективную и централизованную систему управления и мониторинга всеми процессами информационной безопасности компании, не нарушая при этом основные бизнес-процессы», — сказал директор департамента информационной безопасности «Транснефть» Михаил Наумов. Директор по информационной безопасности компании МТС RED Виталий Медведев также отметил, что выбор продукта должен опираться на его характеристики, а сейчас даже у самых крупных игроков рынка ИБ не все продукты обладают одинаково высоким уровнем зрелости. При этом в ряде случаев – например, с взаимодополняющими технологиями, имеет смысл приобретать их у одного вендора или, как минимум, у вендоров, которые гарантируют возможность их взаимной интеграции. В текущий условиях защита от киберугроз требует тонкого баланса подходов.
