Исследование инцидентов ИБ, с которыми столкнулись российские компании за первое полугодие 2024 года, показало, что в 80% случаев главной причиной проблем был человеческий фактор, сообщает центр противодействия киберугрозам Innostage SOC CyberART. В чем главные причины уязвимостей и как избежать проблем с информационной безопасностью компаний — в материале «Известий».
Эксперты компании проанализировали выборку российских организаций из сегмента крупного и среднего бизнеса инструментами киберразведки по открытым данным (OSINT) и выявили тренды атак и причины возникновения цифровых уязвимостей на стороне бизнеса (исследование есть в распоряжении «Известий»).
Выяснилось, что 48,9% инцидентов были связаны с упоминаниями в репозитории. Такое происходит, когда сотрудник случайно опубликовал в общедоступном хранилище код с чувствительной информацией: в комментариях или метаданных файла могут содержаться упоминания о паролях, ключах API или других конфиденциальных сведениях, что и приводит к утечке данных клиентов, краже денежных средств, репутационному ущербу компании.
Еще 29,2% инцидентов ИБ связаны с запуском новой службы на сетевом периметре, которую внедряют без необходимого анализа угроз и оценки рисков. Ее вероятными уязвимостями и пользуются злоумышленники, отмечают в Innostage.
На третьем месте (11%) — ситуация, когда хакеры изменили веб-контент компании-жертвы.
«Подмена контента сайта или приложения осуществляется через внедрение вредоносного кода. Цель злоумышленников — нарушить безопасность веб-ресурса, получить доступ к учетным данным пользователей, заменить реквизиты на поддельные для вывода денег пользователей на подконтрольные хакерам счета», — говорится в исследовании.
В 9% инцидентов причиной оказывается создание потенциально фишингового домена. Злоумышленники регистрируют домен, максимально похожий на оригинальный, а затем получают личную информацию и учетные данные жертв.
Еще 1,6% — это ошибки конфигурации, которые приводят к инцидентам с ИБ. В результате появляются уязвимости: например, не обновляется служба с необходимыми патчами, что приводит к несанкционированному доступу к системе, распространению вредоносного ПО, утере данных.
Оставшиеся 0,3% — это критические инциденты ИБ, когда конфиденциальная информация или данные о компании становятся доступны третьим лицам через несанкционированное раскрытие или публикацию.
Руководитель центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов отмечает, что тенденция, по которой подавляющее количество инцидентов информационной безопасности связано с человеческим фактором, прослеживается не первый год.
— Но текущие цифры более чем красноречивы. Статистика показывает, что почти в половине случаев чувствительные данные не только не были защищены должным образом, а фактически лежали у хакеров перед глазами, в публичных репозиториях, — сказал он. — Еще почти треть уязвимостей возникла из-за некорректного внедрения новых служб в сетевом периметре. Чтобы минимизировать риск возникновения таких угроз, необходимо регулярно проводить аудит ИТ-ресурсов и повышать квалификацию сотрудников, отвечающих за ИТ и ИБ-процессы.
Заместитель гендиректора по инновационной деятельности «СёрчИнформ» Алексей Парфентьев со ссылкой на исследование своей компании отмечает, что в прошлом году 66% компаний столкнулись с утечкой данных по вине сотрудников. В 2022 году этот процент составлял всего 44.
Руководитель центра информационной безопасности компании «Диджитал Дизайн» Андрей Миняев отмечает, что само по себе количество таких инцидентов постоянно растет и далеко не все компании к этому готовы.
— Не все работники ознакомлены с правилами так называемой кибергигиены, не у всех налажено взаимодействие команд ИБ и ИТ, разработчиков, — сказал он «Известиям». — Соответственно, не проводятся киберучения, обучение работников правилам ИБ, не во всех компаниях установлены процедуры взаимодействия по недопущению и ликвидации последствий инцидентов ИБ. Люди не готовы, что и приводит к негативным последствиям.
Инженер по РБПО и информационной безопасности Axiom JDK Александр Дроздов подчеркивает, что в последние годы ИТ-инфраструктура российских компаний оказалась одной из наиболее атакуемых в мире. И в условиях, когда отечественные ИТ-команды становятся наиболее опытными в отражении кибератак, а компании реально озаботились проблемой безопасности в своих продуктах, именно человеческий фактор остается одной из главных причин инцидентов. Кибергигиена еще не стала привычкой, сказал он.
Это касается даже самого распространенного способа кибератак — фишинга. Почти 70% сообщений, которые поступают на рабочие почты, содержат спам, фишинг или вредоносный код, говорит руководитель отдела информационной безопасности группы «Рексофт» Юлия Коновалова.
— В 10% случаев рядовой сотрудник не понимает, что происходит атака, и переходит по вредоносной ссылке — хотя, казалось бы, эта тема многократно освещается во всех СМИ и часто явным образом оговаривается в политиках безопасности, — сказала она «Известиям».
Исполнительный директор компании «Киберпротект» Елена Бочерова отмечает, что 91% всех кибератак начинается именно с фишинговых писем. А директор Ideco Дмитрий Хомутов говорит, что ежедневно в России рассылается более 1 млн писем с вредоносным содержимым.
Заместитель гендиректора Staffcop Юрий Драченин замечает, что причинами оказываются и «банальная кибербезграмотность», и злой умысел. Бывают случаи шантажа, когда злоумышленники вынуждают сотрудников предоставить доступ к информации.
Руководитель аналитического центра компании Zecurion Владимир Ульянов отмечает, что самый худший вариант — это целенаправленный инсайд, когда сотрудники знают, где хранится важная информация, и имеют к ней доступ.
ИТ-директор РДТЕХ Максим Лапшев приводит в пример несколько реальных ИБ-инцидентов. Так, у одной из компаний был остановлен сервис почты после перехода по незнакомым ссылкам в корпоративной почте и мессенджере. Второй пример: сотрудник просто забыл заблокировать рабочий стол на компьютере и учетными данными воспользовались для получения закрытой коммерческой информации, скачав базу клиентов и контрактов.
Юрий Драченин отмечает, что даже перерыв на обед с включенным компьютером может стать причиной инцидента. Происходили и такие случаи: стикер с паролем от системы приклеивался на монитор, а затем попадал на фотографию во время празднования дня рождения сотрудника — и утекал в руки злоумышленников.
Директор департамента кибербезопасности IBS Олег Босенко отмечает, что часто упрощение доступа к данным для самого себя оборачивается утечками: например, сотрудники с админскими полномочиями открывают порты или выставляют RDP (Remote Desktop Protocol — протокол удаленного рабочего стола) в Сеть, чтобы быстро подключиться к работе из дома, и открывают таким образом ворота в организацию для хакеров.
Алексей Парфентьев рассказывает о случаях намеренного нарушения информационной безопасности: не так давно бывший тестировщик одной из ИТ-компаний «назло» удалил сервера бывшего работодателя на $678 тыс.
Юлия Коновалова отмечает, что огромная проблема даже для транснациональных ИТ-корпораций — назначение слишком легких паролей. Елена Бочерова вспоминает инцидент с утечкой пароля сотрудника Colonial Pipeline, крупнейшего оператора трубопроводов в США, которая позволила хакерам проникнуть в систему компании через его аккаунт в VPN-сервисе: работник использовал для подключения пароль от другого аккаунта, который ранее взломали и обнаружили в дарквебе. В результате работа всех трубопроводов была остановлена на пять дней, а президент США Джо Байден объявил чрезвычайное положение.
Менеджер продуктов Innostage Евгений Сурков называет самой эффективной мерой для противодействия ИБ-угрозам организацию процессов, где для наиболее критичных действий будет запрашиваться дополнительная верификация.
— Но важен баланс: если для любого действия будет нужно согласование — такие согласования тут же начнут раздавать не глядя и ситуация только ухудшится, — замечает собеседник «Известий».
Второй эффективной мерой противодействия угрозам он называет организацию специальных учений, симулирующих действия злоумышленников: даже технически подкованные специалисты могут стать жертвой злоумышленника.
Руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов также предлагает регулярно проводить тренинги для сотрудников, в том числе и ИБ-специалистов, вне зависимости от размера организации и сферы ее деятельности.
— Для этого можно воспользоваться специальными корпоративными тренингами по кибербезопасности, которые разрабатывают ведущие ИБ-вендоры, — сказал он «Известиям». — Безусловно, уровень кибербезопасности организации зависит и от уровня компетенций ее ИБ-специалистов.
Руководитель направления awareness Infosecurity (ГК Softline) Николай Постнов подчеркивает, что важно не разовое обучение, а постоянное обновление знаний с учетом новых угроз и методов атак.
Однако пока 58% организаций не проводят тренинги по кибербезопасности, говорит Юлия Коновалова. Олег Босенко указывает, что именно обучение даст эффект от 60 до 80% при правильной организации процесса, а всё остальное — это выстраивание контролей, мониторинг, постоянный анализ действий и функционирования.
Руководитель направления сервисов защиты облачного провайдера Nubes (НУБЕС) Александр Быков отмечает, что если речь идет о сотруднике, который намеренно совершает атаку, то здесь контролировать персонал помогут системы класса DLP (Data Loss Prevention, специализированное программное обеспечение, которое анализирует поток данных, пересекающих периметр защищаемой системы). А Юлия Коновалова призывает начать с подписания NDA (соглашение о неразглашении) и доведения до сведения сотрудника, какие меры принимаются в отношении нарушителей.