SOC могут стать мишенью
Конференция "SOC-Форум 2022" началась с разбора прогнозов, которые давались на предыдущей конференции. По оценке вице-президента ПАО "Ростелеком" по информационной безопасности Игоря Ляпунова, прогноз сбылся, причем в более жесткой форме, чем ожидалось. Вал атак стал для многих компаний и учреждений испытанием на прочность. Однако большого ущерба удалось избежать, впрочем, во многом это связано с тем, что атакующим не хватало квалификации для того, чтобы нанести по-настоящему серьезный ущерб. В частности, были массовыми случаи, когда злоумышленники проникали в инфраструктуру и вполне могли занести туда шифровальщик или вайпер (вредоносное ПО, уничтожающее данные - прим. ComNews), но по какой-то причине этого не делали.
Директор департамента экономической безопасности в ТЭК Минэнерго России Антон Семейкин также привел пример кибератаки на одну из электроэнергетических компаний, где злоумышленникам удалось проникнуть в инфраструктуру. Избежать серьезного ущерба удалось лишь потому, что у тех, кто осуществил взлом, не хватило знаний о работе энергетических предприятий. В итоге обошлось отключением второстепенных сервисов.
Как отметил основатель и глава "Лаборатории Касперского" Евгений Касперский, каждый год рост количества атак на устройства интернета вещей и промышленную инфраструктуру составляет около 50% по сравнению с предшествующим, а общее число вредоносных программ, предназначенных для заражения промышленных объектов, составило более 400 тыс. По мнению Евгения Касперского, успешная атака на объекты критической информационной инфраструктуры является одним из наиболее страшных сценариев. Для его недопущения необходим комплекс мероприятий по повышению осведомленности об угрозах и расследованию инцидентов.
Заместитель председателя правления ПАО "Сбербанк" Станислав Кузнецов заявил, что рост количества атак был ожидаем, но не в таких масштабах. Их целью было вызвать коллапс. И хотя его злоумышленникам добиться не удалось, 95% отрасли не смогли эффективно противостоять атакам и понесли материальный ущерб. Он высоко оценил роль регуляторов, которые приняли правильные решения, причем очень быстро. Особенно высоко Станислав Кузнецов оценил роль ФСТЭК, которая была наиболее активна в выпуске разного рода аналитических материалов и инструментов, оказавших действенную помощь. Однако, по его мнению, необходимы серьезные структурные изменения на всех уровнях, без которых нельзя построить по-настоящему эффективную систему защиты.
Но при этом, по мнению генерального директора ООО "Позитив Текнолоджиз" (Positive Technologies) Дениса Баранова, появился реальный спрос на защищенность, который усиливало пристальное внимание со стороны государства. При этом он обратил внимание, что наиболее серьезные и опасные инциденты не попадали в публичную плоскость. Также во второй половине года началось движение от массовых атак к целевым, в которых участвуют представители спецслужб и профессиональных кибергруппировок. Так что такое кажущееся снижение интенсивности выглядит обманчивым. На руку злоумышленникам - фрагментированная защита. В итоге взлом происходит через филиалы или подрядчиков.
По мнению Дениса Баранова, в 2023 г. стоит ожидать попыток атак самих системных центров по информационной безопасности, или SOC. Такая атака, в случае успеха, открывает злоумышленникам большие возможности по беспрепятственному проникновению в инфраструктуру всех его клиентов. Также будет нарастать активность злоумышленников в отношении промышленной инфраструктуры. Для того чтобы не допустить подобного сценария, Positive Technologies запускает программу bug bounty с бюджетом в 10 млн руб. для того, чтобы не дать возможности реализации неприемлемого ущерба для компании и ее заказчиков.
Президент ГК InfoWatch, председатель правления АРПП "Отечественный софт" Наталья Касперская предостерегла от того, чтобы называть сложившуюся ситуацию кибервойной. По ее оценке, в случае настоящей кибервойны в России просто бы потеряла работоспособность если не вся, то большая часть ИТ- и телекоммуникационной инфраструктуры, построенной на базе зарубежного оборудования. В атаках же участвуют плохо организованные самоучки, которые берут числом. По мнению Натальи Касперской, необходимо добиваться инфраструктурного суверенитета, причем срочно. Однако это задача очень сложная, сравнимая с заменой всех деталей у поезда на ходу. При этом придется мириться с недостатками отечественных решений.
Как подчеркнула Наталья Касперская, необходима как минимум смена подхода к цифровизации, которая строилась без оглядки на ИБ. Не исключена и децифровизация, которая может выражаться в том, что на наиболее значимых объектах придется снимать раннее установленные IoT-датчики или отказываться от использования недоверенных систем автоматизации.