Регуляторы вынуждены решать старые проблемы
Такую статистику привел в ходе выступления на секции "Устойчивость в BANI-мире: преграды, стратегии и возможности" в ходе SOC-Форума-2023 заместитель директора Федеральной службы по техническому и экспортному контролю Виталий Лютиков. По его оценке, несмотря на кардинальное изменение ситуации с угрозами, приходится решать как на регуляторном, так и на техническом уровне все те же старые проблемы.
Как заявил Виталий Лютиков, ФСТЭК выдала более 1600 предписаний об исполнении законодательства по защите объектов критической информационной инфраструктуры. Также треть заявок на присвоение категорий объектам КИИ регулятор отправляет на перекатегорирование, как правило, из-за занижения оператором заявленной значимости объекта и возможного ущерба. Всего с начала года ФСТЭК, как заявил Виталий Лютиков, выявила около 700 нарушений, при этом ее сотрудники составили 83 административных протокола в отношении нарушителей.
Типовыми нарушениями, как подчеркнул Виталий Лютиков, являются несвоевременное обновление баз и неправильная настройка антивирусного ПО. Кроме того, по мнению заместителя руководителя ФСТЭК, массовый характер носит размещение автоматизированных рабочих мест, с которых проводится администрирование объектов КИИ, вне защищенного контура.
Как отметил Виталий Лютиков, половина систем имеют незакрытые уязвимости. Это, по мнению замруководителя ФСТЭК, является прямым следствием ухода из России зарубежных вендоров ПО и отключения российских пользователей от технической поддержки. По сравнению с предыдущим годом число таких систем, по оценке Виталия Лютикова, выросло в 2,5 раза.
Разработчики российского ПО, по мнению Виталия Лютикова, до сих пор не преодолели незрелость в части безопасной разработки. Прямым следствием такой незрелости, по мнению представителя регулятора, является то, что имеет место существенный рост атак на цепочку поставок, причем успешный взлом одного вендора или интегратора влечет проникновение в инфраструктуру как минимум 10 его заказчиков. Положение, как особо отметил Виталий Лютиков, осложняет отсутствие нормативных требований по отношению к подрядчикам, даже если речь идет о компаниях, которые занимаются поддержкой государственных информационных систем (ГИС).
Заместитель руководителя Национального координационного центра по компьютерным инцидентам (НКЦКИ) Петр Белов отметил, что в 2023 г. структура атак на российские компании и учреждения значительно видоизменилась: если в 2022 г. доминировали посягательства со стороны многочисленных, но плохо организованных масс хактивистов, то в 2023 г. их сменили профессиональные представители зарубежных спецслужб. Целью атак 2023 г., как заявил представитель НКЦКИ, является получение доступа к данным (38% атак) и нарушение функционирования ИТ-инфраструктуры атакованных организаций (25%), в том числе на уничтожение данных. Основные методы атак, по данным НКЦКИ, - эксплуатация уязвимостей и фишинг.
Также, как обратил внимание Петр Белов, если в 2022 г. 60% утечек данных были фейковыми, то в 2023 г. на них пришлось не более 15% от общего числа инцидентов. Однако, по его словам, компании и организации, допустившие утечку, до сих пор пытаются выдавать их за фальшивки для сокрытия инцидентов. Такая практика, как подчеркнул Петр Белов, затрудняет расследование, особенно если речь идет об атаках на цепочки поставок.
Заместитель председателя правления ПАО "Сбербанк" Станислав Кузнецов предложил не просто наказывать тех, кто скрывает инциденты, а найти способы мотивировать их к тому, чтобы раскрывать информацию: "Что компании не делятся информацией об утечках и других инцидентах ИБ - это проблема. И может быть, нам об этой проблеме вместе с регуляторами стоит подумать. Мы не сможем оздоровить наше общество, если компании будут скрывать проблемы. Надо не штрафовать компании за то, что их атаковали, а придумать какую-то другую мотивацию для того, чтобы они оперативно делились этой информацией. Когда мы фиксируем атаки на некоторые компании, мы предлагаем мгновенную помощь. Но какую получаем реакцию? "У нас все в порядке! Ничего не произошло". Проходят сутки, двое... В этот же момент теми же инструментами могут атаковать других. Поэтому уровень культуры в профессиональном сообществе отрасли кибербезопасности точно требует определенной корректировки".
По оценке Станислава Кузнецова, значительной латентностью характеризуются не только утечки данных, но и кражи и мошенничества. По данным Сбера, которые озвучил зампред правления, под давлением преступников граждане России взяли кредитов на 200 млрд руб.
По данным ГК "Солар", которые озвучил ее генеральный директор, вице-президент ПАО "Ростелеком" по информационной безопасности Игорь Ляпунов, рост количества атак по итогам девяти месяцев 2023 г. составил 85% по сравнению с аналогичным периодом 2022 г. Большинство кибератак, по данным центра исследования киберугроз Solar 4RAYS ГК "Солар", пришлись на государственные организации (44%) и телеком (14%), а также сельское хозяйство (9%) - последнее можно объяснить близостью отрасли к государству. Также в рейтинг попали промышленность (7%), финансовый сектор (7%) и с равными долями в 4% ретейл, сфера услуг, образование, НКО и энергетика. При этом каждая пятая атака осуществлена силами профессиональных группировок, и значительная их часть относилась к азиатским странам. В частности, в отношении отечественных госструктур и оборонного сектора была высока активность Lazarus, которую связывают со спецслужбами КНДР. Не менее 20 госорганизаций в сентябре атаковали китайские кибергруппировки.