Количество кибератак на российские организации увеличилось

ООО "Солар" (входит в ПАО "Ростелеком") представило аналитику по инцидентам, выявленным командой центра противодействия кибератакам Solar JSOC во II квартале и I полугодии 2024 г. В фокусе внимания экспертов оказалось около 300 организаций из разных отраслей экономики: госсектор, финансы, нефтегазовая отрасль, энергетика, телекоммуникации, крупный ретейл. Все компании с количеством сотрудников от 1000 человек оказывают услуги в разных регионах страны.

Во II квартале 2024 г. эксперты выявили 381 тыс. инцидентов разной степени тяжести, что на 17% больше, чем за тот же период в 2023 г. - 325 тыс. В первом полугодии 2024 г. таких инцидентов было 676 тыс. против 614 тыс. в первом полугодии 2023 г.

Аналитик ООО "Русием" (RuSIEM) Василий Кочканиди назвал постоянное увеличение количества инцидентов современной действительностью: "Это следствие развития ИТ и их стремительной и всеобъемлющей интеграции с реальностью. Кроме того, множество российских компаний из отраслей, рассмотренных в отчете, включены в список субъектов критической информационной инфраструктуры. В свете действующего законодательства им следует использовать системы защиты информации (SIEM, IDS, антивирусное ПО), заниматься выявлением инцидентов информационной безопасности (ИБ) и в обязательном порядке уведомлять о произошедших инцидентах регулятора. Цена за молчание повышается вследствие введения штрафов и проверок. Все это, в сумме с повышением ИБ-культуры в бизнес-среде, ведет к увеличению количества известных общественности инцидентов".

В основном хакеры нацелены на причинение наибольшего вреда инфраструктурам российских организаций. Доля критичных инцидентов в I квартале 2024 г. составила всего 9% от общего количества атак. Аналитики связывают такой показатель с президентскими выборами в марте 2024 г. Во II квартале 2024 г. показатель доли критичных инцидентов упал до 4%.

После аномального всплеска в I квартале 2024 г. доля несанкционированного доступа к информационным системам и сервисам приблизилась к более стандартным значениям во II квартале 2024 г., упав с 14% до 3%. Аналитики "Солар" также связывают это с большой концентрацией атак вокруг президентских выборов в марте. Нынешнее затишье, по их мнению, может быть связано в том числе с поиском злоумышленниками новых доступов в инфраструктуры компаний.

"Ситуация со всплеском и быстрым падением несанкционированного доступа к информационным системам и сервисам, действительно, может быть связана с выборами. Во время выборной кампании не только в России, но и во всех странах, где есть высокая доля цифровизации, в момент важных событий - референдума, выборов - появляется активность в области атак информационной системы", - подтвердил технический директор ИТ-агентства Data2Good, эксперт рынка НТИ "Сейфнет" Григорий Соколов.

Заместитель директора центра компетенций НТИ "Технологии доверенного взаимодействия" на базе Томского государственного университета систем управления и радиоэлектроники (ТУСУР) Руслан Пермяков уверен, что количество инцидентов будет расти: "Думаю III и IV кварталы покажут рост критических инцидентов. Подозреваю рост атак на государственные информационные системы и СМИ в октябре-ноябре 2024 г. К декабрю можно ожидать удлинения атак на критическую информационную инфраструктуру страны. При этом есть обоснованный оптимизм - крупных успехов у хакеров я не ожидаю".

Аналитик - исследователь угроз кибербезопасности российского разработчика систем кибербезопасности R-Vision Борис Нестеров предположил, какие атаки будут наиболее распространенными во втором полугодии 2024 г.: "Среди различных типов атак наиболее распространенными останутся те, которые связаны с вредоносным программным обеспечением. Такие атаки требуют меньше ресурсов по сравнению с другими видами, поскольку могут быть направлены на множество целей одновременно. На втором и третьем местах по распространенности будут атаки на веб-ресурсы и использование известных уязвимостей. Это связано с тем, что такие ресурсы обычно находятся на периметре организации, и для их атаки не требуется предварительного получения доступа".