Количество кибератак на российские организации увеличилось

ООО "Солар" (входит в ПАО "Ростелеком") представило аналитику по инцидентам, выявленным командой центра противодействия кибератакам Solar JSOC во II квартале и I полугодии 2024 г. В фокусе внимания экспертов оказались около 300 организаций из разных отраслей экономики: госсектор, финансы, нефтегазовая отрасль, энергетика, телекоммуникации, крупный ритейл. Все компании с количеством сотрудников от 1 тыс. человек оказывают услуги в разных регионах страны.

Во II квартале 2024 г. эксперты выявили 381 тыс. инцидентов разной степени тяжести, что на 17% больше, чем за тот же период в 2023 г. - 325 тыс. В I полугодии 2024 г. таких инцидентов было 676 тыс. против 614 тыс. в I полугодии 2023 г.

Аналитик ООО "Русием" (RuSIEM) Василий Кочканиди назвал постоянное увеличение количества инцидентов современной действительностью: "Это следствие развития ИТ и их стремительной и всеобъемлющей интеграции с реальностью. Кроме того, множество российских компаний из отраслей, рассмотренных в отчете, были включены в список субъектов критической информационной инфраструктуры. В свете действующего законодательства им следует использовать системы защиты информации (SIEM, IDS, антивирусное ПО), заниматься выявлением инцидентов информационной безопасности (ИБ) и в обязательном порядке уведомлять о произошедших инцидентах регулятора. Цена за молчание повышается вследствие введения штрафов и проверок. Все это, в сумме с повышением ИБ культуры в бизнес-среде, ведет к увеличению количества известных общественности инцидентов".

В основном хакеры нацелены на причинение наибольшего вреда инфраструктурам российских организаций. Доля критичных инцидентов в I квартале 2024 г. составила всего 9% от общего количества атак. Аналитики связывают такой показатель с президентскими выборами в марте 2024 г. Во II квартале 2024 г. показатель доли критичных инцидентов упал до 4%.

После аномального всплеска в I квартале 2024 г. доля несанкционированного доступа к информационным системам и сервисам приблизилась к более стандартным значениям во II квартале 2024 г., упав с 14% до 3%. Аналитики "Солар" также связывают это с большой концентрацией атак вокруг президентских выборов в марте. Нынешнее затишье, по их мнению, может быть связано в том числе с поиском злоумышленниками новых доступов в инфраструктуры компаний.

"Ситуация с всплеском и быстрым падением несанкционированного доступа к информационным системам и сервисам действительно может быть связана с выборами. Во время выборной кампании не только в России, но и во всех странах, где есть высокая доля цифровизации, в момент важных событий (референдума, выборов) появляется активность в области атак информационной системы", - подтвердил технический директор ИТ-агентства Data2Good, эксперт рынка НТИ "Сейфнет" Григорий Соколов.

Заместитель директора центра компетенций НТИ "Технологии доверенного взаимодействия" на базе Томского государственного университета систем управления и радиоэлектроники (ТУСУР) Руслан Пермяков уверен, что количество инцидентов будет расти: "Думаю III и IV кварталы покажут рост критических инцидентов. Подозреваю рост атак на государственные информационные системы и СМИ в октябре - ноябре 2024 г. К декабрю можно ожидать удлинения атак на критическую информационную инфраструктуру страны. При этом есть обоснованный оптимизм - крупных успехов у хакеров я не ожидаю".

Аналитик-исследователь угроз кибербезопасности российского разработчика систем кибербезопасности R-Vision Борис Нестеров предположил, какие атаки станут будут наиболее распространенными во II полугодии 2024 г.: "Среди различных типов атак наиболее распространенными останутся те, которые связаны с вредоносным программным обеспечением. Такие атаки требуют меньше ресурсов по сравнению с другими видами, поскольку они могут быть направлены на множество целей одновременно. На втором и третьем местах по распространенности будут атаки на веб-ресурсы и использование известных уязвимостей. Это связано с тем, что такие ресурсы обычно находятся на периметре организации, и для их атаки не требуется предварительного получения доступа".