Наиболее яркий пример этого атака на компанию SolarWinds. Их клиентами были правительственные учреждения США и более 400 крупнейших американских компаний. Хакеры внедрили вирус в их решение и атаковали их клиентов. Результат падение стоимости акций на 40% за несколько недель.
Если же посмотреть на абсолютные числа, то с начала 2017 по конец 2022 года количество зафиксированных атак увеличилось с 985 до 2921, то есть рост составил 196,5%. Тут, конечно, надо учитывать и то, что научились лучше выявлять атаки, но, забегая вперед, скажу, что даже сейчас в 70% исследованных компаний выявлены вирусы, о которых и не знали. При этом количество целевых атак увеличилось с 43% в 2017 году, до 67% в 2022. И несмотря на то, что в 2021 году целевых атак было 73%, вероятность целевой атаки высока. Ведь 2022 год год войны в киберпространстве, настоящая и широкомасштабная.
Теперь про деньги. Средняя стоимость выкупа, которую компании платят хакерам, также растет. Если раньше ограничивались условными 12 тысячами долларов, то сейчас это 4,35 млн. То же самое касается и максимальной выплаты. В 2017 году она составляла 1 млн долларов, в 2022 уже более 40 млн.
Прогнозы тоже пессимистичны. Так Cybersecurity Ventures ожидает, что глобальные издержки от информационных атак будут расти на 15% и к 2025 году достигнут по всему миру 10,5 трлн долларов США в год, при 6 трлн в 2021 году и 3 трлн в 2015.
Также приведу график от PT того, как изменяются атаки, на кого нападали чаще, и кто сейчас стал пользоваться спросом у хакеров.
Атаки на компании от общего числа
Тут я рекомендую обратить внимание на финансовые компании они все менее интересны, поскольку становятся все более сложными для атак. В целом же рынок «гражданского» хакерства все больше подчиняется законам бизнеса: злоумышленники ищут, как снизить стоимость каждой атаки и увеличить ее доходность. То есть хакеры ищут маржинальность. Но это касается только тех хакеров, которые не занимаются политическими заказами или целенаправленными атаками, например, от конкурентов. В итоге, с учетом того, что идет рост в сторону от массовых атак к таргетированным, уповать на одну экономическую целесообразность атаки не стоит. Если вас закажут, то вы будете атакованы. Особенно если вы российская компания. А если вы первое лицо, то именно вы под прицелом в первую очередь.
Глава 2. Про ответственность
Сейчас ответственность за информационную безопасность несет руководитель организации, что отражено в указе президента Российской Федерации В. В. Путина от 01.05.2022 250. Под его действие попадают федеральные органы исполнительной власти (федеральные министерства, службы и агентства), руководство субъектов РФ, государственные фонды, государственные корпорации и компании (например, «Росатом», «Газпром», «Русгидро», «РЖД» и другие), стратегические и системообразующие предприятия, объекты критической инфраструктуры.
И если на 20 апреля 2020 года в перечень системообразующих организаций входило 646 юридических лиц, то к июлю 2020 года их уже было около 1300, а в феврале 2022 около 1400. Но, казалось бы, если вы не попадаете в этот список, то зачем он вам? Тут надо понимать, что в нашей стране, если вы планируете расти, то так или иначе станете работать с такими организациями. А значит, лучше знать требования этого документа и быть готовыми. Всего же под действие нового указа попадет более 500 тысяч организаций.
Что же рекомендуется делать организациям, в соответствии с данным указом?
Установить личную ответственность за обеспечение ИБ на руководителя организации, при этом выделить отдельного заместителя генерального директора, у которого будут полномочия и ресурсы обеспечивать ИБ. При этом необходимо либо создать структурное подразделение, ответственное за обеспечение ИБ, либо возложить такие функции на существующее подразделение.
Необходимо провести инвентаризацию договоров с подрядными организациями, оказывающими услуги по ИБ. Теперь оказывать такие услуги могут только компании, которые имеют лицензию на осуществление деятельности по технической защите конфиденциальной информации от ФСТЭК России.
Также ещё 30 марта 2022 года были введены ограничения на приобретение иностранного оборудования и программного обеспечения для субъектов критической информационной инфраструктуры (КИИ), которые осуществляют закупки по 223-ФЗ. С 1 января 2025 г. организациям запрещается использовать средства защиты информации, произведённые в недружественных государствах, либо организациями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними. На весну 2023 года таких стран насчитывается 48. И даже если компания-поставщик ИБ-оборудования, например, из Китая, то все равно надо проверять ее аффилированных лиц.
Забегая вперед, выскажу одно предположение. С учетом всех утечек и важности этой темы для государства можно ожидать введения некой страховки, по примеру ОСАГО. Каждую организацию могут принудить страховаться от ИБ-рисков. И тогда то, как организация будет выстраивать функцию ИБ, будет влиять на размер ее страховой премии.
Глава 3. Про общие тренды
Главный тренд в области ИБ в отрасль приходят профессиональные менеджеры. Те, кто раньше занимались «техникой», но теперь доросли до управленцев. Они думают как о технической стороне вопроса, так и о деньгах, процессах в организации, об ответственности, которую принимают на себя. И это серьезный вызов для ИБ-компаний. Ведь им нужно уже общаться не просто со специалистами, которые в теме, а находить общий язык с менеджерами. То есть объяснять в первую очередь на языке денег и гарантий.
Второй тренд переход от размазанной защиты по всей организации, продвижения по уровням зрелости и использования лучших практик к модели гарантированной защиты от недопустимых сценариев: нарушение технологических циклов, хищение денег, конфиденциальной информации, шифрование всех данных. То есть переход от ИБ 1.0 к ИБ 2.0.
Это связано с тем, что все уже осознают невозможность защиты от всего. Во-первых, рост цифровизации и автоматизации приводит к увеличению числа используемого ПО. А значит, экспоненциально растет и количество направлений для атак. Во-вторых, как мы уже говорили ранее, все разработчики ИТ-решений стараются снизить затраты. Например, даже мировой ИТ-гигант IBM переносит свои производства в Индию, ведь там дешевле рабочая сила программистов. При этом качество кода от большинства индийских разработчиков оставляет желать лучшего. Это как китайские реплики оригинальных товаров. Все это приводит к падению качества ПО и росту количества и критичности уязвимостей.
Плюс даже опубликованные «дыры» разработчики не спешат устранять оперативно. Тут показательна статистика от PT. Из всех выявленных и отправленных разработчикам в 2021 году уязвимостей в промышленных ИТ-системах было исправлено меньше половины 47%. При этом известно о них становится всему миру довольно быстро в течение нескольких часов.
Всего же за 2022 год было выявлено и подтверждено около 25 тысяч новых уязвимостей, обнаруженных исследователями безопасности. Рост числа стартапов и выпускаемых ими программ, а также несоблюдение принципов безопасной разработки могут привести к тому, что в это число будет только увеличиваться.
В итоге и получается, что более чем в половине атак хакеры спокойно используют эти уязвимости и получают необходимый доступ за несколько минут. Сами же специалисты PT, используя известные уязвимости, смогли получить доступ к внутренней сети компаний в 60% своих проектов. А теперь добавим еще тот факт, что белых хакеров и исследователей не так уж и много, а разработчики просто не знают о всех дырах. Хакеры же не стремятся публиковать найденные уязвимости в открытом доступе. В то же время сам теневой рынок хакеров находится на подъеме.