Переход людей по всему миру на удаленный формат работы привел к росту числа кибератак на организации в разы, а ряды злоумышленников пополнились желающими заработать в кризис рядовыми сотрудниками компаний. О том, насколько выросли бюджеты и выручка хакеров, почему сложно выследить злоумышленника в периметре сети компании, как школьники оказываются в числе киберхулиганов, и почему россияне пренебрегают правилами кибергигены, рассказал в интервью РИА Новости вице-президент Ростелекома по информационной безопасности Игорь Ляпунов.
– Пандемия привела к массовому переходу организаций и людей в РФ на удаленный режим работы. Как он сказался на кибератаках?
– Хотя коронавирус породил огромное количество проблем и трагедий, есть аспекты, где он оказал положительное воздействие, и в первую очередь в ускорении цифровизации страны. Кто-то сравнивает коронавирус с машиной времени, которая перенесла нас на пять-шесть лет вперед в сфере применения информационных технологий. Но у этого процесса есть обратная сторона – киберугрозы. Их уровень прямо пропорционален уровню цифровизации.
Сейчас все компании, уйдя на удаленку, сделали свои информационные системы доступными извне как для сотрудников, так для злоумышленников. Эти внутренние системы очень слабо защищены, и итогом стало то, что сейчас мы фиксируем рост числа хакерских атак примерно на треть по сравнению с предыдущим годом.
Мы также наблюдаем атаки на критическую информационную инфраструктуру и на системы управления. Это в первую очередь энергетика, системы жизнеобеспечения, система государственного управления. Они сейчас являются объектом повышенного внимания со стороны даркнета.
Внутренние угрозы со стороны самих сотрудников организаций тоже заметно выросли. Переход на удаленку вкупе с экономической нестабильностью негативно сказывается на их лояльности. Мы видим, что с начала пандемии и перехода на удаленную работу число инцидентов, связанных с утечками информации, возросло на 25%. Часто сотрудники, увольняясь, забирают с собой важную, значимую для компании информацию – коммерческую тайну или производственные разработки. Это такие хорошие, "хлебные" данные, за которые можно получить много денег.
– Насколько, по вашим оценкам, выросли объем выручки и ценник хакеров в период пандемии?
– Цены на черных рынках в даркнете держатся примерно на прежнем уровне, но по тому, насколько выросло количество атак, можно говорить о практически линейном росте доходов на стороне киберпреступности. Если мы говорим, что количество угроз выросло на треть, то примерно симметрично выросли и доходы. В прошлом году мы давали оценку по бюджетам киберпреступности, это была оценка более двух миллиардов рублей, в этом году прирост большой – на 30-40% точно.
– Каких типов и видов атак стало больше за время пандемии? Изменился ли вектор атак хакеров с началом второй волны?
– Хакеры заметно повысили активность уже в первую волну, и вторая уже не оказала такого влияния. Например, с началом пандемии практически моментально возник большой объем фишинговых писем по теме коронавируса, содержащих вредоносные вложения или ссылки. Люди были напуганы, и их бдительность снизилась – эффективность такого фишинга, где получателю письма предлагается пройти по ссылке, чтобы узнать новые симптомы коронавируса, информацию о вакцинах и тому подобное, как была, так и остается высокой.
Выросла и скорость работы хакеров. Сегодня появляется какая-то новая уязвимость, предположим, в операционной системе, а уже завтра появляется атакующее программное обеспечение. При этом на создание обновления, которое закроет уязвимость, может уйти неделя или даже две, а на то, чтобы компании установили это обновление, часто требуется больше месяца. Этот разрыв во времени порождает значительную часть угроз и делает компании беззащитными даже перед относительно простыми массовыми атаками просто потому, что киберпреступники работают оперативнее.
– С чем связана сложность отслеживания злоумышленников в периметре сети организации?
– В основном она вызвана тем, что современные атакующие используют инструменты, позволяющие проходить ниже радаров классических средств защиты, поэтому сейчас для эффективной защиты от хакерских атак нужно постоянно отслеживать все события в ИТ-инфраструктуре компании, чтобы выявить атаку на самой ранней стадии, пока злоумышленник не успел добраться до цели и нанести серьезный ущерб.
Часто хакеры финансово вкладываются в нападение больше, чем компании в защиту. Это, разумеется, создает определенный разрыв между их возможностями. Стоимость атаки на государственную информационную инфраструктуру может достигать сегодня 1,5 миллиона долларов. За такими атаками стоят очень квалифицированные люди – несколько десятков человек, создающих атакующее ПО и осуществляющих атаку. Кто им противостоит в каждой конкретной организации? Два-три специалиста, обычно без практического опыта борьбы со злоумышленниками такого уровня. Это несоизмеримо.
– В России сейчас стоит курс на увеличение количества IT-специалистов, в том числе в сфере кибербезопасности. Как, на ваш взгляд, это скажется на качестве разработки?
– Конечно, сейчас в области кибербезопасности колоссальный дефицит квалифицированных кадров. По нашим оценкам, чтобы противостоять современному уровню киберугрозы, количество специалистов по информационной безопасности должно увеличиться минимум вдвое.
Причем отрасли нужны именно специалисты с практическими навыками. Можно долго учиться по книжке, как играть в теннис, но до тех пор, пока не возьмешь в руки ракетку и не поотбиваешь настоящий мячик, игроком не станешь. К сожалению, сейчас многие выпускники вузов только из учебников знают, как отбиваться от киберпреступников.
По поручению Минцифры мы сейчас реализуем большой проект в рамках "Цифровой экономики" – "Национальный киберполигон". Это как раз та площадка, где можно превращать теоретические знания в практические навыки. Он состоит из онлайн-курсов, виртуальной лаборатории и собственно инфраструктуры киберполигона, где команда защищающихся может потренироваться в отражении хакерских атак, развивающихся по реальным сценариям. Это тот самый теннисный корт.
Первые пробные соревнования уже проходят. В конце лета мы проводили для одной из отраслей такую большую тренировку, в октябре делали соревнование для студентов в "Сириусе", недавно прошли тестовые киберучения для студентов Дальневосточного федерального университета. У нас уже расписан график проведения учений, соревнований на полигоне на следующий год.
– В сентябре "Ростелеком-Солар" представил исследование, согласно которому порядка 90% российских госструктур уязвимы как для продвинутых хакеров, так и для обычных киберхулиганов. Как, на ваш взгляд, можно было бы изменить ситуацию и укрепить киберзащиту госорганов?
– Сейчас во всех даркнет-сообществах есть молодые амбициозные специалисты, которые пытаются как-то утвердиться и продемонстрировать свои базовые умения. Найти бесплатные хакерские утилиты можно за пару часов в любом поисковике. С помощью них можно получить базовый навык взломов, а дальше на ком-то его опробовать. Этим в основном занимается молодежь, которая самореализуется через такие атаки.
Вторая часть атакующих – хакерские группировки, которые имеют более высокий уровень квалификации и работают за деньги, а не из интереса. Их атаки в целом более сложные, но все же довольно заметные для защищающейся стороны. Чаще всего такие преступники рассчитывают на скорость атаки, например, что вывести деньги из банка они успеют раньше, чем их действия заблокируют. Либо же такой киберкриминал ориентируется на организации, в которых они не ожидают встретить серьезного противодействия.
Есть и третья часть – это кибернаемники, группировки, спонсируемые иностранными государствами и действующие уже в политических интересах. Они отвечают за шпионаж, контроль и потенциальную возможность управления атакуемыми инфраструктурами. Это максимально скрытные, очень дорогие и медленно развивающиеся атаки. Задача злоумышленников – незаметно проникнуть и на долгие годы закрепиться в инфраструктуре организации, причем такие группировки в атакуемых инфраструктурах живут и год, и два, и три.
Они проявляют себя, когда возникают какие-то политические обострения. К примеру, когда был блэкаут в Венесуэле, вся энергетика страны была парализована при помощи кибератаки. Или возьмем обострение вокруг Нагорного Карабаха – в ходе развития конфликта противостояние велось не только в физическом, но и в цифровом пространстве. Цифровой мир уже стал полноценным театром военных действий, и кибератаки становятся новым оружием. Тот, кто имеет преимущество в кибервойне, получает мощный инструмент, способный серьезно влиять на ход любого конфликта.
Во всем этом есть отдельный важный момент: подрастающее поколение гораздо больше живет в цифровом мире, чем их родители. Раньше разборки школьников происходили во дворах, сейчас же, если мальчики что-то не поделили, один другому взламывает страничку во "ВКонтакте". Причем если обычный работодатель школьника не может принять на работу, то даркнет запросто примет. Родители не против, что ребенок увлекается компьютером, и не знают, чем он в реальности занят, да и школьникам нравится, как это звучит – хакер! А сами юные хакеры не осознают возможных последствий своих действий, поэтому для нас и для общества в целом очень важна задача воспитания и правильного профессионального ориентирования подростков, ведь их интерес к технологиям можно направить в верное русло.
– Стоит ли, на ваш взгляд, ввести в школах курс по информационной и кибербезопасности?
– Да, несомненно. Когда я учился в школе, у нас были уроки ОБЖ, на которых мы учились надевать противогазы. Сейчас вопросы безопасности находятся в другой плоскости. Школьникам надо прививать и финансовую грамотность, и компьютерную грамотность, и основы кибергигиены.
– Как, на ваш взгляд, стоит адаптировать старшее поколение к новым технологиям и цифровой экономике?
– Мое частное мнение, что нельзя их ограничивать только цифровым каналом получения, например, государственных, медицинских или финансовых услуг. Нужно ориентироваться на потребителя, а старшее поколение может не разобраться, и тогда проблем от этого внедрения технологий станет только больше.
Но отдельные курсы базовых правил кибергигиены для старшего поколения – это нужно и важно. Многие так или иначе пользуются интернетом с компьютера или смартфона, и нужно объяснить им, что и в этом мире существуют свои преступники и мошенники.
– Вы планируете запускать курсы такого плана?
– Это важная задача и наша социальная ответственность как лидера и драйвера рынка, так что, скорее всего, мы будем этим заниматься. Но здесь важно участие многих других структур, чтобы мы смогли эти правила безопасности в сети доносить до старшего поколения широко и повсеместно.
– Ростелеком активно развивает кластер информационной безопасности и не так давно приобрел системного интегратора и технологического вендора "Элвис-Плюс". Планируете ли вы еще M&A сделки?
– "Элвис-Плюс" – одна из старейших компаний рынка информационной безопасности, очень сильный игрок в сфере системной интеграции со своими технологиями. Эта сделка направлена на усиление нашего присутствия в данных сегментах рынка, и я уверен, это будет взаимовыгодное партнерство.
У нас очень обширные планы в части M&A, сейчас они включают два направления – приобретение технологий, которые мы можем включать в свое предложение, и инвестиции на более ранних стадиях в стартапы, которые разрабатывают новые технологии.
Стартапам в сфере кибербезопасности очень тяжело развиваться, но это тот процесс, в который надо вкладываться, это инвестиция в конкурентоспособность страны в цифровом пространстве, и здесь мы выступаем институциональным инвестором, создавая долгосрочные инвестиции в технологии.
– В какую сторону будет развиваться и расти ваш кластер?
– Сейчас есть три направления. Первое – это предоставление сервисов информационной безопасности. Потребление технологий по сервисной модели – это глобальный тренд, поскольку такой формат и более эффективен, и более доступен для большинства компаний.
Второе – это системная интеграция, проектная деятельность в области информационной безопасности. В это направление как раз вошел и "Элвис-Плюс". И третье – это разработка собственных технологий кибербезопасности.
Все три направления отличаются с точки зрения бизнес-модели, мы развиваем их параллельно, но так, чтобы не терять связь и синергию между ними.
– Не могли бы вы рассказать, какими советами по кибербезопасности чаще всего пренебрегают россияне и почему? И как им обезопасить себя от злоумышленников?
– Люди обычно нарушают правила кибергигиены, потому что им так удобнее. Например, проще придумать один легко запоминающийся пароль и использовать его для всех аккаунтов, чем создавать для каждой учетной записи отдельную длинную комбинацию цифр, букв и специальных символов. Но важно помнить, что это удобство дорого обходится: получив ваши логин и пароль от аккаунта на одном слабо защищенном ресурсе, например, интернет-магазине, злоумышленники попробуют использовать их для взлома всех остальных ваших учетных записей. А это уже может быть и интернет-банк, и почта, поэтому первое правило – парольная политика, длинные, сложные, неповторяющиеся пароли, которые хотя бы раз в полгода надо менять.
Второе – это установка обновлений программ или операционных систем. Если у вас на телефоне, планшете или компьютере не установлено 10 обновлений, вы в опасности. Ранее я говорил о скорости, с которой киберпреступники создают вредоносное ПО, использующее новые уязвимости. Именно поэтому, как только у вас появляются предложения обновить ПО, нужно это делать, не откладывая. Вам дают в руки инструмент защиты – используйте его.
Третье правило – у вас должно быть отдельное устройство (например, компьютер) для онлайн-банка и корпоративных приложений и отдельное – для посещений недоверенных сайтов. Эти два мира не должны пересекаться. Ну и, конечно, лучше не заходить туда, где предлагают что-то скачать бесплатно, без рекламы и без регистрации.