Гибридная война в разгаре, кибератак будет больше. Что делать бизнесу, чтобы защититься
Пандемия и удаленный формат работы предоставили киберпреступникам уникальные условия для проникновения в корпоративные сети. Даже хорошо защищенные компании оказались в опасности, ведь существенно возросло количество уязвимых мест, которые хакеры могут использовать для атак. Более того, новая эскалация политико-военного конфликта с внешним агрессором активно использует киберэлемент в гибридной войне, ведь влияние на киберпространство – это очень удобный инструмент с безумным потенциалом по эксфильтрации чувствительных данных и дестабилизации ситуации в стране.
Какие фундаментальные изменения произошли в сфере кибербезопасности за последние пару лет и как противодействовать новым угрозам?
Беспрецедентный уровень угроз
Вызовы, связанные с кибербезопасностью, растут каждый день. Организованная киберпреступность – очень мощная "индустрия". Объем рынка Dark Web (участки интернета, недоступные для обычного поиска) в 2019 году оценивался в $2 трлн.
По данным исследования Intelliagg 2016 года (поглощена FEYO в 2021-м), более 70% "услуг", предлагаемых в Dark Web, покрывают такие сферы как разработка вредоносного программного обеспечения, хакинг, продажа персональных/карточных/чувствительных данных и учетных записей для любых онлайн-сервисов, координация фрода (мошенничеств) и комплексных кибератак. Весь этот рынок оценивается почти в $1,5 трлн.
В то же время киберзащита имеет значительно меньшую капитализацию, чем "атакующая" сторона: рынок продуктов и услуг по кибербезопасности оценивается в разы меньше – всего около $200 млрд по оценкам аналитических агентств MarketWatch и Crunchbase.
Уровень обнаружения присутствия хакеров в сетях остается на довольно низком уровне: преступники в среднем могут находиться в сети организации более 200 дней до того, как их разоблачат или же осуществят финальный аккорд кибератаки, который уже обычно видим для департамента ІТ-безопасности компании.
Возможность компании противодействовать киберпреступникам нередко определяется ее размерами. Чем меньше организация, тем труднее ей системно противостоять киберугрозам. Почему? Потому что кибербезопасность – это бизнес-процесс, требующий системного выполнения различных процедур и соблюдения политик, что, в свою очередь, может потребовать значительных бюджетов для автоматизации.
Этим активно пользовались и пользуются хакеры, реализуя, например, кибератаки через цепочку поставок. Подразумевается, взлом малой компании с целью получения доступа к компьютерной сети большой, с которой она сотрудничает. Именно так в 2010 году была совершена первая хрестоматийная атака на предприятия критической инфраструктуры в мире, когда с помощью компьютерного червя Stuxnet произошло кибернападение на ядерные обогатительные объекты Ирана.
Считается, что именно Stuxnet замедлил реализацию ядерной программы страны. Кроме того, этот вирус также нанес повреждение инфраструктуре ряда промышленных предприятий во всем мире.
К сожалению, даже мощные системные компании не всегда способны противодействовать угрозам. Яркий пример – атака NotPetya на украинские предприятия в 2017 году. Тогда были зашифрованы и уничтожены данные на 10% всех персональных компьютеров в Украине, а некоторые международные компании потеряли катастрофические суммы – убытки только одного логистического оператора Maersk составили около $300 млн.
Кибербезопасность частично обеспечивается эффективным построением внутренних информационных и технических систем. Многое зависит от того, насколько удачно компания работает над выявлением угроз и разработкой механизмов реагирования на киберинциденты. Насколько тщательно организация придерживается системных мероприятий по выявлению угроз и тренировок по кибергигиене. Делается ли это на регулярной основе, разбирается ли каждый инцидент без исключения. Системный подход здесь очень важен.
Выход на новый уровень
Коронавирус сломал привычный ритм жизни и огромное количество работников было спешно переведено компаниями на удаленный режим работы. Люди начали использовать тот сетап, который был под рукой: домашний интернет и персональные цифровые устройства для доступа к сетям предприятий, тогда как в большинстве компаний компьютерные системы и сети не проектировались с учетом длительного доступа к ним из-за пределов офиса.
Усилился и без того огромный дефицит квалифицированных киберспециалистов, которые по специфике задач могут работать на любую организацию или страну из любой точки мира. Согласно исследованию компании (ISC)², количество незакрытых вакансий в сегменте кибербезопасности в мире выросло до рекордных 2,72 млн. И это тогда, когда для эффективной защиты критически важных активов организаций, количество работников в кибербезопасности нужно увеличить в среднем на 65 %.
Нехватка квалифицированных кадров и, как следствие, процессов, а также пренебрежение принципами кибергигиены приводят к катастрофическим последствиям. Наблюдается значительный рост количества кибератак, направленных на пользователей, не осознающих, что киберпространство не является благоприятной средой. По оценкам ISSP, до 80% кибератак начинается именно с манипулирования поведением пользователей.
Поддает жару в огонь и отсутствие постоянных контактов между сотрудниками, работающими из дома, ведь вне офиса коллеги редко делятся между собой информацией, например, об обнаруженных ими подозрительных электронных письмах. Поэтому организации проводят базовые курсы по кибергигиене или продвигают учебные инициативы, но этого недостаточно. Следует предоставлять обратную связь и дополнительно объяснять риски.
Что дальше?
Сейчас, спустя почти два года пандемии, появляется ощущение, что все IТ-процессы и процессы IТ-безопасности понемногу приводятся в норму. Но это больше иллюзия нормальности. Помните, хорошая кибератака – это та, которую никто не видит.
Неэффективность базовых контролей доступа, слабость процедур обнаружения инцидентов или блокирование угроз, плохая коммуникация внутри организации никуда не исчезла. Даже при наличии Microsoft Teams, Slack или других средств корпоративного обмена данными, процесс передачи информации внутри компании – что очень важно для обеспечения кибербезопасности предприятия – часто до сих пор остается нарушенным. Более того, контроли сетей, которые выстраивались десятилетиями, сейчас в большинстве своем не задействованы.
Что в этих условиях можно посоветовать бизнесу?
Во-первых, проведите очередной аудит кибербезопасности. Да, еще один аудит, которых не бывает мало. Произведите его с фокусом на поиск уже потенциально скомпрометированных компонентов инфраструктуры и слабостей инфраструктуры, которые можно быстро и относительно легко (а следовательно и доступно) нивелировать, превратив такие изменения в "быстрые победы".
Во-вторых, развивайте навыки кибергигиены сотрудников. Создайте экосистему, в которой пользователям было бы интересно систематически приобретать базовые навыки кибергигиены, использовать их на практике и сотрудничать с IТ-безопасностью.
В-третьих, внедряйте новые инструменты мониторинга и выявления хакеров внутри корпоративных сетей с долгосрочным планом на построение зрелого Security Operations Center (SOC). Системно заниматься этими вопросами нужно не только крупному, но малому и среднему бизнесу.
Именно атаки на индивидуальных пользователей и цепочка поставок – это "головная боль" коллективной безопасности в киберпространстве Украины и мира. Выход на качественно новый уровень кибербезопасности страны возможен только посредством усиления защиты каждого отдельного бизнеса, от малого локального предпринимателя до национального и международного холдинга.