Взгляд в будущее№ 2 Сентябрь 2017

В мае 2017 года произошла одна из крупнейших за всю историю Интернета кибератак. Сотни тысяч компьютеров в 150 странах оказались в буквальном смысле в заложниках. Вирус WannaCry, используя уязвимости операционной системы Microsoft Windows, смог зашифровать файлы жертв. За сохранение данных зло­умышленники требовали выкуп.

Вирус парализовал работу компаний и государственных организаций по всему миру. Информационная служба McClatchy со ссылкой на американских экспертов сообщила, что ущерб от атаки превысил 1 млрд долл. уже в первые четыре дня. И это оказалось еще не самым шокирующим. По результатам расследования выяснилось, что злоумышленники использовали данные об уязвимостях, которые собирали американские спецслужбы. Президент Microsoft Брэд Смит сравнил произошедшее с «кражей нескольких ракет «Томагавк». К каким еще системам могут получить доступ цифровые пираты, вопрос открытый.

 

Сильное слабое звено

Эксперты Positive Technologies отмечают, что за первые три месяца 2017 года было всего пять дней, в течение которых не поступало сведений о новых киберинцидентах. По статистике, главной жертвой являются США: на эту страну приходится 41% всех атак. Россия с показателем 10% занимает «почетное» второе место.

Чаще всего жертвой хакеров становятся государственные организации (20% всех случаев). Социальные сети, поисковые системы, интернет-магазины и другие онлайн-сервисы являются мишенью каждого девятого нападения (11%). Немного лучше ситуация в финансовой отрасли (9%) и промышленности (5%). Преступники подстраиваются под своих «клиентов». Они тщательно мониторят ситуацию, выбирая наиболее привлекательных жертв. Так, высокую долю атак на государственные организации эксперты сейчас связывают с непростой геополитической ситуацией. А предпочтения в выборе объектов из числа бизнес-организаций меняются под влиянием рыночной конъюнктуры. Условно – индустрия увеличивает выпуск, растет ее значение и интерес к ней.

Преимущественно интересует не выкуп, а чувствительная информация, которую можно продать. «Злоумышленники работают без выходных и отпусков», – отмечает Ольга Зиненко, аналитик Positive Technologies. Она прогнозирует, что число атак будет только расти. Риск высок, но часто хакеры используют схожие методы работы, поэтому так важно вовремя устранять все выявленные уязвимости. «Большинство крупных компаний серьезно относятся к проблеме информационной безопасности. Они знают, к чему может привести халатное отношение к защите сети, и предпочитают учиться на чужих ошибках, заранее предотвращая угрозы», – говорит Татьяна Медова, исполнительный директор ГК «Смарт-Софт».

«Умные» технологии, автоматизация процессов и рабочих мест значительно повысили производительность, но вместе с тем сделали промышленные системы уязвимыми перед киберпреступниками. Там, где появляются электронные системы управления и удаленный доступ (особенно если они применяются повсеместно), возникают и лазейки для хакеров.

«Многие наши клиенты используют программное обеспечение, которое позволяет контролировать сетевой трафик и обеспечивать защиту сети, – рассказывает Татьяна Медова. – Чтобы снизить риски, мы рекомендуем устанавливать межсетевой экран, сертифицированный по требованиям Федеральной службы по техническому и экспортному контролю, а лучше – комплексное UTM-решение, которое полностью закроет дыры в системе безопасности. Таким образом, вы сможете организовать безопасный доступ к Интернету для компьютеров локальной сети и контролировать трафик, а также активность сотрудников».

 

В 2016 году только вирусами-шифровальщиками было атаковано порядка 1,5 уникальных пользователей по всему миру. Число модификаций программ-вымогателей растет как снежный ком – за прошлый год оно увеличилось в 11 раз, по данным «Лаборатории Касперского». В среднем компании становятся объектами кибератак каждые 40 секунд, индивидуальные пользователи еще чаще – каждые 10 секунд. Платить вымогателям смысла нет – многие вирусы в принципе не предполагают возврат доступа к данным.

Источник: «Исследование уровня информационной безопасности в российских компаниях», SearchInform. Данные были получены в ходе серии конференций Road Show SearchInform 2017 «DLP будущего», в которой приняли участие 1806 специалистов по информационной безопасности и экспертов. Еще 885 участников следили за онлайн-трансляцией. Часть данных была собрана в ходе онлайн-опроса сотрудников отделов информационной безопасности.

Кто главный?

Однако, выстраивая цифровые крепости с замками из паролей и кодов доступа, как часто промышленные компании забывают затворить калитку? Самое страшное – допустить сбой в системе управления производством, который может привести не просто к экономическим потерям, но и к физической порче оборудования и в самом худшем случае к серьезной аварии с губительными экологическими последствиями.

Есть два основных способа проникновения: Интернет и переносные накопители информации. Понятно, что главные риски всегда видят в первую очередь в присоединении к глобальной сети. Но и безобидные вроде бы флешки не стоит сбрасывать со счетов. Вот пример из жизни: в 2016 году стало известно, что принадлежащая RWE атомная электростанция Gundremmingen в Баварии стала объектом атаки хакеров. Ее компьютеры были заражены вирусами, что оператор АЭС признал вполне официально. Причем речь шла ни много ни мало о внутренней (т.е. изолированной от Интернета) системе, обслуживающей один из ядерных реакторов, а точнее, о системе, управляющей движением топливных стержней.

Символично, что инцидент случился в конце апреля – аккурат в 30-ю годовщину аварии на Чернобыльской АЭС. В результате проведенного расследования было установлено, что в компьютерах АЭС «резвились» вирусы, безопасные без прямого выхода в Интернет, а заражение произошло через 18 переносных USB-накопителей. «Вроде бы все хорошо, и фон радиационный не изменился. Но как-то неуютно. Поточил добрый дедушка бритву и убрал в коробочку. А мог бы и полоснуть», – написал по этому поводу в своем блоге Евгений Касперский, один из ведущих в мире специалистов по кибербезопасности. Действительно, через флешки могло попасть на компьютеры и совсем другое вредоносное программное обеспечение.

Вот пример из жизни: в 2016 году стало известно, что принадлежащая RWE атомная электростанция Gundremmingen в Баварии стала объектом атаки хакеров. Ее компьютеры были заражены вирусами, что оператор АЭС признал вполне официально. Причем речь шла ни много ни мало о внутренней (т.е. изолированной от Интернета) системе, обслуживающей один из ядерных реакторов, а точнее, о системе, управляющей движением топливных стержней.

Теоретически если система изолирована от Интернета и переносных накопителей информации, то рисков проникновения нет. Но в современных условиях полной изоляции добиться непросто. «Не стоит заблуждаться даже насчет систем автоматизированного управления типа SCADA. Они хоть и не предназначены для постоянного доступа в Интернет, но имеют связь с другими устройствами. На некоторых предприятиях связь осуществляется посредством второй сетевой карты на автоматизированном рабочем месте для дистанционного контроля и сбора статистики, на других – GSM-модемом для удаленной техподдержки или диспетчеризации и т.д.», – отмечает Павел Озеров, заместитель генерального директора компании «MAINS Страховой брокер».

Уязвимость линий связи, промышленных протоколов да и всех промышленных систем в целом была понятна специалистам уже давно. Первые тестирования информационных систем предприятий показывали, что три из четырех попыток проникновения заканчиваются успешно. Но во многом это объяснялось пресловутым человеческим фактором: люди меняются медленнее, чем машины. В Positive Technologies вспоминают, как поначалу буквально хватались за голову: то операторы играли в «танки» и смотрели кино на автоматизированных рабочих местах, то подключали к USB-разъемам личные модемы и смартфоны.

Источник: «Исследование уровня информационной безопасности в российских компаниях», SearchInform. Данные были получены в ходе серии конференций Road Show SearchInform 2017 «DLP будущего», в которой приняли участие 1806 специалистов по информационной безопасности и экспертов. Еще 885 участников следили за онлайн-трансляцией. Часть данных была собрана в ходе онлайн-опроса сотрудников отделов информационной безопасности.

«Особенность современного этапа развития IT – то, что именно пользователь (он же инсайдер, сотрудник, имеющий авторизованный доступ к корпоративной информации ограниченного доступа) является «центром» создания, обработки, хранения информации и корневым узлом ее распространения», – отмечает Ашот Оганесян, технический директор, основатель DeviceLock. Работают пользователи на так называемых Endpoint-устройствах, включающих в себя корпоративные рабочие станции, портативные устройства и нередко даже домашние компьютеры. Все эти машины позволяют полноценно создавать, обрабатывать, хранить и передавать корпоративные данные. Ключ к защите от инсайдерских утечек – всеобъемлющий контроль Endpoint-устройств, уверен Ашот Оганесян. «Если какой-то канал передачи данных невозможно контролировать гибко и избирательно и при этом он не имеет значимости для исполнения бизнес-функций сотрудником, то такой канал должен быть закрыт», – уверен эксперт.

По мнению аналитиков, риски, связанные с IT, уже шире компетенций департамента информационной безопасности. «Сегодня каждый сотрудник – это и объект потенциальной угрозы, и первый рубеж защиты информационного поля компании», – говорит Павел Озеров.

Вернемся к наделавшей столько шума атаке вируса WannaCry. Причина массового заражения, по мнению экспертов, в большинстве случаев – все тот же человеческий фактор. «Фактов заражения при установленном антивирусе – огромное количество. Почему? Пользователи не обновляют антивирус, отключают защиту, меняют настройки так, что защитная программа в принципе ничего ловить не будет. Многие считают, что антивирус только мешает, а угрозы – выдумки админов», – говорит ведущий аналитик отдела развития компании «Доктор Веб» Вячеслав Медведев. Он отмечает, что при настроенной системе безопасности троян не зашифровал бы данные. Киберпреступники пользуются небрежностью пользователей. Как правило, хакеры атакуют через установленные приложения, которые, как замечает аналитик, часто не обновляют. «Любое приложение и сервис содержит уязвимости. То, что о них неизвестно пользователям, не значит, что их не используют злоумышленники», – подчеркнул он.

Британский программист Маркус Хатчинс, которому приписывают нейтрализацию вируса-вымогателя WannaCry, в августе был арестован в США по обвинению в распространении другой вредоносной программы – Kronos.

WannaCry выявил еще одну закономерность: хотя большинство компаний сталкивались с шифровальщиками, что делать в случае атаки, по-прежнему мало кто знает, говорит Вячеслав Медведев. Лишь немногие имеют дежурную команду, знают, кого и зачем вызывать в случае проблем, или имеют резервное оборудование. «За примером далеко ходить не требуется. О шифровальщиках, по идее, знают все системные администраторы. Но вот о том, что именно нужно прислать для анализа вендору или подрядчику, не знает никто, – говорит Вячеслав Медведев. – Dr.Web имеет встроенное средство сбора информации, необходимой для анализа и выявления проблем в защищаемой системе. Думаю, не стоит даже говорить, что подавляющее количество запросов в техподдержку приходят без собранных данных, и приходится тратить драгоценное время, объясняя, какой функционал есть в системе защиты и как его нужно использовать».

Учить и защищать

В 2014 году хакеры успешно атаковали один из сталелитейных заводов в Германии. Злоумышленники разослали сотрудникам зараженные электронные письма якобы от контрагентов, а когда вирус проник в компьютеры, внедрились в производственную сеть, перехватили контроль над системой управления доменными печами и вывели одну из них из строя. Точные потери не раскрывались, но, как говорится в опубликованном отчете об инциденте, ущерб оказался значительным.

На языке хакеров такой прием называется фишинг. Схема обычно такова: на рабочую почту сотрудника приходит письмо с вложением от знакомого адресата. Это может быть поставщик или заказчик. Достаточно открыть письмо, чтобы вирус проник в компьютер и начал свою подрывную работу. С помощью вредоносного программного обеспечения злоумышленники получают доступ к секретной информации: данным о контрактах и проектах, сметам работ, чертежам зданий, схемам электрических и информационных сетей. «Известны случаи, когда атакующие меняли какие-либо технологические параметры даже без очевидного злого умысла – просто из любопытства», – рассказывают в «Лаборатории Касперского». Только в апреле-июне этого года здесь зафиксировали более 500 атакованных зараженными письмами предприятий в 50 странах, причем более 80% жертв – это опять же промышленные компании.

Атомная электростанция Gundremmingen в Баварии, в системах управления которой в 2016 году было выявлено сразу несколько вирусов.

Бороться с фишингом можно двумя способами. Первый – усиливать защиту, чтобы блокировать подозрительные послания. «Мало просто установить защиту. Вредоносные программы не черти, «освящения» фактом установки некоей программы не боятся, они вполне могут оказаться протестированными на возможность обхода системы защиты, установленной в типовой конфигурации. Поэтому настройка превентивной защиты и ограничений доступа к различным ресурсам – первое дело после завершения развертывания системы информационной безопасности. Тот же антиспам снижает вероятность заражения шифровальщиками более чем на 90%», – поясняет Вячеслав Медведев.

Но любая защита тем не менее несовершенна. Поэтому второе, на что должна обращать внимание любая компания, – обучение своих сотрудников. Работники должны уметь распознавать опасные письма или в крайнем случае вовремя реагировать в случае заражения. Сейчас, по словам Вячеслава Медведева, случаи, когда пользователи часами пытаются работать на машинах, зараженных шифровальщиками, или решить проблему перезагрузками, далеко не единичны. «Уже сегодня есть обучающие системы, имитирующие реальные угрозы, такие как сервис WannaProtect или решение Phishman. Эти системы рассылают пользователям псевдофишинговые письма и высылают образовательные материалы тем, кто попался, – поясняет Яков Гродзенский, руководитель направления информационной безопасности «Системный софт». – Это дает возможность держать сотрудников в тонусе и защищаться от вымогателей, вирусов и прочих вредителей».

По секрету всему свету

Есть и другая причина, по которой эксперты настоятельно рекомендуют компаниям обучать сотрудников основам киберграмотности. Как ни парадоксально, чаще всего конфиденциальную информацию крадут не хакеры, ее раскрывают сами работники. Крупнейший канал утечки данных – социальные сети. Выпускающий редактор Forbes Майкл Ноер как-то заметил: «То, что ЦРУ не смогло сделать за 60 лет, Цукерберг выполнил за семь. Узнал, о чем думают, что читают, что слушают, кого знают, где живут, за кого голосуют, куда путешествуют, чему поклоняются люди».

Соцсети сегодня – это терабайты информации в открытом доступе, причем она оперативно актуализируется самими пользователями.

Соцсети сегодня – это терабайты информации в открытом доступе, причем она оперативно актуализируется самими пользователями. А вместе с личной информацией в Сеть просачиваются корпоративные и государственные секреты. «Сотрудники организаций могут даже не осознавать, как безобидные, на их взгляд, посты и комментарии раскрывают конфиденциальную информацию. Выложил, например, фотографию прототипа нового продукта – и доступ к снимку получили третьи лица. Даже если оно потом было удалено, файл мог быть кем-то сохранен. В Сети вообще можно найти любую размещенную когда-либо информацию, если подойти к этому вопросу серьезно», – отмечает основатель корпоративной социальной сети Loqui Business Дмитрий Бенц.

Маловероятно, что недоброжелатели пропустят такую оговорку. Жалуется специалист на то, что коллега срывает сроки поставки, обсуждает с сослуживцами увольнение исполнительного директора или ругает условия тендера, а конкуренты тут как тут: собирают сведения, находят недовольных. «Зачем взламывать серверы, если можно просто сидеть в засаде и смотреть, что пишут в соцсетях? – рассуждает Дмитрий Бенц. – Конечно, простое наблюдение не даст доступ к клиентской базе данных, но позволит узнать другие интересные детали: информацию о заключенных контрактах, проблемы в работе отделов, даже финансовые показатели».

Компании и правительственные организации активно ищут способы снизить эти риски. Например, ограничивают доступ к соцсетям или, напротив, запускают корпоративные социальные сети. Как правило, по функционалу они не отличаются от привычных соцсетей: групповые обсуждения, ленты новостей, чаты, комментарии и оценки.

В корпоративной версии Facebook – Workplace – доступны те же самые инструменты, что и в обычной версии, но рабочие аккаунты сотрудников не связаны с личными. А в Loqui Business можно находить сотрудников с помощью «умного» фильтра, размещать предложения о товарах и услугах и хранить рабочие контакты с привязкой к геолокации.

В корпоративной версии Facebook – Workplace – доступны те же самые инструменты, что и в обычной версии, но рабочие аккаунты сотрудников не связаны с личными. А в Loqui Business можно находить сотрудников с помощью «умного» фильтра, размещать предложения о товарах и услугах и хранить рабочие контакты с привязкой к геолокации. «Как результат, корпоративная социальная сеть превращается в удобную среду, в которой проходит неформальная жизнь организации и которая одновременно выступает гарантом того, что общение коллег не обернется репутационными и финансовыми потерями для компании», – резюмирует Дмитрий Бенц.

Возможно, это один из самых эффективных способов борьбы с главной надеждой киберпреступника – ошибкой человека. Не просто строить заслоны, а создавать удобную и безопасную для пользователя среду. А также, что немаловажно, объяснять, зачем нужна такая работа. Ведь мало кто из сотрудников захочет быть виновником разглашения конфиденциальной информации, приведшего к миллионным убыткам работодателя, или, что еще хуже, аварии, нанесшей удар по природе региона, где сам он живет. И наряду со совершенствованием программных комплексов защиты именно это становится эффективным оружием борьбы.

Скачать номер целиком

Рекомендуем

Вторая жизнь ненужных вещей

Скандал вокруг мусорного полигона в подмосковной Балашихе, разгоревшийся этим летом после прямой линии с президентом, высветил вопрос, о котором уже давно стоило задуматься, – что делать с постоянно растущими отходами. Выходом может стать развитие системы утилизации и переработки. Но пока в России сделаны только первые шаги для этого.

По примеру природы

После первой промышленной революции мало кто обращал внимание на отходы, возникающие во время производства и потребления. Но еще в прошлом веке эта модель начала ощутимо сбоить.

Бескрайняя страна

Освоение Арктики, повышение численности населения Дальнего Востока, разработка сибирских месторождений, развитие промышленности Урала…

Учеба без границ

Ведущие технические вузы пытаются наладить в России полноценную систему цифрового обучения.