Информационная безопасность в компании

Информационная безопасность — это всесторонняя защищённость информации и поддерживающей её инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Содержание

2022: 89% организаций не обеспечивают защиту данных на должном уровне

22 февраля 2022 года компания Veeam Software сообщила о том, что 88% ИТ-руководителей ожидают, что бюджеты на защиту данных будут расти быстрее, чем общие расходы на ИТ, поскольку данные становятся критическим фактором успеха бизнеса, а задачи по их защите — все сложнее. Более двух третей компаний переходят на облачные сервисы для защиты своих данных.

По информации компании, при подготовке отчета Veeam Data Protection Trends Report 2022 был проведен опрос более 3000 лиц, принимающих решения (ЛПР) в глобальных корпорациях, что помогло сформировать актуальное представление о стратегиях в области защиты данных на ближайшие годы. Исследование отвечает на вопросы, как компании готовятся отвечать на стоящие перед ними ИТ-вызовы, включая взрывной рост использования облачных сервисов и нативной облачной инфраструктуры, и расширяющийся ландшафт кибератак, а также, какие меры, они предпринимают для реализации современных стратегий защиты данных, обеспечивающих непрерывность бизнеса.

Респонденты указали, что их возможности по защите данных отстают от потребностей бизнеса, 89% отметили разрыв между тем, сколько данных они могут позволить себе потерять в результате сбоя, и тем, как часто создаются резервные копии. За последний год этот показатель увеличился на 13%, что свидетельствует о том, что хотя объемы и ценность данных продолжают расти, остаются сложности в обеспечении их защиты на должном уровне. Ключевой причиной является то, что ИТ-вызовы в области защиты данных, с которыми сталкиваются компании, масштабны и разнообразны.

Второй год подряд кибератаки становятся основной причиной простоев. За последний год 76% организаций сообщили как минимум об одном инциденте, связанном с вирусами-вымогателями. Обеспокоенность вызывает не только частота, но и масштаб этих инцидентов. В результате одной атаки компаниям не удавалось восстановить 36% потерянных данных, что доказывает неспособность применяемых стратегий по защите данных предотвратить, устранить и восстановить работу бизнеса после атак вирусов-вымогателей.

Чтобы устранить разрыв между возможностями по защите данных и растущим спектром угроз, организации планируют ежегодно инвестировать в защиту данных в среднем на 6% больше, чем на ИТ в целом. И хотя это лишь немного перевесит наметившуюся тенденцию на отставание средств защиты данных от быстро растущих потребностей в такой защите, хорошо уже то, что руководители компаний признают острую необходимость внедрять современные стратегии защиты данных.

Облака постепенно превращаются в доминирующую платформу хранения и обработки данных, и 67% организаций уже применяют облачные сервисы в рамках своих стратегий защиты данных, а 56% либо уже используют контейнеры в повседневной работе, либо планируют начать применять их в ближайшие 12 месяцев. В 2022 году разнообразие платформ продолжит расширяться, а разрыв между долями дата-центров (52%) и облачных серверов (48%) продолжит сокращаться. Это одна из причин, по которой 21% компаний назвали возможность защищать размещенные в облаке рабочие нагрузки основным фактором для покупки корпоративных решений для защиты данных в 2022 году. 39% считают, что возможности IaaS/SaaS являются ключевой особенностью современного подхода к защите данных.

Ключевые выводы отчета Veeam Data Protection Trends Report 2022:

• Компании испытывают проблему «разрыва доступности»: 90% респондентов подтвердили, что сталкиваются с проблемой «разрыва доступности» — разницей между ожидаемым уровнем SLA и тем, насколько быстро они смогут вернуться к нормальной работе. Этот показатель вырос на 10% по сравнению с 2021 годом.
• Данные остаются без защиты: несмотря на то, что резервное копирование является основным компонентом любой стратегии защиты данных, данные 18% организаций по всему миру остаются без резервного копирования — то есть, абсолютно незащищенными.
• Человеческие ошибки происходят слишком часто: технические ошибки продолжают оставаться самой частой причиной простоя, в среднем 53% респондентов столкнулись со сбоями в работе инфраструктуры/сети, а также аппаратной и программной составляющих серверов. 46% респондентов столкнулись с ошибками конфигурирования со стороны администраторов, а 49% – со случайным удалением/перезаписью данных или их повреждением пользователями.
• Защита удаленных работников: только 25% всех организаций используют решения для оркестрации рабочих процессов и переподключения ресурсов в случае сбоя, 45% – запускают заранее прописанные скрипты, а 29% переконфигурируют схемы подключения пользователей вручную.
• Ценовой фактор продолжает играть решающую роль: решающим фактором для покупки корпоративного решения для работы с данными для 25% ИТ-руководителей является экономическая эффективность такого решения.

Ключевые выводы отчета Veeam Data Protection Trends Report 2022 по России:

• С проблемой «разрыва в защите» сталкиваются 77% российских компаний. 82% испытывают проблему «разрыва доступности».
• В среднем 16% данных компаний остаются незащищенными.
• В 2022 году 93% российских компаний планируют увеличить бюджеты на защиту данных — в среднем это на 7% выше, чем в 2021 году.
• 97% компаний столкнулись с непредвиденными сбоями в работе за последний год.
• 69% российских компаний пострадали от атак вирусов-вымогателей; второй год подряд именно кибератаки становятся одной из ключевых причин простоев в работе.
• В среднем 29% потерянных в результате атаки данных компании не подлежат восстановлению. 71% компаний не смогли восстановить как минимум часть потерянных данных.
• 44% компаний в качестве основной причины ИТ-сбоев назвали случайное удаление, перезапись или повреждение данных. 37% компаний столкнулись со сбоями, вызванными ошибками конфигурирования, и сбоями вследствие умышленных действий администраторов или пользователей.
• 32% российских компаний используют решения для оркестрации рабочих процессов для переподключения ресурсов в случае сбоя. 44% компаний запускают заранее сконфигурированные скрипты, а 24% перенастраивают подключение пользователей вручную.
• 64% российских компаний уже используют облачные сервисы в рамках своей стратегии защиты данных.
• 70% крупных компаний уже используют контейнеры в основной деятельности, а 26% планируют начать их использование в течение 2022 года.
• 52% инфраструктуры данных крупных компаний размещены в дата-центре, а 48% — в облаке.

Компания Accenture 27 февраля 2022 года представила данные отчета об уровне угроз для корпоративных сетей «Cyber Threat Intelligence Report» по итогам второго полугодия 2021 года.

Более 20 лет эксперты Accenture комплексно отслеживают и анализируют случаи кибервторжений и риски, которые они несут для бизнеса. Специалисты компании также рассматривают методы отражения кибератак в корпоративных сетях. На основе этих данных они выделили пять ключевых трендов, которые стоит учесть бизнесу при формировании ИБ-стратегии.

Тренд №1: Атаки программ-вымогателей все еще бьют в цель

По данным Accenture, доля атак от программ-вымогателей составила 35% от общего объема всех атак в 2021 году, что на 107% больше, чем в 2020 году. Большое количество таких атак в мире приходится на США: почти 45% от общего объема.

В основном атаки программ-вымогателей используются против предприятий обрабатывающей промышленности, финансового сектора, здравоохранения, ИТ-сферы и строительной отрасли. Атаки вымогателей остаются самыми дорогостоящими для бизнеса. Среди самых активных хакерских группировок названы LockBit и Conti. При этом конечных бенефициаров подобных киберпреступлений отслеживать крайне сложно.

Тренд №2: Цепочки поставок – под ударом

Технологические ландшафты постоянно усложняются, во многих отраслях цепочки поставок становятся все более разветвленными, охватывая разные города, страны и континенты. Усложнение цепочек поставок и отсутствие единой политики работы с данными для всех звеньев становится новой головной болью для компаний.

Существует проблема доступа через партнеров, которая при усложнении рынка становится все более комплексной.

Слабые звенья в цепочках поставках хакеры могут использовать для криптоджекинга (несанкционированного использования чужих устройств с целью скрытого майнинга криптовалют), промышленного шпионажа, развертывания программ-вымогателей и совершения целенаправленных атак. В 2021 году, по данным Accenture, 30% всех инцидентов были связаны с бэкдор-угрозами, то есть несанкционированным доступом к сетям и ПО компаний.

Тренд №3: Бум краж корпоративной информации

На кражи корпоративной информации пришлось 10% всех атак, совершенных в 2021 году. На черном рынке данных активизировалась торговля скомпроментированными данными для входа в различные системы, в том числе корпоративные. Это пароли для входа, системная информация и файлы использование cookies. Ситуацию усугубляют относительно невысокие цены на такую информацию в даркнете. Доступность данных развязывает злоумышленникам руки для доступа в сети компаний.

Тренд №4: Облака становятся новой целью хакеров

Популярность модели cloud computing несет множество плюсов для бизнеса, но одновременно привлекает внимание хакеров к системам хранения данных в облаке.

Злоумышленники все чаще используют инфраструктуру публичных облаков как плацдарм для атак. Один из потенциальных сценариев здесь – криптоджекинг (криптомайнинг). Хакеры используют чужие вычислительные ресурсы для «майнинга» криптовалют. При этом далеко не все компании контролируют облачную инфраструктуру так же хорошо, как локальные серверы.

Перенос процессов в облака усложняет задачу по защите данных, однако зачастую риски являются надуманными. 74% опрошенных IDG и Accenture компаний считают размещение данных в облаках безопасным. 73% заявили, что в результате миграции они получили лучший уровень информационной безопасности.

Более того, высокий уровень защиты данных сегодня входит в топ-3 факторов при принятии решения о переходе в облако. Еще в 2016 году более 50% компаний называли ИБ-риски главным барьером для миграции. Но уже в конце 2017 столько же организаций указали надежность защиты данных как одну из причин переноса ИТ-систем в облако.

Тренд №5: Дальнейшее развитие технологий для поиска уязвимостей

Эксперты Accenture отмечают значительный рост рынка подпольных технологий для поиска уязвимостей, которые позволяют злоумышленникам получить несанкционированный доступ к корпоративным сетям. Общие меры защиты для компаний включают реализацию принципа «нулевого доверия», мониторинг сетевой безопасности, строгий контроль доступа в сеть и всех конечных точек пользователей.

По словам Андрея Тимошенко, руководителя практики информационной безопасности Accenture в России, приведенные в исследовании тренды актуальны и для России, но с определенными оговорками.

Например, в России переход в облака находится условно на ранней стадии, поэтому все возможные последствия использования недостаточно защищенных облаков отечественному рынку только предстоит ощутить.

Компания Fortinet 26 января 2022 года представила отчет the Global State of Zero Trust Report. Опрос показывает, что хотя большинство организаций понимают важность внедрения Zero Trust или находятся в процессе реализации инициатив, связанных с этой технологией, более половины из них не могут воплотить это представление в реализуемых ими решениях из-за отсутствия некоторых основных базовых принципов Zero Trust.

Отчет Threat Landscape Report от FortiGuard Labs продемонстрировал увеличение количества и повышение уровня изощренности атак, направленных на частных лиц, организации и критическую инфраструктуру. Организации ищут решения для защиты от этих эволюционирующих угроз, и Zero Trust стоит здесь на первом месте по нескольким причинам. Кроме того, переход к удаленной работе привлек особое внимание к сетевому доступу с нулевым доверием (ZTNA), поскольку организациям необходимо обезопасить себя и свои активы от последствий небезопасных подключений к домашним сетям с плохой защитой.

Отчет демонстрирует некоторую путаницу в понимании того, что включает в себя полноценная стратегия внедрения Zero Trust. Респонденты указали, что они понимают концепцию Zero Trust (77%) и ZTNA (75%), а более 80% сообщили, что уже имеют или разрабатывают стратегию внедрения Zero Trust и/или ZTNA. Тем не менее, чуть больше 50% указали, что не могут реализовать основные возможности Zero Trust. Почти 60% указали, что у них нет возможности аутентифицировать пользователей и устройства на постоянной основе, а 54% испытывают трудности с мониторингом пользователей после аутентификации.

Этот пробел вызывает озабоченность, поскольку эти функции являются важнейшими принципами Zero Trust, и это ставит под сомнение реальное положение дел с их внедрением в организациях. Дополнительную путаницу вносят термины «доступ с нулевым доверием» и «cетевой доступ с нулевым доверием (ZTNA)», которые иногда используются как взаимозаменяемые.

Приоритетами для Zero Trust являются: «минимизация последствий нарушений и вторжений», за которым следуют «защита удаленного доступа» и «обеспечение непрерывности бизнеса или другой деятельности». «Улучшение пользовательского опыта» и «достижение гибкости для обеспечения безопасности в любом месте» также являются важными приоритетами.

«Безопасность всей поверхности цифровых атак» была единственным наиболее важным качеством, указанным респондентами, за которым следует «лучший пользовательский опыт для удаленной работы (VPN)».

Подавляющее большинство участников опроса считают, что для решений безопасности с нулевым доверием жизненно важно быть интегрированными в существующую инфраструктуру, работать в облачных и локальных средах и быть безопасными на уровне приложений. Однако более 80% респондентов отметили, что внедрение стратегии Zero Trust в расширенной сети сопряжено с трудностями. Для организаций, не имеющих или не разрабатывающих такую стратегию, препятствия включают нехватку квалифицированных ресурсов, а 35% организаций используют другие ИТ-стратегии для решения проблемы Zero Trust.

Исследование основано на глобальном опросе руководителей[[]] ИТ-подразделений, цель которого – лучше понять, насколько далеко продвинулись организации на пути к Zero Trust. Цель опроса – понять следующее:

• насколько хорошо респонденты понимают суть Zero Trust и ZTNA.
• восприятие преимуществ и проблем при реализации стратегии Zero Trust.
• внедрение и элементы, включенные в стратегию нулевого доверия.

Опрос был проведен в сентябре 2021 года с участием 472 руководителей в области ИТ и безопасности из 24 стран, представляющих практически все отрасли, включая государственный сектор.

17 января 2022 года Positive Technologies сообщила о факторах, которые влияют на значимость уязвимостей, почему нужно быстро устранить трендовую уязвимость, если такая была обнаружена в системе, в чем ошибка компаний при определении угроз и как можно оптимизировать процесс приоритизации уязвимостей.

Специалисты Positive Technologies проанализировали данные, полученные в рамках пилотных проектов MaxPatrol VM в 2021 году, по результатам которых было просканировано более 15000 сетевых узлов в инфраструктурах госучреждений, учреждений науки и образования, финансовых организаций и телекоммуникационных компаний.

В ходе сканирований в среднем в рамках одного пилотного проекта было выявлено 31 066 уязвимостей, при этом критически опасные уязвимости были обнаружены на всех пилотных проектах. В среднем, более 800 уязвимостей в инфраструктуре компаний являются крайне опасными, такие уязвимости Positive Technologies называет трендовыми (которые активно используются в атаках или с высокой степенью вероятности будут применяться в ближайшее время), требующими первоочередных действий по устранению.

Эксперты Positive Technologies подчеркивают необходимость приоритизации уязвимостей по степени их влияния на реализацию недопустимых для компаний событий, поскольку далеко не все уязвимости, даже обладающие критическим и высоким риском, могут негативно повлиять на наиболее ценные активы компании.

Таблица 1 – Примеры трендовых уязвимостей

По мнению экспертов Positive Technologies, прежде чем переходить к процессу выявления уязвимостей, необходимо убедиться, что сканирование узлов выполняется правильно. Процесс vulnerability management должен охватывать всю ИТ-инфраструктуру компании, то есть необходимо проверить, что все активы идентифицированы, а в случае появления новых узлов или вывода из эксплуатации систем, перечень узлов для сканирования будет обновлен. В противном случае, может произойти ситуация, когда важный актив, например, сервер 1С или контроллер домена не попадает в область сканирования.

Для этого предлагается последовательно осуществить следующие шаги:

• определить, какие события могут нанести компании недопустимый ущерб, выявить ключевые и целевые системы, и разметить активы по степени значимости;
• провести оценку последствий использования уязвимости. Для этого нужно понять, что удастся сделать злоумышленнику в результате ее эксплуатации;
• ранжировать уязвимости по наличию публичного эксплойта или PoC;
• определите доступность системы и привилегии злоумышленника, который может потенциально использовать уязвимость;
• определить уровень опасности уязвимости по базовой оценке CVSS.

Этот подход будет актуален, если компания хочет построить результативную систему безопасности.

В компании Positive Technologies считают, что применение этого подхода позволит в первую очередь устранять самые опасные уязвимости на действительно критичных активах, и только тогда, когда самые важные системы будут защищены, можно будет перейти к устранению уязвимостей на менее значимых активах, используя тот же принцип.

Компания «Ростелеком-Солар» 3 декабря 2021 года представила результаты исследования «Нарушения в части управления доступом в российских компаниях». Опросив представителей около 100 столичных и региональных компаний из 9-ти отраслей, эксперты выяснили: 72,5% организаций регистрируют у себя случаи нарушений в части управления доступом в информационные системы, а в 55% российских компаний такие инциденты приводят к утечке конфиденциальной информации.

При этом почти 90% участников исследования признали, что число таких нарушений в компаниях в 2021 году по сравнению в предыдущим годом выросло. 40% компаний регистрируют случаи нарушений доступа более 3-х раз в год, а 32,5% – свыше 5-ти раз в год. Еще около 30% организаций сталкиваются с такой проблемой не чаще 2-х раз в год. В то же время ни один участник опроса не указал, что его компания не сталкивалась с подобными случаями.

Утечка конфиденциальной информации из компаний названа самым частым последствием, к которому приводят различного рода нарушения доступа в инфраструктуру организации – так полагает более половины опрошенных. Вторым наиболее распространенным последствием подобных нарушений (в 40% случаев) является временная недоступность информационных систем компании – сайтов, клиентских сервисов и т.п.

В целом, самые частые ошибки корпоративных пользователей участники опроса связывают с небрежным или халатным отношением персонала к вопросам информационной безопасности и низкой ИБ-грамотностью. 40% нарушений доступа вызваны передачей сотрудниками своих логинов-паролей от внутренних систем компании коллегам, подрядчикам, друзьям; в 30% случаев персонал использует ненадежные пароли и еще в 22,5% – небезопасно их хранит.

Еще одна острейшая проблема в информационной безопасности организаций связана со слабым распространением практики автоматизированной блокировки учетных записей уволившихся из компании сотрудников. По данным исследования, в 50% компаний доступы уволившихся сотрудников ко внутренним системам так или иначе остаются незаблокированными. О части покинувших компанию работников просто забывают, блокируют выбывшему персоналу доступ не во все системы либо вовсе не блокируют «учетки» ушедших специалистов. По наблюдениям экспертов «Ростелеком-Солар», такие ситуации не редкость не только в небольших компаниях, но и, например, в крупных российских организациях банковской сферы. Также проблема актуальна для крупных предприятия IT-сферы, хотя их уровень зрелости в вопросах информационной безопасности вроде бы должен быть высоким.

География респондентов распределилась по 7-ми федеральным округам России, в число опрошенных не вошли представители Дальневосточного ФО. Опрос респондентов проводился в октябре-ноябре 2021 года.

30 ноября 2021 года Iron Mountain Incorporated поделилась результатами исследования поведенного в сентябре 2021 года. Были опрошены 11 000 сотрудников компаний из 10 стран Европы. Результаты исследования показали, что низкий уровень осведомленности о рисках несанкционированного доступа к данным становится растущей угрозой для информационной безопасности. Помочь компаниям повысить свою устойчивость в условиях «новой нормальности» может переосмысление стратегии управления рисками.

Четверть (25%) респондентов заявили, что стали жертвами мошенничества или фишинга. Несмотря на это, сотрудники продолжают ставить под угрозу безопасность данных: 34% респондентов используют один и тот же пароль на нескольких платформах; 27% — забывают закрыть свой ноутбук, когда уходят со своего рабочего места; 24% использует публичный Wi-Fi во время работы; 18% — хранят на столе заметку со своим паролем; 11% оставляют документы с чувствительными данными на столе.

Только 32% опрошенных видят смысл в шредировании бумаги.

При гибридной работе риски увеличиваются: более трети сотрудников (36%) признают, что дома они заботятся о безопасности данных меньше, чем в офисе.

Согласно полученным данным, каждый третий сотрудник (32%) утверждает, что совершил «критическую» ошибку при работе с информацией, а 14% пошли на риск, который стоил их организации денег.

Три четверти сотрудников считают, что управление рисками жизненно важно для защиты конфиденциальной информации, однако половина респондентов (49%) все же считает, что рисковать на работе стоит — причем так считают большее количество мужчин, чем женщин (54% против 44%).

В то время как средняя стоимость утечки данных достигла 4,24 миллиона долларов США, эти тенденции подчеркивают важность эффективного обучения на рабочем месте, чтобы каждый сотрудник переосмыслил свою роль в управлении рисками.

Тем не менее, выводы исследования также заставляют задуматься о результативности текущих усилий по повышению осведомленности. В то время как 66% опрошенных менеджеров по управлению данными заявили, что тренинги по рискам посещают 50-100% сотрудников, более трети (36%) работников сообщили, что никогда не проходили такого обучения.

Эксперты Positive Technologies проанализировали результаты тестирования на проникновение и выяснили, что в 93% случаев внешний злоумышленник может преодолеть сетевой периметр и получить доступ к ресурсам локальной сети, причем на проникновение во внутреннюю сеть компании в среднем уходит два дня. В 100% исследованных компаний внутренний злоумышленник может получить полный контроль над инфраструктурой. Об этом PT сообщила 29 ноября 2021 года.

Исследование проводилось среди финансовых организаций (29%), организаций ТЭК (18%), в государственных (16%), промышленных (16%) и ИТ-компаниях (13%), а также в компаниях из некоторых других отраслей.

В ходе работ по анализу защищенности от внешнего злоумышленника экспертам Positive Technologies удалось преодолеть сетевой периметр в 93% проектов. По данным экспертов компании, этот показатель уже многие годы остается на высоком уровне и подтверждает, что практически для любой корпоративной инфраструктуры преступники смогут подобрать ключ и проникнуть внутрь.

Несмотря на то, что финансовые организации считаются одними из наиболее защищенных, в рамках верификации недопустимых событий в каждом банке специалистам удалось выполнить действия, нарушающие бизнес-процессы банка и влияющие на качество оказываемых услуг. Например, был получен доступ к системе управления банкоматами с возможностью кражи денежных средств.

Путь злоумышленника из внешних сетей до целевых систем начинается с преодоления сетевого периметра. По данным исследования, в среднем на проникновение во внутреннюю сеть компании уходит два дня. Основным способом проникновения в корпоративную сеть эксперты назвали подбор учетных данных (71% проектов), в первую очередь связывая это с тем, что сотрудники любят устанавливать простые пароли, в том числе для учетных записей, используемых для администрирования систем.

Злоумышленник, обладающий учетными данными с привилегиями администратора домена, может получить множество других учетных данных для горизонтального перемещения по корпоративной сети и доступа к ключевым компьютерам и серверам. Получить доступ в изолированные сегменты сети нарушителю зачастую помогают средства администрирования, виртуализации, защиты или мониторинга. По данным исследования, в большинстве компаний отсутствует сегментация сети по бизнес-процессам, что позволяет развивать несколько векторов атак до тех пор, пока не будут реализованы несколько недопустимых событий одновременно.

26 ноября 2021 года компания Trend Micro Incorporated подселась результатами исследования, согласно которым 90% ИТ-руководителей утверждают, что их компании готовы к компромиссам в вопросах кибербезопасности в пользу цифровой трансформации, повышения производительности или достижения иных целей. Больше того, 82% опрошенных почувствовали, что на них давят, требуя преуменьшить серьёзность киберрисков перед советом директоров.

Исследование показывает, что только 50% ИТ-руководителей и 38% лиц, принимающих бизнес-решения, считают, что топ-менеджмент полностью осознаёт масштаб киберрисков. Хотя некоторые считают, что это связано с тем, что тема сложная и постоянно меняется, многие уверены, что руководитель либо недостаточно старается (26%), либо просто не хочет понимать (20%).

Существуют также разногласия между ИТ-лидерами и руководителями бизнеса по поводу того, кто в конечном итоге несёт ответственность за управление рисками и их смягчение. ИТ-руководители почти в два раза чаще, чем бизнес-лидеры, указывают на ИТ-команды и директоров по информационным технологиям. 49% респондентов утверждают, что киберриски по-прежнему рассматриваются как проблема ИТ, а не как бизнес-риски.

Подобное противоречие может стать причиной серьёзных неприятностей: 52% респондентов согласны с тем, что отношение их организации к киберрискам непоследовательно и меняется от месяца к месяцу. Однако 31% респондентов считают, что кибербезопасность является самым большим бизнес-риском, а 66% утверждают, что она оказывает наибольшее влияние на затраты из всех бизнес-рисков — это выглядит противоречием, если учесть общую готовность идти на компромисс в отношении безопасности.

Респонденты считают, что есть три основные фактора, которые вынудят высшее руководство обратить больше внимания на киберриски:

• 62% думают, что это случится после взлома организации,
• 62% считают, что поможет возможность давать более чёткое и понятное объяснение бизнес-рисков, причиной которых являются киберугрозы,
• 61% уверены, что на ситуацию могут повлиять клиенты — если начнут требовать более совершенной защиты данных.

9 ноября 2021 года компания Positive Technologies сообщила о том, что провела анонимный опрос среди специалистов по информационной безопасности компаний из девяти отраслей: финансовой, промышленной, государственного сектора, ТЭК, образования, телекоммуникаций, здравоохранения, СМИ и IT. В каждой сфере были обнаружены организации, которые подвергались целенаправленным атакам. Чаще всего жертвами становились финансовые компании - 44% случаев, на втором месте оказались предприятия топливно-энергетического комплекса - 33%, замыкают тройку госучреждения - 29% случаев. Подробнее здесь.

8 ноября 2021 года компания Accenture сообщила, что выпустила отчет «State of Cybersecurity Resilience 2021». Исследование отвечает на вопрос: насколько эффективные меры предпринимают компании для защиты корпоративных сетей. Команда Accenture Research опросила 4744 руководителя компаний с годовым доходом не менее 1 млрд долларов в 23 отраслях и 18 странах мира.

Более 55% крупных компаний недостаточно эффективно предупреждают кибератаки, а также слишком медленно обнаруживают и устраняют уязвимости, говорится в исследовании Accenture.

По информации компании, 81% респондентов полагают, что затраты на предупреждение кибератак неоправданно высоки. В исследовании 2020 года так считали только 69% опрошенных.

82% компаний увеличили расходы на кибербезопасность, но количество взломов, включая несанкционированный доступ к данным, приложениям, сервисам, сетям или устройствам, выросло на 31% по сравнению с 2020 годом. В среднем на одну компанию пришлось 270 таких инцидентов.

В отчете подчеркивается необходимость использовать меры по защите информации не только внутри компании, но и в рамках партнерской сети во всей экосистеме. Взломы корпоративных сетей происходят зачастую через «звенья» в цепочке связанных электронными документооборотом организаций. 67% компаний считают, что их экосистема безопасна, однако непрямые (через партнера) атаки составили в 2021 году 61% от общего числа (44% - годом ранее).

Аналитики Accenture выявили среди респондентов небольшую группу компаний – 5%, которые оказались не только киберустойчивы, но и окупили инвестиции в безопасность. Их назвали «киберчемпионами».

Стратегия «киберчемпионов» состоит из нескольких пунктов:

• существует баланс между возможностями технологий обеспечить кибербезопасность и желаниями и бизнес-целями компании развиваться и расширяться;
• ИБ-департаменты подчиняются непосредственно генеральному директору и совету директоров, демонстрируя большее понимание стратегии развития и рисков в тесной работе с бизнес-подразделениями и финансовым директором;
• предприняты дополнительные меры и внедрены технологии для обеспечения защиты данных, в том числе для приложений и данных в облаках;
• зрелость и работоспособность программы кибербезопасности оценивается регулярно, не реже раза в год.

Для достижения устойчивой и измеримой киберустойчивости директорам по ИБ необходимо выйти за рамки своей функции, ориентированной только на безопасность, и начать сотрудничать с другими подразделениями в организации, чтобы получить полное представление о бизнес-рисках и приоритетах.

При этом, по его словам, в России также есть и свои «киберчемпионы» – компании, которые больше других находятся в фокусе внимания киберпреступников и достаточно инвестируют в безопасность.

По мнению Андрея Тимошенко, в условиях ограниченности ресурсов – таких как время, квалифицированные кадры, финансирование – нужно правильно расставить приоритеты и приложить усилия для обеспечения киберустойчивости.

28 октября 2021 года компания HP Inc. опубликовала отчет HP Wolf Security «С глаз долой, из сердца вон» (Out of Sight & Out of Mind) об изменениях в поведении пользователей и появлении проблем для ИТ-подразделений, связанных с ростом числа гибридных рабочих мест.

Согласно исследованию, все большее число пользователей приобретают и подключают устройства к корпоративной сети без ведома или одобрения ИТ-подразделений. В отчете HP Wolf Security специалисты также отмечают возросший уровень угроз и увеличение числа успешных обходов механизмов защиты, фишинговые атаки случаются всё чаще. В результате ИТ-поддержка сотрудников становится более сложной, трудоемкой и дорогостоящей, чем когда-либо.

Отчет «С глаз долой, из сердца вон» объединяет данные глобального онлайн-опроса YouGov, в котором приняли участие 8 000 офисных сотрудников, перешедших на удаленный режим работы в период пандемии, а также данные опроса среди 1100 лиц, принимающих решения в области ИТ, проведенного Toluna. Среди основных выводов можно отметить следующие:

Использование «теневых ИТ» нарушает корпоративные стандарты безопасности: термин ‘Shadow IT’ («теневые ИТ») подразумевает использование рабочих инструментов в обход специалистов ИТ-отдела. Подобный феномен становится весьма распространенным. За 2020 год около 45% интервьюированных сотрудников приобрели ИТ-оборудование (например, принтеры или ПК) для работы из дома. При этом 68% заявили, что вопросы безопасности не входили в перечень основных критериев при принятии решения о покупке, 43% респондентов не передавали свой новый ноутбук или ПК для проверки и настройки ИТ-специалисту, 50% аналогичным образом ответили на подобный вопрос о своем новом принтере.

Фишинговые атаки стали чаще достигать цели: 74% сотрудников ИТ-отделов отметили, что за последний год переходов на вредоносные ссылки или открытий зараженных вложений в электронной почте стало больше. В течение 2020 года 40% интервьюированных офисных работников в возрасте от 18 до 24 лет открывали небезопасные электронные письма, причем почти половина (49%) объяснила это переходом на удаленный режим работы. Из числа офисных сотрудников, получивших «ссылки-ловушки» от киберпреступников, 70% не сообщили о переходе на вредоносные сайты в ИТ-департамент, 24% не посчитали это важным, 20% указали на «фактор сложности», а 12% опасались дисциплинарных взысканий.

Рост числа взломанных устройств пропорционален количеству запросов на восстановление: 79% ИТ-специалистов сообщают, что за время пандемии увеличилось число запросов на восстановление взломанных систем. Объем обращений напрямую коррелирует с количеством персональных устройств, которым требуется очистка и повторная установка ПО из-за того, что они были атакованы. Это, в свою очередь, означает, что все больше злоумышленников успешно преодолевают существующую защиту. Реальная цифра может быть еще выше: 80% опрошенных ИТ-специалистов опасаются, что устройства сотрудников могут быть взломаны, при этом сами пользователи могут об этом не подозревать.

Нельзя допускать такого легкого проникновения злоумышленников в систему по причине открытия почтового вложения. Изоляция и сдерживание угроз могут позволить смягчить любое разрушительное воздействие, препятствуя закреплению вредоносного кода и предотвращая возможность масштабирования атаки.

С ростом угроз ИТ-отделам становится все труднее осуществлять поддержку информационной безопасности. В частности, 77% специалистов сообщили, что за последний год увеличились затраты ресурсов, необходимых для выявления угроз, в то же время 62% оповещений о риске взлома устройств оказались ложными, что привело к потере времени. Поскольку ИТ-команды заняты отработкой таких сигналов, им становится все труднее выявлять угрозы и интегрировать новых работников в корпоративную сеть:

• 65% ИТ-специалистов утверждают, что установка патчей безопасности на персональные устройства требует много времени и осложняется массовым переходом сотрудников на удаленный режим работы. Отвечая на вопрос о предоставлении и настройке системы безопасности для новых пользователей, 64% специалистов сослались на те же сложности.
• В результате, по оценкам специалистов, стоимость ИТ-поддержки по обеспечению безопасности выросла за последние 12 месяцев на 52%.
• 83% сотрудников ИТ-отделов отмечают увеличение нагрузки в период пандемии из-за проблем с защитой пользователей, находящихся на удаленном режиме работы. 77% ИТ-команд говорят, что переход сотрудников на дистанционный формат значительно усложняет рабочий процесс. В компаниях опасаются, что это приведет к профессиональному выгоранию специалистов по кибербезопасности и, как следствие, оттоку кадров.

HP помогает организациям обезопасить гибридные рабочие места, предоставляя командам все необходимые инструменты управления. Благодаря HP Wolf Security организации получают надежную встроенную защиту от «железа» до «облака» и от BIOS до браузера. Решение HP Wolf Security позволяет анализировать отчетные данные с устройств, что помогает командам добиться комплексной защиты и конфиденциальности.

В середине октября 2021 года появилась информация о том, что реагирование на кибератаки занимает у средней компании 20,9 часа, что составляет более двух рабочих дней. Это следует из нового отчета компании Deep Instinct, в котором говорится, что 86% специалистов по безопасности не уверены в том, что их сотрудники не будут переходить по вредоносным ссылкам.

В отчете от Deep Instinct проанализированы ответы 1,5 тыс. специалистов по кибербезопасности, работающих в компаниях со штатом более 1 тыс. человек из 11 стран. Респонденты назвали недостаток средств предотвращения угроз, специфичных для невиданных ранее вредоносных программ, одной из своих главных проблем, за которой следуют нехватка квалифицированных сотрудников и тактика скрытого противодействия.

Исследование также показало, что 99% респондентов считают, что не все конечные точки в их компаниях защищены хотя бы одним программным агентом. Только одна треть утверждает, что все конечные точки имеют одинаковый уровень защиты, при этом 60% заявили, что они не могут последовательно блокировать угрозы на разных конечных точках.

Участники опроса, проведенного компанией Deep Instinct, также отметили, что компромиссы в облачных и файловых хранилищах по-прежнему трудно устранить. 80% сообщили, что файлы, хранящиеся в облаке, не проверяются на наличие уязвимостей, а 68% заявили, что испытывают хотя бы некоторую обеспокоенность по поводу того, что у них есть хоть какое-то беспокойство по поводу того, что коллеги-сотрудники невольно загружают вредоносные файлы и компрометируют среду. [1]

12 октября 2021 года компания Trend Micro Incorporated сообщила о том, что глобальные организации используют в среднем 29 решений для мониторинга безопасности. Это усложняет работу центров управления кибербезопасностью (SOC) по приоритизации предупреждений и эффективному управлению рисками.

Глобальное независимое исследование выявило серьёзные проблемы, с которыми сталкиваются команды SOC, занимающиеся обнаружением киберугроз и реагированием на них. Специалисты, которые работают в организациях с более чем 10 тысячами сотрудников, имеют дело в среднем с почти 46 инструментами для мониторинга.

Половина (51%) респондентов заявили, что они фактически не используют многие из имеющихся в наличии инструментов по таким причинам:

• отсутствие интеграции (42%),
• нехватка квалифицированных специалистов (39%),
• сложности в управлении инструментами (38%),
• устаревание инструментов (37%),
• отсутствие доверия к ним (20%).

Потенциальный урон в результате подобных проблем может быть высок: респонденты заявили, что в среднем их организации могут потерять более 235 тысяч долларов США, если из-за какого-либо инцидента будет нарушен регламент GDPR.

Исследование также показало, что 92% респондентов рассматривали возможность аутсорсинга обнаружения и реагирования с использованием управляемых услуг. Подобные решения обычно помогают возместить нехватку внутренних ресурсов и обеспечить компанию единой унифицированной платформой для улучшения реагирования на инциденты.

Исследование основано на интервью с 2303 лицами, ответственными за принятие решений в области ИТ-безопасности в 21 стране. В их число входят руководители, которые управляют командами SOC (85%), и те, кто управляет SecOps из внутренней группы ИТ-безопасности (15%). Все респонденты представляли компании с более чем 250 сотрудниками.

23 сентября 2021 года компания Group-IB сообщила, что 77,4% российских предпринимателей совершенно не готовы платить выкуп за расшифровку данных, при этом больше половины опрошенных — 51,9% — признают, что их компания «скорее не защищена» от атак программ-вымогателей.

В начале сентября 2021 года издание The Bell совместно с экспертами Group-IB провели online-исследование среди российских предпринимателей на тему, сталкивались ли они с кибератаками, защищены ли их сети от программ-вымогателей, и хорошо ли бизнесмены понимают, что даже такая привычная вещь, как электронная почта, может стать точкой входа для злоумышленников.

По данным опроса, 27,4% российских предпринимателей за последние два года подвергались кибератакам, большинство (59,4%) утверждают, что и эта проблема не коснулась — «им везло», еще 13% не знают, были ли вообще такие атаки, потому что этим вопросом должны заниматься ИТ-специалисты или служба безопасности. Больше половины опрошенных бизнесменов (50,9%) считают опасной угрозу программ-шифровальщиков и примерно столько (51,9%) же убеждены, что их компания «скорее не защищена» от атак шифровальщиков.

Стоит отметить, что последние годы мишенью для программ-вымогателей являются не только крупные корпорации, но и компании из сегмента среднего и малого бизнеса, в том числе и в России. По данным Лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории РФ в 2021 году увеличилось более чем на 200%. Размер запрашиваемого у российских компаний выкупа, как правило, зависит от величины организации. В целом, «вилка» колеблется от нескольких сотен тысяч до десятков миллионов рублей, при этом средний выплаченный выкуп в 2021 году составил порядка 3 млн рублей. Среднее время простоя атакованной компании составляет 18 суток.

77,4% опрошенных The Bell представителей российского малого и среднего бизнеса, «совершенно не готовы платить» киберпреступникам за расшифровку данных в случае, если их атакует программа-вымогатель. Еще 17,9% готовы расстаться с 5 миллионами рублей, а 3,7% переведут злоумышленникам даже 10 миллионов рублей, чтобы вернуть ценные данные. Только 1% опрошенных заявили, что не пожалеют за расшифровку 100 миллионов рублей. При этом 33% предпринимателей заявили, что остановка всего на несколько часов уже критична для их бизнеса, еще для 30% критичным является простой на 1 день.

Электронная почта наряду с компрометацией публично доступных терминальных серверов (RDP) остается одним из самых популярных первичных векторов целевой атаки, как у киберкриминала, так и прогосударственных хакерских групп. О том, что электронная почта в 40-60% является точкой проникновения в сеть знают 50% опрошенных The Bell российских предпринимателей. При этом столько же — 50% — не используют дополнительных технологий защиты почты, ограничиваясь встроенными возможностями. Около 16% вообще не думают о том, что почту нужно как-то защищать.

Специалисты Group-IB разработали онлайн-тест, позволяющий оценить уровень защиты электронной почты и вероятность стать жертвой злоумышленников. Тест построен более, чем на 30 сценариях реальных кибератак. Его было предложено пройти всем участникам Bell.Club. Согласно опросу, 50% предпринимателей выразили готовность оценить насколько они защищены.

В 2020 году атаки на веб составили треть всех инцидентов информационной безопасности. Однако только 10% российских организаций считают, что веб-приложения являются приоритетным элементом инфраструктуры для сканирования на уязвимости. Это следует из опроса «Ростелеком-Солар», посвященного трендам Vulnerability Management (VM), которыми компания поделилась 14 сентября 2021 года. Регулярные пентесты, проводимые специалистами компании, показывают, что больше половины (57%) веб-ресурсов имеют критические уязвимости, которые могут использовать даже непрофессиональные хакеры.

В рамках исследования, которое проводилоcь в апреле-июне 2021 года, были опрошены представители 200 организаций разного масштаба и профиля (госсектор, финансы, промышленность, ИТи др.).

Согласно данным опроса, всего 7% организаций осознают значимость сканирования изолированного (т.е. не подключенного к интернету) сегмента ИТ-инфраструктуры. Например, это промышленные сети или закрытые государственные системы обмена данными. Сканирование внешнего периметра считают важным 29% респондентов. Ключевым же элементом для анализа уязвимостей 45% опрошенных назвали локальную сеть организации. И лишь десятая часть респондентов считает важным сканирование всех элементов инфраструктуры.

В целом, согласно опросу, контроль уязвимостей в том или ином виде есть в 70% организаций. Однако в большинстве из них сканирование проводится недостаточно регулярно: более 60% компаний сканируют инфраструктуру раз в квартал или реже. Это, по оценкам специалистов «Ростелеком-Солар», не соответствует динамике появления уязвимостей. В то же время анализ критических серверов и рабочих компьютеров сотрудников проводится более регулярно. Раз в квартал и реже эти элементы инфраструктуры проверяют 40% респондентов, остальные – чаще.

Почти во всех организациях сканирование либо проводится автоматически (так ответили 41% респондентов), либо силами одного выделенного ИБ-специалиста (39%). Этого недостаточно для оперативной обработки полученных со сканера данных и формирования актуальных рекомендаций по закрытию найденных уязвимостей – отмечают эксперты.

В то же время часть опрошенных указывает на проблемы во взаимодействии между ИБ-службами и ИТ-администраторами своих организаций в вопросах установки патчей. В 12% опрошенных компаний ИТ-службы никак не реагируют на запросы о проведении необходимых обновлений даже в период массовых атак-пандемий.

Регулярное сканирование обеспечивает, помимо прочего, инвентаризацию цифровых активов. Если же в компании отсутствует процесс управления уязвимостями и нет ресурсов на обработку полученных данных, в инфраструктуре возникают так называемые shadow IT – неучтенные и потому незащищаемые участки ИТ-ландшафта, которые могут использоваться хакерами для совершения атаки.

Компания «Ростелеком-Солар» 9 сентября 2021 года поделилась результатами исследования «Какие организации чаще других подвержены внутренним нарушениям корпоративной безопасности и служебной дисциплины?». Проанализировав данные пилотных проектов использования системы защиты от утечек Solar Dozor в 97-ми российских компаниях с 2018 по 2020 гг., аналитики «Ростелекома» составили портрет организации – типичной «жертвы» внутренних нарушителей.

Среднестатистическая организация, в которой наиболее часто происходят различные нарушения внутренней ИБ и трудовой дисциплины (включая нарушение правил безопасного обращения с конфиденциальной информацией) относится к производственной/научно-производственной сфере, имеет в штате свыше 1000 чел. Здесь фиксируется в среднем 1900 нарушений за 3 месяца, 7 из которых признаются ИБ-службой высококритичными.

Из 97 организаций, испытавших на себе работу системы защиты от утечек, в 70-ти были зафиксированы различные события информационной безопасности. Их общее количество составило свыше 320 тысяч – то есть примерно 4600 потенциальных дисциплинарных и ИБ-нарушений в среднем в каждой организации. Одним из «лидеров» по количеству и частоте выявления критичных нарушений стала компания сферы управленческого консалтинга и рекрутмента: 196 критичных нарушений из зафиксированных 14.5 тысяч «событий» (каждое 80-е событие безопасности является критичным). 172 события критичного уровня было зафиксировано в организации транспортно-логистической сферы, общий объем накопленного трафика в которой за 2 месяца пилотирования составил чуть менее 780 тысяч сообщений. Замыкает «веселую тройку» крупная финансовая организация, в которой среди накопленных 13 млн сообщений зафиксировано 54 критичных события.

В целом, «Топ-5» отраслей, в которых компании столкнулись с наибольшим количеством критичных нарушений, включает научно-производственные организации (4181 нарушений), производство (1968), финансовые организации (1847), транспорт и логистика (1335), органы государственной власти и предоставление государственных услуг (460). Наиболее часто в компаниях этих отраслей встречаются внутренние нарушения правил работы с документами с грифом «Для служебного пользования» и иными конфиденциальными документами. Их бесконтрольно копируют на съемные носители, пересылают на внешние адреса электронной почты на бесплатных почтовых сервисах, хранят в открытом доступе во внутренней сети.

Лидеры по числу выявляемых нарушений — подразделения, обслуживающие основные производственные процессы: бухгалтерия (14,8%), ИТ и техподдержка (12,9%), кадры и маркетинг (10,3%) и закупки (9,5%). Суммарно на них приходится почти половина всех нарушений. Здесь чаще всего фигурирует распространенный вид нарушения «нецелевое использование рабочего времени». В то же время не следует недооценивать риски со стороны более «дисциплинированных» подразделений. Здесь внутренние нарушения могут обернуться самыми серьезными последствиями для компании: через отдел продаж может «утекать» чувствительная информация о клиентах, а через конструкторское бюро — уникальные технологические наработки.

Исследование основано на анализе обезличенных данных отчетов о пилотировании DLP-системы Solar Dozor в 97 организациях России и СНГ на протяжении трех лет: с 2018 по 2020 гг. При этом для целей исследования также было опрошено чуть менее 300 специалистов различных подразделений данных организаций. Половину участвовавших в исследовании организаций составляют компании численностью свыше 1000 человек. В выборку вошли такие рыночные сегменты, как Производство, Образование, Финансы, Ритейл, Услуги, Транспорт, Культура, Медицина, Промышленность, ИТ/Телеком, Государственное управление и ряд других направлений — всего свыше 15-ти отраслей.

9 сентября 2021 года HP Inc. опубликовала отчет HP Wolf Security под названием `Rebellions & Rejections` («Бунтарство и неприятие») – глобальное исследование, указывающее на наличие внутренних трений и напряженности между ИТ-специалистами и сотрудниками, работающими в удаленном режиме. Чтобы защитить рабочие места в будущем, руководителям служб безопасности следует обратить внимание на эту проблему.

Результаты исследования показывают, что на фоне растущих угроз ИТ-сотрудники вынуждены идти на компромиссы и рисковать кибербезопасностью предприятий для обеспечения непрерывности бизнеса. Усугубляет ситуацию то, что их усилия и попытки улучшить меры безопасности для удаленных сотрудников зачастую не находят понимания у этих самых сотрудников. Это особенно актуально для молодежи в возрасте 18-24 лет, которые все чаще разочаровываются в том, что правила безопасности мешают им выполнять работу в поставленные сроки, из-за чего многие вынуждены обходить меры контроля.

В отчете HP Wolf Security представлены объединенные данные глобального онлайн-опроса YouGov, в котором приняли участие 8 443 офисных работника, перешедших на удаленный формат работы во время пандемии, а также глобального опроса, который был проведен исследовательской фирмой Toluna среди 1 100 лиц, принимающих решения в сфере ИТ. В числе основных выводов можно отметить следующие:

• 76% опрошенных ИТ-сотрудников признают, что для обеспечения непрерывности бизнеса в период пандемии вопросы безопасности уходят на второй план, при этом 91% респондентов сообщают, что вынуждены идти на компромиссы в вопросах безопасности в угоду сохранения непрерывности бизнеса.
• Почти половина (48%) опрошенных молодых офисных сотрудников (в возрасте 18-24 лет) воспринимают меры безопасности как помехи при выполнении своей работы, в результате чего почти треть (31%) опрошенных пытается обойти корпоративные политики безопасности, чтобы своевременно выполнять поставленные задачи.
• 48% опрошенных офисных работников согласились с тем, что меры безопасности, хоть и выглядят необходимыми, приводят к значительной потере времени, и этот показатель увеличивается до 64% для лиц в возрасте от 18 до 24 лет.
• Более половины (54%) молодых респондентов в возрасте от 18 до 24 лет были скорее обеспокоены тем, чтобы соблюсти дедлайны, нежели тем, что их организация может быть подвержена утечке данных; 39% не знали, о чем говорится в корпоративных политиках безопасности, или даже о существовании таковых в их компаниях, что свидетельствует о растущем безразличии среди молодых сотрудников.
• В результате, 83% ИТ-специалистов считают, что увеличение доли сотрудников, работающих из дома, приводит к эффекту «бомбы замедленного действия», и неизбежно приведет к взлому корпоративной сети.

В отчете подчеркивается, что 91% компаний обновили свои политики безопасности с учетом растущего числа работающих из дома сотрудников, а 78% ограничили им доступ к веб-сайтам и приложениям. Однако все эти меры зачастую вызывают недовольство пользователей, которые отвергают нововведения и противодействуют им, в результате чего сотрудники, отвечающие за ИТ-безопасность, чувствуют, что их не воспринимают всерьез:

• 37% опрошенных офисных сотрудников утверждают, что технологии безопасности зачастую носят слишком строгий характер.
• 80% специалистов по ИТ-безопасности сталкивались с противодействием со стороны пользователей, которым не нравятся принимаемые меры для работающих из дома; 67% ИТ-специалистов сообщают о том, что каждую неделю получают жалобы пользователей по этому поводу.
• 83% ИТ-специалистов заявили, что попытки установить корпоративные политики кибербезопасности и обеспечить их соблюдение невозможны в силу того, что границы между личной и профессиональной жизнью сотрудников чрезвычайно размыты.
• 80% ИТ-специалистов считают, что обеспечение информационной безопасности становится «неблагодарной задачей», потому что к их мнению никто не прислушивается.
• 69% ИТ-специалистов утверждают, что из-за необходимости введения подобных ограничений они ощущают себя «в роли злодеев».

Чтобы сделать культуру безопасности общим делом, мы должны вовлекать в ее формирование сотрудников и информировать их о растущих рисках. В то же время, ИТ-отделам необходимо лучше понимать, как кибербезопасность влияет на рабочие процессы и продуктивность сотрудников. Таким образом, нам следует переосмыслить обеспечение безопасности с учетом потребностей как бизнеса, так и гибридной рабочей силы.

Эксперты Positive Technologies отметили низкую защищенность компаний промышленного сектора. В ходе тестов на проникновение специалисты компании получили доступ в технологический сегмент сети 75% промышленных компаний. Об этом PT сообщила 24 августа 2021 года.

Как отмечают эксперты, вектор атаки для доступа к критически важным системам может быть простым, а потенциальный ущерб — серьезным. Так, получение доступа к системам управления технологическим процессом злоумышленником может привести к остановке производства, выводу из строя промышленного оборудования, порче продукции и аварии.

По данным исследования, в 75% промышленных компаний был получен доступ в технологический сегмент сети, что позволило затем в 56% случаев получить доступ к системам управления технологическим процессом. Таким образом, при получении доступа в технологический сегмент сети злоумышленникам более чем в половине случаев удастся получить еще и доступ к системе управления производственным процессом, что может привести к серьезным последствиям: от нарушения работы предприятия до человеческих жертв.

По мнению экспертов Positive Technologies, проверить реализацию большинства недопустимых событий в реальной инфраструктуре невозможно. Здесь на помощь может прийти киберполигон, использование которого для анализа защищенности производственных систем позволит без страха нарушения реальных бизнес-процессов корректно верифицировать недопустимые события и последствия их реализации, оценить возможный ущерб. Например, на киберполигоне The Standoff 2021 командам атакующих было предложено реализовать недопустимые события на инфраструктуре газораспределительной станции. На нарушение технологического процесса подачи газа атакующим потребовалось два дня. Хакерам удалось получить доступ к системе управления газовой станцией, остановить процесс подачи газа и устроить взрыв. В реальной жизни хакерская атака на газораспределительную станцию может привести к человеческим жертвам, отставке руководства, судебным искам. Провести атаки, нарушающие или останавливающие технологические или бизнес-процессы на реальной инфраструктуре, экспертам по ИБ точно бы не позволили, а значит, и реализуемость недопустимых событий осталась бы под вопросом.

06 августа 2021 года компания Avast на основании данных собственного исследования сообщила, что вероятность того, что бизнес столкнется с киберугрозами, выросла во всем мире за год на 24% — с 11,25% до 13,9%. Эта информация представлена в последнем отчете Avast Global PC Risk Report, в котором рассматриваются угрозы для ПК, заблокированные Avast в марте-апреле 2021 года. Результаты сравнивают с данными 2020 года за тот же период.

Согласно отчету, в России вероятность того, что бизнес столкнется с любым типом вредоносного ПО для ПК, составляет 20,64%. Это выше, если сравнивать со средним показателем в мире.

В отчете исследователи также рассматривают риск поражения бизнеса продвинутыми угрозами. Avast определяет продвинутые угрозы как новые, ранее не замеченные разработчиками антивирусного ПО угрозы, разработанные для обхода распространенных технологий защиты, включенных в защитное программное обеспечение, таких как сигнатуры, эвристика, эмуляция, фильтрация URL-адресов и сканирование электронной почты. Для продвинутого типа угроз коэффициент риска для бизнеса в России — 4,17%, в целом в мире — 2,29%.

Ситуация в мире

Регионы с более острой, конфликтной социально-политической ситуацией, похоже, подвергаются бОльшему риску в сети. Азиатские страны вошли в число стран с самым большим риском для бизнеса, за ними следуют страны Африки и Восточной Европы.

Топ-10 стран, в которых бизнес подвергается наибольшему риску столкновения с угрозами:

Регионы с наименьшим риском столкновения со всеми типами угроз — страны Северной, Западной и Центральной Европы, а также США, Латвия и Доминиканская Республика.

Ситуация меняется при рассмотрении сложных угроз, где общим знаменателем, по-видимому, является величина государств с населением менее 11 миллионов человек.

Отчет Avast Global PC Risk Report содержит статический срез кибератак за первое полугодие 2021 года (с учетом данных за период с 16 марта 2021 года по 14 апреля 2021 года). [2]

57% веб-приложений содержат критические уязвимости, которые позволяют хакерам похищать конфиденциальные данные, запускать произвольный код и полностью контролировать работу атакуемого ресурса. Таковы результаты анализа защищенности российских компаний, реализуемого экспертами «Ростелеком-Солар» в течение года, которыми компания поделилась 22 июля 2021 года. Объектами исследования стали организации из сферы финансов, энергетического комплекса, информационных технологий, телекома и других отраслей.

Веб-приложения – это сайты, которые взаимодействуют с пользователями. Например, электронная почта, личный кабинет банка или интернет-магазина, корпоративный портал для сотрудников и т.п. Такие интерактивные ресурсы стали еще более актуальными за время пандемии, когда многие активности перешли в онлайн и интернет стал ключевым каналом взаимодействия с клиентами, бизнес-партнерами и коллегами.

Самые распространенные веб-уязвимости – это некорректная настройка прав доступа и раскрытие конфигурационных данных. Некорректная настройка прав доступа позволяет пользователю выполнять действия, на которые у него не должно быть прав, например, повысить свою учетную запись до уровня администратора. Эта уязвимость связана со сложной логикой веб-приложений, которые включают в себя различную функциональность для большого количества пользовательских ролей.

При раскрытии конфигурационных данных злоумышленник получает информацию о структуре веб-приложения (внутренние IP-адреса, API-ключи, отладочные сценарии, журналы приложений). При этом в журналах приложений, помимо технической информации, иногда можно найти и персональные данные клиентов и сотрудников организации.

Некоторые обнаруженные уязвимости позволяют проникнуть в сеть компании даже без полного «захвата» приложения. Например, подделав запрос на стороне сервера (SSRF). С помощью данной уязвимости злоумышленник может отправлять от имени сервера запросы как к внешним, так и к внутренним ресурсам и извлекать закрытую информацию из системы. Такой сценарий возможен, когда приложение, получив URL-адрес или HTTP-сообщение, не проверяет адреса назначения перед отправкой запроса.

Также в некоторых системах эксперты нашли ошибки, позволяющие совершить атаку непосредственно на пользователя (например, межсайтовый скриптинг – XSS). Такие атаки работают по следующему принципу: в приложение внедряется JavaScript-код, который затем исполняется в браузере жертвы. Цели у хакеров могут быть разные: выполнение действий от имени пользователя, кража его личных данных, майнинг криптовалют и многое другое.

Помимо веб-приложений также вероятной точкой проникновения в корпоративную сеть являются системы удаленного доступа (например, VPN или RDP). В период пандемии количество подобных атак значительно выросло, так как многие компании перешли на удаленный режим работы. Распространенным недостатком здесь являются отсутствие дополнительного фактора аутентификации при подключении к сервису, а также слабые и повторяющиеся пароли пользователей. Часто злоумышленники получают доступ в сеть через VPN-подключение с помощью ранее скомпрометированного пароля.

Согласно прогнозу исследовательской компании Gartner, технологическое оснащение киберпреступников к 2025 г. позволит им проводить целенаправленные атаки на предприятия с конкретной целью причинения увечий и убийства людей. Об этом стало известно 21 июля 2021 года. Аналитики прогнозируют, что использование киберпреступниками военизированных операционных технологий и других киберфизических систем только с учетом случаев смертельного исхода к 2023 г. нанесет ущерб по всему миру на сумму более $50 млрд.

По мнению аналитиков, даже если не бы не пришлось говорить о ценности человеческой жизни, затраты компаний на судебные разбирательства, компенсационные выплаты, страхование, выплаты штрафов регулирующим органам будут значительными, не говоря о гигантских репутационных потерях. В компании прогнозируют, что большинство руководителей будут нести личную ответственность за такие инциденты.

Атаками киберпреступников на ИТ-инфраструктуру предприятий в Gartner называют стороннее злоумышленное воздействие на комплексы аппаратного и программного обеспечения, которые отслеживают или контролируют работу промышленного оборудования. На фоне цифровизации и внедрения автоматических процессов на производстве, военизированные операционные технологии также проходят свой путь эволюции, отмечают аналитики – от инцидентов для временной остановки технологического процесса на заводе до нарушения целостности промышленной среды и целенаправленного причинения физического ущерба.

В Gartner классифицируют инциденты безопасности в среде операционных технологий по трем основным классам мотивации: для нанесения фактического ущерба; в целях коммерческого вандализма, ведущего к снижению производительности; в целях репутационного вандализма, в итоге чего производитель признается ненадежным и не заслуживающим доверия.

Для повышения безопасности на промышленных объектах и предотвращения цифровых кибератак с целью повреждения оборудования или нанесения физического ущерба сотрудникам, в Gartner разработали десять рекомендаций, которые изложены в документе Reduce Risk to Human Life by Implementing this OT Security Control Framework («Снижение риска для жизни людей за счет реализации концепции контроля безопасности операционных технологий»).

Специалисты Gartner рекомендуют назначить менеджера по безопасности операционных технологий для каждого промышленного или производственного объекта. Менеджер должен отвечать за распределение и документирование ролей и обязанностей, связанных с безопасностью, для всех сотрудников, старших менеджеров и любых третьих лиц, имеющих доступ к объекту.

Каждый сотрудник, имеющий отношение к операционным технологиям, обязан обладать необходимыми навыками для выполнения своих обязанностей. Работники на каждом объекте должны быть обучены распознавать и оценивать риски безопасности, наиболее распространенные направления распространения атак, а также натренированы на совершение конкретных действий в случае инцидента безопасности.

Для каждого объекта предприятия должен быть внедрен специальный протокол управления инцидентами безопасности операционных технологий. В него должно входить четыре этапа: подготовка; обнаружение и анализ; локализация, ликвидация и восстановление; действия после инцидента.

ИТ-инфраструктура предприятия должна быть оснащена надлежащими механизмами резервирования и аварийного восстановления данных. Чтобы избежать влияния физических деструктивных событий – например, пожара, следует хранить носители резервных копий отдельно от резервной системы. Носители резервной копии должны иметь защиту от несанкционированного доступа или неправомерного использования. Для исключения фатальных событий по итогам инцидентов высокой степени серьезности, должна быть обеспечена возможность восстановления резервной копии в новой системе или виртуальной машине.

На предприятии должна быть внедрена политика обязательного сканирования всех портативных носителей данных, включая USB-накопители и портативные компьютеры, вне зависимости от принадлежности устройства сотруднику или стороннему посетителю – например, представителю субподрядчика или производителя оборудования.

К среде операционных технологий могут быть подключены только проверенные носители без вредоносного кода или нежелательного ПО.

Менеджер по безопасности должен производить инвентаризацию оборудования и ПО, задействованного в среде операционных технологий, и постоянно обновлять этот список актуальными данными.

Сети среды операционных технологий должны быть физически или логически отделены от любой другой сети – как внутри, так и снаружи периметра ИТ-инфраструктуры предприятия. Весь сетевой трафик между операционными технологиями и остальной частью сети должен осуществляться через безопасный шлюз, при этом сессии взаимодействия с операционными технологиями должны происходить с многофакторной аутентификацией на шлюзе.

Для автоматической регистрации и анализа потенциальных и фактических событий безопасности на предприятии должны быть внедрены соответствующие политики и процедуры. Они должны четко определять сроки хранения журналов безопасности и быть защищены от несанкционированного доступа или модификации.

Для всех систем, применяемых в среде операционных технологий – таких как рабочие места, серверы, сетевые устройства и устройства для выездной работы, должны быть разработаны, стандартизированы и развернуты безопасные конфигурации. ПО для безопасности рабочих мест – такое как антивирусы, должно быть установлено на всех поддерживаемых компонентах среды операционных технологий.

До развертывания среды операционных технологий необходимо внедрить процесс проверки и установки обновлений. После верификации производителями оборудования, обновления могут быть развернуты в соответствующих системах с заранее заданной периодичностью [3] .

Киберкриминалисты «Информзащиты» расследовали взлом телефонной сети государственной промышленной компании. Эксперты предупреждают, что IP-телефония, которая реализована практически в каждой организации, слишком открыта для атак злоумышленников. Об этом «Информазащита» сообщила 27 мая 2021 года. Подробнее здесь.

12 апреля 2021 года компания Acronis, представитель в области киберзащиты, обнародовала результаты своего второго ежегодного исследования Cyber Protection Week, которое выявило опасный дисбаланс между необходимостью защищать данные и неэффективностью инвестиций компаний в достижение данной цели.

Хотя в 2020 году компании закупили новые системы для обеспечения безопасности удаленных сотрудников во время пандемии COVID-19, эти вложения не окупаются. Глобальный опрос показал, что в настоящее время 80% компаний одновременно используют до 10 решений для защиты данных и кибербезопасности, однако более половины из этих организаций в прошлом году пострадали от непредвиденных простоев из-за потери данных.

Результаты ежегодного опроса Acronis, в ходе которого было опрошено 4400 ИТ-пользователей и профессионалов в 22 странах на шести континентах, развеивают миф о том, что простое включение дополнительных решений решит проблемы кибербезопасности и защиты данных. Вложения в закупку все большего количества решений не только не обеспечивает более надежную защиту, но во многих случаях попытки управлять защитой в нескольких решениях создают большую сложность и меньшую прозрачность для ИТ-группы, что увеличивает риск.

Ситуация усложняется тем, что пользователи и ИТ-специалисты не осознают, какие возможности ИТ и кибербезопасности им доступны, что может привести к потере драгоценного времени, денег и безопасности.

• 68% ИТ-пользователей и 20% ИТ-специалистов не знали, были ли их данные изменены без их ведома, потому что их решение затрудняет определение такого рода взлома.
• 43% ИТ-пользователей не знают, останавливает ли их антивирусноеПО угрозы нулевого дня, потому что их решение не обеспечивает легкодоступность этой информации. Легкий доступ к такой информации о кибербезопасности имеет решающее значение для обеспечения защиты данных.
• 10% ИТ-специалистов не знают, подпадают ли их организации под действие положений о защите персональных данных. Если лица, ответственные за обеспечение конфиденциальности персональных данных, не знают, что они виноваты, они не могут реализовать стратегии или оценить решения, необходимые для выполнения требований. Это незнание подвергает бизнес огромному риску получить крупные штрафы за потенциальные нарушения в 2021 году.

Для тех, кто использует несколько решений для выполнения своих задач в области ИТ и кибербезопасности, непрозрачность такой информации только усугубляется. Они не только должны помнить, какое решение предоставляет конкретную точку данных, но и постоянно переключаются между консолями, чтобы найти нужные детали, что ведет к неэффективности.

Опрос также выявил поразительно слабый подход к защите данных среди ИТ-пользователей.

• 83% ИТ-пользователей в 2020 году тратили больше времени на использование своих устройств, но только половина из них предприняла дополнительные меры для их защиты.
• 33% признают, что не обновляли свои устройства в течение как минимум недели после получения уведомления о неполадке.
• 90% ИТ-пользователей сообщили о выполнении резервного копирования, но 73% безвозвратно потеряли данные хотя бы один раз, что говорит о том, что они не знают, как выполнять резервное копирование или восстановление должным образом.

Усилия отдельных лиц по защите своих данных не оберегают от угроз, что, вероятно, связано с ложными предположениями или с использованием автоматических решений.

Positive Technologies 10 марта 2021 года сообщила результаты анализа мониторинга сетевой активности в 41 компании, где проводились пилотные проекты по внедрению PT Network Attack Discovery (PT NAD) и комплекса для раннего выявления сложных угроз (PT Anti-APT), в состав которого входит PT NAD. В ходе анализа в большинстве компаний была выявлена подозрительная сетевая активность, а вредоносное ПО было обнаружено в каждой государственной и промышленной организации.

По результатам пилотных проектов в 90% компаний была выявлена подозрительная сетевая активность, например сокрытие трафика, запуск инструментов сканирования сети, попытки удаленного запуска процессов. Эксперты отмечают, что использование NTA-систем позволяет не только вовремя обнаружить подозрительные подключения, но и обратиться к истории сетевой активности узла и проверить, не было ли других подобных попыток.

Нарушения регламентов ИБ встретились в каждой организации. Одним из часто выявляемых нарушений регламентов ИБ стало использование незащищенных протоколов передачи данных (64%). По мнению экспертов, это говорит о том, что в инфраструктуре важные данные передаются в открытом виде, а значит кто угодно в корпоративной сети, в том числе потенциальный злоумышленник, может перехватывать трафик и искать в нем конфиденциальную информацию, например логины и пароли.

В ходе пилотных проектов по мониторингу сетевой активности и выявлению сложных угроз в 2020 году эксперты столкнулись с активностью 36 семейств вредоносного ПО. Эксперты называют среди них шифровальщик WannaCry, банковские трояны RTM, Ursnif и Dridex. В 68% анализируемых компаний была выявлена активность вредоносного ПО, при этом ВПО было обнаружено во всех исследуемых государственных и промышленных организациях. В каждой третьей компании были отмечены попытки эксплуатации уязвимостей в ПО.

26 февраля 2021 года компания McAfee рассказала о кибербезопасности «удаленки» и о последней концепции Bring Your Enterprise Home.

Более 20 лет внимание специалистов по кибербезопасности было ориентировано на работу с предприятиями, а не на построении интегрированной системы защиты, и уж тем более не на комплексной защите домашних сетей. И хотя умные устройства для дома приобретают все большую популярность и признание, главной задачей отрасли по-прежнему остается обеспечение корпоративной безопасности.

Например, NIST Cybersecurity Framework, один из основных американских регламентов, адресован предприятиям, а не частным лицам. При этом число устройств и подключений во многих домах намного превышает аналогичные показатели, характерные для малого бизнеса 20-летней давности. Домашние ИТ-системы развиваются по той же схеме, что и системы малых предприятий, и поэтому нуждаются в дополнительном внимании и защите.

Пандемия COVID-19 в мгновение ока изменила привычный уклад организаций и стала причиной вынужденного перевода сотрудников из централизованных рабочих сред на высокораспределенные инфраструктуры для работы из дома. Внезапный переход на незащищенную и неконтролируемую «удаленку» (включая ИТ, IoT, мобильные, облачные и другие среды) значительно усложнил обеспечение кибербезопасности предприятий и одновременно серьезно расширил поверхность цифровых атак. Поскольку многим сотрудникам приходится использовать для решения рабочих задач личные устройства, организациям необходимо внедрять политики, которые улучшат управление и контроль над ними. Концепция BYOD (Bring Your Own Device — личные устройства на работе) трансформировалась в BYEH — Bring Your Enterprise Home (корпоративные устройства дома). Чтобы адаптироваться к этой перемене, нужны новые стандарты и процедуры безопасности.

Хотя в различных компаниях и предприятиях изначально имелись политики, процессы и средства управления, оборудование и программное обеспечение для защиты такой распределенной корпоративной экосистемы, они разрабатывались с учетом того, что современный частный дом — не самая «гостеприимная» среда для внедрения защит.

Например, в доме есть умные замки и розетки, несколько телевизоров Smart TV и устройств для потоковой передачи данных, охранная система, цифровые ассистенты, беспроводные светильники, колонки, камеры, термостаты и другие подключенные устройства. И всё это не считая компьютеров, ноутбуков, планшетов и смартфонов. Устройства IoT, число которых постоянно растет, позволяют превратить обычные дома в умные. Но собственники не всегда знают, как эффективно защитить это оборудование от киберпреступников. Кроме того, многие решения не поддерживают интеграцию или обмен данными с другими системами, что уменьшает возможности обнаружения слабых мест в защите.

Хакер может проникнуть в дом, не переступая его порога, и похитить самое ценное — банковский счет, реквизиты доступа и душевный покой (например, включив свет в 3 утра или музыку из умных колонок на полную громкость). Это серьезная проблема как для физических лиц, так и для компаний и государства: для них «удаленка» — это возможность продолжить работу несмотря на пандемию COVID-19.

Нужно посчитать все устройства (умные и обычные) в квартире и умножить их на количество сотрудников федерального правительства, чтобы получить представление о масштабах угрозы, которую создали переводом персонала на удаленную работу. Если добавить сюда подрядчиков правительственных учреждений, уровень безопасности систем которых обычно ниже, чем у штатных работников. Опасности подвергается не только правительство — речь идет об угрозе национального масштаба, поэтому компаниям и организациям необходимо обеспечить надежную защиту удаленного доступа сотрудников к корпоративным ресурсам.

При этом кибербезопасность — только одна из областей, на которую нужно обратить внимание. Например, в случае выхода оборудования из строя поставщики услуг в первую очередь предоставляют поддержку корпоративным клиентам. Если о неисправности сообщила компания, ее устранят за пару часов. Потребители могут прождать решения проблемы несколько дней.

«Удаленка» превратила квартиры в домашние офисы, виртуальные учебные классы, кабинеты врача и магазины, а каждое подключенное личное устройство — в потенциальный источник опасности для работодателей.

Пока идет адаптация к реалиям, очень важно переосмыслить безопасность домов и квартир и разработать стандарты их защиты.

В России растет обеспеченность бизнесов средствами информационной безопасности, но ситуация улучшается только в части защищенности от хакерских атак. Такой вывод можно сделать на основе данных исследования «СёрчИнформ», которые компания продставила 17 февраля 2021 года.

По данным опроса за четыре года (с 2017 года) обеспеченность средствами администрирования выросла на 31%, антивирусными программами на 15%, SIEM-системами – на 7%. Динамика оснащения программами для защиты от утечек данных хуже, DLP-системы стоят в 31% компаний, это только на 3% больше, чем в 2017-м году. При этом число утечек информации также год от года почти не меняется – число пострадавших компаний остается на уровне 60% ежегодно. В подавляющем большинстве потеря данных происходит по причине инсайдерского нарушения или ошибки.

Таким образом, оснащенность ИБ-средствами российских организаций остается недостаточной. Особенно это касается госсектора, где базовое ПО для защиты от утечек (DLP-системы) судя по опросу стоит в 20% компаний, что на 11% ниже, чем в частном секторе. В то же время программа стала привычным инструментом для целого ряда отраслей: кредитно-финансовой сферы, промышленности, ИТ, ТЭК, ритейла. В тех компаниях, где стоит DLP, 72% внутренних инцидентов выявляется с помощью этого ПО и всего 6% утечек выявляются не внутри отдела ИБ, а кем-то вне компании. Это вдвое меньше, чем в других организациях.

Системы аудита баз данных и файловых хранилищ (DCAP и DAM-системы для защиты т.н. «данных в покое») – пока малоизвестный для российского рынка инструмент и применяются не более чем в 1-2% организаций.

Также показательны цифры исследования о том, как в инфобезе приживаются трендовые технологии.