IT под обстрелом. Как Россия оказалась в центре кибервойны и к чему она приведёт
На киберфронтах
20 мая Владимир Путин заявил о полномасштабной «кибервойне», развязанной против России странами Запада. Несмотря на то что атаки наносятся из разных стран, в них якобы прослеживается «чёткая координация».
«Количество кибератак на российскую информационную инфраструктуру все последние годы постоянно растёт — именно все последние годы, ну а с началом специальной военной операции в Донбассе, на Украине вызовы в этой сфере стали ещё более острыми и серьёзными, более масштабными», — подчеркнул Путин.
Президент уверен, что к организации кибератак причастны государственные структуры недружественных стран. Так это или не так — вопрос спорный, так как установить личность хакеров и их связь с конкретными координаторами — дело крайне сложное и затратное.
Однако несомненно одно — хакеры атакуют российские инфраструктуры, государственные и частные интернет-компании действительно по всем фронтам. Проблема затронула даже отрасли, обычно не представляющие интереса для злоумышленников.
Взломы, DDoS-атаки и утечки за последние три месяца коснулись многих российских ресурсов, в том числе государственных:
- В конце февраля мощной DDoS-атаке подвергся сайт госуслуг, что вынудило Минцифры временно закрыть доступ к этому сайту иностранным IP-адресам.
- Кроме того, с февраля DDoS-атаки регулярно устраивают на сайты крупнейших российских СМИ, включая издания «Лента.ру», «Газета.ru», РБК, ТАСС, а также на сайты и телеканалы Russia Today.
- В марте масштабная утечка произошла у сервиса «Яндекс.Еда». В Сети появилась карта, где отмечены адреса и личные данные клиентов, заказывавших еду через это приложение. Ресурс с картой заблокировали, но 18 мая её выложили вновь, добавив данные клиентов Avito, СДЭК и Wildberries.
- Затронули нападки и сайты авиакомпаний: в конце марта хакеры атаковали IT-систему Росавиации, а в мае о проблемах сообщали авиакомпании «Россия», «Аврора» и АЛРОСА.
- 9 мая масштабной атаке подвергся российский видеохостинг RuTube, который российские власти рассматривают как альтернативу YouTube на случай его блокировки. Все данные с сайта оказались удалены, работы по восстановлению заняли два дня. Кроме того, хакеры взломали расписание праздничных телепрограмм в кабельных сетях крупных российских операторов и «НТВ-Плюс» и разместили там «сообщения экстремистского характера».
Специалисты в разговоре с «Секретом» констатируют: оборона киберпространства превращается из насущной бизнес-необходимости в необходимость стратегическую.
Российские аналитики из центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» и НКЦКИ (Национальный координационный центр по компьютерным инцидентам, созданный ФСБ России) впервые заявили о начавшейся кибервойне ещё в 2021 году. В отчёте об исследовании серии кибератак на органы государственной власти РФ эксперты констатировали наивысший уровень взломщиков.
Аналитики сделали вывод, что за атаками стояли «профессиональные кибернаёмники, действующие в интересах иностранных государств». В пользу этой версии говорил факт использования при взломах «самого передового инструментария», продуманной стратегии нападения и изощрённой тактики.
Но сейчас ситуация изменилась кардинально: помимо профессиональных хакеров, к атакам на РФ подключилось множество добровольцев (хактивистов). Это сделало атаки менее филигранными, но более массовыми и разнообразными. Об этих и других тектонических сдвигах в российской инфобезопасности, произошедших в последние месяцы, представители крупных ИБ-компаний поговорили на прошедшей в мае конференции Positive Hack Day от Positive Technologies.
Руководитель службы кибербезопасности Сбербанка Сергей Лебедь в ходе пленарной дискуссии указал, что все специалисты кибербезопасности уже делят свою жизнь на до и после 24 февраля: настолько возросло количество атак, которые приходится отражать практически ежедневно.
«До 24 февраля мы фиксировали одну DDoS-атаку в неделю, и это каждый раз был серьёзный инцидент. После в какой-то момент мы фиксировали одновременно до 46 DDoS-атак, координируемых различными группами. Сейчас можно сказать, что мы всё время находимся под этим обстрелом. Серьёзного влияния на работу нашей организации он не оказывал даже в пике, но необходимость постоянно мониторить ситуацию сохраняется».
Лебедь также отметил, что в конце февраля, одновременно с началом спецоперации, наблюдался подозрительный спад в области мошеннических звонков клиентам банков. Буквально за неделю их количество практически сошло на нет, после чего начало постепенно восстанавливаться. Сейчас специалисты фиксируют примерно половину мощности этих звонков, что заставило экспертов предположить, что большая часть телефонных мошенничеств против россиян шла с территории Украины. В целом Лебедь констатировал, что многие атаки, прежде всего DDoS-атаки, сейчас прицельно координируются.
«Существуют группы активистов, которые организуют свои действия против России, в эти группы входят до 100 000 человек, там есть координаторы, выдающие задачи и инструменты. Последние нужно установить на устройства участников, и они будут в фоновом режиме получать задания от координационных центров и атаковать свои цели», — объяснил представитель банка.
Он предположил, что после того, как новостной фон вокруг спецоперации утихнет, останется большое количество зомби-ботов, которые будут забыты владельцами устройств, но продолжат осуществлять DDoS-атаки.
В качестве примера эксперт привёл обнаруженный «Сбером» источник перегруза сайтов, принадлежащих этой экосистеме. Оказалось, что хакеры взломали некий популярный мультимедийный плеер, который используют многие онлайн-кинотеатры. В этом плеере был скрипт запуска, который подсоединялся к прописанному злоумышленниками списку ресурсов. В итоге ничего не подозревающие граждане, решившие вечерком посмотреть фильм у себя дома, принимали участие в небывало мощных кибератаках.
В целом специалисты по кибербезопасности констатировали, что если раньше злоумышленники задействовали в интернете всего пять-шесть типов атак, сейчас можно наблюдать практически все из тех, что перечислены в классических учебниках по кибербезопасности.
Представитель Национального координационного центра по компьютерным инцидентам Сергей Корелов перечислил наиболее характерные из них:
- DDoS-атаки;
- подмена контента на сайтах путём загрузки вредоносного наполнения со сторонних ресурсов;
- внесение изменений в исходный код программного обеспечения для ряда продуктов;
- вирусы-шифровальщики.
«Первыми начались DDoS-атаки, их было проще всего реализовать. При этом задействовали не просто бот-сети, созданные путём взлома устройств, но и вполне штатные и легальные устройства абонентов, которые осознанно загружали эти программы с определённых ресурсов.
Это формировало вал внешне вполне легитимных обращений на атакуемые сайты, такого рода атаки было сложно фильтровать, но и с этим научились справляться. В том числе на федеральном уровне задействовали ТСПУ (технические средства противодействия угрозам), которые позволили отфильтровать и заблокировать трафик, шедший из-за границы. Это помогло, но сейчас уже приходится бороться с атаками, идущими с российских IP-адресов с помощью VPN-сетей», — поделился эксперт.
Корелов подчеркнул, что в последнее время много говорят об утечках, причём нельзя сказать, что бьют по определённой отрасли — бьют туда, куда достали. Он предположил, что публикация сравнительно небольшого объёма добытых таким образом данных в интернете преследует цель «утечки ради утечки» или «взлома ради взлома», то есть создания негативного информационного фона.
«Сдвиг был. Все, кто говорил раньше, что мы не интересны, нам нечего защищать, мы не под один закон не попадаем, — они наконец-то вышли из своей зоны комфорта, вакуума представления, что им ничем заниматься не надо. Есть осторожные надежды, что всё больше и больше компаний начнут это осознавать», — предположил Корелов.
Об этом же «Секрету» заявил представитель «Лаборатории Касперского» Сергей Солдатов.
В связи с геополитической ситуацией мы наблюдаем постоянное усложнение угроз и использование разных техник и тактик, а также активизацию ряда групп и хактивистов. Мишенью кибератаки сейчас может стать абсолютно любая компания, ведь с большими объёмами данных работают не только крупный бизнес и госструктуры, но и небольшие организации из самых разных сфер. С учётом того, что целевые кибератаки часто становятся отражением политической ситуации, можно утверждать, что в случае дальнейшего ухудшения политического климата в мире можно ожидать только увеличение количества угроз.
Усилившиеся нападки консолидировали российский инфобез, признал на PT Hack Day директор центра мониторинга и реагирования на кибератаки «Ростелеком-Солар» Владимир Дрюков. Несмотря на то что с уходом иностранных вендоров в сфере информационной безопасности наметились бреши, которые пришлось срочно залатывать, бывшие конкуренты из числа российских ИБ-компаний теперь всё чаще объединяются и обмениваются информацией, чтобы вместе противостоять угрозам.
Осталось лишь убедить заказчиков из российского бизнеса в необходимости также раскрывать информацию об утечках, но те пока относятся к этому вопросу крайне настороженно. Дрюков указал, что сейчас атаки и утечки перестали быть проблемой конкретных клиентов и стали проблемой всей российской инфобезопасности.
«Мы оказались в противоборстве с большим количеством хакеров, которые начали резко реализовывать все те риски, о которых мы много лет предупреждали. Государство начало требовать повышения социальной ответственности от тех, кто занимается кибербезопасностью», — констатировал Дрюков.
Маргарита Амалицкая, вице-президент по маркетингу и управлению продуктами InfoWatch, пояснила «Секрету», что происходящее подтолкнуло сферу к «ускоренному взрослению».
Уровень зрелости компаний в отношении информационной безопасности разный: кто-то, как правило уже столкнувшийся с кибератаками, понимает необходимость адекватной защиты и соответствующих процессов и инструментов, кто-то продолжает считать киберриски гипотетическими. Переход из одного состояния в другое не одномоментный, компания проходит некоторые ступени на пути к зрелости ИБ-процессов, это занимает время. Сейчас кажется, что компании проходят этот путь быстрее, а высшее руководство больше вовлечено в вопросы безопасности.
Амалицкая пояснила, что с вводом санкций и уходом иностранных вендоров наблюдается значительно возросший интерес к продуктам инфобезопасности. Помимо этого, компании, в первую очередь объекты критической инфраструктуры, чаще обращаются за консультацией и экспертизой.
Сейчас одна из основных задач, вставшая «в полный рост» перед производителями программного обеспечения, — обеспечить работоспособность своих продуктов на отечественных инфраструктурах — российских операционных системах и базах данных.
Но в силу, как выразилась представительница InfoWatch, «специфической профдеформации», связанной с пониманием рисков и их последствий, сфера инфобезопасности в целом оказалась неплохо подготовленной к этой ситуации.
Вопрос политики
Проблемы российских компаний инфобезопасности при взаимодействии с западными структурами начались уже давно. Абсолютное большинство игроков российского рынка остаются частными компаниями. Это не мешает тем же США обвинять их в связях с правительством и, как в случае с «Лабораторией Касперского» в 2018 году и Positive Technologies в 2021-м, накладывать санкции и ограничения.
Рекомендации бизнесу отказаться от сотрудничества с этими компаниями американское правительство объяснило соображениями безопасности. Якобы российские игроки производят шпионский софт, инструменты для взлома, вирусы и другие продукты, которые могут повредить кибербезопасности граждан и инфраструктур, а также обмениваются данными о своих клиентах со спецслужбами. Доказательства этому, как подчёркивают в попавших под ограничения компаниях, так и не предоставили.
Евгений Касперский, которого западные СМИ и спецслужбы с 2015 года пытаются уличить в связях с российскими силовиками, отрицает, что эти отношения когда-либо выходили за рамки правового поля и бизнеса. Тем не менее «Лабораторию Касперского» в 2022 году официально включили в список угроз национальной безопасности США.
Правда, вводить новые ограничения после этого передумали: испугались последствий для миллионов клиентов «Лаборатории» по всему миру и роста рисков кибератак. Так что пока персональные санкции против Евгения Касперского и его компании ввела в частном порядке только Польша. Но негативный информационный фон и негласные директивы уже начали сказываться — от сотрудничества с ЛК начали отказываться зарубежные партнёры, в том числе крупнейшая платформа bug bounty HackerOne.
Нельзя сказать, что вопрос инфобезопасности в России никак не связан с государственными структурами — всё-таки эта сфера считается стратегически важной, так что без госучастия и тут не обошлось.
В мае 2018 года российский государственный провайдер цифровых услуг «Ростелеком» за 1,5 млрд рублей приобрёл 100% акций компании Solar Security, изначально созданной системным IT-интегратором «Инфосистемы джет». Новая компания, получившая название «Ростелеком-Солар», сконцентрировалась на разработке продуктов в области информационной безопасности. Сейчас это один из приоритетных проектов также попавшего под санкции «Ростелекома».
Но независимо от того, находились ли российские компании кибербезопасности в частных или государственных руках, подозревались ли в связях со спецслужбами, большинство из них весной 2022 года столкнулось с одной и той же проблемой. Международное сообщество кибербезопасности FIRST остановило сотрудничество и обмен данными с российскими структурами. В итоге проиграли от этого все.
«Это обоюдный процесс: мы не получаем информацию об угрозах, выявленных той стороной, они не знают о том, что выявляем мы. В итоге уровень инфобезопасности во всём мире падает, так как для противодействия угрозам нужно видеть полную картину», — пояснил «Секрету» представитель одной из российских ИБ-компаний.
«Лаборатория Касперского» сообщила, что разочарована таким решением FIRST и считает, что оно ставит под сомнение основополагающий в этой сфере принцип доверия. «Принципы беспристрастности и объективности, открытого сотрудничества экспертов и организаций разных стран, заложенные десятилетия назад, стали краеугольным камнем современных подходов, технологий, продуктов и услуг информационной безопасности. Они должны оставаться незыблемыми, чтобы слово "безопасность" имело шанс сохраниться в названии отрасли», — уверены в компании.
Поле для битвы или море перспектив?
Весной 2022 года, помимо возросшего числа атак, вся сфера российского IT столкнулась ещё и с оттоком кадров и проблемами импортозамещения из-за международных санкций. Тем не менее представители отрасли констатируют, что кибербезопасность пострадала меньше остального IT, так как в меньшей степени зависит от иностранного ПО и железа и в большей степени была готова к такому развитию событий.
В совокупности с острой потребностью рынка, лишившегося альтернатив от западных вендоров и подвергающегося непрекращающимся атакам извне, это делает информационную безопасность перспективной сферой и для работы, и для инвестиций.
Основной тренд, который выявили участники на этом рынке — уход серьёзных западных игроков, освободивший нишу для российских компаний. Максим Филиппов, директор Positive Technologies по продажам и развитию бизнесу в России и странах СНГ, оценил объём рынка кибербезопасности в стране в 190–200 млрд рублей на конец 2021 года. Из них 80 млрд рублей приходилось на иностранных вендоров.
В России всегда присутствовало много локальных отечественных и иностранных игроков, которые предлагали разнообразное программное обеспечение. По некоторым направлениям инфобезопасности лидером рынка оставалась наша компания (защита конечных устройств для бизнеса и промышленности, защита домашних пользователей), по другим — высокой была доля зарубежных решений.
К примеру, по нашей оценке, иностранные системы по защите от целевых атак занимали до 65% рынка, решения для защиты корпоративной почты — до 70%, системы для обеспечения безопасности веб-трафика — до 80% и так далее. По всем этим направлениям с уходом зарубежных игроков для российских компаний открываются новые возможности для наращивания потенциала и усиления позиций.
«Не знаю, вырастет ли рынок, но освободившаяся ниша точно будет заполнена отечественными игроками. Главный вызов перед индустрией кибербеза заключается в том, смогут ли российские производители сделать это качественно и надежно», — добавил Максим Филиппов.
Он также перечислил основные драйверы роста, которые позволят российским компаниям кибербезопасности значительно прибавить в ближайшие годы. Среди них — взрывной рост спроса на услуги по анализу защищённости и расследованию инцидентов, указ президента об ответственности первых лиц компаний в сфере кибербезопасности, разворот в сторону практической безопасности и высвобождение 40% рынка в России после ухода иностранных вендоров.
При этом операционный директор Positive Technologies Максим Пустовой отметил, что расходы на кибербез растут уже несколько лет, поднявшись от 1% всего бюджета российского IT до 5%. А рынок инфобезопасности в России растёт опережающими темпами на 15–20% в год.
Рост в секторе кибербезопасности наблюдается не только в России — на «кибервойну», объявленную или нет, в последние годы тратятся миллиарды долларов в большинстве развитых стран. Однако аналитики предупреждают, что заходить на этот рынок с надеждой на быстрые барыши уже поздно.
В силу большого размера (около $300 млрд) и стабильных темпов роста (+12% в год) рынок кибербезопасности последние годы интересен фондовому рынку. Для компаний сферы кибербезопасности геополитическая ситуация стала таким же драйвером роста бизнеса, как и для оборонных компаний, хотя это необязательно немедленно проявляется в стоимости акций, которые уже недёшевы.
Но это не значит, что ажиотаж будет длиться бесконечно — все, кто не знал о перспективах рынка кибербезопасности, уже проинформированы, и многие купили акции. Иными словами, надеяться выиграть на росте осведомленности о перспективах этого рынка поздновато.
Так или иначе, в эту сферу в ближайшие годы будут вкладывать большие деньги все стороны «кибервойны», в которую превращается традиционное противостояние хакеров и кибербезопасников всего мира. И пока на этих фронтах не наступит затишье, на свой кусок хлеба ИБ-компании точно заработают.
Пока же снижения уровня угроз для российского IT-сегмента не предвидится, а с последствиями происходящего в виде масштабных бот-сетей и роста числа хактивистов ещё только предстоит разобраться.
Коллаж: «Секрет фирмы», freepik.com, Unsplash/Erik Mclean, flickr.com/viirok, CC BY 2.0