От воровства денег к политическим диверсиям: специалист по кибербезопасности рассказал, как изменились киберугрозы в России

Киберпреступники могут взломать инфраструктуру любой компании. При этом последствия могут оказаться катастрофичными не только для самой организации, но и для страны в целом. Об этом рассказал директор департамента мониторинга и реагирования на киберугрозы блока информационной безопасности «Ростелекома» Роман Семёнов.

По его словам, в последние годы все атаки на крупные компании в России стали политизированными, и сейчас они находятся на своём пике. Если ранее деструктивные действия атакующих разделяли в зависимости от их классификации, то теперь «мамкины хакеры» практически не встречаются на уровне крупных фирм.

Киберпреступников больше не интересуют вымогательство и разведка. Они разрушают инфраструктуру организаций и зачастую поверх прикрепляют баннер на украинском языке с описанием причин произошедшего.

Популярность также набирают атаки на цепочки поставок. Как отметил Роман Семёнов, стоимость взлома такой компании, как «Ростелеком», слишком высока. Поэтому злоумышленники целятся на поставщиков — например, на фирмы, которые привозят еду или занимаются аутсорсингом персонала по обслуживанию зданий.

«Мы в свою защиту вкладываем значительное количество сил, которые не могут вложить компании меньшего размера. Поэтому проще взломать их инфраструктуру и через них попытаться проникнуть к нам», — подчеркнул директор департамента.

Кроме того, специалист рассказал про изменения в атаках шифровальщиками. Ранее такие вирусы запускались в систему группой хакеров. Теперь же это стало сервисной услугой в дарк-вебе, которую оказывают кибергруппировки с гарантированными показателями качества.

Главными последствиями атак, не считая разрушения инфраструктуры, остаются утечки данных. При всех крупных атаках, о которых известно в публичном поле, произошли утечки переписок, отчётности, бухгалтерии.

Пострадавшим компаниям приходится не только заниматься устранением последствий, восстановлением инфраструктуры и сегментированием сетей, но и вдобавок к этому отчитываться перед регулятором.

Роман Семёнов подчеркнул, что в сложившихся условиях под ударом оказались государственные учреждения, промышленные предприятия, IT-компании, телеком-операторы, а также финансовый сектор. При этом атаки на финансовый сектор осуществляются не столько ради хищения денег, сколько для дестабилизации ситуации.

«Если отключить банк, входящий в топ-20, население нашей страны обязательно среагирует так, как это задумали злоумышленники — начнётся паника, начнётся вывод денежных средств, что повлечёт за собой негативные последствия», — подчеркнул Роман Семёнов.

Для обеспечения безопасности компании всё чаще прибегают к созданию SOC (Security Operation Center) — центров мониторинга информационной безопасности, которые управляют инцидентами с учётом как изменений в инфраструктуре и бизнес-процессах внутри, так и появления новых угроз и векторов атаки снаружи. Они появились ещё в конце 1970-х годов в США и постепенно развивались, достигнув уже четвёртого поколения.

В 2017 году свой SOC создали в «Ростелекоме». Он построен по классической модели — во главе стоит руководитель, который управляет несколькими отделами. На первой линии проводится первичная оценка и мониторинг, на второй линии происходит расследование нестандартных инцидентов информационной безопасности, на третьей — разрабатываются новые сценарии реагирования и осуществляется проактивный поиск угроз. Кроме того, в SOC функционирует подразделение криминалистики, в котором расследуются киберпреступления, отметил Роман Семёнов.

Поделиться в соцсетях:

Артур Федоськов