В 96% случаев российские компании оказались не защищены от киберпреступлений. Хакеры могут взломать их системы в среднем за 10 дней.
Компания Positive Technologies провела пентесты (моделирование атак злоумышленников) для оценки защищённости информационных систем организаций из разных секторов экономики. В рамках исследований было выполнено 28 проектов по тестированию на проникновение, причём 39% протестированных компаний входят в рейтинг крупнейших по объёму реализации продукции — RAEX–600.
Результаты тестов показали, что в 96% случаев информационные системы не защищены от проникновения хакеров во внутреннюю сеть. Самое быстрое проникновение было осуществлено специалистами в первый же день начала работ, при этом в среднем на это требовалось 10 дней.
Все организации, где проводилось внутреннее тестирование на проникновение, оказались уязвимы для полного контроля над IT–инфраструктурой. В 63% компаний злоумышленник с низкой квалификацией мог бы проникнуть в локальные сети извне.
В 96% организаций пентестеры смогли получить учётные данные сотрудников. В 64% случаев был выявлен риск получения злоумышленниками доступа к конфиденциальной информации. Более того, в каждом проекте была подтверждена возможность реализации хотя бы одного недопустимого события, для которого не требовалось полного контроля над IT–инфраструктурой.
В 70% проектов внешнего тестирования были обнаружены критически опасные уязвимости, вызванные устаревшим ПО, а в 19% — уязвимости, связанные с небезопасным кодом веб–приложений. Также выяснилось, что 27% векторов проникновения в локальные вычислительные сети состояли из одного или двух шагов, тогда как в среднем на это требуется четыре шага. В ходе внутренних тестов контроль над доменом удавалось получить в 100% случаев.
Наибольшая часть пентестов проектов пришлась на фармацевтику (25%), финансовую сферу (23%), промышленность (14%), телекоммуникационные технологии (14%).
Забывают про ответственность
В последние годы крупные компании начали гораздо ответственнее подходить к информационной безопасности. Это связано как с постоянно увеличивающимся количеством атак, так и с более строгими требованиями регуляторов. Однако обеспечение информационной безопасности предполагает постоянную работу над улучшением защиты. И несмотря на рекомендации компаний по информационной безопасности, люди склонны пренебрегать базовыми правилами. Например, не следуют парольной политике и откладывают обновления, отмечает главный эксперт "Лаборатории Касперского" Сергей Голованов.
При этом он настаивает, что внешних угроз для компаний всё же больше, чем внутренних. "Инциденты с инсайдерами случаются, однако в общем объёме они очень редки. Наш опыт показывает, что в основном атаки происходят извне, а начальным вектором компрометации остаётся использование уязвимостей в публично доступных приложениях и подбор слабых паролей", — добавляет он.
Заместитель гендиректора Staffcop Юрий Драченин обращает внимание, что чем больше сотрудников в компании, тем выше вероятность человеческих ошибок или злонамеренных действий, которые могут привести к утечкам данных. Компании неправильно оценивают портрет киберугроз, недостаточно внимания уделяют внутренним рискам и защите внутреннего периметра.
Размер компании напрямую влияет на количество и сложность IT–сервисов, которые она использует, говорит руководитель направления информационной безопасности iTProtect Кай Михайлов. "Широкий периметр несёт большие риски, а безопасность всего периметра равна безопасности самого слабого звена. С точки зрения информационной безопасности, например, примитивный статичный сайт–визитка несёт намного меньше рисков, чем комплексное и масштабное веб–приложение, рассчитанное на большой поток данных. Получается, что при росте масштаба компании проблемы информационной безопасности нарастают нелинейно", — подчёркивает он.
Рук не хватает
Руководитель отдела системного администрирования IT–компании Simpl Константин Ильиных подчёркивает, что специалист по кибербезопасности — достаточно новая должность в крупных компаниях. Зачастую корпорации экономят на экспертах в сфере цифровой безопасности, но уже наблюдаются улучшения. Из–за того, что проблем киберпреступники стали доставлять больше, потребность в таких кадрах увеличивается. Однако профессионалов на рынке очень мало.
"Эти специалисты по кибербезопасности всегда работают на опережение и просчитывают риски, находят уязвимости системы, укрепляют её и обосновывают руководству бюджет на выделение специальных программ для защиты инфраструктуры. То есть их функции намного превышают компетенции рядового системного администратора. Соответственно, и зарплата у таких специалистов выше", — добавил Ильиных.
Специалист по кибербезопасности в первую очередь общается с сотрудниками и коллегами, проводит им ликбез и объясняет правила передачи информации внутри компании. Например, обязательное правило о двухфакторной аутентификации, смене пароля каждые 3 месяца на рабочем компьютере. Иногда сотрудники эти правила не соблюдают. Поэтому процент внутренних угроз выше, чем внешних.
Не суди по тестам
По словам главы дирекции кибербезопасности IBS Олега Босенко, чтобы делать выводы о степени защищённости компаний от киберугроз, результатов одних пентестов недостаточно. Нужно сопоставить их с информацией о событиях в этих компаниях, таких как взлом или утечки.
"Успешность пентестов зачастую обусловлена наличием большого количества уязвимостей в импортном софте и железе, которые применяются компаниями, а также отсутствием систематических обновлений от импортных производителей в связи с санкциями. Так что речь не о плохой защищённости, а о наличии системных проблемных вопросов в отечественной кибербезопасности, связанных с длительным трендом на применение импортных средств и отсутствием целенаправленного развития отечественных базовых продуктов", — уверен Босенко.
Уязвимы все отрасли
Не только финансы, промышленность и фармацевтика под угрозой, говорит генеральный директор Setere Group Олег Ивченков. "В первую очередь это объекты критической инфраструктуры, — отмечает он. — Из тех угроз, которые наименее изучены и на которые закрывают глаза, — продолжающееся использование эмуляторов типа Wine в импортозамещении софта. Именно разные версии эмуляторов и связанные с ними уязвимости — это открытая дорога для разного рода шифровальщиков и шпионского софта. Закрывать эту возможность надо обязательно на законодательном уровне".
В промышленности и фармацевтике кибербезопасность недофинансирована, продолжил в свою очередь Олег Босенко. А вот в финансовой сфере незащищённость вызвана развитием онлайн–услуг и электронной коммерции, что облегчило нарушителям доступ к точкам предоставления услуг. Но на самом деле перечень отраслей, которым требуется защита, намного шире. Например, ЖКХ и транспорт.