Сотрудники 94% российских компаний и госструктур скачивают фильмы с торрентов, общаются через мессенджеры, используют простые пароли вроде 12345, а доступ к внутренним сетям предприятий и организаций извне открыт. К таким выводам пришли специалисты Positive Technologies, проанализировав внутренний трафик госорганизаций, промышленных предприятий, компаний ТЭК, финансовых и других структур (изучался трафик 38 крупных юрлиц, где работает свыше 1 тыс. человек). К факторам риска Positive Technologies относит и удаленный доступ к корпоративным ресурсам, который дают своим сотрудникам 67% предприятий и организаций. Домашний компьютер сотрудника может быть взломан и через него злоумышленники получат доступ к корпоративной сети.
Результат пренебрежения требованиями информационной безопасности налицо — в 81% корпоративных сетей и сетей госструктур, проверенных с помощью средств глубокого анализа трафика (NTA), обнаружились вредоносные программы. В 55% из них «обитают» майнеры, «добывающие» на зараженных компьютерах криптовалюту втайне от владельцев, в 28% — софт, несанкционированно показывающий рекламу, в 24% — откровенно шпионское ПО.
Подозрительный трафик фиксируется в 97% сетей, также пишут в своем отчете аналитики. Но проблема в том, что отличить активность сотрудников, заходящих на запрещенные сайты через Tor, VPN и прокси-серверы, от активности внешних злоумышленников, вторгающихся в сеть, крайне затруднительно: в обоих случаях используются одни и те же технологии. При этом киберпреступники могут делать то же, что и системные администраторы предприятия, — пользоваться удаленным доступом к компьютерам, запускать те или иные программы и прочее. Всё это приводит к тому, что хакеры могут незаметно воровать данные из корпоративной информационной системы, констатируют авторы отчета.
Ущерб российской экономики от действий кибермошенников в 2019 году составил около 2,5 трлн рублей, говорил ранее зампред правления Сбербанка Станислав Кузнецов. А в 2020-м он может достичь 3,5–3,6 трлн рублей.
Мнения экспертов по информационной безопасности относительно выводов аналитиков разделились. Описанные в отчете проблемы руководитель направления оценки защищенности «Ростелеком-Солар» Алексей Гришин считает актуальными. В сетях организаций ежегодно растет доля стороннего трафика для удаленного администрирования и передачи данных. По его словам, эксперты компании наблюдают за динамикой инцидентов с 2017 года и фиксируют рост атак с использованием хакерских вредоносных ПО в среднем на уровне 64% в год. Злоумышленники стали более чем в полтора раза чаще использовать средства удаленного администрирования, рассказывает Алексей Гришин. А 9,3% всех атак можно классифицировать как нарушение политики доступа в интернет (в том числе использование Tor-клиентов, анонимайзеров и посещение хакерских форумов) сотрудниками компаний.
По словам эксперта, 90% организаций не знают, что подверглись атаке, и списывают действия злоумышленников на компьютерные сбои. При этом с каждым днем всё сложнее отличить внутреннюю активность от внешней: хакеры пользуются легитимными утилитами, маскируясь под деятельность сотрудников компаний, говорит он.
В корпорациях действуют наиболее жесткие требования к инфобезопасности (ИБ): в частности, запрещен и отслеживается запуск приложений типа торрентов, говорит директор экспертно-аналитического центра группы компаний InfoWatch Михаил Смирнов. В сфере защиты информации есть тенденции, совпадающие с описанными в отчете, — анализа выявленных инцидентов с применением базовых средств недостаточно, отмечает он. Необходимо проверить большой массив данных (в т.ч. сетевого трафика, переписки пользователей и т.д.) для оперативного реагирования, выработать меры по ликвидации последствий и недопущению подобного. Как правило, инциденты происходят потому, что злоумышленникам поневоле помогают пользователи, сознательно или по неосторожности нарушающие требования ИБ, констатирует эксперт.
Коммерческий директор ИБ-вендора «Аванпост» Александр Санин, в свою очередь, считает данные Positive Technologies нерепрезентативными. Во многих случаях идет указание на подозрительную активность, но она может быть и нормальной рабочей деятельностью компании, необязательно, что это следы действий злоумышленников, рассуждает эксперт. По словам Александра Санина, требования ИБ, безусловно, могут и не выполняться в ряде компаний, но если это и не единичные случаи, то их явно меньше 50%.
На уровень защищенности компаний от киберугроз влияет несколько факторов, говорит тренер лаборатории компьютерной криминалистики Group-IB Сергей Золотухин. Это недооценка уровня развития киберпреступности со стороны бизнеса и госорганизаций, недостаток внимания к современным технологиям, обеспечивающим адекватную защиту, и низкий уровень знаний в этой сфере — среди как технических специалистов, так и простых пользователей, пояснил он.
Эксперт считает, что организациям необходимо выстраивать свою систему защиты так, чтобы минимизировать зависимость от человеческого фактора.
— Важен комплексный подход, сочетающий внедрение опережающих технологий предотвращения угроз, подготовку профильных специалистов, проведение киберучений c регулярной имитацией различного рода атак на компанию с использованием продвинутых инструментов из арсенала хакерских групп, — отметил Сергей Золотухин.
Также нужно учить сотрудников соблюдению базовых требований безопасности, ведь без комплекса этих составляющих статистика по угрозам будет по-прежнему неутешительна, добавил эксперт.
Риски ИБ, связанные с действиями сотрудников, можно значительно сократить путем внедрения эффективного комплексного контроля и наращивания мотивации персонала, согласен Михаил Смирнов.
Валерий Кодачигов
Анастасия Гаврилюк