Киберугрозы уже давно являются тем типом рисков, который может нанести серьезный ущерб бизнесу любого размера: подпортить репутацию, привести к потере денег или критически важной информации, повлечь за собой непредвиденные траты и неприятные разбирательства с клиентами, акционерами и ведомствами, контролирующими соблюдение законодательных норм. Проблема усугубляется еще и тем, что киберугрозы далеко не статичны: они множатся с каждым днем, становятся разнообразнее и сложнее, а киберпреступники, стоящие за ними, начинают все чаще применять метод целенаправленных атак на конкретные компании. Чтобы яснее понимать ситуацию в области информационной безопасности и те последствия, к которым может привести даже единичный компьютерный инцидент, представим все в цифрах и фактах, полученных на основе данных «Лаборатории Касперского» по анализу событий 2014 г., а также взглянем на киберугрозы с позиции самих компаний. Такой подход не только даст максимально полное видение ситуации, но и позволит сделать краткосрочные прогнозы на ближайший год и понять, какие именно «рубежи» стоит защищать в первую очередь.
Киберугрозы в цифрах и фактах
В 2014 г. защитные продукты «Лаборатории Касперского», предназначенные как для корпоративных, так и для домашних пользователей, заблокировали более 6 млрд вредоносных атак на компьютеры и мобильные устройства. Любопытно, как сильно возросло количество атак на смартфоны и планшеты: в частности, было зафиксировано свыше 3,5 млн атак на платформу Mac OS X, которую часть пользователей до сих пор считают неуязвимой. Кроме того, около 1,5 млрд инцидентов пришлось на устройства с мобильной ОС Android, и за минувший год число подобных атак увеличилось в четыре раза.
Кстати, именно мобильные устройства являются сегодня отдельной «головной болью» для корпоративных ИT-инфраструктур. Использование личных смартфонов и планшетов в рабочих целях допустимо уже в абсолютном большинстве организаций, однако надлежащее управление этими устройствами и включение их в общую систему информационной безопасности компании практикуются далеко не везде. Риску подвергаются прежде всего смартфоны и планшеты на базе Android: согласно данным «Лаборатории Касперского», на эту платформу сегодня нацелено 99% вредоносного ПО, специализирующегося на мобильных устройствах.
Оценка темпа роста киберугроз: 1990-е против 2010-х
Основной источник киберугроз, конечно же, Интернет. За весь 2014 г. эксперты «Лаборатории Касперского» обнаружили более 123 млн уникальных вредоносных файлов, пришедших из Сети. К этому стоит добавить еще почти 2 млн «зловредов», которые попадали на устройства по локальным источникам: флешкам, съемным дискам, внутренним корпоративным сетям, файловым серверам и т. д. Чтобы понять, откуда берется такое количество угроз, и представить, с какой скоростью увеличивается их численность, достаточно сказать, что ежедневно специалисты «Лаборатории Касперского» обрабатывают 325 тыс. образцов нового (!) вредоносного ПО.
На компьютеры пользователей «зловреды» попадают чаще всего двумя способами: через уязвимости в легальном ПО и при помощи методов социальной инженерии. Разумеется, нередко встречается сочетание этих двух приемов, но злоумышленники не пренебрегают и другими уловками. Отдельная угроза для бизнеса – таргетированные атаки, которые становятся все более распространенным явлением. Но обо всем по порядку.
Уязвимости рано или поздно возникают в любом программном обеспечении. Это могут быть ошибки при разработке программы, устаревание версий или отдельных элементов кода. Как бы то ни было, основной проблемой является не наличие уязвимости, а ее своевременное обнаружение и закрытие. К слову, в последнее время (2014 г. – яркое тому свидетельство) производители ПО начинают все активнее закрывать имеющиеся в их программах уязвимости. Однако брешей в приложениях все равно хватает, и киберпреступники используют их для проникновения в корпоративные сети. В 2014 г. 45% всех инцидентов, связанных с уязвимостями, были спровоцированы «дырами» в популярном ПО Oracle Java. Кроме того, в прошедшем году был отмечен «переломный момент» – обнаружена уязвимость в распространенном протоколе шифрования OpenSSL, получившая название Heartbleed. Эта ошибка позволяла злоумышленнику читать содержимое памяти и перехватывать личные данные в системах, использующих уязвимые версии протокола. OpenSSL широко применяется для защиты данных, передаваемых через Интернет (в том числе информации, которой пользователь обменивается с веб-страницами, электронных писем, сообщений в интернет-мессенджерах), и данных, передаваемых по каналам VPN (Virtual Private Networks), поэтому потенциальный ущерб от этой уязвимости был огромным. Не исключено, что эту уязвимость злоумышленники могли использовать как старт для новых кампаний кибершпионажа.
В отличие от уязвимостей, которые киберпреступники эксплуатируют, не затрагивая напрямую пользователей, метод социальной инженерии предполагает контактирование с потенциальной жертвой. Путем обмана, мошенничества, игры на чувствах пользователей злоумышленники вынуждают человека самостоятельно загружать вредоносный файл на компьютер или вводить нужную им информацию на фишинговых сайтах. Именно так, например, поступали киберпреступники в рамках кампании кибершпионажа Darkhotel, раскрытой «Лабораторией Касперского» в 2014 г. и затронувшей руководителей ряда известных организаций. Механика этих атак была тщательно продумана: после того как жертва заселялась в отель и подключалась к взломанной Wi-Fi-сети, указывая свою фамилию с номером комнаты, ей автоматически предлагалось скачать обновление для популярного ПО – GoogleToolbar, Adobe Flash или Windows Messenger. В действительности же это действие приводило к установке вредоносного ПО, которое и помогало киберпреступникам похищать конфиденциальные данные.
Количество организаций, ставших жертвами целенаправленных кибератак и кампаний кибершпионажа, увеличилось в 2014 г. почти в 2,5 раза. За прошедший год почти 4,5 тыс. организаций по меньшей мере в 55 странах, в том числе в России, стали целью киберпреступников. Кража данных произошла как минимум в 20 различных секторах экономики, включая государственные, телекоммуникационные, энергетические, исследовательские, индустриальные, здравоохранительные, строительные и другие компании. Киберпреступники крали пароли, файлы, геолокационную информацию, аудиоданные, делали снимки экранов и контролировали веб-камеры. Скорее всего, в некоторых случаях эти атаки имели поддержку государственных структур, другие же с большей вероятностью осуществлялись профессиональными группировками кибернаемников.
В последние годы Центр глобальных исследований и анализа угроз «Лаборатории Касперского» отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и др.
Последствия таргетированных операций и кампаний кибершпионажа всегда крайне серьезны. Они неминуемо заканчиваются взломом и заражением корпоративной сети, нарушением бизнес-процессов, утечкой конфиденциальной информации, в частности интеллектуальной собственности. Давайте посмотрим, насколько готовы к новым угрозам российские компании.
Киберугрозы глазами самих компаний
«Лаборатория Касперского» при содействии независимой компании B2B International ежегодно проводит исследования с целью выяснить отношение ИT-специалистов к вопросам информационной безопасности. Подобные регулярные опросы дают возможность понять, как современный бизнес воспринимает киберугрозы, как часто компании с ними сталкиваются, от каких типов атак и угроз они страдают чаще всего, какие несут потери, какие меры защиты применяют и как распределяют бюджет на ИT.
Последнее такое исследование было проведено в 2014 г., и оно показало, что абсолютное большинство российских компаний (91%) недооценивают количество существующего на сегодняшний день вредоносного ПО. Более того, они даже не предполагают, что число «зловредов» постоянно увеличивается.
Возможно, это заблуждение и привело к тому, что в 2014 г. 98% российских компаний столкнулись с теми или иными киберинцидентами, источники которых находились, как правило, вне самих предприятий. Для сравнения: в предыдущем году таких компаний было на 3% меньше. Кроме того, в 87% организаций были зафиксированы также инциденты, обусловленные внутренними угрозами. В обоих случаях около четверти пострадавших компаний лишились важной конфиденциальной информации, а финальная сумма ущерба для крупных компаний в среднем составила 20 млн руб. за каждую успешную кибератаку, а для предприятий среднего и малого бизнеса – почти 800 тыс.
Среди внешних киберугроз наибольшее опасение у бизнеса по-прежнему вызывает вредоносное ПО – этот тип угроз беспокоит 77% опрошенных ИT-специалистов. 74% компаний озабочены проблемой спама. Около четверти респондентов признались, что они видят угрозу для бизнеса в фишинговых атаках (28%), корпоративном шпионаже (26%) и сетевых вторжениях (23%). Также компании обеспокоены распространением DDoS-атак, кражей мобильных устройств и крупного оборудования, злонамеренным вредительством. Однако лишь 10% из них считают, что сегодня стоит опасаться таргетированных атак, а между тем это одна из основных и быстро набирающих обороты угроз для бизнеса.
Из числа внутренних угроз почти половину компаний беспокоят уязвимости в ПО, и это хороший показатель, говорящий о том, что бизнес начинает осознавать опасность и пытается ее нивелировать. Кроме того, переживают компании из-за возможности случайной или намеренной утечки данных – об этом заявили в общей сложности более половины опрошенных ИT-специалистов. Значительную долю компаний (около 20%) волнуют утечка данных через мобильные устройства, потеря мобильных устройств сотрудниками и мошенничество работников. Любопытно, что 13% ИT-специалистов заявили, что не переживают из-за внутренних угроз. Возможно, это объясняется тем, что в ряде компаний не принято разделять киберугрозы на внешние и внутренние. Кроме того, среди российских руководителей служб ИТ и ИБ есть такие, которые предпочитают решать все проблемы с внутренними угрозами посредством запретов. Однако если человеку что-то запрещено, это вовсе не означает, что он этого не делает. Поэтому любые политики безопасности, в том числе запрещение, требуют соответствующих инструментов контроля, которые позволят гарантировать соблюдение всех требований.
Что касается типов информации, интересующей злоумышленников прежде всего, то, как показало исследование, представления компаний и реальное положение дел существенно различаются. Сами компании больше всего боятся потерять информацию о клиентах, финансовые и операционные данные, а также интеллектуальную собственность. Немного меньше бизнес переживает за информацию по анализу деятельности конкурентов, платежную информацию, персональные данные сотрудников и данные о корпоративных счетах в банках. На деле же киберпреступники чаще всего крадут внутреннюю операционную информацию компаний (в 56% случаев), однако защищать эти данные в первую очередь считают необходимым лишь 15% компаний. Приоритет номер 2 для злоумышленников – персональные данные сотрудников: именно они крадутся в 26% киберинцидентов. А уделять повышенное внимание защите этого типа данных собираются лишь 7% компаний. Четверть инцидентов заканчивается утечкой финансовых данных – и вот здесь можно говорить о некотором соответствии ожидания и реальности, поскольку 19% компаний намерены защищать подобную информацию особенно тщательно. Любопытно, что информация о клиентах, которую компании боятся потерять больше всего, интересует злоумышленников лишь в четвертую очередь. Возможно, это объясняется тем, что в России конкурентный кибершпионаж пока не так развит, как за рубежом.
Если говорить о способах защиты от киберугроз, то наиболее распространенной мерой обеспечения информационной безопасности в российских организациях до сих пор остается антивирусное ПО. Вместе с тем, сегодня около 40% ИT-специалистов полагают, что компанию необходимо защищать от таргетированных атак. Более того, они прекрасно понимают, что стандартный антивирус не поможет им решить эту задачу, и настаивают на построении комплексной системы защиты, охватывающей всю ИT-инфраструктуру предприятия. Около трети ИT-специалистов считают необходимым всеми мерами предотвращать утечку данных и противодействовать DDoS-атакам, делающим недоступными веб-ресурсы компании. Эти цифры позволяют предположить, что компании не только начинают уделять внимание нейтрализации прямых финансовых рисков, но и стремятся избежать ущерба для своей репутации, который неизбежен в случае утечки данных или неработоспособности важных веб-ресурсов.
Однако если говорить о применяемых методах защиты, то оказывается, что сегодня 60% российских компаний концентрируют свои усилия на защите от вредоносного ПО. Более половины организаций также взяли в свои руки управление обновлениями и делают все возможное для своевременного закрытия уязвимостей в ПО. Наконец, более трети (38%) организаций применяют практику контроля приложений, т. е. ограничивают использование некритичных для бизнеса программ, избегая ряда уязвимостей.
В целом же необходимо помнить, что надежная защита от всего многообразия киберугроз базируется на трех важных составляющих: использование современного качественного защитного ПО, применение политик безопасности, регулирующих права доступа пользователей к различной информации и сервисам, обучение персонала правилам работы с конфиденциальной информацией.
Чего ждать в ближайшее время
Мы предполагаем, что в 2015 г. целевые атаки на компании будут все быстрее набирать обороты. Причем подобные вредоносные кампании будут скорее не масштабными международными операциями, спонсируемыми государствами, а локальными диверсифицированными атаками, которые будут проводиться небольшой группой хакеров в отношении конкретных организаций (не обязательно крупных). При таком подходе кампании кибершпионажа будет сложнее выявить, следовательно, число предприятий, которые могут пострадать от действий киберпреступников, вероятно, увеличится.
В зоне особого риска будут финансовые организации. Как показывают события последних месяцев, злоумышленники все больше интересуются возможностью украсть деньги напрямую у банков, платежных сервисов и других финансовых компаний. В погоне за прямой выручкой киберпреступники с большой долей вероятности будут атаковать не только интернет-сервисы банков и платежных систем, но и банкоматы, терминалы самообслуживания, системы мгновенных платежей, даже кассовые аппараты. В 2014 г. подобные прецеденты уже были: так, «Лаборатория Касперского» раскрыла операцию Tyupkin, в ходе которой злоумышленники похитили миллионы долларов из банкоматов, предварительно заразив их вредоносным ПО.
Разумеется, одну из основных опасностей для целостности корпоративной сети и сохранности конфиденциальной информации по-прежнему будут представлять уязвимости в ПО. Обнаружение критических «дыр» в важном и широко используемом программном обеспечении (в частности, в протоколе шифрования OpenSSL) привело к тому, что ряд ключевых программ теперь проходит проверку на наличие уязвимостей. А это, в свою очередь, означает, что в 2015 г. будут обнаружены новые бреши в старых программах. Следовательно, вопросу управления обновлениями ПО следует уделить особое внимание.
Интернет вещей перестал быть идеей фантастов и все активнее проникает в повседневную жизнь, в том числе в бизнес. Корпоративные сети уже сегодня включают в себя сетевые принтеры и телевизоры Smart TV. Кроме того, многие технологические системы в современных офисных зданиях также подключены к Глобальной сети. Эти обстоятельства могут привести к тому, что киберпреступники будут использовать новые «точки входа» для проникновения в корпоративные ИT-инфраструктуры, например сетевые принтеры. Не исключены и атаки в целях киберсаботажа и выведения из строя офисных систем жизнеобеспечения. Таким образом, компаниям придется решать вопросы по расширению периметра системы информационной безопасности и включению в него ряда новых устройств и сервисов.