редакции
Кибератаки в МСБ: какие есть средства защиты от последствий «нового дивного мира»
Первые DoS-атаки, как рассказывают Demis Group в своём блоге, датируются концом 1980-х годов, когда исследователи начали экспериментировать с «червями» — программами, которые могут самостоятельно распространяться по компьютерным сетям. В 1988 году Роберт Моррис, студент Корнельского университета, запустил червя «Morris Worm», который заразил тысячи компьютеров в сети интернет. Хотя Моррис не планировал DoS-атаку, его червь перегрузил зараженные машины, что привело к отказу в обслуживании для многих пользователей.
По сравнению с 2022 годом в 2023-м общее количество DDoS-атак во всем мире выросло на 63%. В первом квартале 2024-го число DDoS-атак выросло почти на 30%, по сравнению с аналогичным периодом годом ранее, а по оценке DDoS-Guard на 58%.
Причём по мнению Ольги Поповой, ведущего юриста Staffcop («Атом безопасность» входит в ГК СКБ Контур), процент атак на ресурсы МСБ растёт по сравнению с крупным бизнесом.
МСБ часто управляется одним человеком или небольшой командой, в отличие от крупного, в котором каждое подразделение несет ответственность за инфозащиту бизнеса. МСБ нередко не готов обеспечить инфобезопасность бизнеса в полном объеме. Зачастую использует более гибкую и простую модель коммуникаций с внешним миром, так как ему приходится адаптироваться к быстро меняющейся среде и находить новые способы конкурировать. Например, менеджер-клиент-сделка. У крупного бизнеса эта же схема может быть иной: коллцентр-менеджер-юрист-бухгалтер-финдиректор-сделка.
Таким образом, МСБ может экономить на инфобезопасности своего бизнеса. При этом готовы заплатить мошенникам в случае кражи клиентской базы, так как их бизнес зависит от этих данных, и их потеря может привести к серьезным финансовым убыткам. В то время, как крупные компании часто дублируют данные, создают резервные копии и систему разделения информации, что делает их менее уязвимыми,
Атаки стали различной географической направленности и большей мощности. Справляются ли в России предприниматели рынка МСБ с конкурентными или просто мошенническими нападениями на их интернет-проекты? Как с ними справиться и какие решения самые надёжные? Вопросов масса. Мы выделили три основных:
- Какие технологии сейчас помогают предотвратить кибератаки в МСБ?
- Какой бюджет нужен компании для защиты от кибератак?
- Как сейчас судебная система противостоит кибератакам?
Вячеслав Новосёлов, генеральный директор SkyDNS, так описал ситуацию:
Зачастую предприятиям МСБ не хватает цифровой грамотности и бюджета для адекватной защиты своих критически важных активов, и поэтому они все чаще становятся жертвами кибератак.
Никита Черняков, руководитель Департамента развития бизнеса решений ИБ компании Axoft поддерживает коллегу: «Основная особенность, которая достаточно очевидна — как правило, у компаний, относящихся к МСБ с одной стороны не огромные бюджеты как на закупку средств предотвращения кибератак, так и на содержание собственного штата ИБ специалистов, с другой стороны, эти компании достаточно часто прибегают к услугам подрядчиков и поставщиков услуг (внешние бухгалтерские и юридические компании, MS- и MSS-провайдеры, облачные провайдеры и список можно долго продолжать), а это, в свою очередь, делает компании МСБ более уязвимыми, например, к атакам через цепочку поставок, фишинговым атакам и атакам через публично доступные WEB-приложения.»
Однако есть и более позитивное мнение о возможностях МСБ. Им поделился Сергей Белов, руководитель группы исследований безопасности банковских систем в Positive Technologies:
Чтобы эффективно противостоять новым угрозам, МСБ активно внедряет современные технологии, в том числе искусственный интеллект (ИИ) и машинное обучение (МО).
Технологии на основе ИИ и МО позволяют автоматизировать процессы обнаружения и реагирования на киберугрозы. Они способны анализировать огромные объемы данных в реальном времени, выявляя аномалии и подозрительное поведение в сетевом трафике и действиях пользователей. Например, системы могут распознавать нетипичные попытки входа в систему, изменения в доступе к файлам или необычную активность приложений. Это позволяет предотвращать атаки до того, как они нанесут ущерб.
Какие технологии сейчас помогают предотвратить кибератаки в МСБ?
Не все ставят вопрос технологий на первое место. Например, Дмитрий Зубарев, заместитель директора Аналитического центра УЦСБ комментирует так, указывая, что на первом месте всё же сотрудники, а не технологии: «На самом деле предотвращать кибератаки помогают не столько технологии, сколько грамотно выстроенные процессы ИБ. Эти процессы могут включать разработку и контроль выполнения внутренних политик, например, парольных политик и правил работы с конфиденциальной информацией, проведение контрольных мероприятий, таких как аудиты ИБ и тестирования на проникновение, мониторинг и реагирование на инциденты ИБ, управление обновлениями ПО и устранением уязвимостей и, конечно, внедрение и поддержку средств защиты.»
И Вячеслав Новосёлов, генеральный директор компании SkyDNS, соглашается с ним:
Самый действенный способ защитить корпоративную систему безопасности — это обучение сотрудников цифровой гигиене и основам кибербезопасности. Поскольку основная причина большинства инцидентов — это по-прежнему человеческая ошибка, обучение сотрудников распознаванию фишинговых атак и безопасному использованию личных устройств поможет обезопасить от потенциальных угроз в сети. Осведомлен значит вооружен.
Относительно технологической защиты, эксперты сходятся во мнении, что должен получиться следующий перечень параметров и составляющих информационной безопасности:
1. Резервное копирование критически важных данных
Это одна из мер по предотвращению последствий кибератак. Как правило, злоумышленники шифруют данные и либо требуют выкуп, либо нарушают непрерывность работы бизнеса. Согласно статистике NCSA, 60% малых компаний закрываются в течение 6 месяцев после взлома. Затраты на устранение последствий утечек данных начинаются от пары миллионов. Не говоря уже о репутационных рисках...
Чтобы избежать простоев и сбоев, а также последствий от краж данных, рекомендую регулярно создавать бэкапы. Так вы сможете в любой момент «откатить» систему до исправного состояния и вернуть всю важную информацию. Для малого и среднего бизнеса отлично подойдут облачные решения для хранения и резервного копирования, потому что содержать собственную инфраструктуру могут позволить себе только крупные игроки. При использовании облачного хранилища для бэкапов, стоимость резервного копирования может начинаться от 5-10 тысяч в месяц, что позволяет экономично защитить себя от кибератак,
2. Использование многофакторной идентификации. Требует подтверждения личности с помощью нескольких факторов (пароль + код), что снижает риск взлома.
3. Межсетевые экраны NGFW или файерволы, которые сочетают в себе работу антивирусов, брандмауэров и других решений, помогают компании настроить базовый уровень безопасности. Также NGFW используют VPN, что помогает защитить информацию от перехвата в процессе передачи.
4. Блокировка атак через DNS. Внедрение средств защиты от посещения потенциально опасных ресурсов и возможного перехвата запросов через DNS-протокол.
5. Антивирусное программное обеспечение, которое своевременно обновляется.
6. Системы обнаружения и предотвращения вторжений (IDS/IPS). Такие системы мониторят сетевой трафик на наличие подозрительной активности и могут реагировать на угрозы в реальном времени.
7. Шифрование данных: Шифрование помогает защитить конфиденциальную информацию, делая ее недоступной для злоумышленников, — напоминает про этот пункт Олег Ленков, вице-президент Независимой Коллегии адвокатов Ленинградской области.
8. Важную роль играет также внедрение комплексных систем кибербезопасности, включающих межсетевые экраны нового поколения, системы предотвращения вторжений (IPS), решения по управлению информацией и событиями безопасности (SIEM), а также технологии защиты конечных точек (EDR). Эти инструменты работают совместно, создавая многослойную защиту от различных типов атак,
В итоге, как резюмирует и даёт рекомендацию Дмитрий Зубарев, заместитель директора Аналитического центра УЦСБ: «Выбор средств защиты зависит от многих факторов, но базовый набор как правило включает антивирусные средства, межсетевые экраны и WAF — в случае веб-приложений. Малый бизнес чаще всего ограничивается именно этими средствами. Более крупные компании, в которых налажен процесс мониторинга и реагирования на инциденты, используют такие решения, как SIEM и EDR. Эти решения позволяют собирать данные о подозрительной активности с АРМ и серверов и эффективно обнаруживать атаки в большой инфраструктуре.»
Какой бюджет нужен компании для защиты от кибератак?
Эксперты не дают единообразного мнения, поэтому приводим вам 2 основных варианта от них:
Первый предоставили Олег Ленков, вице-президент Независимой Коллегии адвокатов Ленинградской области и Сергей Белов, руководитель группы исследований безопасности банковских систем в Positive Technologies:
Бюджет на защиту от кибератак может варьироваться в зависимости от размера компании и уровня угроз:
Малые предприятия: Обычно затраты составляют 5-10% от общего IT-бюджета. Это может включать антивирусное ПО, фаерволы и обучение сотрудников — от 50 000 до 200 000 рублей в год.
Средние предприятия: Затраты могут достигать 10-15% от IT-бюджета. Включает более продвинутые технологии и услуги по управлению безопасностью — от 500 000 до 2 миллионов рублей в год.
Второй вариант предлагает Никита Черняков, руководитель Департамента развития бизнеса решений ИБ компании Axoft:
Существуют разные подходы к определению оптимального бюджета на ИБ (уровня инвестиций в информационную безопасность), одним из них является модель Гордона — Лёба, которая определяет, что оптимальный уровень инвестиций в информационную безопасность должен быть меньше или равен 37% от ожидаемых убытков от нарушения безопасности.
Поэтому бюджет на ИБ (даже гипотетический оптимальный уровень бюджета) для каждой компании будет индивидуален и зависит в первую очередь от того, как (в какую сумму) сам бизнес оценивает потенциальные убытки от потери тех или иных данных.
Как сейчас судебная система противостоит кибератакам?
Развёрнутый ответ по этому вопросу дал Сергей Белов:
В последние годы российская судебная система и законодательство активно развиваются для противостояния киберугрозам. Были приняты и обновлены ряд нормативных актов, усиливающих ответственность за киберпреступления и устанавливающих новые требования к защите информации.
Одним из ключевых законов является Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», принятый в 2017 году. Он направлен на защиту важных объектов информационной инфраструктуры от кибератак, устанавливая обязательства для операторов по обеспечению безопасности, проведению категорирования объектов и уведомлению о компьютерных инцидентах.
Федеральный закон № 152-ФЗ «О персональных данных» также играет значимую роль, устанавливая требования по сбору, обработке и защите персональных данных граждан. В последние годы в него вносились изменения, усиливающие контроль над трансграничной передачей данных и вводящие новые обязанности для операторов персональных данных, включая необходимость уведомления регулятора о инцидентах, связанных с утечкой данных.
В Уголовный кодекс Российской Федерации внесены поправки, ужесточающие наказания за преступления в сфере компьютерной информации. Статьи 272-274 УК РФ предусматривают ответственность за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ. Увеличены сроки лишения свободы и размеры штрафов за такие преступления.
Судебная практика показывает рост числа дел, связанных с киберпреступлениями. Органы правопорядка улучшают свои навыки и технические возможности для расследования подобных преступлений, что повышает вероятность привлечения злоумышленников к ответственности.
На международном уровне Россия участвует в ряде соглашений и конвенций, направленных на сотрудничество в борьбе с киберпреступностью. Это способствует обмену информацией и опытом с другими странами, что особенно важно в условиях глобального характера киберугроз.
Правительство России также реализует национальные стратегии и программы по кибербезопасности. Разрабатываются меры поддержки отечественных производителей средств защиты информации, стимулируется развитие научных исследований в этой области. Это направлено на снижение зависимости от зарубежных технологий и повышение уровня национальной кибербезопасности.
Для МСБ важно следить за изменениями в законодательстве, чтобы соответствовать новым требованиям и избегать штрафов и других санкций. Компании должны назначить ответственных за обеспечение кибербезопасности, проводить регулярные аудиты и оценку рисков, а также взаимодействовать с регуляторными органами при необходимости.