С КИИ — бди: большинство кибератак приходится на критическую инфраструктуру
За 2024 год количество кибератак на российские компании выросло в 2,5 раза, и большинство из них приходится на организации из отраслей критической информационной инфраструктуры (КИИ). Эти компании должны переходить на отечественное программное обеспечение в том числе для того, чтобы эффективно отражать подобные атаки. Однако и злоумышленники подстраиваются под импортозамещение: уже зафиксированы попытки хакерских групп переманить к себе российских разработчиков, чтобы найти уязвимости в отечественных ИБ-системах. Как переход на собственное ПО отражается на защищенности КИИ — разбирались «Известия».
Кибератак будет больше
Данные о росте числа кибератак в 2,5 раза относительно 2023 года представила компания RED Security. Утверждается, что за прошлый год совокупное число инцидентов информационной безопасности в компаниях достигло почти 130 тыс. А целями хакерских атак в 2024 году чаще всего оказывались организации отраслей критической информационной инфраструктуры России — 64% от общего числа инцидентов. Давление на КИИ только растет: в 2023 году эта доля составляла 47%. Произошло увеличение и «хорошо подготовленных целенаправленных атак» — на 60%, говорится в материалах RED Security.
Чаще всего атаковали промышленность (31% всех атак) и в большинстве случаев — в целях шпионажа. На втором месте — сфера ИТ, на третьем — финансовый сектор.
Данные других компаний в целом подтверждают выводы исследования RED Security. Так, центр исследования киберугроз Solar 4RAYS, рассказывая о ситуации с кибератаками за 10 месяцев 2024 года, сообщал, что количество расследованных инцидентов выросло почти на 45% в сравнении с тем же периодом 2023 года. В топе атакованных организаций — госорганы, промышленность и телеком-операторы.
В Минцифры не дали оценку объему кибератак на российские компании по запросу «Известий». Но опрошенные представители отрасли согласны с прогнозами коллег: кибератак стало больше. Директор компании Ideco Дмитрий Хомутов также указывает, что их число выросло с 2023-го более чем в два раза. Оценить точные количественные показатели при этом сложно, потому что многие инциденты попадают под соглашения о неразглашении, замечает директор по сервису компании «ЕСА ПРО» (входит в ГК «Кросс технолоджис») Михаил Назаров.
Заместитель гендиректора Staffcop («Атом Безопасность», входит в ГК СКБ «Контур») Юрий Драченин отмечает, что тенденция увеличения кибератак характерна и для других стран. В свою очередь, ИТ-архитектор практики «Технологическая трансформация» «Рексофт Консалтинг» Александр Черный подчеркивает, что рост числа кибератак в будущем неизбежен.
«Мало понимающие хактивисты»
Самыми активными месяцами для кибератак в RED Security называют февраль, май и июнь — в компании считают, это свидетельство того, что главная угроза по-прежнему исходит от так называемых хактивистов — киберпреступников, которые политически мотивированы.
Данные центра исследования киберугроз Solar 4RAYS также указывают на политическую мотивацию при кибератаках: около 70% расследованных компанией инцидентов было связано с деятельностью проукраинских группировок, а главной целью атакующих назывался шпионаж (54% расследованных инцидентов). На втором месте — кибератаки с целью финансовой выгоды, на третьем — уничтожение данных.
Директор по развитию направления кибербезопасности «EdgeЦентр», эксперт Ассоциации разработчиков программных продуктов «Отечественный софт» Максим Большаков отмечает, что за последнее время в Сети появилось много инструкций о том, как можно осуществить атаку. Причем в хактивизм стали всё чаще вовлекать молодое поколение.
— В большинстве случаев те, кто управляет атакой, привлекают к ее реализации мало понимающих молодых ребят, — пояснил он «Известиям». — Организация достаточно проста, и это позволяет увеличивать частотность атак.
Гендиректор Sеcurity Vision Руслан Рахметов в то же время замечает, что атаки становятся более продуманными и организованными: три года назад всплеск кибернападений начался с массовых DDoS-атак и дефейсов (когда вместо главной страницы сайта вывешивается другая, как правило, вызывающего содержания), затем атакующие перешли к более тщательному выбору целей и продвинутым инструментам.
При этом целями хактивистов становятся именно объекты критической инфраструктуры: успешная кибератака на них может привести к серьезным последствиям, включая перебои в работе жизненно важных услуг — энергоснабжении, водоснабжении, здравоохранении, говорит руководитель группы разработки и внедрения систем информационной безопасности «МойОфис» Артур Кондаков.
Впрочем, объем атак именно на субъекты КИИ объясняется еще и тем, что к ним относятся все основные организации страны: банки, промышленность, госорганизации, корпорации, — замечает руководитель центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов.
Разработка в боевом режиме
Напомним, что организации отрасли КИИ с 2022 года должны переходить на отечественное программное обеспечение. Как говорил в ноябре глава Минцифры Максут Шадаев, пока на 100% работа не завершена: в начале 2025 года останутся «компании и даже государственные органы, которые не смогли в полном объеме свои системы перевести на российские решения». Управляющий директор Orion soft Евгений Шишков в беседе с «Известиями» оценил долю импортозамещенного ПО в нефтегазовых компаниях в среднем в 30–40%, хотя эта отрасль является лидером в части внедрения отечественного софта на объектах КИИ. Дмитрий Хомутов из Ideco дает более позитивные цифры: 60% компаний смогли импортозаместить иностранные технологии, включая ИБ-системы.
В том же интервью министр в качестве одной из объективных причин неполного перехода на отечественное ПО называл «недостаточную зрелость российских решений по отдельным категориям». «То, что делают российские разработчики, должно работать, быть по умолчанию безопасным, защищенным», — говорил Максут Шадаев.
Однако Александр Черный из «Рексофт» считает, что сейчас процесс импортозамещения приводит «к увеличению количества уязвимостей».
— К примеру, согласно данным компании Positive Technologies, в 2024 году в российском ПО было обнаружено почти в три раза больше уязвимостей, чем в 2023-м, — напомнил он. — Причинами этого являются неприменение отечественными компаниями-разработчиками практик безопасной разработки программного обеспечения, недостаток квалифицированных специалистов, наблюдаемый на российском рынке в последние годы, а также недостаточная развитость и функциональность отечественных средств защиты информации по сравнению с ушедшими иностранными решениями.
Технический директор BPMSoft (входит в ИТ-холдинг LANSOFT) Алексей Гришин также считает крайне низкой эффективность перевода критической информационной инфраструктуры на отечественные решения. По его словам, компании просто оказались недостаточно подготовленными к этому, хотя в целом перевод на отечественное ПО может помочь в отражении кибератак.
Руслан Рахметов из Sеcurity Vision, впрочем, замечает, что зарубежные производители скомпрометировали себя, покинув отечественный рынок три года назад и оставив заказчиков без обновлений, технической поддержки и лицензий. Российские решения как минимум позволяют своевременно проводить обновления безопасности. Эксперт уверен, что отечественные средства защиты зачастую «более результативны по сравнению с импортными аналогами, в которых могут встречаться устаревшие технологии», тем более что «эксплуатируются в реальных боевых условиях» и улучшаются на основе реальной обратной связи.
— РФ находится под мощными атаками уже три года, поэтому у отечественных разработчиков будут все возможности в боевом режиме создавать гораздо более эффективные решения, — согласен Максим Большаков из «EdgeЦентр».
Он добавил, что российскому софту скорее не хватает эргономических характеристик, удобства использования, есть проблемы с масштабированием, но это решаемые трудности.
При этом и злоумышленники не сидят сложа руки. Максим Акимов из Innostage отмечает, что уже встречаются вакансии от хакерских группировок, которые пытались переманить специалистов-разработчиков российских ИТ-решений, чтобы более глубоко изучить ПО, найти уязвимости для новых атак.
Однако Максим Акимов подчеркивает, что эффективность кибератак снижается, только если сама компания пересматривает подход к обеспечению кибербезопасности и киберустойчивости бизнеса. А Артур Кондаков добавляет, что процент успешных атак пока остается высоким. Усилиям по повышению уровня безопасности мешает в том числе кадровый голод — одна из самых больших проблем отрасли. По его словам, дефицит специалистов в области кибербезопасности достиг критических уровней, что ограничивает возможности компаний эффективно справляться с новыми угрозами. Дмитрий Хомутов оценивает нехватку квалифицированных специалистов в этой сфере в 50 тыс. человек. При этом российский рынок кибербезопасности растет — в прошлом году минимум на 15%.
