Национализация данных, формальный контроль и реальные угрозы: с чем ИБ подошла к 2021 году

28.12.2020

Вернуться к списку статей

«Ревущие 20-е» – больше не эвфемизм из прошлого века, в XXI-м новое десятилетие тоже началось громко. 2020-й ознаменовался потрясениями, которые заставили простых людей, бизнес и государства переосмыслить свои привычки – в том числе в информационной безопасности. Мы попросили наших экспертов проанализировать главные ИБ-тренды уходящего года и прикинуть, чего ждать в будущем. Разбираем по порядку.

Про актуальные угрозы


Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»:

Главный итог года:
Угрозы стали более массовыми, а пользователям – и в обычной жизни, и в бизнесе – было не до ИБ.

Причем новых типов атак не появилось. Появились новые поводы для атак. В 2020-м мошенники чаще всего использовали традиционные фишинг и другие типы социальной инженерии для обмана, вымогания денег, персональных и платежных данных. Но только в новом злободневном контексте.

Вот как это выглядело:  

  • Нацеливаясь на «обычных людей», злоумышленники использовали каждый информационный повод, чтобы обмануть жертв: выплату «путинских» пособий на детей, получение цифрового пропуска, вакцинирование против COVID-19, получение мер поддержки. Использовали ажиотажный спрос на доставку. К примеру, аналитики «СёрчИнформ» зафиксировали, что в феврале регистраций доменов со словом «delivery» было 53. В апреле стало 288.
  • Бизнес тоже стали атаковать фишеры и мошенники с предложением перейти на сайт с информацией по коронавирусу, например о субсидиях. Были распространены лжеписьма от ВОЗ, министерств здравоохранения и других «компетентных органов» с якобы последними данными о заболевании, о новых требованиях санобработки, правилах оплаты больничных и т.д. Мы встречали фишинговое письмо на тему возврата налогов в связи с эпидемией. Конечно, в ажиотаже удаленки и карантина у таких писем было больше шансов быть открытыми. Только в отличие от обычных людей, сотрудников компаний фишеры вынуждают скачать программы-шпионы (для кражи данных), шифровальщики (для дальнейшего вымогания денег за разблокировку пораженных данных).

Залогом успеха таких атак в обоих случаях стала общая тревожность и неопределенность – в условиях пандемии все оказались на зыбкой почве, в стрессе люди легче верили в обман.

Дополнительно ситуацию усложнила удаленная работа. Бизнес экстренно переходил на «хоум-офисы», больше беспокоясь о работоспособности новых процессов, чем об их безопасности. 90% компаний сообщили «СёрчИнформ», что инфраструктура в режиме удаленки стала уязвимее. Хотя бы потому, что у работодателей не хватало IT-ресурсов, и сотрудники в итоге использовали для работы собственные гаджеты, небезопасные массовые сервисы: мессенджеры, сервисы для онлайн-конференций, облачные хранилища и др. Часто у пользователей нет представления, какие настройки безопасности использовать.

Больше того: работая из дома, сотрудники теряют бдительность. В случае потенциального фишинга в офисе легче проверить подозрения – посоветоваться с коллегами, позвать сисадмина, заглянуть к шефу, получив «от него» странное письмо. Дома каждый полагался на себя, и не у всех хватало знаний, чтобы распознать угрозу. Зато больше возможностей обойти правила: это в офисе за спиной начальник, коллеги и камеры наблюдения, вне его эти ограничения снимаются. В итоге активизировались внутренние нарушители – реальный срез по компаниям, которые мы сопровождаем на ИБ-аутсорсинге, показал, что в первом карантинном полугодии с попытками сливов столкнулись 100% компаний, 86% – с мошенничеством со стороны сотрудников.

Прогноз: В 2021-м тенденция «карантинных» проблем в целом сохранится. Уверен, что продолжатся сливы с закрытых совещаний, которые проводятся по ВКС, утечки «пандемийной» отчетности (ее собирают не только медорганизации – вспомните обязанность работодателей отчитываться об «антиковидных» мерах и заболевших сотрудниках, о требовании передавать данные удаленщиков властям Москвы и пр.) и махинации, «пока начальство не видит».

Из внешних угроз сохранит актуальность социнженерия и ее частное проявление – фишинг. Например, можно прогнозировать, что с конца 2020-го и в первые месяцы 2021-го года мошенники будут пытаться завладеть вниманием жертв, используя тему вакцинации. И в целом любой новый актуальный повод будет побуждать злоумышленников создавать фишинговые сайты и новые сценарии для мошенничества.

Атаки с использованием социальной инженерии будут усложняться. Все мы уже привыкли к «звонкам из банка», на смену которым пришли звонки из «службы безопасности», потом из «полиции» и т.д. Утечки информации о нас только способствуют тому, что у мошенников появляется больше информации, чтобы запутать и войти в доверие к жертвам.

Еще один вариант, как может усложняться атака социальных инженеров, – использование технологий deepfake. Если несколько лет назад правдоподобную подделку голоса и видео в режиме реального времени можно было назвать научной фантастикой, сейчас это работоспособная технология. Она становится дешевле, и ее массовое применение – только вопрос времени. Когда это произойдет, придется учиться работать с этой угрозой. Пока люди с ней не столкнулись, звонок мошенника с голосом знакомого или по видеозвонку не будет вызывать недоверие.

Угрозы в равной степени актуальны и для бизнеса. Тот же deepfake впервые стал инструментом атаки именно на компанию: в прошлом году британскому бизнесмену позвонил его «коллега» и попросил оплатить счет за несуществующую услугу. История имеет все шансы повториться.

Прогнозирую устойчивый рост атак на организации с помощью шифровальщиков. Если в компании настроено резервное копирование данных, можно было бы не обращать внимание на инцидент. Но сейчас перед шифрованием хакеры воруют информацию и вымогают деньги под угрозой слить файлы в общий доступ. Платить им все равно нельзя, поэтому компаниям не остается ничего другого кроме как обеспечивать защиту от внешних злоумышленников. Но еще важнее – контролировать работу сотрудников, которые могут оказаться нарушителями сами или невольной точкой входа для хакера.  

Про законодательные инициативы

 Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

Главный итог года: Государство выигрывает конкуренцию за данные.

Мне очевидно, что государство усилило свои позиции в конкуренции за наши персональные данные. 2 июня Совет Федерации одобрил Федеральный закон «О едином федеральном информационном регистре». Правительство соберет и структурирует данные в одном месте. В базе окажутся: ФИО, дата и место рождения и смерти, пол, СНИЛС, ИНН, родственные связи, семейное положение, гражданство и цифровые изображения с камер наблюдения. Полноценный цифровой профиль граждан под абсолютным контролем государства.

За рубежом схожие тенденции, с тем только отличием, что там монополисты по части персданных не государство, а частный бизнес, IT-гиганты наподобие Facebook.

Данные не лежат без дела. В этом году по всему миру была масса попыток использовать их для контроля, учитывая специфику 2020-го года. Эксперименты с ИИ, QR-кодами, пропусками мы видели в России, Сингапуре, Китае, Южной Корее, странах Евросоюза и т.д. Правда, «репетиции» проходят не без накладок, что было видно по тому, с каким размахом утекали данные зараженных COVID. Из последних новостей: в декабре СМИ сообщили, что 100 тыс. записей с данными переболевших коронавирусом москвичей оказались в Сети.

Ущерб от утечек данных осознается обществом и государством все лучше, вероятно поэтому мы в течение года слышали призывы увеличить штрафы за намеренные или случайные сливы информации. Министерство юстиции России предлагает увеличить размер штрафов в десять раз. В проекте нового КоАП за «невыполнение обязанности по соблюдению конфиденциальности персональных данных» штраф для юридического лица может составить от 300 до 500 тысяч рублей.

Кроме того, 8 декабря группа депутатов во главе с председателем комитета по безопасности Василием Пискаревым внесла законопроект, согласно которому всех операторов персональных данных могут обязать подключаться к ГосСОПКА ФСБ. Предложение на данный момент выглядит чрезмерным, потому что потребует существенных вложений со стороны операторов ПДн (а это в том числе малый и средний бизнес). Наверное, этот и 2021 год – не лучшее время для подобных инициатив. Однако, такие новости хорошо отражают общую тенденцию по контролю за оборотом данных, который в нашей стране сегодня не отличается прозрачностью.

Если высокие штрафы и обязанность отчитываться перед ГосСОПКА должны побудить операторов ответственнее относится к инцидентам информационной безопасности, то центр по борьбе с киберпреступлениями (инициированный Минцифрой в ноябре) должен справляться с некоторыми последствиями халатного отношения к персданным. Телефонным спамом, фишингом и другими киберпреступлениями теперь займется профильное ведомство. Оно же проверит государственные IT-системы на наличие уязвимостей в точки зрения безопасности.

Очевидна тенденция в нашей стране и во всем мире к защите от внешних угроз. Кто-то извне может взломать, нарушить, заблокировать не только объекты КИИ, но и небольших операторов данных. Таких по подсчетам Роскомнадзора боле 460 000. Опасения обоснованные. Но мы опять упускаем важное – большая часть (по разным подсчетам от 60 до 80 %) киберпреступлений происходит при участии инсайдеров. Практически ежедневно мы видим новости подобно этой: 28-летний руководитель одного из бизнес-подразделений Сбербанка продал актуальные данные о 5 000 держателей кредитных карт. Это уже почти обыденность. Но с ней не нужно мириться. И надеюсь, что государство начнет активную борьбу с этой проблемой уже в самое ближайшее время.

Прогноз: Если все, что сегодня обсуждается и принимается, заработает как надо – есть шансы, что ситуация с защитой данных на госуровне выправится. В конце концов, такая обязанность властей теперь закреплена в Конституции: пункт «м» статьи 71 относит в зону ведения государства  в том числе «обеспечение безопасности личности, общества и государства при применении информационных технологий, обороте цифровых данных».

Про ИБ на практике


Лев Матвеев, председатель совета директоров «СёрчИнформ»:

Главный итог года: 2020-й проверил всех на прочность.

Главные изменения за год оказались сосредоточены в первых 3-4 месяцах карантина и удаленки, а они для всех были стрессовыми.

Во всех сферах коронавирус стал катализатором цифровизации: и в бизнесе, и в бюджетном секторе. С ней растут объемы данных в «цифре» и соответственно потребности в их защите. С другой стороны – к сожалению, цифровизация идет впереди безопасности. Карантинные меры обнажили дыры в защите, но вместо того, чтобы их закрывать, организации были заняты отладкой хоть какой-то работоспособности в удаленном формате. Не хватало даже базовых ресурсов: программных средств, клиентского и серверного оборудования, IT-специалистов для отладки удаленных процессов. Что говорить об ИБ: в 60% опрошенных нами компаний вообще нет выделенного отдела по кибербезопасности.

Что мы видим в итоге? Под ударом оказались наименее защищенные организации – в здравоохранении, в образовании. Но если раньше эти отрасли спасал относительно невысокий интерес к ним кибермошенников, то в 2020-м они оказались в эпицентре атак.

Справедливости ради, оговорюсь: атаки на медорганизации – это глобальная проблема. Во всем мире они мишень, потому что распоряжаются данными, на которые есть спрос на черном рынке, их легко шантажировать (на кону жизни и здоровье пациентов), оснащенность защитными средствами ниже, чем в других сферах. В этом году в период карантина иностранные группировки даже пытались продемонстрировать благородство и заявляли, что не будут атаковать поликлиники и больницы. Но сами же нарушали обещания. В России тоже был инцидент – в сентябре в свердловском онкодиспансере хакеры зашифровали базу данных с результатами анализов пациентов и потребовали за восстановление информации 80 тыс. рублей.

И все же внешние атаки происходят реже, чем инсайдерские. Чтобы не быть голословным:

  • В прошлом году в нашем опросе 77% опрошенных представителей медицинских компаний были уверены, что к инцидентам информационной безопасности чаще приводят действия собственных сотрудников, а не внешних злоумышленников.
  • В 2020 году мы исследовали инциденты об утечке персданных о зараженных коронавирусом больных (которые попали в СМИ) – в 100% случаев это намеренные инсайдерские сливы. 

По нашим данным, за прошлый год две трети медорганизаций столкнулись с утечками информации. Это в среднем на 10% больше, чем в других отраслях. Ситуация с коронавирусом в этом году показала, чем чреваты утечки – во многих случаях пациенты подверглись травле.

В образовании ситуация чуть легче, потому что критичных данных внутри меньше. При этом все равно мы видели компрометацию аккаунтов, махинации с оценками, срывы уроков и лекций из-за слабой парольной политики и непонимания, как безопасно организовать ВКС. И это не говоря о фишинге, социальной инженерии и многих других вещах.

Причины объяснимые: и здравоохранение, и образование слабо готовы к цифровизации, там почти нет IT-специалистов и уровень обращения с данными пациентов и учеников оставляет желать лучшего. Понятно, что не у учителей и докторов должна болеть об этом голова. Но проблема назрела и теперь игнорировать ее не получится. Так что по защите социальной сферы я ожидаю активных мер в будущем году – как это начало происходить в госсекторе.

На государственном уровне лед сдвигается, потому что есть общественное давление. Госорганизации уже не могут просто проигнорировать факт, что какой-то условный сервис для сбора данных горожан оказался «дырявым» – СМИ об этом напишут. Усилится дискуссия по поводу ужесточения наказания за утечку персданных, о мерах противодействия телефонным мошенникам. В этом году все эти атаки достигли апогея, в 2021-м эксперты продолжат искать выход.

Что касается частного бизнеса, то он хоть предоставлен сам себе, но справляется в целом лучше. Многие наши клиенты из бизнеса и в этом году вошли в нормальный ритм и смогли найти ресурсы для налаживания ИБ, защиты ПДн и других критичных данных компании. Теперь, когда всем понятно, что удаленка с нами надолго, компании пересматривают приоритеты защиты – в том числе в сторону предотвращения внутренних угроз. В нынешнем году был заметен рост продаж решений для контроля сотрудников (дисциплины и действий за компьютерами). В следующем эта тенденция сохранится.

Попробовать бесплатно продукты «СёрчИнформ»

 

Правда, компании испытывают большой кадровый голод и ищут возможность сэкономить. Поэтому чтобы защитить свои ресурсы и сотрудников организации будут чаще прибегать к аутсорсингу и другим сервисным моделям. Например, доверять настройку защитного ПО сторонним организациям, привлекать внешних аналитиков для разбора инцидентов, предотвращения атак или сливов по вине сотрудников. Под влиянием удаленки риски осознал даже небольшой бизнес – для него это станет оптимальным вариантом защиты.

Прогноз: В 2021 году инфобез будет догонять по всем фронтам. Несмотря на последствия кризиса, спроса на защиту меньше не станет. Верхняя планка рынка ИБ точно продолжит расти: крупный технологичный бизнес уже ищет нетипичные инструменты, чтобы обеспечить безопасность не только внешнего периметра, но и внутренних процессов. Стали активнее интересоваться системами категоризации и контроля данных «в покое», мониторинга баз данных. Выбирают решения, которые позволяют обеспечить комплексную защиту, собрать воедино сведения об угрозах из разных точек инфраструктуры – каналов передачи информации, оборудования и ПО, файловых хранилищ и БД.

Для вендоров ИБ это тоже проверка на прочность – 2021-й покажет, кто сможет ответить на новый запрос. В пандемию многие в отрасли просели, недополучили прибыль. Но я уверен: имея сильный продукт, в следующем году отыграть рост можно.


Фишинг Законодательство Персональные данные Лев Матвеев Алексей Парфентьев Алексей Дрозд


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними