Киберзащита на высоте
Почему хакеры нацелились на промышленность и как компании с этим борютсяКоличество атак на инфраструктуру промышленных предприятий в 2024 г. резко выросло. Повышенный интерес связан с тем, что отрасль чувствительна к простоям и использует в работе много технологий, защищенных интеллектуальной собственностью. Промышленники, в свою очередь, учатся строить новые барьеры от киберпреступников.
Киберпреступность растет
По данным Industry Update, в 2024 г. промышленность столкнулась с резким ростом кибератак: на долю обрабатывающей промышленности приходится более 25% всех киберпреступлений в 10 ведущих отраслях.
В частности, производители столкнулись с 56%-ным ростом числа атак с использованием программ-вымогателей, а средний размер выкупа увеличился на 88% и достиг почти $2,4 млн.
Производственная отрасль привлекательна для киберпреступников из-за высокой связности своей структуры, низкой терпимости к простоям и наличия ценной интеллектуальной собственности, считают аналитики Industry Update.
В России наблюдается сходная тенденция: в 2024 г. совокупное число кибератак на российские компании выросло в 2,5 раза по сравнению с 2023 г., свидетельствуют данные аналитиков RED Security, причем чаще всего (в 31% случаев) нападению подвергались промышленные компании.
«Еще совсем недавно промышленные объекты существовали в закрытых контурах, но сегодня они все чаще подключаются к сетям общего пользования. Да, это несет существенные риски, поэтому так велик спрос на специалистов с двойной экспертизой – IТ и промышленная автоматизация».
Вместе с тем 52% компаний во всем мире фиксируют атаки на облачные среды (рост на 7%). В России этот показатель близок к глобальному. «Несанкционированный доступ к инфраструктуре через вредоносное ПО для дальнейшего закрепления в контуре компаний остается самым популярным инструментом уже на протяжении последних нескольких лет», – отмечает директор по безопасности Yandex Cloud Евгений Сидоров. По его словам, эта методика говорит о том, что в большинстве случаев в виртуальной или контейнерной инфраструктуре отсутствовали средства детектирования угроз. «На первичных этапах злоумышленники в основном использовали либо инструменты для redteaming (имитация реальных кибератак. – «Ведомости&»), либо инструменты для удаленного администрирования», – поясняет он.
Прививка от хакеров
«Северсталь» в среднем отражает 7,5 млн кибератак ежемесячно. «Информационная безопасность компании схожа с живым организмом, который постоянно борется с вирусами и бактериями, но мы этого не замечаем, пока не поднимется температура. Так же дело обстоит и с кибератаками. Информационную систему компании постоянно атакуют снаружи, но большинство сотрудников об этом даже не знают», – рассказывает заместитель начальника управления информационной безопасности «Северстали» Константин Иванов.
За последний год в компании зафиксировали рост числа кибератак более чем на 24%. Причем их характер становится все более разнообразным – от массового распространения компьютерных вирусов до сложных форм кибермошенничества или даже кибертерроризма, говорит Иванов.
Еще совсем недавно промышленные объекты существовали в закрытых контурах, но сегодня они все чаще подключаются к сетям общего пользования, поясняет руководитель группы защиты инфраструктурных IТ-решений компании «Газинформсервис» Сергей Полунин. «Да, это несет существенные риски, поэтому так велик спрос на специалистов с двойной экспертизой – IТ и промышленная автоматизация», – подчеркивает он.
Кроме того, в промышленном секторе особенно заметна проблема устаревшего оборудования. «Огромное количество систем управления было установлено более 10 лет назад и просто не соответствуют современным вызовам, а их модернизация – это серьезная инженерная задача. Все это усугубляется инициативами от регуляторов, требующих подходить к защите критических объектов определенном образом, а также организовывать соответствующие проверки со стороны «красных команд» (команда профессионалов в области кибербезопасности, которые действуют как злоумышленники, чтобы проверить эффективность защиты. – «Ведомости&»), что в случае с промышленными объектами может быть просто небезопасно», – предупреждает Полунин.
Самым популярным инструментом атак, в том числе на крупные промышленные компании, уже не первый год становятся взломы инфраструктуры через вредоносное ПО для дальнейшего закрепления в контуре компаний, свидетельствуют данные Yandex Cloud. В трети случаев к инцидентам приводила неправильная настройка сетевой связности и прав, когда доступными становились ресурсы, которые доступными быть не должны.
Ключевые риски безопасности в облачной среде связаны с отклонениями от стандартов безопасности или с отсутствием контроля за их выполнением. Большинство болевых точек давно известно: неротируемые ключи, секреты в различных файлах, недостаточная сетевая изоляция и логирование, подчеркивают в Yandex Cloud.
Прорыв сквозь облака
В отчете о крупнейших киберугрозах в 2024 г. компания CrowdStrike отмечала 75%-ный рост числа атак на облачную инфраструктуру, причем на 110% выросло количество случаев, когда злоумышленники использовали специфические именно для облака уязвимости, чтобы проникнуть в IT-периметр компании и нанести максимальный ущерб.
Например, немецкий производитель сельскохозяйственной техники Lemken в мае 2024 г. подвергся кибератаке, которая вызвала сбои в производстве и удаленной работе сотрудников, затронув, в частности, обработку заказов на запасные части и производственные процессы на одном из ее заводов. Восстановить работу предприятия удалось только через несколько недель.
В ноябре 2024 г. французская Schneider Electric сообщила об атаке программы-вымогателя, которая привела к выходу из строя ее IT-системы. Взломавшие компанию хакеры потребовали выкуп, угрожая в противном случае опубликовать конфиденциальные данные.
Для защиты от атак компаниям нужно уделять приоритетное внимание защите идентификационных данных, оперативно выявлять и устранять ошибки в конфигурации инфраструктуры, а также использовать машинное обучение для обнаружения незаметных перемещений противника.
Источник: CrowdStrike, Lemken, Cybersecuritydive
«У нас существуют как внутренние стандарты, так и стандарт по защите облачной инфраструктуры для клиентов. Задачу проверки стандартов решают продукты класса Cloud Security Posture Management. Что важно, в отличие от собственной инфраструктуры облако позволяет легко провести инвентаризацию активов и собрать в единой базе их настройки и состояние, что значительно упрощает управление облачными ресурсами», – говорит Сидоров.
Один из способов мониторинга киберинцидентов – SIEM-системы (Security Information and Event Management). Это решение для централизованного сбора, анализа и оценки корреляции событий информационной безопасности, которое помогает организациям выявлять угрозы и оперативно на них реагировать. В апреле 2025 г. Yandex B2B Tech анонсировала сервис по мониторингу и реагированию на киберинциденты Yandex Cloud Detection and Response*, использующий в работе SIEM-систему собственной разработки. «Алгоритмы помогают специалистам быстрее выявлять аномалии в информационных системах», – рассказывает Сидоров.
Неочевидные угрозы
Согласно исследованию Palo Alto Networks, около 70% рабочих сценариев бизнеса происходит с использованием веб-интерфейса. В веб-формат активно переходят такие сервисы, как электронная почта, офисные программы и специализированное ПО (например, системы электронного документооборота, справочно-правовые сервисы и программы для финансовых расчетов).
«Переезд» инфраструктур и сервисов в облачный формат меняет картину рисков информационной безопасности на клиентской стороне, считает Алексей Лиходзиевский, руководитель «Яндекс Браузера» для организаций (входит в бизнес-группу Yandex B2B Tech). «Бизнес-приложения все чаще реализуются в веб-формате, из-за чего браузер становится основной точкой входа в распространенных бизнес-сценариях – от документооборота до программ управления станками. С одной стороны, «единое окно», которым становится браузер, – это удобно; c другой – этот статус обязывает иначе относиться к безопасности как самого браузера, так и процессов обработки данных в нем, ведь, получив доступ к браузеру цели, злоумышленник автоматически получит доступ и к бизнес-приложениям», – говорит Лиходзиевский.
Даже если бизнес-приложение и браузер работают в закрытом контуре, несмотря на отсутствие подключения к интернету, риски информационной безопасности сохраняются. «Прежде всего они связаны с утечкой конфиденциальных данных. Поскольку взаимодействие с приложениями, которые такие данные содержат, происходит через браузер, через него же они могут и «утечь» – например, в виде файлов, сохраненных на съемный носитель, или через запись экрана, сделанную с помощью камеры смартфона инсайдера. Также не стоит забывать о человеческом факторе: вредоносная программа может попасть на компьютер не только из интернета, но и с флешки или памяти смартфона, которые сотрудник подключает к своему рабочему устройству. Если браузер используется для доступа к критическим данным организации, он должен быть защищен и от таких сценариев», – считает Лиходзиевский.
Повышение уровня безопасности и регулярное обновление сервисов, используемых бизнесом в коммуникации и ключевых процессах, становятся все более значимыми аспектами. Антивирусная защита, блокировка вредоносных писем и спама, шифрование данных при передаче, регулярное резервное копирование и многие другие, казалось бы, базовые решения являются не менее важными и минимизируют угрозы, связанные с утечками и потерей информации, комментирует Игорь Вербицкий, директор по безопасности «Яндекс 360» (входит в бизнес-группу Yandex B2B Tech). «Кроме того, инструменты безопасности, такие как поддержка SSO и MFA (технология единого входа и многофакторная аутентификация. – «Ведомости&»), а также аудитлоги, которые позволяют контролировать доступ к корпоративным данным и отслеживать действия сотрудников, также повышают уровень защиты и предотвращают угрозы со стороны человеческого фактора», – добавляет он.
«Поскольку браузер становится ключевой «точкой доступа» к веб-приложениям для бизнеса, растет важность оперативной технической поддержки для его пользователей, в том числе в вопросах, связанных с информационной безопасностью. Уход иностранных разработчиков с российского рынка, по сути, лишил российских корпоративных клиентов такой поддержки», – добавляет Лиходзиевский. &
* Yandex Cloud Detection and Response – 18+.