Почти половина российских ведомств подверглись кибератакам

Доля атакованных может быть и выше, не все атаки удается отследить, считают эксперты
Некоторые взломы службам безопасности удается отследить далеко не сразу
Некоторые взломы службам безопасности удается отследить далеко не сразу / Евгений Разумный / Ведомости

За второе полугодие 2021 г. и первое полугодие 2022 г. почти половина (46,6%) российских ведомств столкнулись с кибератаками, причем в 15% из них нападения были многократными. Об этом говорится в исследовании Центра подготовки руководителей и команд цифровой трансформации РАНХиГС, которое проводилось в мае – июне 2022 г. Документ есть в распоряжении «Ведомостей», его подлинность подтвердил представитель центра.

В опросе приняли участие 302 госслужащих разного уровня из 75 регионов и всех федеральных округов. Это были респонденты с разным должностным статусом – от руководителей цифровой трансформации и руководителей высшего звена до рядовых сотрудников. В центре уточнили, что участники опроса были сегментированы по уровню IT-компетенций и ряд вопросов был задан только профильным специалистам (92 человека). Сбор данных осуществлялся методом анонимного онлайн-опроса в профессиональных чатах госслужащих, а также через персональную рассылку на рабочие электронные адреса, прошедших подготовку по программам Центра.

О том, что их ведомство за последний год сталкивалось с хакерскими атаками, попытками взлома информационной системы и кражи/порчи данных, сказали 46,6% респондентов. 15,4% уточнили, что хакерские атаки случались неоднократно. Еще 31,9% госслужащих сказали, что атак на их организации за указанный период не было, оставшиеся 21,5% затруднились ответить на вопрос. Данных о том, сколько атак было успешно отражено, а сколько достигли цели, в центре не предоставили.

Госорганы – это приоритетные цели для получения разведданных, их сайты можно использовать, чтобы повлиять на политическую обстановку, фондовый рынок и т. д., рассуждает технический директор АО «Синклит» Лука Сафонов. По его оценке, процент атак на российский госсектор гораздо выше. «Я думаю, около 90% российских ведомств и структур за последнее время были атакованы – как школьниками, настроенными против России, так и зарубежными хакерами», – сказал эксперт. Сафонов предположил, что достигнуть цели могли 10% атак.

С начала СВО все российские ведомства и связанные с государством интернет-проекты неоднократно сталкивались с кибератаками, подтверждает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. «46% опрошенных – это те, кто заметил попытки вторжения, причем не факт, что смог им противостоять, – говорит он. – Остальные же, скорее всего, даже не смогли обнаружить факт атаки, что характеризует уровень информационной безопасности (ИБ)».

Некоторые взломы службам безопасности удается отследить далеко не сразу. Например, хакеры смогли проникнуть в системы Rutube еще в марте 2022 г., а известно об этом стало только в начале мая.

Но крупных утечек данных в результате этих атак не было, за исключением попадания в открытый доступ данных 25 000 пользователей регионального портала госуслуг Пензенской области, добавляет Оганесян. Доля серьезных атак относительно общего количества была небольшой, подтверждает руководитель направления ИБ компании КРОК Андрей Заикин, ссылаясь на данные собственного SOC компании.

Исходя из мировой статистики за первое полугодие 2022 г., организации госсектора подверглись наибольшему количеству атак среди всех организаций (17%), говорит аналитик исследовательской группы Positive Technologies Федор Чунижеков. На протяжении всего 2021 года, за исключением IV квартала, по данным Positive Technologies, госучреждения также были лидерами по количеству атак.

Первая половина 2022 г. действительно оказалась беспрецедентной с точки зрения количества кибератак и DDoS-активности, подтверждает основатель Qrator Labs Александр Лямин. «Многие государственные ресурсы не атаковали еще в таких объемах никогда, и можно предположить, что атаки на эту сферу будут продолжаться», – говорит он.

Большинство (86%) опрошенных центром при РАНХиГС IT-специалистов ответили, что для обеспечения ИБ в их ведомствах используется преимущественно отечественное антивирусное ПО и ПО для обеспечения ИБ в организациях госсектора. В половине организаций (51,1%) проверка рабочих устройств на вирусы проводится каждую неделю или чаще, около 20% служащих отметили, что проверки бывают раз в несколько месяцев и реже. Еще 3,3% опрошенных не помнят, чтобы такие проверки были.

Российские ведомства активно защищаются с 2018 г., когда вступил в силу 187-ФЗ «О безопасности объектов критической информационной инфраструктуры», отмечает технический директор InfoWatch ARMA Игорь Душа. Но, по его словам, этот процесс «достаточно долгий и трудоемкий». Кроме того, в этом году ситуация ухудшилась из-за ухода ряда иностранных производителей: на замену требуются дополнительное время и средства. «Но очевидно, что, если бы защита была плачевная, мы бы об этом узнали с учетом роста кибератак», – отмечает он. Оганесян считает, что в отношении периметра сети уровень защиты можно назвать средним, а в области контроля пользователей, борьбы с инсайдерами и парольной политики – крайне слабым.

IT-специалисты также обозначили спектр наиболее частых угроз. Больше всего атак (69,6%) на госорганы было совершено при помощи вирусов и программ-вымогателей, которые в основном проникают через корпоративную почту либо вредоносные сайты, следует из данных исследования центра при РАНХиГС. На 2-м месте оказались DoS- и DDoS-атаки, которые фиксировали 51,1% опрошенных. Еще 46,7% сталкивались с фишинговыми атаками, 38% – с атаками на корпоративную сеть и взломом паролей, 30,4% – с утечками данных и несанкционированным доступом.

Топ-3 наиболее популярных атак – это традиционно фишинг, DDoS-атаки и взломы, говорит Лямин, добавляя, что они «периодически меняются местами в рейтинге в зависимости от конъюнктуры». После начала СВО самыми частыми стали DoS-атаки и попытки дефейса сайтов, уточняет Оганесян. Также, по его словам, нередки случаи сканирования сетей в поисках уязвимости в оборудовании или подбор пароля для проникновения через средства удаленного доступа и экстранет-ресурсы с целью дальнейшего хищения данных.

Большая часть опрошенных технических специалистов (73,9%) отметили, что главными мишенями атак сейчас являются сайты и веб-приложения, что позволяет дезорганизовать работу компании, «поскольку основная масса сотрудников и клиентов сегодня взаимодействует посредством цифровых сервисов». Еще 56,5% отметили как канал проникновения вредоносных объектов корпоративную почту. Также среди уязвимых оказались облачные хранилища (47,8%), серверы (33,7%) и телефония (16,3%).

По данным Positive Technologies, основными каналами доставки «вредоносов» являются электронная почта (65%) и компрометация устройств через уязвимости ПО (28%). Веб-приложения госучреждений также становятся мишенью, добавляет эксперт. Атаки шифровальщиков и DDoS-атаки на сайты госструктур приводят к нарушению деятельности организаций, что во II квартале 2022 г. наблюдалось в 59% случаев атак, констатирует он.