Как бизнесу отбивать атаки хакеров

Киберугрозы усложняются, а бюджеты на информбезопасность попали под давление из-за роста налоговой и кредитной нагрузки

В марте компания «Билайн» столкнулась со второй с начала года кибератакой, вызвавшей сбои в работе ряда сервисов. Ранее в конце февраля проблемы ощутили ее пользователи, которые не смогли зайти в мобильное приложение и на сайт компании.

И таких случаев становится все больше. В два с половиной раза выросло количество кибератак на российские организации в 2024 году, достигнув отметки в 130 тысяч случаев. Такие данные приводит компания RED Security.

Зоны поражения

Этому способствует несколько факторов. Во-первых, интенсивный процесс цифровизации и недостаточное внимание к защите в предыдущие годы.

«Наши компании с 2022 года стремительно внедряли технологии, часто закрывая глаза на вопросы безопасности. Да и на уровне государства в регуляторных документах кибербезопасность укладывалась в одну сточку», — отмечала президент группы компаний «InfoWatch» Наталья Касперская на Уральском форуме «Кибербезопасность в финансах», прошедшем в феврале в Екатеринбурге.

По мнению руководителя группы Центра управления кибербезопасности ICL Services Алексея Морозкова, росту киберугроз способствует сохраняющаяся геополитическая напряженность: «Целью группировок являются деструктивные действия, нанесение ущерба и попытки создания «паники» в обществе».

Заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов именно с этим связывает усложнение киберугроз: «Три года назад в атаках участвовали в основном политически мотивированные энтузиасты. Их криминальные навыки не распространялись дальше создания вирусов с помощью доступных в сети конструкторов и предоставления своей инфраструктуры для усиления DDoS-атак. Сегодня большую часть атакующих составляют профессиональные группировки, в том числе и спонсируемые недружественными государствами. Атаки стали сложными, многоходовыми, использующими уязвимости в программном обеспечении и социальную инженерию».

Меняются и цели атак. Как показало исследование компании BI.Zone, в 2023 году в эпицентре хакеров была розничная торговля, в 2024 году на первое место вышли случаи взлома систем государственных организаций.

Алексей Морозков находит этому следующее объяснение: «Муниципальные учреждения, государственные ведомства и общественные организации постоянно работают с большим массивом персональных данных».  

«Рост числа атак на организации государственного сектора связан с развитием электронных сервисов. За нарушениями работы этих сервисов преступники часто скрывают другие незаконные действия, включая хищение или подделку данных», — добавляет Рустэм Хайретдинов.

На втором месте по прицелу киберпреступников — финансовый сектор, на третьем — транспорт и логистика.

В топ-10 атакуемых отраслей входят также телеком и ИТ сектора «Зачастую представители этих секторов являются сервис-провайдерами, как следствие, страдает не только сама «жертва», но и все ее клиенты, то есть расширяется зона поражения», — находит объяснение Рустэм Хайретдинов.

Основатель оператора решений в области ЦОД «NETRACK» Алексей Рубаков также обращает внимание на усиление угроз со стороны профессиональных хакеров и рост заказных атак, которые составляют больше трети от общего числа инцидентов: «Рост заказных атак и использования шпионского программного обеспечения указывает на то, что хакеры стали более целенаправленными и изощренными в своих действиях. Увеличение утечек баз данных и атак программ-вымогателей становится все более серьезной проблемой для бизнеса».

Как показало исследование BI.Zone, основной целью атак является стремление заработать: в 67% случаях лежит финансовая мотивация, на шпионаж приходится 21%, на хактивизм (привлечение внимания общественности к социальным, политическим и другим вопросам при помощи кибератак) — 12%.

Вымогатели обращаются к киберугразам в разных ситуациях. Генеральный директор, основатель Atomic Capital Александр Зайцев рассказывает, как это происходит в сделках слияний и поглощений: «В этих случаях обычно основной целью такой кибератаки является нанесение репутационного ущерба с целью снизить стоимость бизнеса. Поэтому участникам сделок, находящимся в процессе заключения соглашения, стоит быть особенно внимательным к рискам киберугроз. В моменты привлечения финансирования или покупки / продажи бизнесы особенно чувствительны к информации об атаках, поскольку она способна напрямую влиять и на стоимость компании, и на решения ключевых лиц».

Российская индустрия информационной безопасности ищет ответы на эти вызовы.

По словам первого заместителя генерального директора ИТ-холдинга Т1 Дмитрия Харитонова, одним из распространённых подходов проактивного реагирования на угрозы становится DevSecOps — платформа, интегрирующая безопасность во все этапы жизненного цикла разработки программного обеспечения: «Например, в нашей платформе есть конвейер, который состоит из инженерных инструментов для работы с исходным кодом. Он помогает комплексно управлять всем процессом создания программного обеспечения и существенно снизить число уязвимостей в конечном продукте».

Управляющий директор iTPROTECT Максим Головлев полагает, что внедрение практик DevSecOps станет ключевым фактором, обеспечивающим надежность выпускаемых продуктов: «Это особенно важно, так как ранняя интеграция безопасности позволяет избежать дорогостоящих исправлений и репутационных потерь, связанных с обнаружением уязвимостей в уже готовом программном обеспечении».

Алексей Морозков считает эффективными такие классы решений, как XDR экосистемы (расширенное обнаружение и реагирование)  для покрытия большего количества векторов атак, NTA / NGFW (системы анализа трафика / межсетевой экран нового поколения) — для защиты сетей, PAM-системы для контроля работы привилегированных пользователей, а также мониторинг инфраструктуры с помощью SIEM (класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности).

Бюджет под давлением

Стоит отметить, что отношение бизнеса к инвестициям в такого рода решения в последние годы существенно изменилось.  

«Теперь цифровые угрозы рассматриваются как один из наиболее серьёзных факторов риска, уступая лишь проблемам, связанным с эффективностью бизнес-процессов и кадровыми вопросами», — отмечает бизнес-партнер компании «Компьютерные технологии» Павел Карасев.

Об увеличении вложений в поддержку информационной безопасности говорят и представители компаний. По словам директора по безопасности СберКорус (оператор электронного документооборота ) Ивана Дмитриева, с 2022 года компания  направила более 5% общей выручки на инвестиции в кибербезопасность, и это значительно больше, чем было вложено за предыдущие десять лет: «В 2024 году наши расходы на информационную безопасность удвоились по сравнению с бюджетом 2023 года. Эти вложения обусловлены необходимостью обеспечения стабильной работы и защиты его от угроз любого уровня сложности и масштаба. Мы непрерывно улучшаем системы самозащиты с использованием передовых технологий, организуем обучение персонала и наращиваем штат специалистов по этому направлению».

В этом году российский бизнес столкнется с трудностями: выросла ставка налога на прибыль, а значит сократится объем ресурсов в собственном распоряжении. А кредитные средства чрезмерно дороги. Некоторые сектора, к примеру жилищное строительство и вовсе переживают кризис.

Мы предположили, что в таких условиях компании, как это часто случается в кризисы, могут начать снижать бюджеты на информбезопасность. Однако представители индустрии не ждут резкого сокращения бюджетов, не исключая, конечно, корректировки объемов. Директор по развитию ARinteg Валерий Ледовской допускает в 2025  году временную оптимизацию бюджетов у части организаций, но тотального сжатия не произойдет.

По наблюдению СЕО Security Vision Руслана Рахметова, действительно, во время предыдущих кризисов компании экономили на информационной безопасности: «Однако сейчас отсутствие киберзащиты воспринимается более остро. Поэтому я думаю, что на киберзащите экономить не будут. После взлома слишком велика вероятность потерять всё — инфраструктуру, репутацию, бизнес».

«Полный отказ от инвестиций в информбезопасность может обернуться для компаний большими потерями, поэтому вряд ли бизнес будет существенно сокращать расходы на это направление», — соглашается управляющий партнер сервиса 1OPD.ru Марина Александровская.

«Компании научились считать убытки, которые можно понести из-за внезапного серьезного инцидента информационной   безопасности», — добавляет Алексей Морозков.

Директор Центра мониторинга и противодействия кибератакам компании «Информзащита» Александр Матвеев полагает, что   сокращение бюджетов крайне маловероятно, но их рост замедлится по другой причине: «Многие уже модернизировали свои системы информационной безопасности и заместили импортное оборудование».

Марина Александровская видит тренд не на сокращение, а на перераспределение бюджетов: «Компании делают ставку на автоматизацию защиты, отказываются от избыточных решений и оставляют только критически важные инструменты. В приоритет выходят киберустойчивость, мониторинг угроз и защита персональных данных, поскольку от них напрямую зависит устойчивость бизнеса».

По мнению директора российского разработчика систем кибербезопасности «АйТи Бастион» Сергея Бочкарева, поддержание стратегии кибербезопасности приобрело экономическую необходимость. И речь идет не только о вложениях в программы защиты, но и о формировании культуры внутри организации: «Это означает, что все в коллективе должны осознавать ценность безопасного поведения в цифровом пространстве. Многие компании организуют обучение персонала основам информационной безопасности. Закрепляют они такие знания на практике, например, устраивая киберучения с имитацией рассылки фишингового письма».

Вкладывать в защиту бизнес заставляют два фактора — страх потерь и действия регулятора. А законодательство постоянно ужесточается.   

«В России усиливаются требования к защите персональных данных, локализации инфраструктуры и отчетности о киберинцидентах, в частности в этом году введены оборотные штрафы за утечку персональных данных. Компаниям придется адаптировать процессы, чтобы соответствовать новым стандартам», — отмечает Марина Александровская.

Рост числа киберпреступлений стимулирует и развитие российского рынка средств защиты. Центр стратегических разработок (ЦСР) оценил его объем в 2024 году в 334 млрд рублей, за последние три года рынок вырос на 80%. По прогнозам, через три года объем, как минимум, удвоится.

Замещение состоялось

Отчасти этому способствует освобождение рыночной ниши после ухода с рынка в 2022 году западных производителей.

Павел Карасев считает это стимулом для роста отечественных разработчиков: «Уход западных производителей позволил многим организациям плавно перейти на новые технологии без значительных потерь в функциональности. Тем не менее, процесс импортозамещения столкнулся с определенными сложностями. Не все предприятия оказались готовы к быстрой миграции на российские решения, так как это требует значительных инвестиций и временных затрат».

По мнению Алексея Морозкова, отечественному рынку кибербезопасности удается справляться со многими вызовами после ухода западных вендоров: «Но при этом есть класс решений, для которых, ввиду сложности инфраструктуры и особенностей бизнеса, непросто подобрать альтернативу».  

На проблемы указывает и Валерий Ледовской: «Стремительный уход с нашего рынка западных вендоров показал, что необходимо заниматься формированием технологического суверенитета. Конечно, это создало определенные технические сложности.  Переход на такие решения требует времени и ресурсов, а интеграция продуктов разных вендоров усложняет управление защитой».

«Недостаток отечественных решений ощущается среди узкоспециализированных систем, например, программно-аппаратных комплексов, а также в сегменте высокопроизводительных отказоустойчивых межсетевых экранов нового поколения (NGFW). Правда, с последними ситуация за прошедший год стала значительно лучше за счет выхода на рынок ряда новых продуктов от российских вендоров», — формулирует проблематику Руслан Рахметов 

По его мнению, сложнее ситуация с ИТ-направлением, включая импортозамещение комплексных бизнес-решений и некоторого специализированного софта, например, продуктов класса CAD, CAE, CAM и PLM, но это закономерный процесс: «Российские разработчики столкнулись с необходимостью за несколько лет пройти путь, который их западные коллеги проходили за десятилетия, постепенно дорабатывая свои продукты и собирая обширную обратную связь от пользователей по всему миру».

В этом году набор вызовов для индустрии обещает быть еще более масштабным.  

Алексей Рубаков прогнозирует повышение сложности атак и рост использования искусственного интеллекта в кибератаках: «Компаниям нужно продолжить развитие отечественных решений для замены импортного программного обеспечения. Кроме того, важным будет обеспечение безопасности мобильных устройств, поскольку количество атак на них продолжает расти».

Руководитель отдела департамента ИБ «Мобиус Технологии» Андрей Пастухов ожидает роста атак на подрядные организации крупных компаний: «В этом случае преследуется цель получить доступ к инфраструктуре их заказчиков. Программы-вымогатели продолжат быть главной угрозой для российских компаний, что объясняется легким входом для преступника на этот рынок и возможностью получить солидный куш в случае успеха».

Андрей Пастухов также считает, что преступники будут активнее задействовать нейросети, в частности, для написания инвидуализированных фишинговых писем и автоматизации поиска уязвимостей: «Мы также ждем роста мошеннических схем, в которых могут быть задействованы легитимные компании, например распространение вредоносного программного обеспечения через специально созданные сайты на обычном хостинге».

По мнению Валерия Ледовского, в 2025 году индустрия должна сосредоточиться на проактивной защите: «Необходимо проведение периодического тестирования на проникновение, укрепление цепочек поставок и подготовке к атакам на критическую инфраструктуру».

Серьезным ограничителем в поиске ответов на эти вызовы многие участники рынка называют дефицит кадров.  

«Рынок растет быстро, отрасль довольно молодая, а нормативные акты не всегда однозначны, что требует фокусной экспертизы», — объясняет Марина Александровская.

Максим Головлев не видит основания для снижения дефицита кадров: «Хотя компании и начинают искать пути решения проблемы, включая инвестиции в обучение сотрудников и сотрудничество с вузами».

Коллаж: Дмитрий Макурин