Казахстан вошел в топ-15 стран рейтинга кибератак на автоматизированные системы управления, сообщает
Kazpravda.kz.
По данным отчета экспертов международной компании по разработке систем антивирусной защиты («Лаборатория Касперского») – организатора прошедшей на днях в столице конференции «Эволюция защиты от кибератак корпоративного и промышленного пространства», в первом полугодии 2021 года доля компьютеров автоматизированных систем управления технологическим процессом (АСУ ТП), на которых были заблокированы вредоносные объекты, составила 40,7% в Казахстане.
Еще одна неприятная новость – в ходе поверхностного анализа было выявлено как минимум 90 «умных промышленных устройств» в Казахстане, которые могут быть легко атакованы хакерами. Сосредоточены они в основном на предприятиях Алматы и столицы. По правилам, они подлежат полной изоляции от Сети, но, даже будучи под угрозой, продолжают иметь открытый интернет-доступ, делая «свои» предприятия как нельзя более уязвимыми для хакеров. Да даже случайный вирус может всерьез подорвать здоровье целого предприятия, не говоря уже о целенаправленной атаке.
Статистика показывает: основными источниками угроз для АСУ ТП являются непосредственно сам Интернет (через зараженные сайты и вредоносные скрипты), а также флешки – принести на них можно какую угодно «заразу». Показывает статистика и такую зависимость: наиболее часто вредоносное программное обеспечение блокировалось на компьютерах, предназначенных для инжиниринга и интеграции АСУ в промышленных компаниях любой сферы, это показатель по Центральной Азии и по Казахстану в частности.
При этом понять, откуда идет атака, крайне непросто – ни один вирус не несет в себе точной информации, чьих он рук дело.
– Киберпреступники – участники глобального криминального бизнеса. Кто-то из них работает во благо личных интересов, кто-то – по указанию свыше. Все, что в наших силах – определить язык происхождения вируса. Но привязывать этот показатель к какому-либо государству и обвинять его в атаке абсолютно беспочвенно – и в США могут создать вредоносное ПО на языке одной из азиатских стран, – отметил Антон Шипулин, руководитель экспертного центра по промышленной кибербезопасности международной компании.
Для защиты эксперты советуют своевременно обновлять операционные системы и приложения, устанавливать патчи сразу, как только они выходят. Кроме того, не стоит забывать и о тренингах для профильных специалистов и регулярном аудите безопасности систем.
Все это поможет предотвратить и финансовые потери. По данным аналитиков, в 2021 году крупные компании в Казахстане и России потеряли около 900 тыс. долларов в результате киберинцидента, связанного с целевой атакой. То есть врагом оказался не случайный вирус, а спланированный «инструмент», подобранный путем разведки и оценки характеристик «жертвы».
На что могут быть направлены киберинциденты? Если взять за основу данные о таких случаях у нас и в соседней России, то это в первую очередь утечка данных из электронных систем (ущерб может превышать миллион долларов), целевые атаки (тоже влетят в копеечку – около 900 тыс.). Если говорить конкретно о МСБ-секторе, то для предпринимателей самыми финансово затратными стали инциденты, случившиеся из-за нарушений сотрудниками политики кибербезопасности, связанные с атаками криптомайнеров и поставщиков – тех, с кем компания обменивается какими-либо данными. По глобальной статистике именно последний вид атак самый дорогостоящий для компаний – средняя сумма ущерба составила 1,4 млн долларов, а испытать подобное пришлось свыше 30% компаний по всему миру.
– В ходе нашего исследования мы выяснили, что самые сложные задачи с точки зрения кибербезопасности, стоящие перед бизнесом на сегодняшний день, – это вопросы защиты данных, соответствия законодательным нормам, а также повышения уровня цифровой грамотности сотрудников. Также их беспокоит растущая сложность IT-инфраструктуры, поскольку это приводит к необходимости увеличивать соответствующий бюджет, – рассказал Валерий Зубанов, коммерческий директор антивирусной лаборатории в Центральной Азии. – Чтобы свести к минимуму риски кибератак и утечек данных, мы рекомендуем компаниям регулярно проводить для сотрудников тренинги по информационной безопасности, использовать защитные решения для конечных устройств в сочетании с инструментами для обнаружения угроз, обходящих традиционные антивирусные средства.
О том, как справляются с кибератаками казахстанские специалисты, рассказал в ходе конференции Олег Биль, главный архитектор-разработчик, руководитель лаборатории исследования вредоносного кода АО «Государственная техническая служба». Акцент в своем выступлении он сделал на особенностях работы с anti-APT и выявления целевых атак.
– Во внедрении сложных решений нужно уделять внимание команде, которая будет с ними работать, потому что, к сожалению, против самых сложных случаев автоматика работает не очень качественно. Атаки высокой сложности проводятся непосредственно людьми, а потому противостоять разумным должны такие же разумные, – отметил глава лаборатории.
По мнению специалистов, искусственный интеллект сполна выполняет свои функции, но есть одна особенность – технические устройства не всегда способны качественно отфильтровать, ввиду чего случаются ложные срабатывания системы. Аналитик же делает это гораздо корректнее при условии, что специалист действительно толковый.
А толковых приходится взращивать самостоятельно, присматриваться к ним еще на этапе подготовки технических специалистов в вузах, на курсах.
– Требования к квалификации очень высоки, приходится пропускать в буквальном смысле через сито. Кого-то ставим на менее сложные позиции, самые грамотные становятся экспертами, – прокомментировал Олег Биль.
Специалист подчеркивает: особенности работы против киберпреступлений и заключаются в том, что нет универсального программного обеспечения для защиты от атак и вирусов. То есть расчет крупного предприятия на дорогущую антивирусную программу может не оправдать себя, если параллельно не озаботиться развитием собственной IT-команды. Такие специалисты должны идти на опережение, изучая методики атакующих, правильнее их интерпретируя.
К слову, в лаборатории занимаются очень важной работой – исследуют функционал вредоносного кода, что дает большее понимание угрозы. Простыми словами: на компьютере обнаружен вирус, и 99% компаний, у которых нет толкового аналитика, просто постараются от него избавиться, зная лишь, что это «какой-то вирус». Исследование же функционала позволит узнать подноготную «пришельца»: куда вирус пытался проникнуть, какие процессы затронул, как давно он уже в системе.
Правда, и тут не все так просто. Если прежде киберпреступники оставляли за собой «хвосты», позволяющие вычислить их, то сейчас, зная способы, какими с ними пытаются бороться, они стали все чаще запутывать следы. В буквальном смысле пускают по ложному следу.
В ходе конференции о практических кейсах информационной безопасности поведал президент казахстанского Центра анализа и расследования кибератак (ЦАРК) Олжас Сатиев. Центр стал инициатором национального проекта под названием Bug Bounty, и сейчас совместно с Министерством цифрового развития, инноваций и аэрокосмической промышленности РК этот пилот успешно реализуется.
Bug Bounty – это платформа, готовая финансово отмечать заслуги независимых исследователей в случае обнаружения ими уязвимостей сервисов и приложений. Сумма «благодарности» – до миллиона тенге, в зависимости от значимости обнаруженной проблемы. Задача Bug Bounty – не позволить использовать выявленное в преступных целях, например, для шантажа.
С момента запуска проекта казахстанцы сообщили уже о более чем тысяче уязвимостей. Инициаторы проекта планируют внести в отечественное законодательство положение о независимых исследователях.