Игра в нападении: как выросло число кибератак на бизнес в первом полугодии

Роман Рожков Редакция Forbes

Количество кибератак в первом полугодии 2023-го выросло примерно в два раза по сравнению с аналогичным периодом прошлого года. При этом их мощность падает: число инцидентов, критичных с точки зрения последствий для бизнеса, сократилось примерно на 20%. Согласно данным исследования МТС RED, их доля в общем объеме кибератак составила 22%, тогда как годом ранее таких инцидентов было чуть меньше половины, 46%. Несмотря на то что в целом натиск злоумышленников не ослабевает, бизнес стал внимательнее относиться к защите своей инфраструктуры, стараясь закрывать критичные уязвимости в информационных системах, считают эксперты

Ландшафт атак

Число кибератак, с которыми сталкивается российский бизнес, в 2023 году не уменьшается. Наоборот, по итогам первой половины года их количество только возросло, причем сразу вдвое, следует из данных МТС RED (дочерней компании МТС в сфере кибербезопасности). С данными ознакомился Forbes.

О масштабах нынешних угроз для компаний можно судить по тому, что за тот же период в первом полугодии 2022 года, по оценкам экспертов в сфере информбезопасности (ИБ), количество атак увеличилось сразу в 15 раз. Особенностью этого года, как утверждают аналитики, стало падение интенсивности. Число инцидентов, критичных с точки зрения последствий для бизнеса, сократилось примерно на 20%: если год назад таких инцидентов было чуть меньше половины, 46%, то сейчас их доля в общем объеме кибератак составила 22%.

Как и в прошлом году, наиболее атакуемыми отраслями в январе — июне 2023 года стали информационные технологии (35%), промышленность (21%) и ретейл (15%). По статистике центра мониторинга и реагирования на кибератаки МТС SOC, они ежемесячно испытывали на себе от 500 до 1000 вредоносных кибервоздействий разного уровня сложности. Наибольшее число инцидентов в этих отраслях было связано с попытками киберпреступников обойти средства защиты организаций (37%). На втором месте с долями около 15% — нарушение сотрудниками политик ИБ, заражение вредоносным ПО и попытки взлома учетных записей пользователей.

«В начале 2022 года преобладали простые и агрессивные атаки на внешний IT-периметр организаций, а также фишинговые рассылки на сотрудников компаний, — объясняет Андрей Дугин, директор центра сервисов кибербезопасности МТС RED. — В 2023 году общее количество значимых атак снизилось, так как компании стали более внимательно относиться к информбезопасности, закрывая критичные уязвимости в информационных системах либо используя наложенные средства защиты и сервисы кибербезопасности».

Материал по теме

Наибольшему числу высококритичных атак подвергались ретейл и промышленные предприятия, указывают в МТС RED. Доля ретейла от общего количества таких инцидентов составила 27%, критичными были около 40% всех атак на отрасль. Аналитики связывают это с высоким уровнем цифровизации в этой сфере и зависимостью ключевых бизнес-процессов ретейла от нормального функционирования IT-систем. «Поэтому ретейлеры более уязвимы перед киберугрозами — с точки зрения возможного ущерба для них критично большее количество различных типов атак», — делают вывод эксперты.

Банки и телеком подвергались вредоносным кибервоздействиям реже других отраслей. Если в первом полугодии 2022 года они занимали третье и четвертое места в списке наиболее атакуемых, то в этом году на них пришлось совокупно не более 10% атак. Однако эти отрасли чаще многих других становились мишенью профессиональных злоумышленников.

Высококритичными признаны 81% от всех инцидентов ИБ, зафиксированных в телеком-компаниях. По сравнению с первым полугодием прошлого года их число выросло примерно в два раза. Доля таких атак в банках — 27%, финансовый сектор занимает третье место по этому показателю.

СМИ и организации, работающие в сфере слуг, заняли небольшую долю в общем объеме атак — 11% и 7% соответственно. Однако в целом их стали атаковать в пять с лишним раз чаще, чем в прошлом году.

Материал по теме

Давление не ослабевает

Несколько отличную от данных МТС картину наблюдают в «РТК-Солар». По данным центра противодействия кибератакам Solar JSOC, число событий ИБ за первое полугодие действительно увеличилось, однако число подтвержденных инцидентов (после фильтрации и обработки их первой линией мониторинга), напротив, снизилось. «Доля критических инцидентов осталась примерно на прежнем уровне, и по нашей статистике она существенно меньше 22%, — делится наблюдениями руководитель направления аналитики киберугроз «РТК-Солар» Дарья Кошкина. — Мы видим расслоение подходов злоумышленников: основную часть киберландшафта формируют низкоквалифицированные атаки, но одновременно с этим абсолютное число более сложных, которые приводят к наступлению серьезных последствий и могут быть оценены как критичные, растет». В целом первая половина 2023 года показала, что заказчики стали внимательнее относиться к своей защите, и в частности к закрытию уязвимостей, утверждает она.

IT, телеком и ретейл «расплачиваются за всех» из-за высокого уровня цифровизации и концентрации пользовательских данных, рассказали Forbes в аналитическом центре Angara Security: «Мы часто слышим об утечках персональных данных, которые в основном несут репутационный ущерб здесь и сейчас или риск получить оборотный штраф в будущем. Поэтому компании инвестируют в защиту пользовательских приложений, внедряют патч-менеджмент, исправляют ошибки при построении архитектуры, в том числе по итогам пентестов».

Впрочем, намного опаснее другие, «бесшумные», кибератаки, которые позволяют проникнуть в целевую инфраструктуру самой компании и ее подрядчиков, указывают в Angara Security: «Мы выявляем факты распространения вредоносного ПО, так называемых «стилеров», которые используются для кражи данных с зараженных компьютеров». Важная тенденция, наметившаяся еще в 2021 году: атаки на цепочки поставок (supply chain attacks), подтверждает руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского» Сергей Солдатов. Согласно данным сервиса Kaspersky Managed Detection and Response, она выразилась в «беспрецедентном росте» числа инцидентов высокой критичности на телеком-сектор. По его словам, повышенный интерес злоумышленников, располагающих расширенным инструментарием для проведения сложных атак, к телекоммуникационной отрасли и IT-компаниям сохранился в 2022 году и наблюдается до сих пор.

Материал по теме

Не менее важным наблюдением в 2022 году стали деструктивные атаки, в ходе которых злоумышленники также крали данные компаний, которые затем выкладывались в публичный доступ, продолжает Солдатов. «Иногда их маскировали под атаки с использованием программ-вымогателей. Наряду с мотивацией атакующих в виде громких инфоповодов наблюдались и такие инциденты, где злоумышленники преследовали цель остановить бизнес-процессы предприятий, — подчеркивает он. — Наиболее значимыми были попытки реализации подобных атак на индустриальные компании, системы промышленной автоматизации (АСУ ТП)». В 2023 году эта тенденция прослеживается в меньшей степени, однако стремление нанести ущерб производственным предприятиям усилилась, и с большой долей вероятности тренд сохранится до конца 2023 года, заключает эксперт.

Еще на один риск, актуальный для финтеха, ретейла и маркетплейсов, обращают внимание в Angara Security. Это использование кода open source. Для экономии ресурсов на разработку часто используется исходный код с open source площадок (например, GitHub). «В итоге возникают такие проблемы: код может быть заражен, там могут быть «закладки», которые при активации в российской доменной зоне по IP выводят из строя сетевое оборудование или активируют нежелательный контент, или в целом код может быть устаревшим, так как основатели GitHub не сотрудничают с российскими разработчиками и не принимают доработки кода», — резюмируют в компании.