Согласно исследованию «Ростелеком-Солар», каждая десятая российская организация из числа субъектов критической информационной инфраструктуры (КИИ) уже скомпрометирована вредоносным ПО.
Часть уязвимостей, которые эксперты находят в объектах КИИ, хоть и были опубликованы еще 10 лет назад, до сих пор не закрыты. Таким образом, совершить успешную атаку на большинство критически важных для страны инфраструктур могут даже хакеры с низкой квалификацией, считают эксперты.
Согласно данным, полученным от установленной «Ростелекомом» в декабре 2019 сети сенсоров и ловушек (honeypots) для раннего выявления атак, наибольшую активность проявляют четыре типа вредоносного ПО: Glupteba, PonyStealer, Trojan-Spy.Win32.Windigo и NjRAT.
- Основные цели Glupteba – кража пользовательских данных и вычислительных ресурсов для добычи криптовалюты, при этом вредонос тщательно скрывает следы своего присутствия.
- PonyStealer – ботнет, известный с 2011 года и предназначенный для похищения паролей учётных записей и другой чувствительной информации.Trojan-Spy.Win32.Windigo осуществляет рассылку спама, кражу конфиденциальных данных и кликфрод (несанкционированный переход по рекламным ссылкам).
- NjRAT (он же Bladabindi) – троян 2012 года, используемый злоумышленниками для удалённого администрирования.
Эксперты указывают, что это вирусное ПО, несмотря на свою несовременность, несёт существенные риски для компании. В случае, если какая-ибо хакерская группировка захочет развить атаку, ей достаточно приобрести в даркнете доступ к скомпрометированным узлам. Далее с помощью современных инструментов она сможет получить гораздо более глубокий доступ к инфраструктуре и повлиять на непрерывность бизнес-процессов, а также осуществить хищение конфиденциальной корпоративной информации или денежных средств.
Также остаются актуальными проблемы защиты периметра. В многих компаниях встречаются старые, но от этого не менее опасные уязвимости. Обновление ПО не проводится в более чем 90% организаций, а если и проводится, то среднее время установки обновлений составляет более 42 дней, говорится в исследовании. Наиболее распространённые из уязвимостей периметра: появившаяся в 2011 году Heartbleed, EternalBlue (в 2017 году она стала причиной распространения шифровальщика WannaCry) и BlueKeep, обнаруженная в 2019 году. Все они активно используются хакерами для кибератак.
Пандемия также значительно ослабила IT-периметры. За последний год более чем на 60% выросло число автоматизированных систем управления технологическими процессами (АСУ ТП), доступных из Интернета. Это увеличивает риски промышленного шпионажа и кибертерроризма.
Кроме того, почти в два раза увеличилось количество хостов с уязвимым протоколом SMB. Это сетевой протокол для общего доступа к файлам, принтерам и другим сетевым ресурсам, который применяется практически в каждой организации. Такие уязвимости особенно опасны, так как позволяют хакерам удаленно запускать произвольный код без прохождения аутентификации, заражая вредоносным ПО все компьютеры, подключённые к локальной сети.
Основной же проблемой во внутренних сетях является некорректное управление паролями. Крайне распространены слабые и словарные (подбираемые из набора известных вариантов) пароли, которые позволяют злоумышленнику проникнуть во внутреннюю сеть организации. Подбор пароля используют как хакеры-любители, так и профессиональные злоумышленники. Последних скомпрометированная учётная запись избавляет от необходимости преодолевать внешние средства защиты организации, отмечается в документе.
Критическая информационная инфраструктура – объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ.
Субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, АСУ, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Напомним, в конце мая президент подписал федеральный закон № 141-ФЗ, дополняющий Кодекс РФ об административных правонарушениях статьями, устанавливающими штрафы за нарушение требований в области обеспечения безопасности КИИ РФ и за неисполнение обязанности по представлению сведений, предусмотренных законодательством в области обеспечения безопасности КИИ. Штрафы могут быть наложены на должностных и юридических лиц, максимальный размер штрафа – 500 тысяч рублей.
В начале года Минцифры опубликовало очередную версию проекта постановления правительства об утверждении требований к ПО, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах КИИ.
Также документ предписывает субъектам КИИ до 1 января 2023 года осуществить переход на преимущественное использование российского программного обеспечения и до 1 января 2024 года — на преимущественное использование российского телекоммуникационного оборудования и радиоэлектронной продукции.
В феврале Минэкономразвития опубликовало отрицательное заключение на документ, «концептуально» поддержав идею импортозамещения. В отзыве, в частности, отмечается, что разработчиком не приведена информация о количестве объектов КИИ в том числе в разрезе видов оборудования, их производителе, влиянии такого оборудования на безопасность информационных систем и хранящихся в них данных.
По экспертным оценкам, количество значимых объектов КИИ может составлять более 25 тысяч. Отсутствие детального анализа имеющегося иностранного оборудования у субъектов КИИ, по мнению Минэкономразвития, не позволяет сделать вывод о реализуемости предлагаемого регулирования в горизонте среднесрочного планирования.
«В отсутствие такого анализа обоснованность суждения о возможности удовлетворения спроса потребителей в обозначенные проектом акта сроки может быть поставлена под сомнение», – сказано в документе.
Как писал D-Russia.ru, ранее, в одной из версий проекта по импортозамещению на субъектах КИИ переход на преимущественное использование российского программного обеспечения предполагался до 1 января 2024 года, на преимущественное использование российского оборудования – до 1 января 2025 года. После этого Ассоциация разработчиков программных продуктов «Отечественный софт» и Ассоциация российских разработчиков и производителей электроники направили письмо президенту РФ Владимиру Путину с просьбой не сдвигать на три года сроки перехода субъектов КИИ на преимущественно отечественное ПО.
Вредоносное ПО, обнаруженное «Ростелеком-Солар» в 10% организаций, работающих в среде КИИ, попало в эту среду из-за халатности лиц, отвечающих за IT-инфраструктуру. Это удивительно и крайне опасно, но само по себе по тяжести последствий не идёт в сравнение с потенциальными последствиями целенаправленной атаки на КИИ, за которой будет стоять преступная хакерская группировка или, хуже того, спецслужба враждебного государства.
Опасения на сей счёт не иллюзорны. Во-первых, прецедент такой атаки уже имел место. Во-вторых, США, по сообщениям местных СМИ, готовят кибератаки на Россию. Показательна опубликованная NYT колонка ветерана ЦРУ – в связи с кибернападениями на его родину ветеран предлагает США перестать изображать жертву взлома и «молча расквасить пару носов».
