Защита КИИ: уроки 2023 года

2023 год стал годом значительных испытаний для российской критической инфраструктуры. Два крупных инцидента, произошедших в этот период, продемонстрировали уязвимость даже самых подготовленных организаций перед изощренными кибератаками. Эти случаи дают нам ценные уроки, которые помогут улучшить защиту КИИ в будущем.

Автор: Дмитрий Беляев, директор управления безопасности ООО “АБТ”

В 2023 г. российским компаниям удалось успешно предотвратить более 65 тыс. кибератак, направленных на объекты критической информационной инфраструктуры. Заместитель председателя правительства Дмитрий Чернышенко сообщил эту статистику на форуме "Цифровая экономика" [1]. Он подчеркнул, что основную роль в защите российского киберпространства играют отечественные решения в области информационной безопасности. Эти решения оказались настолько эффективными, что начали пользоваться спросом и в других странах. Стоит отметить, что на заседании межведомственной комиссии Совета Безопасности РФ по информационной безопасности было отмечено, что основные цели кибератак на Россию находились в сферах государственного управления, связи, энергетики, науки и образования, промышленности, транспорта и банковской сферы [2].

Рассмотрим два наиболее показательных эпизода 2023 года.

Кибератака на компанию Platformix

Первый инцидент произошел с компанией Platformix, которая занимается интеграцией ИТ- и ИБ-услуг [3]. Эта атака стала ярким примером того, как даже высокотехнологичные компании могут стать жертвами кибератак, если недооценивают степень опасности современных угроз.

Атака началась ночью в субботу и оказалась успешной благодаря компрометации учетных записей администраторов и пользователей, а также заражению нескольких серверов и рабочих станций. Злоумышленники использовали фишинговые письма для установки вредоносного ПО, что позволило им получить контроль над системами [4].

Несмотря на наличие сертификатов и соответствие требованиям регуляторов, сотрудники Platformix недооценили риски кибератаки. Они считали, что их компания не представляет интереса для целевых атак, поскольку не обладает ценными данными и не связана с государственными структурами.

Специалисты смогли остановить атаку за 97 минут, но ущерб оказался значительным: потеря рабочего времени сотрудников и привлечение сторонних экспертов для анализа ситуации. После инцидента Platformix усилила меры безопасности, включая переустановку программного обеспечения, сброс учетных записей и проведение повторного инструктажа сотрудников.

Взлом российской КИИ и отключение электричества

Второй инцидент связан с российским инженером "Россетей", который смог отключить электричество в 38 населенных пунктах Вологодской области, используя свое служебное положение и специализированное ПО на личном ноутбуке [5]. Этот случай продемонстрировал опасность внутренних угроз и необходимость усиления контроля доступа к критически важным объектам.

Инженер был осужден по статье 274.1 УК РФ (неправомерное воздействие на КИИ), но получил только условный срок. Прокуратура Вологодской области пояснила, что суд принял во внимание личные данные обвиняемого.

Этот инцидент подчеркнул важность контроля внутреннего доступа и необходимости внедрения не только технических, но и строгих организационных мер безопасности для предотвращения подобных ситуаций. Внутренние угрозы часто остаются незамеченными, поэтому важно внедрять системы мониторинга и аудита действий внутри организации.

Выводы и рекомендации

Оба инцидента подчеркивают важность комплексного подхода к защите критической инфраструктуры. Основные выводы и рекомендации:

1. Организации должны регулярно оценивать свою готовность к кибератакам и учитывать возможные угрозы. Ошибочная уверенность в собственной неуязвимости может стать фатальной ошибкой.
2. Регулярные тренировки и инструктажи помогают снизить вероятность успешных атак через самое слабое звено – человеческий фактор. Сотрудники должны быть осведомлены о методах социальной инженерии и способах защиты от нее.
3. Необходимо строго контролировать доступ сотрудников к критически важным системам и ресурсам.
4. Внедрение современных средств мониторинга и реагирования на инциденты позволяет быстрее обнаруживать и останавливать атаки. Использование технологий машинного обучения и искусственного интеллекта помогает прогнозировать кибератаки.
5. Законодательство должно адаптироваться к новым вызовам и угрозам. Создание четких юридических рамок и механизмов ответственности за кибератаки способствует улучшению общей ситуации в области кибербезопасности.

Заключение

Уроки 2023 года показывают, что ни одна организация, коммерческая или государственная, не застрахована от подобных инцидентов. Для эффективной защиты КИИ необходимы комплексные меры, включающие технические, организационные и правовые аспекты.

1. https://www.vedomosti.ru/society/news/2024/02/06/1018693-chernishenko-v-rossii
2. https://tass.ru/politika/19622767 
3. https://platformix.ru/node/2579 
4. https://vk.com/video-221945088_456239192 
5. https://safe.cnews.ru/news/top/2024-05-20_rossiyanin_po_shchelchku_paltsev