04/09/24
Эксперты Positive Technologies, лидера в области результативной кибербезопасности, проанализировали ландшафт киберугроз в государственном секторе. Исследование[1], охватившее период с 2022 года по первую половину 2024-го, было представлено на Восточном экономическом форуме. По данным отчета, шифровальщики остаются самым распространенным типом ВПО, применяемого в атаках. Вместе с тем специалисты отмечают положительный тренд на снижение их популярности в госсекторе: в первые шесть месяцев этого года доля успешных инцидентов с использованием вымогателей уменьшилась на 4% относительно общего показателя за 2023 год и на 14% по сравнению с 2022-м.
Госучреждения, которые, как правило, не соглашаются выкупать украденные данные, все равно находятся под ударом, предупреждают в Positive Technologies. Злоумышленники атакуют их не столько ради финансовой выгоды, сколько с целью нарушить работу государственных систем, украсть или уничтожить конфиденциальные данные. Кроме того, эксперты связывают такой выбор жертв с большим количеством сотрудников, которые активно используют электронную почту и другие средства коммуникации в работе: возникает множество точек входа в инфраструктуру ведомств.
Самое частое последствие успешных атак — нарушение основной деятельности организации (48% инцидентов), на втором месте — утечка конфиденциальной информации (41%). Аналитики компании фиксируют также непрерывный рост этого показателя: в 2022 году утечки составляли 37%, в 2023-м — 41%, а в первом полугодии 2024-го — уже 48%.
Главные мишени для проникновения в сеть госструктур — компьютеры, серверы и сетевое оборудование: по оценке Positive Technologies, на них было направлено 80% успешных атак. Почти в половине инцидентов (47%), рассмотренных в исследовании, злоумышленники применяли социальную инженерию и полагались на человеческий фактор, чтобы ввести жертв в заблуждение. Помимо этого, в каждой второй успешной атаке (56%) применялись вредоносные программы. Эксперты подчеркивают, что популярность этого метода неуклонно растет: 48% инцидентов — в 2022 году, 57% случаев — в 2023-м и 68% — в первой половине 2024-го. Прежде всего, эта динамика обусловлена простотой и эффективностью применения ВПО. Кроме того, существует активный теневой рынок, где можно арендовать или купить готовое ВПО, а также заказать его индивидуальную разработку.
Государственный сектор — самый атакуемый APT-группировками. В целенаправленных атаках преобладает вредоносное ПО (83% инцидентов), преимущественно трояны удаленного доступа (65% случаев) и шпионские программы (35% случаев). Также злоумышленники покупают или обменивают учетные данные для доступа к скомпрометированным устройствам в дарквебе. Анализ теневых площадок показал, что в каждом шестом объявлении предлагается доступ к инфраструктуре скомпрометированных госорганизаций. Стоимость может варьироваться от 20 до нескольких тысяч долларов за доступы с высокими привилегиями. При этом в трети случаев цена не указывалась: это означает, что стороны договаривались о ней в частном порядке. Эффективно противодействовать сложным киберугрозам компаниям позволит автопилот в сфере результативной кибербезопасности MaxPatrol O2. Метапродукт, на счету которого успешное обнаружение атак организованных хакерских группировок мирового уровня, уже используется несколькими госведомствами.
«Чем выше уровень цифрового развития, тем больше любое государство зависит от технологий. Колоссальный объем конфиденциальных данных, хранящихся в государственных IT-системах, наряду с критической значимостью непрерывной работы ведомств, делает эту сферу целью для всех: профессиональных APT-группировок, опытных злоумышленников-одиночек, хактивистов. По данным наших исследований, на протяжении шести лет госучреждения возглавляют рейтинг самых успешно атакуемых отраслей, — комментирует аналитик исследовательской группы отдела аналитики информационной безопасности Positive Technologies Анна Вяткина. — Для достижения высокого уровня защищенности им необходимо следовать принципам результативной кибербезопасности: определить события, которые для них недопустимы, и основные объекты воздействия на инфраструктуру; провести трансформацию (усовершенствовать IT-инфраструктуру, обучить сотрудников основам ИБ, организовать мониторинг и реагирование на инциденты, проверку защищенности и пр.); регулярно подтверждать и поддерживать киберустойчивость с помощью проведения киберучений и выхода на багбаунти».
По мнению экспертов Positive Technologies, важность построения результативной кибербезопасности в госсекторе диктуется опасными последствиями кибератак: нападение на одно ведомство может повлиять не только на него, но и на другие структуры, на все государство и его граждан. Например, кража персональных данных пользователей в результате атаки на одно госучреждение может повлечь за собой незаконный доступ как к государственным ресурсам других организаций, так и к коммерческим сервисам.
Помимо России, в отчете выделены другие регионы с высокой активностью атак на сектор госуправления. Наибольший интерес для злоумышленников представляют страны Азии (33%), Африки (12%) и Северной Америки (12%). В частности, госучреждения Азии привлекательны по ряду причин. В последние годы азиатские страны стали лидерами в области технологических инноваций. Цифровая трансформация затронула и госсферу, однако ее кибербезопасность еще не обеспечивается на должном уровне. Кроме того, в киберпространстве отражается и межгосударственная экономическая конкуренция: именно она оказывается предпосылкой тщательно спланированных целенаправленных атак на госструктуры. Так, почти половина всех успешных кибернападений (48%) за изученный период были целевыми, и чаще всего они приводили к утечкам данных (62% случаев). Атаки проводят как высококвалифицированные APT-группы, так и хактивисты. Главным образом им удается похищать персональные данные (33%) и коммерческую тайну (30%).
[1] При исследовании теневого рынка было проанализировано 213 источников, среди которых телеграм-каналы и форумы в дарквебе с общим количеством пользователей более 38 млн и общим числом сообщений более 155 млн. В выборку попали крупнейшие площадки на разных языках с разнообразной тематической направленностью. Для анализа рынка доступов были рассмотрены объявления, опубликованные в 2023–2024 годах.
