6 августа 2025 г.

Киберинциденты середины года на общую картину с состоянием сегмента пока ИБ не повлияли — на изменения нужно время — хотя уже привлекли повышенное внимание к тематике. Какие выводы можно сделать уже сейчас, пока детализация произошедшего — и происходящего — еще не выполнена?

Вывод #1: Инциденты продолжаются (и будут продолжаться)

Конечно, не все киберинциденты настолько масштабны, как недельный простой сети алкомаркетов по всей рублевой зоне или единовременная отмена десятков рейсов у крупнейшей национальной авиакомпании. Однако инциденты продолжаются, их много, и некоторые достаточно масштабны. Свежий пример: в последний понедельник июня ряд медиа сообщили о сбоях в ИТ-инфраструктурах, нарушивших деятельность сразу трех крупных медицинских компаний. О проблемах в аптеках сетей «Столички» и «Неофарм» (обе принадлежат компании «Нео-фарм»), а также о сбоях, связанных с CRM-системой в сети медклиник «Семейный доктор», сообщил РБК.

Конечно, с кибератаками связаны не все сбои — даже приводящие к сбоям и к полным остановкам операционной деятельности на несколько дней — вполне возможны и технические проблемы, особенно сейчас, при экстремально жаркой погоде. Но учитывая данные статистики (см. врезку), а также на фоне общего внимания к хакерским активностям этого лета логичным стало предположение не о «технических проблемах», про которых говорили на начальном этапе, а о трех новых кибератаках — в один день!

Структуры из сегмента здравоохранения вошли в тройку самых атакуемых вертикальных рынков в РФ по итогам первого квартала 2025 года, сообщает Forbes, также в «Тор 3» присутствуют госучреждения и промышленные предприятия. Каждая пятая каждая пятая атака «на медицину» за первый квартал носила критический характер, по данным RED Security, а весь предыдущий год был тревожным в плане ИБ для сегмента здравоохранения, который привлекал нарастающее внимание киберпреступников.

30 июля хакеры атаковали сеть дискаунтеров «Доброцен», писал ТГ-канал Mash. Работу приостановили все 5 офисов компании в Москве, Питере, Екатеринбурге и Самаре. «Доброцен» насчитывает около 900 магазинов по всей России и СНГ на 2025 год.
Как сообщили в компании, починка может занять неделю.

Вывод #2: Большинство инцидентов остаются «невидимками»

Согласно требованиям законодательства, российские компании обязаны предоставлять данные о киберинцидентах в уполномоченные структуры — ГосСОПКА или НКЦКИ — в ряде предусмотренных законом случаев: если случившееся связано с объектами КИИ или с оператором персональных данных, со значимыми инфраструктурными объектами и т. д. Однако требований к обнародованию информации по инцидентам по понятным причинам не предусмотрено, поэтому информацию о большинстве успешных хакерских атак часто не разглашают и даже не комментируют, а если все же говорят, то многие детали не раскрывают, а масштабы ущерба существенно принижают.

Например, чем был вызван сбой в работе «Почты России», о котором писали «Ведомости», — пользователи Москвы и Санкт-Петербурга, Московской, Тверской и Самарской областей, а также некоторых других центральных регионов области сообщали о невозможности получить доступ к официальному сайту и мобильному приложению — осталось неизвестным. Сбой был устранен достаточно быстро, как писал «КоммерсантЪ».

Проблемы возникали у сети «Ростикс». «В нашей сети произошел кратковременный сбой в работе ИТ-инфраструктуры», — со ссылкой на представительство компании сообщает РИА «Новости». Причины сбоя также не были раскрыты. В обоих случаях ни одна из хакерских группировок не взяла на себя ответственность за инциденты.

РБК писал о сбое в системах СДЭК: «1 августа СДЭК уже столкнулась с многочисленными жалобами клиентов на невозможность зайти в кабинет и проверить статус посылок. Трудности с доступом к сервису возникли у пользователей и сайта, и мобильного приложения».

Киберпреступники довольно разговорчивы, но к их заявлениям следует относиться осторожно и критично. Хакерские группировки часто себе приписывают лишнего (например, выдавая за свежеукраденные данные некоторую компиляцию ранее похищенных материалов, причем зачастую «угнанных» совсем не ими), а масштабы нанесенного ущерба — даже если таковой случился — в заявлениях увеличивают в разы.

Вывод #3: Риски есть у всех корпоративных заказчиков

Киберпреступления — выгодный бизнес, в котором изобретательные и квалифицированные специалисты создают и реализуют нелегальные схемы заработка. Для реализации схем проектируют варианты монетизации, комплектуют команды исполнителей, подбирают ИТ-инструменты и т. д.

erid:

Почти каждая третья организация из сферы здравоохранения сталкивалась с утечками по вине сотрудников

Алексей Дрозд

Часто киберпреступники заходят «сбоку», вместо того чтобы пытаться открыть защищенную дверь или найти в ней лазейку. Злоумышленники регулярно работают с инсайдерами. С их помощью можно долго оставаться в инфраструктуре, получать о ней информацию и незаметно выносить данные. Такое «сотрудничество» распространено во многих отраслях. Например, по данным нашего исследования, почти каждая третья организация из сферы здравоохранения сталкивалась с утечками по вине сотрудников.

Защититься от предумышленных или случайных ИБ-нарушений со стороны персонала поможет связка DLP «СёрчИнформ КИБ» и DCAP «СёрчИнформ FileAuditor». Система файлового аудита позволит узнать, какие данные хранятся в инфраструктуре, сколько из них критичных и кто имеет к ним доступ. Настроить права пользователей собственными средствами без использования инструментов ОС, выстроить сценарии работы с данными, а также узнать историю действий с ними.

Система предотвращения утечек позволит проконтролировать соблюдение правил и работу сотрудников. Автоматически заблокировать потенциально опасные действия и выявить попытки обойти запреты. Например, система ограничит пересылку персданных в мессенджере, перенос файла с заданным содержимым в сетевую папку и покажет факты фотографирования экрана на телефон. Также при помощи аудита блокировок можно узнать, кто из сотрудников пытался совершить действие в обход ИБ-политик.

«DLP и DCAP-системы дополняют друг друга и обеспечивают защиту данных при их хранении и передаче. DCAP позволяет навести порядок и минимизировать риск того, что файл попадет „не в те руки“. А DLP обезопасит от слива данных, поможет выявить мошеннические схемы и другие нарушения, — отмечает Алексей Дрозд, начальник отдела безопасности „СёрчИнформ“. — Совместно КИБ и FileAuditor защитят, например, от распространенной схемы, когда ИТ-администраторы якобы случайно переносят критичные файлы в общие папки или переназначают права доступа. КИБ ограничит перенос файла в папку, а FileAuditor не даст не тому пользователю получить доступ к конфиденциальным данным».

Реклама ООО «СерчИнформ», ИНН: 7704306397

Ущерб, нанесенный киберпреступниками национальной экономике, только за первые 9 месяцев прошлого года превысил 116 млрд руб., как отметил Владимир Колокольцев, глава МВД РФ, сообщает ТАСС. Значительная часть этих средств стала доходом для киберпреступников.

Даже в медицинских учреждениях, как показывает практика, есть возможности для заработка киберпреступников: вымогательство посредством вируса-шифровальщика, похищение персональных данных клиентов, шантаж угрозами публикации украденных внутренних документов и т. д. Потенциальные доходы оказываются достаточно значимыми, чтобы инвестировать ресурсы в подготовку и реализацию целевой атаки на сложную инфраструктуру.

Для целевых атак — они же «таргетированные», они же «продолжительные атаки повышенной сложности» (Advanced Persistent Threat, APT) — создают сложные штучные решения, включающие цифровые инструменты, проведение «разведки по открытым источникам» (Open Source Intelligence, OSINT), применение «социальной инженерии» и т. д., что занимает много времени и, соответственно, требует инвестирования значительных денежных средств.

Вывод #4: Отстающие рискуют больше

Риски есть у всех структур, но наиболее значимые — у наименее защищенных, ведь хакерам при организации преступной деятельности важна эффективность. «Злоумышленники расширяют зону своей активности, смещая фокус на те отрасли, которые в среднем менее защищены», — говорит Ильназ Гатауллин, технический руководитель центра мониторинга и реагирования на кибератаки RED Security SOC в компании RED Security.

Заметим, что компаниям придется платить: или инвестируя в безопасность, или неся потери от хакеров. Еще в позапрошлом году объем потерь от хакерской деятельности превысил инвестиции в кибербез, сказал Игорь Ляпунов, глава ГК «Солар», сообщает ТАСС.

Вывод #5: Меняются рельефы угроз и активностей

В современных условиях к хакерским группировкам, преследующими коммерческие интересы, добавлена деятельность хактивистов. Цель последних — нанести своей деятельностью ущерб атакуемым структурам даже если это напрямую не связано с получением коммерческой выгоды.

Было принято считать, что хактивисты, в основной массе не обладающие высокой квалификацией, для крупных компаний не создают серьезных рисков; максимум на что способны такие группы — отвлекать внимание «безопасников», которые могут пропустить более серьезную атаку. Однако, если атаку на «ВинЛаб» проводили традиционные хакеры, которые требовали выкуп (правда, денег они не получили), то инфраструктуру крупнейшей национальной авиакомпании «положили» хактивисты. Это показывает изменения в структуре киберпреступного сообщества, что приходится учитывать службам кибербезопасности.

Изменения происходят и в технической области — предпочтения киберпреступников в выборе инструментов находятся в динамике. Причем эта динамика присутствует как в целом по преступному сообществу, так и проявляется в отдельных сегментах, касаясь как предпочтений при выборе инструментов и техник для взлома, так и бизнес-схем для получения прибылей.

Вместо заключения

Активность киберпреступников продолжит рост, причем киберпреступления занимают все большую долю в общей статистике правонарушений. «За последние 5 лет число противоправных деяний в киберпространстве увеличилось более чем вдвое, — сказал Владимир Колокольцев прошлой осенью, выступая на заседании Общественного совета при МВД РФ. — Сегодня их доля в общем массиве остается значительной и составляет около 40%. А по тяжким и особо тяжким составам этот показатель уже приблизился к 60%».

Корпоративным заказчикам придется уделять особое внимание непрерывности бизнес-процессов, что требует внимания к кибербезопасности. В частности, нужно отслеживать тенденции в хакерской среде и в соответствии с трендами акцентировать средства защиты. Например, если видим явный крен активностей в сторону целевых атак, в ходе которых хакеры проводят недели и месяцы внутри взломанной системы, изучая особенности ИТ-инфраструктуры перед нанесением ущерба, то должны внедрять инструменты класса IDS и IPS. Напомним, что «система обнаружения вторжений» (IDS, Intrusion Detection System) ведет мониторит сетевого трафика и уведомляет специалистов по безопасности о подозрительных активностях, а «система предотвращения вторжений» (Intrusion Prevention System, IPS) обнаружив угрозы, автоматически блокирует их, тем самым предотвращая дальнейшее развитие атаки. Сам взлом эти решения предотвратить не смогут, но повышают вероятность своевременного обнаружения хакеров и блокировки используемых ими уязвимостей раньше, чем проводимое ими АРТ приведет к ущербу.

Подчеркнем, что IDS и IPS не исключают, а дополняют традиционные наборы решений для обеспечения «инфобеза» — от обновлений антивирусов и киберучений до сегментирования инфраструктуры и создания резервных копий.

Источник: Александр Маляревский, внештатный обозреватель IT Channel News