Ведомства под прицелом кибермошенников
Чиновников от хакеров спасут собственные центры реагирования и цифровая гигиена
Госструктуры во всем мире столкнулись с трудностями при защите от разнообразных и быстро меняющихся кибератак. Эксперты считают, что министерствам и ведомствам необходимо создавать свои службы выявления угроз либо привлекать частных подрядчиков. Квалифицированные кадры, современные продукты информбезопасности и компьютерная грамотность служащих госучреждений позволят отбить атаки хакеров.
ЦИФРОВОЙ ВРАГ ГОСУДАРСТВА
В конце сентября эксперты «СёрчИнформ» сообщили на своем сайте, что компьютерная техника госслужащих столь же уязвима для хакеров, как и у рядовых пользователей. Причина банальна – они открывают вложения из писем с незнакомых адресов, обмениваются важными файлами по незащищенным каналам связи с подрядчиками, переходят по непроверенным ссылкам. Ситуация особенно обострилась в период пандемии, когда многие сотрудники перешли на удаленную работу.
Как рассказал RSpectr тренер по компьютерной криминалистике Group-IB Сергей Золотухин, опыт показывает, что не всегда эффективно напоминать сотрудникам о рисках открытия незнакомых файлов с почты. Необходимо технически выстраивать защиту по всему периметру IT-инфраструктуры.
По данным InfoWatch,
за 2019 год зафиксировано 2 509 утечек данных из расположенных по всему миру коммерческих и госструктур
По сравнению с 2018 годом прирост составил почти 11 процентов. Годом ранее органы власти и муниципальные организации по всему миру получили на 30% больше утечек конфиденциальной информации, чем в 2017 году. Почти в два раза чаще, чем в 2017 году, взламывали муниципальные организации – 41% против 26% годом ранее. Также в 2018 году более чем в 1,5 раза выросла доля утечек платежной информации, хотя продолжают преобладать хищения персональных данных.
Девятого октября Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило, что хакеры могли получить доступ к системам компьютерной поддержки выборов страны. Атака был направлена против правительственных сетей на региональном и федеральном уровнях. Неизвестные взломщики могли использовать старые и новые уязвимости в аутентификационном сервисе Windows Netlogon.
СПРАВКА
Утечки данных из госструктур в мире
2020 год
- В феврале 2020 года стало известно о появлении в открытом доступе персональных данных 74% населения Израиля. Утечка произошла из-за неправильной настройки приложения для выборов, разработанного партией израильского премьер-министра Биньямина Нетаньяху «Ликуд».
2019 год
- В конце июля 2019 года отдел кадров полиции Лос-Анджелеса подвергся кибератаке, в результате которой были похищены личные данные нескольких тысяч полицейских. Об утечке никто не знал, пока хакер не связался с правоохранительными органами напрямую.
- В Болгарии хакер похитил персональные и финансовые данные 5 млн граждан из Национального налогового агентства (NRA).
- До января 2019 года сервер государственного банка в Индии State Bank of India (SBI) позволял любому желающему получить доступ к финансовой информации миллионов клиентов SBI. С февраля банк принял меры по защите данных.
Источник: Tadviser
Пятого сентября в Новосибирске на совещании по вопросам нацбезопасности в регионах Сибирского федерального округа (СФО) секретарь Совбеза РФ Николай Патрушев сообщил, что выполнение требований по информационной безопасности позволило защитить каналы связи органов власти в СФО от утечек данных, в том числе содержащих государственную тайну.
«Из выступления секретаря Совбеза можно сделать выводы, что сегодня на государственном уровне работает система, позволяющая собирать информацию об атаках и оперативно извещать другие госструктуры о возможных угрозах и их специфике. Это позволяет подготовиться к нападениям и принять меры», – пояснил С. Золотухин.
АУТСОРСИНГ И ПАРТНЕРСТВО
Эксперты отмечают, что проблема в защите данных различных федеральных и муниципальных ведомств носит объективный характер, вызванный спецификой угроз.
Государственная система любой страны ранее никогда не сталкивалась, а потому и не готовилась к столь реактивным и быстро меняющимся кибератакам
В России защита IТ-инфраструктуры в госучреждениях жестко регулируется, напоминает в разговоре с RSpectr руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев: «По всем приказам можно насчитать до 200 пунктов требований. И они строго соблюдаются, поскольку регуляторы следят за этим».
Но, с другой стороны, для любой госструктуры безопасность не профильное направление деятельности, а бюджет строго регламентирован, поясняет эксперт. Поэтому больница будет тратить средства в первую очередь на медтехнику и врачей, а не IT-специалистов. Информационная безопасность (ИБ) будет обеспечиваться по остаточному принципу. И это вполне логично.
Алексей Парфентьев, «СёрчИнформ»:
– Федеральные органы должны помогать ведомствам компетенциями и финансами. К счастью, второй аспект уже реализуется – выделяют деньги, есть постановления Минцифры по защите данных. Также формируется платформа единого цифрового профиля, которая значительно снижает риски и слабые места в общей IТ-инфраструктуре. Для комплексного решения проблемы необходимо внести законодательные поправки в федеральный закон о персональных данных, прописав детально ответственность.
А. Парфентьев уверен, что ничего лучше аутсорсинга придумать нельзя. Ведомства должны соблюдать нормы ИБ и хотят это делать, но часто не могут в силу нехватки компетенций «на местах».Часть функций по защите госструктур можно передать компаниям, специализирующимся на информационной безопасности. «Мало использовать ИБ-продукты, нужны специалисты, которые могут их эффективно эксплуатировать: минимизировать время на инцидент, детектирование, внедрять системы широкого профиля, чтобы видеть большее количество рисков и так далее», – отметил он.
В свою очередь, С. Золотухин отмечает, что у частных компаний и госучреждений разные угрозы от хакеров. Бизнес атакуют финансово мотивированные взломщики, а госструктуры – кибершпионы. Поэтому тактики и инструменты используются разные, а значит, подход к IT-защите будет различаться у ведомств и компаний. У проправительственных хакерских групп, атакующих госструктуры других стран, больше финансовых ресурсов и технологий.
Сергей Золотухин, Group-IB:
– Госструктурам нужна полноценная система киберразведки, способная заранее выявлять возможные атаки и их разновидности. Должны быть сформированы центры реагирования на компьютерные инциденты при каждом министерстве, которые будут работать на опережение. Например, узнавать на закрытых форумах, что появились вирусные инструменты, способные автоматически подменять медицинские данные пациентов, а затем предупреждать медучреждения. Центры будут выстраивать концепцию защиты, давать рекомендации учреждениям по устранению слабых мест.
Эксперт отмечает, что в новом цифровом пространстве государства должны между собой договариваться о партнерстве по защите от глобальных киберугроз, а также активно защищать личную жизнь своих граждан.
ГДЕ И КАК ЛАТАТЬ ДЫРЫ
Важно серьезно подходить к выбору продуктов информбезопасности.
Где только возможно, нужно отдавать предпочтение стандартным, встроенным в прикладное и системное ПО механизмам защиты, а не дополнительным (наложенным) средствам
сообщил RSpectr технический директор компаний «СИС Груп» и TESSIS Михаил Рожнов.
Эксперт рекомендует внедрять специальные решения для защиты данных, прежде всего основанные на шифровании. Поскольку доступ к ключам криптозащиты ограничить проще, чем к самим данным.
Михаил Рожнов, «СИС Груп» и TESSIS:
– В организации должен быть руководитель службы ИБ с высоким уровнем подчинения, широкими полномочиями, постоянной командой и отдельным бюджетом. Часть работы нужно автоматизировать. Например, внедрив специальное ПО для управления информационной безопасностью, своего рода «ИТ для ИБ». Именно это позволит принять и реализовать адекватную угрозам стратегию информбезопасности. Из-за требований регуляторов выбор решений для госорганов сужается, но все равно остается, и об этом надо помнить.
Если донести до сотрудников мысль, что любую утечку можно выявить, то это даст колоссальную дисциплину, сообщил RSpectr генеральный директор Corpsoft24 Константин Рензяев. Он отмечает, что
всегда работают только комплексные меры: прописывание ответственности в трудовых договорах, регулярное обучение, внедрение DLP-систем, предотвращающих утечку данных
Представитель Dr.Web Вячеслав Медведев считает, что, будь то госструктуры или частные компании, необходимо повышать требования к работе службы ИБ. По его словам, многие не закрывают бреши в защите, которые у всех на слуху.
Вячеслав Медведев, Dr.Web:
– Есть уязвимости, не закрытые уже не годами, а десятилетиями. Думаете, все закрыли EternalBlue, которая позволила шифровальщику WannaCry нанести ущерб в мировом масштабе? Как бы не так! Патчи (заплатки) ставят только после инцидента. Не описанного с учетом опыта пострадавшей фирмы в прессе, а после инцидента в самой компании.
Он отмечает, что многие не обновляют операционную систему годами, что сводит защиту к минимуму. Скачиванием ПО с неофициальных сайтов разработчиков грешат даже системные администраторы в учреждениях.
Причина утечек не только в недостаточной защите серверов, на которых хранятся данные, но и в пресловутом человеческом факторе. Сотрудники продолжают оставаться источниками утечек, сами не зная этого. Как правило, они легкомысленно относятся к информации и не понимают ее ценность.
Угрозы проникновения через офисные компьютеры идут и от личных гаджетов. Хакеры могут взламывать смартфоны и через блютус подключаться к рабочему ноутбуку, говорит С. Золотухин.
Секретарше посетитель подарит цветы и флеш-накопитель со стразами – она вставит его в компьютер, и вирусная программа проникнет во всю сеть компании
рассказывает о вариантах хищения информации К. Рензяев.
ЦИФРОВАЯ ГИГИЕНА
В 2020 году эксперты «СёрчИнформ» начали проводить вебинары «Защита рабочих и личных данных в посткризисное время», которые уже прослушали 4 600 сотрудников государственных и муниципальных учреждений. Им рассказывают, как избежать киберрисков, обеспечить безопасность личной информации и защитить от мошенников персональные данные граждан.
Проект по повышению цифровой грамотности в РФ стартовал в мае 2020 года. Тогда «СёрчИнформ» предложила региональным правительствам бесплатно обучить служащих основам ИБ, чтобы дать людям практические навыки защиты. В ответ компания получила согласие и благодарность, что говорит о высокой ответственности властей в вопросе обеспечения кибербезопасности и сохранности данных граждан.
Изображения: RSpectr, Freepik.com
ЕЩЕ ПО ТЕМЕ:
