Эксперты опасаются усиления атак вымогателей на критическую инфраструктуру

В последующие годы число атак с использованием вымогательского ПО возрастет, причем увеличатся не только суммы требуемого выкупа, но и сами атаки станут более изощренными и не будут ограничиваться лишь шифрованием данных. Такой прогноз прозвучал в ходе международной конференции по информационной безопасности RSA, проходившей в понедельник, 13 февраля.

Крипто-вымогатели действуют по определенной схеме. Оказавшись на системе, вредоносное ПО шифрует файлы и требует выкуп за их восстановление (обычно в биткойнах). При отказе уплатить требуемую сумму файлы жертвы удаляются. По некоторым оценкам, в 2016 году с помощью таких атак злоумышленники заработали в общей сложности $1 млрд.

Особое беспокойство экспертов вызывает стремление киберпреступников расширить поле деятельности. По мнению руководителя отдела по управлению эффективностью деятельности Министерства внутренней безопасности США Нила Дженкинса (Neil Jenkins), существует риск, что кибератакам с использованием вымогательского ПО начнут подвергаться критические инфраструктуры. В качестве примера Дженкинс привел инцидент в австрийском отеле, когда администрации гостиницы пришлось заплатить за разблокировку дверей в номера постояльцев.

По словам главы Security Outliers Гэла Шпантцера (Gal Shpantzer), слишком много компьютеров подключено к интернету, когда этого делать не следует. Кроме того, часто в небольших компаниях компьютеры связаны с другими процессами, например, с производственными конвейерами. Поэтому в случае инфицирования вымогательским ПО существует риск, что в результате кибератаки нарушится работа всего предприятия.

Эксперты также отмечают увеличение выкупа за расшифрование файлов. Согласно данным руководителя отдела по вопросам стратегии безопасности SentinelOne Джеремайи Гроссмана (Jeremiah Grossman), в некоторых случаях требуемая злоумышленниками сумма превышала $40 тыс.

«Самое важное, ситуация становится все хуже и продолжит ухудшаться», - прогнозирует Гроссман.

Алексей Петухов, руководитель направления информационной безопасности АСУ ТП Центра информационной безопасности компании «Инфосистемы Джет»

Проблема низкой культуры информационной безопасности, как среди частных, так и среди юридических лиц, стоит действительно остро. Всё больше российских компаний могут привести собственные примеры компьютерных атак. Чаще всего их последствия вызывают простой бизнес-процесса от несколько часов до 2-3 недель, но есть факты и значительных потерь, таких как потеря репутации с дальнейшей потерей клиентской базы или прямого материального ущерба. Отсутствие достаточных мер по обеспечению информационной безопасности при проектировании, создании, эксплуатации и выводе из эксплуатации информационных систем и автоматизированных систем управления производственными процессами делает бизнес почти незащищённым от обилия инструментов взлома и шантажа. Причём отсутствие достаточного набора мер по информационной безопасности на предприятии не позволяет разобраться в причинах инцидента, истории его появления и найти виновного. Таким образом, злоумышленники остаются безнаказанными. Что приводит к постоянному росту числа и масштаба подобного рода преступлений.

Но нельзя говорить и о полном бездействии. В Российской Федерации соответствующие службы и отраслевые регуляторы ведут активную работу по противодействию компьютерным преступлениям. Стоит отметить, что в тех отраслях, где эта работа ведётся давно, количество инцидентов снижается, а сложность атак на предприятия значительно увеличивается. Например, это характерно для финансового сектора. В этой связи можно предположить, что поиск все новых типов и методов атаки и жертв для злоумышленников связано с нарушением комфорта работы в их традиционных сферах. Возможно, они ищут области, где снова легко и безнаказанно смогут "снимать сливки".

Уверен, та работа, которая проводится нашим государством по повышению уровня информационной безопасности, будет давать всё больше результатов. Подготовленность государственных и коммерческих предприятий к противодействию компьютерным атакам будет расти, начнут работать механизмы по поиску злоумышленников и их наказанию. В свою очередь, компаниям необходимо как минимум ответственно выполнять требования и рекомендации регуляторов, не переводя всё в бумажную, формальную плоскость.

Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»

Для России опасность атак на критическую инфраструктуру так же актуальна, как и для всего мира. И так же, как во всем мире, оценить эту угрозу крайне сложно. Традиционные рисковые модели, в которых вероятность наступления события рассчитывается на основе статистики, не работают: такие случаи единичны, а потери от них – колоссальны. Чтобы избежать их, важно обеспечивать внедрение СЗИ на всех трех уровнях работы АСУ ТП, сочетая как традиционные, так и специальные средства защиты типа Data Diode или промышленных маршрутизаторов.

Меры предотвращения этих катастроф прописывают в нормативной базе и отраслевых стандартах. Два ключевых элемента для защиты критической инфраструктуры в России – это развитие Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и законопроект «О безопасности критической информационной инфраструктуры РФ», внесенный на рассмотрение Госдумы в декабре.

Василий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ

Атаки на банки, биржи, системы обмена информацией, к сожалению, уже вошли в повседневную жизнь — мы не смирились с ними, но научились с ними бороться. Потенциальный взлом критической инфраструктуры намного страшнее. Если хакерам удастся, скажем, остановить систему трафика города, понятно, что в городе будет коллапс. Атаковав атомную или гидростанцию, злоумышленники могут оставить без электричества целый регион. Самое страшное, что эти объекты строились без прицела на кибербезопасность, и там до сих пор установлены системы киберзащиты двадцатилетней давности. Это та область, в которой государство должно заниматься регулированием и внимательно смотреть за тем, что происходит, не прятать инциденты, советоваться с сообществом безопасников о том, как избежать ущерба.

Мы видим сейчас, что многие государства, включая Россию, принимают так называемые доктрины кибербезопасности или киберстратегии. Это делается, чтобы урегулировать направление развития безопасности. Государство создает специальные подразделения, которые в разных ведомствах занимаются анализом специфического направления угроз. Такое подразделение есть, например, в Центральном Банке.

В России, конечно, большую долю борьбы с киберпреступностью берут на себя регуляторы, такие как ФСТЭК, которые вносят определенные требования к используемому на территории РФ оборудованию, чтобы исключить проникновение опасных систем и минимизировать угрозы. Однако технологии развиваются настолько быстро, что регуляторы не успевают менять свои требования, и бизнесы сталкиваются с тем, что приходится внедрять более инновационные технологии. Регулирование для них еще не разработано, поэтому выходить за рамки правового поля и действовать на свой страх и риск.

Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв»

Мне кажется, что такой прогноз спровоцирован учащением случаев типа недавнего происшествия в австрийском отеле. В результате хакерской атаки персонал гостиницы потерял контроль над системой контроля электронных замков номеров отеля. Как рассказали представители отеля, из-за атаки хакеров перестали работать ключ-карты и двери в отеле перестали открываться. Кроме того, персонал отеля не мог использовать все компьютеры, включая управляющие кассой и резервной системой контроля доступа, как следствие сотрудники не могли запрограммировать новые ключ-карты. Постояльцы отеля могли покинуть номера, но если дверь захлопывалась, попасть обратно было уже нельзя. За разблокировку системы злоумышленники потребовали выкуп в биткоинах на сумму в 1,5 тысячи евро, и администрация отеля приняла решение выполнить это требование.

Да, это непривычная нам охота за информацией, которую можно использовать для наживы. Здесь более прямолинейная цель – получить деньги, поставив людей или организации в неожиданную ситуацию и в совсем неподходящее время, когда проще заплатить, ведь времени на локализацию ситуации нет.

Почему стоит обратить внимание на этот принцип атак? Да потому, что мы стремительно несемся в мир Интернет-вещей IoT. Да, они не содержат доступа к супер секретной информации, но все чаще отвечают за элементы нашей или общественной безопасности. Зловреды для них могут не только блокировать двери отеля, но обездвижить автомобиль или даже серию машин, отключить электричество, остановить производственные линии, или заблокировать лифт в большом офисе. Фантазия у хакеров хорошо развита, и человеческая психология такова, что проще заплатить, чтобы убрать сиюминутный риск, потерю контроля и репутации, а значит и суммы будут не 1,5 тысячи, а существенно больше.

Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб"

Шифровальшик – это троянец, то есть вредоносная программа, которая самостоятельно в операционную систему не проникнет и в ней не запустится, ее нужно доставить и запустить. Не будем говорить о целевых атаках – в этом случае вопрос не в вероятности, а в его стоимости. Взглянем на обычный офис обычной компании. Пришло письмо со ссылкой, по нему кликнули и что-то запустили. Кто виноват? Руководство, не выделившее средств на найм опытного специалиста по безопасности, знающего о существовании вредоносных программ и мерах по противодействию им (и это не шутка!); системный администратор, не настоявший на ограничении прав пользователей на запуск нового для компании ПО; пользователь, скорее всего нарушивший действующие в компании инструкции. Результат – один: пропуск вредоносной программы в корпоративную сеть.
Большинство компаний полагается на антивирус, считая, что это волшебная пыльца феи, которая знает обо всех вредоносных программах в момент попытки их проникновения и перехватывает их.. Никаких мер на случай появления неизвестных вредоносных программ при этом не предусматривается.

Злоумышленники – не дураки. Зачем убивать добычу, если ее можно постоянно доить? Поэтому умная атака идет в несколько этапов. Сначала – заражение специальным вредоносным файлом, не имеющим собственно вредоносной нагрузки (загрузчиком). Он исследует возможности зараженной системы, скачивает полезную (для злоумышленников) нагрузку, очищает записи в системе о своих действиях – и удаляется, не оставляя следов. И через оставшуюся брешь в безопасности будут осуществляться новые заражения. Вы заплатили выкуп? Отлично!
Мы скоро снова зайдем к вам в гости!

Именно из-за использования этой схемы, возможной в связи с пробелами в знании специалистов по ИБ, в описаниях вредоносных программ отсутствуют методы проникновения – вредоносный комплекс не попадает в руки аналитиков целиком.

Так что шифровальщики – это последствия. Бояться надо других типов вредоносных программ. Шифровальщиков создается в день порядка десятка, а вот загрузчиков – сотни и тысячи. Но о них никто не знает и никто их не боится.

Сергей Сошников, руководитель ИТ-отдела компании «Актив»  

Эпидемия хакерских атак продолжается, и ее масштабы растут. Эффективные средства защиты данных есть далеко не у всех, а те что есть, зачастую находятся в плачевном состоянии. Инфраструктурные предприятия все больше и больше попадают в зависимость от разнообразных интернет-систем. Зачастую о том, что инцидент произошел, компания узнает постфактум или не узнает вовсе.

Уязвимостей в разнообразном корпоративном ПО много, есть множество известных уязвимостей в SCADA. Зачастую они могут быть уже исправлены производителем, но остановить технологический процесс компании для обновления просто невозможно.

Подобные проблемы могут быть как в России, так и в других странах. Мы не лидируем по количеству атак на объекты критической инфраструктуры, потому что SCADA-систем у нас значительно меньше, чем в тех же Штатах. Можно придумать разные сценарии катастроф при крушении систем энергетики, водоснабжения и т.п., но реальных примеров пока по сути нет.