Одним из наиболее уязвимых мест любой цифровой инфраструктуры являются ее пользователи. Это касается как финансовых систем, так и промышленных объектов и других критических информационных инфраструктур (КИИ). Организация Cybersecurity in Action, Research & Education (CARE), анализирующая ИБ именно с позиции социальных факторов, выпустила обновленный дайджест атак Critical Infrastructures Ransomware Attacks (CIRWA) вымогательского ПО на КИИ*, главным направлением проникновения которых являются корпоративные пользователи. Согласно ведущейся с 2013 года статистике, 2020 год уже побил рекорды прошлых лет по количеству атак вымогательского ПО на КИИ. Ущерб от только 20 инцидентов оценен в $1 млн.
По данным аналитиков, самые популярные инструменты вирусных атак на КИИ – это ПО Maze, WannaCry, Ryuk, Sodinokibi (Revil), Samsam, DoppelPaymer, NetWalker, BitPaymer, CryptoLocker и CryptoWall (атаки NotPetya не попали в выборку, так как, по мнению авторов, являются атаками вайпинга, то есть не требуют выкупа, а просто уничтожают данные). Это распространенное вымогательское ПО не нацелено на конкретные особенности промышленной инфраструктуры, оно использует известные уязвимости широко распространенного системного и прикладного ПО (Windows, iTunes и др.), программные коррекции для которых, как правило, давно доступны.
Таким образом, качественная проработка защиты периметра и защита информационного обмена пользователей КИИ играет важнейшую роль в организации киберзащищенности.
Путями проникновения вирусов в инфраструктуру являются фишинговые сообщения с зараженными офисными файлами или URL, а также физические носители с репликами вирусов на них.
Что касается длительности атак, то только 9% инцидентов длятся менее 5 дней. Учитывая, что многие вирусы атакуют не сразу, а ставят для себя первичной задачей распространиться в инфраструктуре (в частности, это характерно для вируса SamSam из лидирующего списка вирусов), то оперативное обнаружение проникновения позволит блокировать их негативные последствия. Одной из основных задач событий ИБ является быстрое выявление угроз и присутствия злоумышленника в инфраструктуре, благодаря чему возможна превентивная защита от подобных инцидентов.
Защита КИИ в России регулируется четырьмя органами государственной и исполнительной власти Российской Федерации:
- Правительство РФ определяет порядок категорирования КИИ, государственного контроля за безопасностью КИИ и подготовки сетей для функционирования КИИ.
- ФСТЭК России отвечает за ведение реестра значимых КИИ, формирование требований по ИБ и контроль в области обеспечения ИБ.
- ФСБ России выполняет создание ГосСОПКА, подключение к ней объектов КИИ, управление инцидентами объектов КИИ, оценку безопасности объектов КИИ.
- Минкомсвязь России определяет технические условия по установке и эксплуатации средств ГосСОПКА в сетях электросвязи.
- Категорирование объектов КИИ: сбор исходных данных, категорирование, подготовка и отправка сведений о результатах во ФСТЭК России.
- Создание системы обеспечения безопасности:
Разработка технического задания на создание системы обеспечения безопасности объектов КИИ,
Разработка организационно-распорядительной документации,
Проектирование системы обеспечения безопасности объекта КИИ.
- Организация взаимодействия с ГосСОПКА для информирования о компьютерных инцидентах.
*Rege, A. (2020). "Critical Infrastructure Ransomware Incident Dataset". Version 10. Temple University. Online at . Funded by National Science Foundation CAREER Award #1453040.
