Количество хакерских атак на отечественные компании самых разных сфер бизнеса возросло.
В марте «СёрчИнформ» (ИТ–компания, российский разработчик средств информационной безопасности) опубликовала результаты исследований уровня информационной безопасности за 2022 год. Руководитель отдела аналитики Алексей Парфентьев считает, что «рост числа внешних атак связан с геополитической ситуацией в мире и расцветом такого явления как хактивизм. По оценкам МИД РФ количество кибератак на российские организации увеличилось на 80%».
По данным информационного портала по безопасности SecurityLab.ru одной из самых сложных угроз для обнаружения, управления и смягчения последствий становятся риски утечек конфиденциальной информации.
В 64% атак злоумышленникам удавалось украсть данные. В основном это были учетные данные (41% среди украденной информации), персональные (28%) и платежные (15%). Подобные утечки произошли в крупных компаниях и популярных сервисах, в числе которых Яндекс.Еда, «ВкусВилл», Whoosh, «СДЭК», Delivery Club, «Гемотест», DNS.
Самыми активными группировками мошенников в 2022 году были LockBit, Conti, Hive. По данным GuidePoint Security (американская компания, специализирующаяся на предоставлении услуг по информационной безопасности) LockBit является самой многочисленной группой, на которую приходится 4 из 10 жертв программ-вымогателей.
Многие преступные группировки (например, Conti) быстро распадаются. Но их участники совершенствуются и формируют новые банды. Группировка Black Basta впервые появилась весной этого года и за первые 2 недели атаковала 20 компаний. Предположительно группа состоит из бывших участников Conti и REvil.
Структура преступных группировок все больше усложняется и становится похожей на легальную: с обучением персонала, системой найма, предоставлением отпусков и т.п. Создаются партнерские группировки. Разработчики продают и сдают в аренду свое ВПО.
Компания Group-IB (международная компания в сфере информационной безопасности) прогнозирует, что в 2023 году может быть побит антирекорд 2022 года по числу утечек баз данных российских компаний.
Роскомнадзор сообщает, что с начала года уже произошло 60 крупных утечек персональных данных, содержащих более 230 млн. записей с личной информацией граждан.
По данным РБК в феврале 2023 года хакеры взломали сайты крупнейших российских средств массовой информации (ТАСС, «Известия», «Коммерсантъ», «Москва 24», Forbes, Peopletalk, «Фонтанка», РБК, «Такие Дела», «Право.ру», Buro). В редакции Forbes и главный редактор «Коммерсантъ» Владимир Желонкин подтвердили информацию об атаке хакеров РИА Новости (Рамблер).
Российский сервис разведки утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence) проанализировал попавшую в открытый доступ конфиденциальную информацию за первый квартал 2023 года. В России зафиксировано 31 крупных сливов данных в открытый доступ; это вдвое больше числа утечек за первый квартал прошлого года, а суммарный объем утекших данных составил 118 миллионов уникальных записей, что в 2,3 раза больше, чем за аналогичный период прошлого года. Среди украденной оказалась информация из «СберСпасибо» (суммарно 52,5 миллиона записей) и сети «Спортмастер» (46 миллионов записей), а также выставленная на продажу база интернет-аптеки zdravcity.ru (8,9 миллиона записей).. В DLBI уточнили: «Среди жертв также интернет-проекты, сайты госорганов и платежные системы».
В DLBI полагают, что инциденты первого квартала подтверждают нарастающую опасность ИТ-аутсорсинга в части кибербезопасности: «Анализ показывает, что компании, передающие обработку данных подрядчикам или доверяющие им управление инфраструктурой, часто оказываются хуже защищены». Если хакерам удается взломать подрядчика, они получают доступ ко всем его клиентам.
Согласно исследованию «Технологий доверия» (бывшая PwC), сейчас российские компании передают на аутсорсинг более 10% ИТ-услуг. Среди них, например, аудит ИТ-инфраструктуры, разворачивание систем защиты, анализ ситуации и поддержка принятия решений при реагировании на инциденты. Увеличение популярности аутсорсинга стало в первую очередь следствием дефицита кадров и нехватки собственных ресурсов у российского бизнеса.
В сложившейся ситуации Госдума по поручению президента РФ Владимира Путина (Перечень поручений по итогам заседания Совета по развитию гражданского общества и правам человека (утв. Президентом РФ 12 января 2023 г.)) приступила к ужесточению правил работы с информацией. В профильный комитет были переданы два законопроекта Минцифры: об усилении административной ответственности компаний за утечки персональных данных и введении уголовной ответственности за кражу и продажу такой информации.
Первый документ вводит оборотные штрафы для компаний, допустивших утечку информации. Прорабатывается дополнительный вопрос о введении верхней и нижней границы таких штрафов, будет предусмотрен ряд смягчающих условий. Операторам, работающим с персональными данными, вменяется обязанность добровольной компенсации за допущенную утечку.
Второй закон вносит изменения в Уголовный кодекс РФ и распространяется на граждан, совершивших противоправные действия с использованием персональных данных: кражу, продажу, а также создание теневых форумов, где незаконно распространяются личные данные граждан. Планируется внести изменения в статьи 272, 273 и 274 УК РФ, которые касаются неправомерного доступа к компьютерной информации, распространения вредоносных программ и нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации.
Конкретные предложения по изменению законодательства кабмин должен представить до 1 июля 2023 года.
С 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178, который обязывает операторов оценивать степень вреда субъекту от утечки ПД. В этом случае об утечке нужно предупредить Роскомнадзор посредством направления специального уведомления. Уведомлять Роскомнадзор не нужно при случайном уничтожении базы данных внутренним пользователем.
Сейчас административные штрафы за утечку персональных данных назначаются, как правило, по ч. 1 ст. 13.11 КоАП РФ. Сейчас размер штрафа для организаций составляет от 60 тыс. до 100 тыс. руб. вне зависимости от количества граждан, чьи персональные данные попали в открытый доступ. Это довольно небольшая сумма для компаний с крупными оборотами. В результате ответственность за нарушение законодательства о персональных данных обходится дешевле, чем приобретение, внедрение и обслуживание технических средств защиты.
Успешные кибератаки попадают в поле зрения средств массовой информации и регуляторов не каждый день: многие организации предпочитают публично молчать о таких инцидентах.
Необходимо разделять ответственность за факт утечки и факт продажи украденных данных. По словам основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна: «Уголовная ответственность вряд ли повлияет на торговцев в даркнете — теневые форумы обеспечивают анонимность всех участников». «Сегодня стало модно рассуждать, что у хакеров есть какие-то тайные стратегии, следуя которым они охотятся за компаниями из определенных стран и отраслей. Статистика же показывает, что это не так – хакеры ломают все, что можно сломать и крадут все, что можно украсть. Данные, которые нельзя продать, просто выкладывают в открытый доступ. Поэтому никакой бизнес не может позволить себе расслабиться, а информационная безопасность – проблема всех и каждого» (Подробнее).
Аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц считает, что комплексная система защиты ИТ-инфраструктуры должна включать план с работой по трем основным направлениям: расследование инцидента, реагирование, грамотная и своевременная коммуникация с клиентами, партнерами и регуляторами.
Самый действенный способ предотвратить случайные утечки – критически относиться к информации вокруг и обучить этому сотрудников. Повышение уровня подготовки ИБ-специалистов и остальных сотрудников актуально как никогда.