Абсолютное большинство российских системообразующих компаний, промышленных предприятий и организаций в 2013 году сталкивались с хакерскими атаками и заражением вредоносным ПО. При этом свыше половины таких инцидентов привели к существенным проблемам.
Об этом свидетельствуют результаты опроса, проведенного организатором международного форума по практической безопасности PHDays IV, стартовавшего 21 мая в Москве. Опрос проводился в апреле и мае 2014 года среди руководителей служб информационной безопасности 63 ведущих российских компаний, большая часть которых входит в рейтинг ТОП-100 по капитализации компаний России — 2013 (по оценкам «РИА Рейтинг»).
В анкетировании участвовали представители банковской (42%), телекоммуникационной (17%), топливно-энергетической (13%), транспортной (4%) и других отраслей, а также государственных организаций и ведомств (12%). Примерно половина (45%) компаний-участников опроса обладает крайне разветвлённой сетевой инфраструктурой и насчитывает свыше 50 000 узлов; еще у 25% —от 20 до 50 тыс. узлов. Цели исследования — выяснить, как представители различных отраслей оценивают состояние информационной защищенности (ИБ) своих предприятий, с какими угрозами ИБ они чаще всего сталкиваются, и как оценивают их последствия.
Согласно полученным данным, в минувшем году инциденты информационной безопасности были зарегистрированы в каждой из 63 компаний, участвующей в исследовании. Опрос Positive Technologies показал, что несмотря на выстроенные процессы обеспечения информационной безопасности, 58% всех эпизодов прямо или косвенно приводили к нарушениям доступности внутренней инфраструктуры или сервисов. При этом к финансовым потерям привели 15% инцидентов, к репутационным издержкам — 12%, к нарушению функционирования IТ-инфраструктуры — 31%.
В целом опрос о состоянии защищенности системообразующих предприятий показал, что в среднем на каждое крупное предприятие за год может приходиться до 100 ИБ-инцидентов различного типа.
В число наиболее распространенных инцидентов вошли DoS/DDoS-атаки (23%), хакерские атаки на внешние веб-приложения (21%), заражение вредоносным ПО (14%) — что, как правило, вызвано недостатками управления уязвимостями, а также злоупотреблениями со стороны сотрудников (14%). Рост внутренних угроз подтверждается еще одним аналитическим отчетом исследовательского центра Positive Technologies: если раньше получение контроля над критически важными ресурсами из внутренней сети было возможно в 84% исследованных систем, то в 2013 году это оказалось возможным для всех исследованных систем.
Довольно часто (7%) респонденты отмечали внутренние атаки на бизнес-критичные информационные системы (ИС), что говорит о легкости, с которой злоумышленники могут преодолеть периметр корпоративных сетей. Лишь 2% компаний-участников опроса отметили, что проблемы информационной безопасности возникли из-за утери мобильных устройств персоналом.
В качестве источников основных угроз большинство участников опроса отмечают киберпреступность (31%). На втором и третьих местах — злоупотребления администраторов ИС (23%) и сотрудников компаний (17%). Интересно, что не так много респондентов включают в число возможных угроз поставщиков услуг (11%). Те же, кто включил поставщиков, в основном связали это с расширением IТ-аутсорсинга. Что касается деятельности спецслужб, то на угрозы информационной безопасности со стороны этой категории указали как специалисты государственных организаций и ведомств, так и представители одного из ведущих перевозчиков и крупного медиа-канала.
Уязвимости высокого уровня риска способны доставить множество неприятностей как самой компании, так и ее клиентам. Согласно данным опроса, чуть больше половины компаний (60%) устраняют такие ошибки в течение нескольких дней, каждая пятая тратит на этот процесс недели, а у 15% на «залатывание дыр» уходят месяцы. Наилучшие результаты в опросе показывали банки, что несколько расходится с результатами реальных проверок на уязвимость. По данным отчета Positive Technologies 37% систем дистанционного банковского обслуживания не защищены от несанкционированных транзакций, и в половине систем ДБО присутствуют критические уязвимости.
«Несколько дней на устранение уязвимости — это фантастический результат. Однако исследования Positive Technologies, основанные на результатах работ по тестированию на проникновение, рисуют менее радужную картину, — отметил Борис Симис, заместитель генерального директора Positive Technologies. — По нашему опыту, на практике критические недостатки устраняются гораздо дольше. Мы находили уязвимости, которым 9 лет! В целом, 57% систем, исследованных в 2013 году, содержали критические ошибки, связанные с использованием устаревших версий программного обеспечения. При этом средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца. В ходе нашего опроса многие участники проведенного опроса отмечали сложность своевременного реагирования на инциденты, которое невозможно без грамотной политики управления уязвимостями. Отмечу, что санкционированные атаки экспертных групп Positive Technologies, проводимые в ходе пентестов, крайне редко фиксируются службами ИБ компаний, что напрямую связано с наличием уязвимостей. По нашим данным, для преодоления периметра корпоративной сети в 2013 году в среднем требуется использовать всего две уязвимости, тогда как в предыдущие годы требовалось три».
Основными причинами, препятствующими эффективному обеспечению защиты IT-систем системообразующих компаний России, участники опроса назвали нехватку профессионалов, знакомых и с вопросами информационной безопасности, и с производственными процессами (37%), а также несовершенство нормативно-законодательной базы (26%).
На PHDays IV состоится конкурс Critical Infrastructure Attack, который позволит участникам изучить безопасность реальных систем АСУ ТП (SCADA), используемых на заводах и электростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. В этом году участники проверят защиту ТЭЦ, систем городского освещения и транспорта, кранов и промышленных роботов-манипуляторов, а победителем станет тот, кто найдет больше уязвимостей и продемонстрирует их использование на живом макете умного города.
Кроме того, с реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем, можно будет познакомиться в ходе конкурса «Большой ку$h». Участникам предстоит воспользоваться найденными уязвимостями для вывода денежных средств.