Как ИБ справлялась с вызовами 2023 года и что ее ждет в будущем
В 2023 году информационная безопасность сохраняла высокую актуальность: государство системно развивает ее как один из стратегических приоритетов, а бизнес в условиях беспрецедентной активности атак демонстрирует возросший уровень понимания ценности кибербезопасности. Подводя итоги года, эксперты ГК «Солар» делятся своим видением трендов ИБ, которые формировали отрасль в последнее время, и прогнозом на будущее.
Хакеры наращивают атаки и присматриваются к новым инструментам
По оценке экспертов «Солара», в уходящем году изменилась расстановка сил среди разных типов атакующих. Если в прошлом году доминировал хактивизм, в том числе по политическим мотивам, то сейчас это совершенно иной уровень кибератак. Сложные, выверенные атаки, в том числе, на объекты КИИ, ставят целью уничтожить инфраструктуру объекта и усложнить возможность восстановления.
Активизировались группировки и отдельные лица, чья цель — навредить российской экономике, поэтому под ударом даже те организации, которые раньше не входили в сферу интересов хакеров: за последний год атакам подвергались даже детские сады и музыкальные школы. Зачастую такие атаки реализуют неопытные хакеры-любители, в чьем распоряжении оказываются современные сложные инструменты, облегчающие работу. Поскольку у преступников нет задачи продать данные, сведения стали чаще попадать в открытый доступ.
Еще одна тенденция — деструктивный характер атак. Хакеры стремятся вывести инфраструктуру организации из строя, уничтожить данные путем безвозвратного шифрования. Эксперты прогнозируют сохранение этого тренда в 2024 году, а также, на фоне роста импортозамещения, эксплуатацию хакерами уязвимостей российского ПО.
Большинство кибератак в 2023 г. пришлось на госорганизации (44%) и телеком (14%). Также в рейтинг попали сельское хозяйство (9%), промышленность (7%), финсектор (7%), и с равными долями в 4% ритейл, сфера услуг, образование, НКО и энергетика.
Наиболее серьезную киберугрозу для российских организаций за последний год представляли профессиональные проукраинские группировки, целью которых было деструктивное воздействие на инфраструктуры компаний — число таких инцидентов увеличилось. В то же время наиболее активными оказались азиатские APT-группировки (Advanced persistent threat, постоянная угроза повышенной сложности), главная цель которых – кибершпионаж и кража данных, а основными жертвами являются телеком-отрасль и госсектор. В целом, согласно аналитике центра исследования киберугроз Solar 4RAYS, в 2023 году доля APT-атак составила 20% от всех расследуемых инцидентов.
По статистике центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», с января по ноябрь 2023 года в публичный доступ попали данные почти 400 российских организаций. Это означает, что каждый день в России происходила как минимум одна утечка. В том числе хакеры выложили в сеть более 220 млн телефонных номеров, что превышает численность населения РФ в 1,5 раза. Наиболее часто используемым инструментом хакеров в 2023 году стало вредоносное ПО – доля высококритичных инцидентов с применением такого софта в 3 квартале выросла до 83%. При этом в 2/3 случаев каналом его доставки по-прежнему остаются фишинговые письма с фокусом на персонал компаний. Также злоумышленники стали чаще применять ВПО, которое не фиксируется стандартными средствами мониторинга, его можно обнаружить только специальными сенсорами SOC – EDR, NTA и Anti-APT.
Сейчас, по оценке экспертов «Солара», быстрее всего растут сегменты реагирования и расследования инцидентов, защиты онлайна, технологии анализа защищенности и безопасной разработки. Последний особенно актуален на фоне обилия продуктов с ипользованием open source, low code и no code.
Можно ожидать, что общие технологические тренды 2024 года найдут отражение и в сфере кибербезопасности. Например, могут участиться случаи атак на устройства Интернета вещей; тем более, что этот сегмент имеет слабые места: отсутствие стандартов безопасности, слабые протоколы и пароли, известные уязвимости. Искусственный интеллект будет играть за обе команды. Преступники смогут усложнять атаки с его помощью, автоматизируя вредоносные программы, а также совершенствовать приемы социальный инженерии, используя аудио- и видео-дипфейки. Зато защитникам ИИ поможет в обнаружении, уклонении, нейтрализации и реагировании на угрозы, автоматизируя часть процессов.
Тенденции атак найдут отражение в развитии средств защиты от киберугроз. ГК «Солар» практикует атакоцентричный подход к технологиям, когда подобная аналитика ложится в основу разработки новых продуктов и сервисов. В 2023 году компания выпустила на рынок сетевой экран нового поколения (Solar NGFW), решение для защиты неструктурированных данных (Solar DAG), новый модуль SCS, отвечающий за безопасность цепочки поставок, решения для безопасной разработки Solar appScreener, сервис мониторинга внешних цифровых угроз Solar Aura.
Кибербезопасность выходит за рамки реактивной защиты
Специалисты отмечают, что российский рынок во многом остается событийным. Импульс к глобальным переменам в отрасли придают резонансные инциденты. Компании часто держат фокус на предотвращении атак. Во главе угла ставятся технологии, а не комплексное построение процессов кибербезопасности. Незрелый подход и низкая осведомленность сотрудников о базовых правилах кибергигиены входит в топ причин инцидентов.
В 2023 году в этом направлении наметились позитивные изменения. Все чаще организации развивают ИБ не изолированно от ИТ отдела, а совместно. Киберриски учитываются в принятии решений, а ИБ-директора входят в топ-менеджмент и участвуют в реализации стратегических задач бизнеса. По оценке ГК «Солар», 52% компаний принимают большую часть решений с учетом анализа рисков информационной безопасности.
Усиление кибербезопасности происходит по нескольким векторам. Например, трендом 2024 года эксперты считают развитие киберустойчивости — непрерывности операций организации даже в случае успешной атаки, возможности быстрого восстановления, сокращения простоя и минимальной потери данных.
Регуляторы отвечают на изменения в отрасли
Во второй половине 2023 года регуляторы области информационных технологий представили ряд новых проектов нормативных актов, затрагивающих сферу кибербезопасности. Усилия по стандартизации в отрасли нацелены на регламентирование конкретных ИБ практик, выбора СЗИ, квалификации специалистов, выстраивания процессов, привлечения виновных к ответственности. ФСТЭК России работал над унификацией терминологии и проектами ГОСТов, регулирующих организацию защиты информации, идентификацию и унификацию, в планах на будущий год национальные стандарты в сфере разработки безопасного ПО, управления доступом и другие. Бизнес и ИБ-игроки вносят свой вклад, участвуя в публичных обсуждениях проектов и даже предлагая собственные. Так, ГК «Солар» инициировал проект по разработке национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения», который формализует защиту от этого вида киберугроз и использование СЗИ. Обсуждение проекта ведется в формате экспертного сообщества, куда входят все ключевые вендоры DLP-систем и компании, использующие такие решения.
Параллельно регуляторы работают над тем, чтобы компаниями исполнялось действующее законодательство по защите объектов критической информационной инфраструктуры, и выявляют нарушения со стороны субъектов КИИ: несвоевременное обновление баз, неправильная настройка СЗИ, незакрытые уязвимости. Часть проблем объясняется уходом из России зарубежных вендоров и отключение ими российских пользователей от техподдержки своих продуктов.
Компании борются за кадры
В организациях не хватает квалифицированных специалистов для оптимальной организации процессов защиты от киберугроз, и конкуренция за кадры приводит к опережающим рынок темпам роста зарплат — до 15% по сравнению с прошлым годом. Росту спроса на ИБ-экспертов способствовали инициатива регуляторов по усилению ответственности за утечки персональных данных, законодательное регулирование и увеличивающееся количество атак. Компаниям нужно предлагать потенциальным сотрудникам иную мотивацию кроме финансовой. Эксперты соглашаются, что для ИБ- и ИТ-специалистов большое значение имеют профессиональные и карьерные перспективы: возможность работать над интересными и востребованными решениями, прозрачные сценарии развития и выделенное время на обучение.
В начале года вендоры выступили с инициативой по расширению присутствия специалистов со средним профессиональным образованием в области обеспечения ИБ на объектах КИИ. Результатом этого стала подготовка ФСТЭК России изменений в нормативную базу, а именно приказа от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
ИБ-игроки подключают инструменты работы с молодыми талантами, студентами и даже подростками. ГК «Солар», к примеру в этом году, завершила первую волну проекта профориентации детей, которая длилась 8 месяцев и включала обучение основам ИБ и развитию soft skills. Учитывая снижение доли молодого населения, возрастает роль переобучения и переквалификации, а также кадровых резервов. Можно ожидать, что в 2024 году компании уделят больше внимания программам обучения, развития и повышения квалификации. Сюда относятся и киберучения – мероприятия по оценке уровня навыков отражения кибератак. Они дают не только возможность понять, насколько специалисты способны справиться с киберугрозами, но и сформировать индивидуальные планы развития с повторной оценкой по окончанию обучения. По данным исследования ГК «Солар», 75% российских компаний планируют проводить киберучения для повышения квалификации своих ИБ-специалистов.
От инвестиций в ИТ и ИБ ждут большей эффективности
Импортозамещение остается в числе ключевых факторов, влияющих на отрасль. Компаниям, внедряющим отечественные решения, необходимо прозрачное обоснование вложений и видимые результаты ИБ. Это стимулирует динамику развития технологий и выход России на конкурентоспособный уровень на мировом рынке. По оценке «Солара», быстрее всего растут сегменты реагирования и расследования инцидентов, защиты онлайна, технологий анализа защищенности и безопасной разработки. Также заметен рост сегмента сервисов кибербезопасности и повышение интереса к облачным технологиям.
У высокого спроса есть и оборотная сторона: по мнению экспертов, сегодня в качестве альтернативы недоступным зарубежным продуктам зачастую предлагаются наскоро адаптированные open-source решения. Для системных игроков ИБ-инвестиции в собственные технологии и подготовку специалистов внутри кажутся эффективнее, чем вложения во внешние проекты, цена которых не всегда обоснована. Чтобы насытить рынок новыми качественными ИБ-продуктами, ГК «Солар» запустила бессрочную программу акселерации для проектов на ранней стадии развития в широком спектре сфер и продуктов. Интерес компании не ограничивается комплементарными ей решениями. Участие в проекте внешних экспертов предполагает возможность партнерства стартапов с другими игроками ИТ и ИБ-рынков. Поддержка включает множество форматов: трекинг, менторство, запуск пилотов, совместные разработки, тестирование решений на данных и сервисах ГК «Солар».
В заключение
Одной из наиболее значимых тенденций 2024 года станет переход российской экономики на новый уклад – экономику данных. Национальный проект «Экономика данных» затронет важнейшие сферы: образование, медицину, безопасность, промышленность и ЖКХ, транспорта, связи и интернета. Принципиально новый уровень цифровизации потребует очередного пересмотра подхода к обеспечению информационной безопасности, создания новых операционных моделей, продуктов и услуг. Для решения задач такого масштаба необходима консолидация усилий со стороны вендоров, что, вероятно, приведет к формированию крупных экосистем. Экономика данных – это и создание новых, еще более защищенных, систем взаимодействия между компаниями, университетами и организациями, в том числе государственными, связанными с экономикой данных. Одновременно с этим нельзя забывать о необходимости работы с гражданами по развитию навыков кибергигиены. Поскольку всегда есть влияние человеческого фактора, которое может привести к утечкам или проникновению в сеть.
