В ходе секции «Информационная безопасность от одного вендора глазами CISO: страхи и возможности» директор по информационной безопасности компании МТС RED Виталий Медведев рассказал, что с начала 2024 года центр мониторинга и реагирования на кибератаки МТС RED SOC отразил более 22 000 атак на российские промышленные компании. Из них около 15% имели статус критически значимых, то есть, по оценке предприятий, могли привести к прерыванию ключевых бизнес-процессов или повлечь серьезный финансовый ущерб. Ежедневно промышленность сталкивалась в среднем примерно со 160 инцидентами кибербезопасности, в том числе 24 критическими.
В МТС RED отмечают, что почти половина (45%) всех атак на промышленность пришлась на выходные и праздничные дни или часы, которые традиционно являются нерабочими — с 19:00 до 09:00. При этом доля критических инцидентов в ночное время заметно возрастала: с 12% в рабочие часы компаний до 25% — в ночные.
«Промышленность — одна из наиболее интересных целей для хакеров, особенно политически мотивированных. Мы видим и по характеру, и по времени реализации атак, что в большинстве случаев злоумышленники нацелены на незаметное проникновение и длительное скрытное присутствие в инфраструктуре промышленных предприятий, а не на быстрый и заметный результат. Поэтому мониторинг киберугроз в промышленности должен носить круглосуточный характер, а их анализ — проводиться специалистами с большим профильным опытом», — прокомментировал результаты исследования Ильназ Гатауллин, технический руководитель направления МТС RED SOC компании МТС RED.
Основным вектором угроз стал обход средств защиты — с попытками таких атак промышленность сталкивалась в 34% случаев. На втором месте оказались потенциально вредоносные действия сотрудников. В 11% это были нелегитимные действия администраторов, в 6% — нарушения политик информационной безопасности со стороны пользователей. Кроме того, МТС RED SOC предотвратил около 1150 случаев инсайдерских действий сотрудников, грозивших утечкой конфиденциальной корпоративной информации.
Попытки заражения промышленных компаний вредоносным ПО (ВПО) составили 4% от общего объема атак на отрасль, однако совокупно на промышленность пришлось около 20% от общего объема инцидентов данного типа. Ранее аналитики МТС RED SOC сообщали о том, что промышленность чаще обычного атакуют троянами (61%). При этом трояны и черви, используемые для атак на промышленность, чаще, чем в других отраслях, имеют функциональность кражи учетных данных и шпионажа (38%) или шифрования данных (19%).
«За много лет работы в СМИ я видела несколько сотен отчетов ИБ-компаний о киберугрозах, свидетельствующих о том, что количество атак растет из года в год, из квартала в квартал. Злоумышленники постоянно ищут новые уязвимости и придумывают новые сценарии и методы атак. Поэтому вопрос информационной безопасности был важным всегда, а с 2022 г. он стал одним из ключевых для бизнеса», — подчеркнула Екатерина Кинякина, редактор отдела "Технологии и телекоммуникации" газеты «Ведомости».
При этом в ходе дискуссии эксперты заявили, что защиту от всех актуальных киберугроз невозможно доверить одному вендору.
«Сейчас роль информационной безопасности в ТЭК, безусловно, является значимой и в наивысшей степени актуальной. Говоря о выборе тех или иных решений, существующих на российском рынке инфобеза, следует помнить, что подходы в этом вопросе должны рассматриваться индивидуально и комплексно. Мы должны выстраивать эффективную и централизованную систему управления и мониторинга всеми процессами информационной безопасности компании, не нарушая при этом основные бизнес-процессы», — отметил директор департамента информационной безопасности ПАО «Транснефть» Михаил Наумов.
«Спор «Моновендорность против мультивендорности» ведется давно. И это объяснимо, так как каждый подход имеет свои плюсы и минусы. На деле важно учитывать специфику компании-заказчика. Промышленным компаниям ближе подход мультивендорности: их IT-архитектура уникальна, как правило, она прошла долгий путь формирования и развития, а следовательно, требует кастомизированного подхода при выборе средств защиты. В добавок требуется совместная работа с производителями ИБ-продуктов для поиска оптимальных вариантов интеграции лучших решений в единую надежную и устойчивую систему защиты», — считает Игорь Балакшев, руководитель по направлению архитектуры и контроля ИБ, ПАО «ГМК «Норильский никель».«Очевидно, что выбор продукта должен опираться на его характеристики, а сейчас даже у самых крупных игроков рынка ИБ не все продукты обладают одинаково высоким уровнем зрелости. При этом в ряде случаев — например, в случае с взаимодополняющими технологиями, имеет смысл приобретать их у одного вендора или, как минимум, у вендоров, которые гарантируют возможность их взаимной интеграции. В текущий условиях защита от киберугроз требует тонкого баланса подходов», — считает Виталий Медведев.