Positive Technologies: 96% крупнейших компаний России уязвимы к кибератакам
По данным исследования Positive Technologies, подавляющее большинство крупных российских компаний имеют такие уязвимости в своих IT-системах, которые позволяют хакерам получить доступ к конфиденциальной корпоративной информации. Пентесты подтверждают, что в 96% компаний злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть.
С этими оценками соглашаются в «Лаборатории Касперского» и «Информзащите».
Пентесты провели в нескольких десятках российских компаний из разных секторов экономики (финансового, промышленного, госсектора, торговли, транспорта). 57% из них входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600.
Как выяснилось, в 90% случаев при атаке злоумышленник мог бы получить доступ к конфиденциальной информации, в том числе составляющей коммерческую тайну.
В любой из организаций-участников пентестов хакер мог бы получить привилегии администратора домена. Это позволило бы ему выполнять любые действия в инфраструктуре компании, в том числе подключаться ко всем серверам и компьютерам.
Аналитик Positive Technologies Яна Юракова отмечает, что в 85% случаев уязвимости критического и высокого уровня опасности связаны с недостатками в политике паролей. В 60% компаний найдены уязвимости критического и высокого уровня, связанные с использованием устаревших версий ПО. В 35% и 15% соответственно уязвимости были связаны с конфигурацией и кодом веб-приложений.
Пентестеры смогли реализовать 89% недопустимых событий, обозначенных самими компаниями. Например, для банка это кража денежных средств свыше определенной суммы, нарушение работы сервисов, кража персональных данных клиентов, а для госучреждения — остановка работы важной информационной системы и утечка данных о гражданах.
Большая часть недопустимых, но возможных событий связана с потенциальным ущербом для репутации (61% событий), регуляторными санкциями (57%) и финансовыми потерями (39%).
В среднем пентестерам требовалось пять дней и четыре часа, чтобы проникнуть во внутреннюю сеть компании. Самая быстрая атака заняла всего час.
В 57% компаний вектор атак состоял не более чем из двух шагов, в 21% компаний для проникновения требовалось от трёх до шести шагов, в 18% — до семи шагов и более.
В 84% случаев проникнуть во внутреннюю сеть смог бы даже низкоквалифицированный злоумышленник, отметили в Positive Technologies.
Директор группы кибербезопасности департамента управленческого консалтинга ДРТ Юлия Гончарова говорит, что такая тенденция объясняется перекосом в распределении затрат на интернет-безопасность. По её словам, много средств уходит в сетевую безопасность и средства защиты с использованием режимов работы «от производителя» без доработки под собственную инфраструктуру. При этом гораздо меньше ресурсов компании выделяют на персонал, который мог бы эксплуатировать средства защиты и реагировать на угрозы.
Президент InfoWatch Наталья Касперская отмечает, что не существует на 100% защищённых систем. «Чтобы построить неуязвимую защиту, нужно потратить очень много денег, потому что защита стоит на несколько порядков дороже, чем нападение. Для нападения достаточно найти хотя бы одну дырочку в системе, а для 100%-ной защиты необходимо закрыть все возможные дыры и уязвимости системы», — поясняет она.
Независимый эксперт Рустэм Хайретдинов уверен, что цифровизация компаний с защитой на иностранных решениях испытывает «идеальный шторм». Он напомнил, что перестали обновляться IT-системы, увеличилась активность хактивистов, возникли проблемы со специалистами в связи с миграцией и мобилизацией, иностранные средства защиты перестали работать, а внедрение альтернатив пока не закончено.
Эксперт технологической практики компании «Технологии доверия» Тимофей Хорошев добавил, что отечественные продукты пока не всегда дотягивают до уровня западных решений.
Советник по информационной безопасности FBK Cybersecurity Андрей Курило назвал число уязвимых к атакам компаний несколько завышенным. По его словам, данные отражают потенциальные уязвимости, но реальных атак гораздо меньше.
Касперская видит решение проблемы в децифровизации. Она отметила, что подразумевает «отключение доступа к интернету и неприменение цифровых решений к критическим объектам, лежащим на критическом пути».
По данным Naumen, 50% российских компаний остались без технической поддержки из-за ухода иностранных IТ-гигантов. В итоге 76% компаний из крупного и среднего бизнеса теперь самостоятельно разрабатывают софт. У 36% опрошенных доля зарубежных IТ-решений в компании составляет не менее половины, ещё у 33% на иностранное ПО приходится 20–50% софта. 25% используют менее 20% зарубежного ПО в своих решениях.
По данным Positive Technologies, количество атак в первом полугодии 2022 года увеличилось на 18%, одновременно в России падают цены на вредоносы.
При этом с начала года ущерб от преступлений в сфере IT увеличился на 20%, до 65 млрд рублей.
В начале осени сообщалось, что участники российского рынка кибербезопасности предложили Минцифры создать единую платформу для сбора информации об инцидентах и обмена экспертизой по отражению кибератак. Однако проблемой могут стать договоры о неразглашении, которые поставщики заключают с клиентами.
Между тем Минцифры в ближайшее время создаст реестр недопустимых событий в информационной безопасности для госструктур и объектов критической информационной инфраструктуры.
