Вселенная киберрисков образца 2021: методы управления и купирования

Киберриски уже давно являются одним из главных приоритетов бизнеса, причем не только для ИТ-ориентированных структур и не только для подразделений информационной безопасности, считают эксперты FBK CyberSecurity, дочерней компании ведущей российской аудиторско-­консалтинговой группы ФБК Grant Thornton. В своем материале они анализируют наиболее актуальные киберриски и возможные методы защиты.

Уже в 2018 году МВФ (IMF) рассчитал, что объем годовых потенциальных убытков, связанных с киберрисками, только в финансовой сфере может достичь 9% чистого дохода банков или составить 100 млрд долл. США, а при худшем сценарии («когда частота кибератак будет в два раза выше, чем раньше, и при более широком распространении последствий») убытки могут составлять 2½–3½ чистой прибыли банков и достигать 270‑350 млрд долл.

С конца 2019 года мы живем в пандемическом мире. На конец 2020 года экспертами подтверждается порядка 3,5 трлн долл. убытков, связанных с киберпреступлениями. К 2021 году, по прогнозу Cybersecurity Ventures, этот показатель может превысить 6 трлн долл., а к 2025 году — ​достичь отметки в 10,5 трлн долл. Пандемия внесла настолько существенные коррективы в бизнес-­секторы большинства стран мира, что технические риски, риски информационной стабильности и информационной безопасности вышли на первый план.

В этом материале мы бы хотели поговорить о наиболее близкой для бизнеса проблеме в области кибербезопасности, а именно о киберрисках. Эксперты FBK CyberSecurity, дочерней компании ведущей российской аудиторско-­консалтинговой группы ФБК Grant Thornton, познакомят вас со вселенной киберрисков и расскажут, какое влияние киберриски оказывают на функционирование организации.

Риски практической кибербезопасности



Михаил Фирстов, руководитель отдела исследований FBK CyberSecurity, исследователь уязвимостей нулевого дня (0‑day), призер личных и командных CTF-соревнований, эксперт в области практической кибербезопасности

Мы существуем в реальности, в которой переход по ссылке из письма подозрительного отправителя может запустить цепочку действий, которые приведут к захвату всей информационной инфраструктуры организации, краже средств со счетов, потере критически важных данных, репутационным потерям, нарушениям непрерывности деятельности компании. Это и есть риски практической кибербезопасности — ​угрозы кибератак. Рассмотрим основные риски, связанные с атаками на информационные инфраструктуры организаций.

Риски 1. Реальные атаки технически подготовленных злоумышленников с целью кражи важных данных, перевода денег или шифрования данных для дальнейшего вымогательства.

Влияние на бизнес. Финансовые и репутационные потери из-за проблем в функционировании систем или утечки важных данных, например, персональных данных клиентов или исходного кода продукта, являющегося источником прибыли для жертвы атаки.

Методы купирования риска. Защититься от целевой атаки злоумышленников можно, только понимая весь расклад сил: ваши слабости, уязвимости и наиболее вероятные векторы атак. Комплексно ответы на эти вопросы проявляются только в тестировании на проникновение методами Red Team, которое предполагает полноценную имитацию целевой кибератаки с использованием всех возможных векторов атак.

Риски 2. Атаки злоумышленников, обладающих минимальными техническими навыками. Проникновение в информационные системы с целью шифрования, кражи информации или вымогательства денег за ее расшифровку.

Влияние на бизнес. Финансовые и репутационные потери из-за проблем в функционировании систем или утечки важных данных, например, персональных данных клиентов или исходного кода продукта, являющегося источником прибыли для жертвы атаки.

Методы купирования риска. Все преступники, как правило, для проникновения в корпоративную сеть организации используют методы социальной инженерии. Таким образом, рядовой сотрудник организации становится первым защитным периметром организации. Для того чтобы купировать риск атаки методами социальной инженерии, применяется социотехническое тестирование: так называемые белые хакеры проводят исследование открытых источников, находят прямые контакты и точки давления, входят в контакт с потенциальными жертвами и различными способами способствуют возникновению утечки данных. На основании тестирования разрабатываются рекомендации по устранению недостатков киберграмотности, кибергигиены и осведомленности рядовых сотрудников в области информационной безопасности.

Риски 3. Атаки с целью остановить или изменить функционирование критически важных систем.

Влияние на бизнес. Тайное изменение принципов функционирования критически важных систем, остановка производства, возникновение различных происшествий. Масштабы подобных атак могут быть катастрофическими: замедление турбин реактора, выброс токсичных веществ в атмосферу и т. д.

Методы купирования риска. Основная задача в этом случае — ​защита устройств, участвующих в организации критически важных процессов: переключатели, кнопки, счетчики, датчики и т. д. Особенно важно помнить, что атака на устройство, интегрированное в единую сеть, — ​это атака на все подключенные к сети устройства. Поэтому любые IoT-устройства, использующиеся на производствах, должны проверяться в рамках тестирования всей сети.

Риски 4. Атаки типа «Отказ в обслуживании» на информационные системы по заказу конкурента или с целью получения платы за прекращение атаки.

Влияние на бизнес. Остановка функционирования жизненно важных для бизнеса систем. Например, DDoS-атака на платежную систему может вызвать остановку в функционале приема платежей. Как итог — ​финансовые и репутационные потери.

Методы купирования риска. Особая опасность данного метода атак заключается в том, что ее осуществление не требует особых технически навыков или высоких финансовых затрат. Для купирования риска DDoS-атаки необходимо проводить тестирование на отказоустойчивость: комплекс мероприятий, в рамках которых эксперты по кибербезопасности создают «давление» на сеть.

Риски 5. Проникновение злоумышленника на устройство пользователя, подключенное к корпоративной сети. Кража данных с целью шпионажа или вымогательства, развитие атаки вглубь всей сети компании.

Влияние на бизнес. Финансовые и репутационные потери из-за проблем в функционировании систем или утечки важных данных, например, персональных данных клиентов или исходников платного ПО.

Методы купирования риска. Аудит корпоративных устройств и MDM.

Организационные риски в области информационной безопасности (ИБ)



Иван Рощупкин, старший эксперт отдела комплаенс и консалтинга в области информационной безопасности. Более 10 лет опыта работы с крупными коммерческими и государственными заказчиками

Современный бизнес должен поддерживать систему обеспечения информационной безопасности (СОИБ) на необходимом уровне. Отсутствие правильного регулирования и регламентации внутренних процессов приводит к различным нарушениям — ​это организационные риски. Риски, связанные с внутренними нарушениями работы СОИБ, являются одними из самых распространенных.

Если у вас есть подписка, нажмите
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных