23 мая 2014
Positive Technologies: Более половины киберинцидентов в крупных компаниях приводят к серьезным последствиям
Абсолютное большинство российских системообразующих компаний, промышленных предприятий и организаций в 2013 году сталкивались с хакерскими атаками и заражением вредоносным ПО. При этом свыше половины таких инцидентов привели к существенным проблемам.
Об этом свидетельствуют результаты опроса, проведенного организатором форума PHDays IV компанией Positive Technologies — в апреле и мае 2014 года среди руководителей служб информационной безопасности 63 ведущих российских компаний, большая часть которых входит в рейтинг ТОП-100 по капитализации компаний России — 2013 (по оценкам «РИА Рейтинг»).
В анкетировании участвовали представители банковской (42%), телекоммуникационной (17%), топливно-энергетической (13%), транспортной (4%) и других отраслей, а также государственных организаций и ведомств (12%). Примерно половина (45%) компаний-участников опроса обладает крайне разветвлённой сетевой инфраструктурой и насчитывают свыше 50 000 узлов; еще у 25% —от 20 до 50 тыс. узлов. Цели исследования — выяснить, как представители различных отраслей оценивают состояние информационной защищенности (ИБ) своих предприятий, с какими угрозами ИБ чаще всего сталкиваются, и как оценивают их последствия.
Согласно полученным данным, в минувшем году инциденты информационной безопасности были зарегистрированы в каждой из 63 компаний, участвующей в исследовании. Опрос Positive Technologies показал, что несмотря на выстроенные процессы обеспечения информационной безопасности, 58% всех эпизодов прямо или косвенно приводили к нарушениям доступности внутренней инфраструктуры или сервисов. При этом к финансовым потерям привели 15% инцидентов, к репутационным издержкам — 12%, к нарушению функционирования IТ-инфраструктуры — 31%.
Статистика инцидентов
В целом опрос о состоянии защищенности системообразующих предприятий показал, что в среднем на каждое крупное предприятие за год может приходиться до 100 ИБ-инцидентов различного типа.
В число наиболее распространенных инцидентов вошли DOS/DDoS-атаки (23%), хакерские атаки на внешние веб-приложения (21%), заражение вредоносным ПО (14%) - что, как правило, вызвано недостатками управления уязвимостями, а также злоупотребления со стороны сотрудников (14%). Рост внутренних угроз подтверждается еще одним аналитическим отчетом исследовательского центра Positive Technologies: если раньше получение контроля над критически важными ресурсами из внутренней сети было возможно в 84% исследованных систем, то в 2013 году это оказалось возможным для всех исследованных систем.
Внутренние атаки на бизнес-критичные информационные системы (ИС) также были широко отмечены респондентами (7%), что говорит о легкости, с которой злоумышленниками могут преодолеть периметр корпоративных сетей. Лишь 2% компаний-участников опроса отметили, что проблемы для информационной безопасности возникли из-за утери мобильных устройств персоналом.
Киберпреступность и злоупотребления
В качестве источников основных угроз большинство участников опроса отмечают киберпреступность (31%). На втором и третьих местах — злоупотребления администраторов ИС (23%) и сотрудников компаний (17%). Интересно, что не так много респондентов включают в число возможных угроз поставщиков услуг (11%). Те же, кто включил поставщиков, в основном связали это с расширением ИТ-аутсорсинга. Что касается деятельности спецслужб, то на угрозы информационной безопасности со стороны этой категории указали как специалисты государственных организаций и ведомств, так и представители одного из ведущих перевозчиков и крупного медиа-канала.
Как быстро устраняют критические уязвимости?
Уязвимости высокого уровня риска способны доставить множество неприятностей как самой компании, так и ее клиентам. Согласно данным опроса, чуть больше половины компаний (60%) устраняют такие ошибки в течение несколько дней, каждая пятая тратит на этот процесс недели, а у 15% на «залатывание дыр» уходит месяцы. Наилучшие результаты в опросе показывали банки, что несколько расходится с результатами реальных проверок на уязвимость. По данным отчета Positive Technologies, 37% систем дистанционного банковского обслуживания не защищены от несанкционированных транзакций, и в половине систем ДБО присутствуют критические уязвимости.
«Несколько дней на устранение уязвимости — это фантастический результат. Однако исследования Positive Technologies, основанные на результатах работ по тестированию на проникновение, рисуют менее радужную картину, — говорит Борис Симис, заместитель генерального директора Positive Technologies. — По нашему опыту, на практике критические недостатки устраняются гораздо дольше. Мы находили уязвимости, которым и 9 лет. В целом, 57% систем, исследованных в 2013 году, содержали критические ошибки, связанные с использованием устаревших версий программного обеспечения. При этом средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца. В ходе нашего опроса многие участники проведенного опроса отмечали сложность своевременного реагирования на инциденты, но это невозможно без грамотной политики управления уязвимостями. Отмечу, что санкционированные атаки экспертных групп Positive Technologies, проводимые в ходе пентестов, крайне редко фиксируются службами ИБ компаний, что напрямую связано с наличием уязвимостей. По нашим данным , для преодоления периметра корпоративной сети в 2013 году в среднем требуется использовать всего две уязвимости, тогда как в предыдущие годы требовалось три».
Причины, препятствующие эффективной ИБ-защите
Основными причинами, препятствующими эффективному обеспечению защиты IT-систем системообразующих компаний России, участники опроса назвали нехватку профессионалов, знакомых и с вопросами информационной безопасности и с производственными процессами (37%), а также несовершенство нормативно-законодательной базы (26%).
Увидеть уязвимости своими глазами
На PHDays IV состоится конкурс Critical Infrastructure Attack, который позволит участникам изучить безопасность реальных систем АСУ ТП (SCADA), используемых на заводах и гидроэлектростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. В этом году участники проверят защиту ТЭЦ, систем городского освещения и транспорта, кранов и промышленных роботов-манипуляторов, а победителем станет тот, кто найдет больше уязвимостей и продемонстрирует их использование на живом макете умного города.
Кроме того, с реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем, можно будет познакомиться в ходе конкурса «Большой ку$h». Участникам предстоит воспользоваться найденными уязвимостями для вывода денежных средств.