Лидия Виткова
Начальник аналитического центра
ООО «Газинформсервис», к.т.н.
Битва за кибер-безопасность:
как изменятся атаки вирусов-шифровальщиков
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Прогноз на 1 год
В краткосрочной перспективе стоит ожидать не столько роста новых атак, сколько увеличения числа завершенных. Последние пару лет мы наблюдали рост утечек данных, рост хактивизма, а теперь мы станем зрителями кинопоказа «Топ самых интересных атак и топ самых незащищенных организаций в России». Тогда, когда мы видим информацию об утечке, мы уже можем предположить, что атакующий закрепился в инфраструктуре и проводит дальнейшую разведку по ней, выбирает внутренние важные узлы, базы данных, сервера. А может быть, что на самом деле киберпреступники уже все и зашифровали, но жертва устояла под натиском, и мир не увидел в новостях информации об убытках, только информация об утечках просочилась.
Если оглядываться на эволюцию шифровальщиков, то был период, примерно до 2015 года, когда основными жертвами становились чаще всего пользователи и выкуп был недорогим, или все лечилось антивирусами. Потом начался новый период — охота на крупную дичь, и до 2022 года количество атак возрастало, преступные группировки становились распределенными, набирала популярность услуга — шифровальщик как сервис.
С 2022 года мы столкнулись впервые с волной хактивизма, вдруг появились кибератаки, смысл которых не в вымогательстве денег у жертвы, а в разрушении инфраструктуры.
Но эта волна прошла, а теперь все сделали выводы. Также их сделали и преступные группировки, работающие по заказу государств или крупных оружейных корпораций
Поэтому меня пугает перспектива на ближайший год тем, что когда-то начнется новая волна «купленного хактивизма», только более мощная, за которой уже будут стоять не эмоции, а финансирование, и цель будет вымогательство, а потом, несмотря на выплаченный жертвой выкуп, — разрушение. Самая большая проблема в том, что не хватает осознанности степени угрозы.
Если мы говорим в формате «недопустимых событий», то давайте оценивать риски не для одной компании, а для целой отрасли. Например, мы посмотрели, что за 2022-й, 2023 годы утекло много данных из сферы доставок, ритейла, интернет-сервисов и образования. Что если мы увидим скоординированные атаки на несколько университетов одновременно, например, в период новой приемной кампании? А если на множество торговых сетей или сразу на все популярные логистические сервисы? Может ли тогда атака вируса-шифровальщика парализовать какой-то сегмент, отрасль и как оценить тогда убытки? Какой будет период восстановления?
Это пессимистичный сценарий, так как практика показала, что даже крупные компании к этому не готовы. И проблема не в обеспечении рынка ИБ средствами защиты, а в осознанности. Пока что ее не хватает руководителям
В тот момент, когда специалист по информационной безопасности озвучивает бюджет на закупку необходимого программного обеспечения, часто вопрос о тревогах и будущих опасностях уходит на четвертый план, «как-то дорого».
На самом деле, если дорого, значит, не всегда правильно выбран подход, возможно, стоит поискать альтернативный вариант или обратиться к другим специалистам. Развивается же услуга — SOC-центры, это ИБ на аутсорсинге. Почему бы не посмотреть в эту сторону?
Или же руководство в принципе не слышит от специалиста по информационной безопасности о возможных угрозах, а он не акцентирует внимание и не пытается обновить защиту инфраструктуры
Возможно специалист по информационной безопасности не хочет внедрять решения с расширенной аналитикой, с новыми технологиями, так как привык к экономии и что-то новое и незнакомое еще и пугает. Как быть руководителю уверенным в том, что его архитектор информационной безопасности, его киберзащитники действительно готовы к таким атакам?
Нужны тренировки и испытания, а это пока не носит массовый характер, пока что кибербитвы и кибер­учения, скорее, удел студентов или какой-то элиты кибербеза.
В общем, в краткосрочной перспективе я предполагаю, что мы будем наблюдать много новых, интересных событий, связанных с последствиями атак вирусов-шифровальщиков.
Оптимистический момент в этой истории — рост осознанности уровня опасности, пересмотр парадигмы «защита от бюджета» и выбор парадигмы «нулевого доверия». Экспертное сообщество в информационной безопасности в России сильное и действительно отлично себя зарекомендовало в последние несколько лет, мы справимся.
Прогноз на 3 года
Эволюция вредоносного ПО и вирусов-шифровальщиков
В среднесрочной перспективе (три года) стоит ожидать изменений и в самих подходах к защите от вирусов-шифровальщиков, и эволюции вредоносного программного обеспечения, и новых методов доставки. В начале хочу поделиться надеждами, мой оптимистический прогноз имеет под собой некоторые основания. Ведь разработки части решений уже идут. Оптимистический прогноз разделю на две части.
  • Возможное
    Представим, что через три года мы в России имеем улучшенные технологии защиты, в которых используются искусственный интеллект и машинное обучение.
Имеющиеся в отрасли средства защиты обеспечивают эффективное выявление и предотвращение атак вирусов-шифровальщиков на ранних стадиях и способны блокировать процесс шифрования в любом месте IT-инфраструктуры.
  • Чудесное
    Международные организации, правительства, частный сектор экономики объединились и вместе разработали более жесткие стандарты безопасности и рекомендации по внедрению комплексных программ для защиты и обучения сотрудников.
В образовательные программы на уровне государства внедрены модули по цифровой гигиене для представителей разных возрастных групп. Преступные группировки больше не могут найти заказы на целенаправленные атаки, и идет другая охота — на крупную дичь, где дичь — это уже киберперступники.
Если действующие вендоры информационной безопасности на момент 2024 года не собьются с пути, то возможное действительно появится. И это защитит цифровые платформы, сервисы и бизнес, но обычные люди, пользователи, останутся в группе риска.
Перейдем к пессимистическим прогнозам:
Уверена, что в ближайшие пять лет угрозы со стороны вирусов-шифровальщиков будут только усиливаться, мы станем свидетелями все более сложных и разрушительных скоординированных атак, в которых кибертеррористы используют вирусы-шифровальщики как инструмент для уничтожения цифровых платформ и нанесения значительного ущерба экономике государства.
При этом преступные группировки и финансируемые некоторыми государствами хакеры будут использовать передовые технологии, такие как искусственный интеллект, и будут создавать новые формы атак и новые методы шифрования. Атакующие будут усердно тренироваться и находить способы обходить существующие системы защиты.
Основные цели для «дорогих» атак останутся те же, продолжится «охота на крупную дичь»
Сюда можно относить такие цели, как энергетика, транспорт, здравоохранение и финансовый сектор. Однако, так как сами атаки шифровальщиков станут более масштабными и координированными, это будет приводить к длительным перебоям в работе жизненно важных систем, объектов критической инфраструктуры и к значительным экономическим потерям. А еще появятся и совершенно новые виды атак шифровальщиков, где жертвами становятся устройства одной корпорации — допустим, смартфоны, телевизоры, микроволновки, что угодно, главное — массовое и то, что в результате такой атаки теряет свою ценность для покупателя, а данные с некоторых абонентских устройств становятся сверхценными для компаний, которые готовы будут платить выкуп для сохранения репутации.
Хактивизм поменяется и станет инструментом доставки вредоносного программного обеспечения, где тому, кто запустил вирус в инфраструктуру, преступная группировка платит агентское вознаграждение
Если раньше все воспринимали внутреннего нарушителя как возможного участника в организации утечки данных, теперь всех больше всего будет волновать, как не пропустить вирус, который внутренний нарушитель может запустить, используя свои права на запуск скриптов, команд и на установку программного обеспечения.
Без значительных улучшений в кибербезопасности количество успешных атак шифровальщиков будет расти, приводя к серьезным последствиям для глобальной экономики и безопасности государства, общества и личности.
Обычные пользователи и малый бизнес также станут частыми жертвами атак, и это будет приводить к утрате важных цифровых данных и, конечно же, к финансовым убыткам.
Предположу также, что международное сотрудничество по борьбе с атаками шифровальщиков может оказаться недостаточно эффективным из-за политических и юридических барьеров, с которыми мы сталкиваемся с 2022 года. Мы готовимся к такому сценарию, и я вижу, как многие вендоры ИБ совершенствуют свои программные продукты, как тренируются киберзащитники, как меняются образовательные программы, и вижу, что у нас действительно может получиться выстроить отличную эшелонированную кибероборону.