Более половины киберинцидентов в крупных компаниях приводят к серьезным последствиям

Об этом свидетельствуют результаты опроса, проведенного организатором международного форума по практической безопасности PHDays IV, стартовавшего 21 мая в Москве. Опрос проводился в апреле и мае 2014 года среди руководителей служб информационной безопасности 63 ведущих российских компаний, большая часть которых входит в рейтинг ТОП-100 по капитализации компаний России — 2013 (по оценкам «РИА Рейтинг»).

В анкетировании участвовали представители банковской (42%), телекоммуникационной (17%), топливно-энергетической (13%), транспортной (4%) и других отраслей, а также государственных организаций и ведомств (12%). Примерно половина (45%) компаний-участников опроса обладает крайне разветвлённой сетевой инфраструктурой и насчитывает свыше 50 000 узлов; еще у 25% —от 20 до 50 тыс. узлов. Цели исследования — выяснить, как представители различных отраслей оценивают состояние информационной защищенности (ИБ) своих предприятий, с какими угрозами ИБ они чаще всего сталкиваются, и как оценивают их последствия.  

Согласно полученным данным, в минувшем году инциденты информационной безопасности были зарегистрированы в каждой из 63 компаний, участвующей в исследовании. Опрос Positive Technologies показал, что несмотря на выстроенные процессы обеспечения информационной безопасности, 58% всех эпизодов прямо или косвенно приводили к нарушениям доступности внутренней инфраструктуры или сервисов. При этом к финансовым потерям привели 15% инцидентов, к репутационным издержкам — 12%, к нарушению функционирования IТ-инфраструктуры — 31%.

Статистика инцидентов  

В целом опрос о состоянии защищенности системообразующих предприятий показал, что в среднем на каждое крупное предприятие за год может приходиться до 100 ИБ-инцидентов различного типа.

В число наиболее распространенных инцидентов вошли DoS/DDoS-атаки (23%), хакерские атаки на внешние веб-приложения (21%), заражение вредоносным ПО (14%) - что, как правило, вызвано недостатками управления уязвимостями, а также злоупотреблениями со стороны сотрудников (14%). Рост внутренних угроз подтверждается еще одним аналитическим отчетом [1] исследовательского центра Positive Technologies: если раньше получение контроля над критически важными ресурсами из внутренней сети было возможно в 84% исследованных систем, то в 2013 году это оказалось возможным для всех исследованных систем.

Довольно часто (7%) респонденты отмечали внутренние атаки на бизнес-критичные информационные системы (ИС), что говорит о легкости, с которой злоумышленники могут преодолеть периметр корпоративных сетей. Лишь 2% компаний-участников опроса отметили, что проблемы информационной безопасности возникли из-за утери мобильных устройств персоналом.

Киберпреступность и злоупотребления

В качестве источников основных угроз большинство участников опроса отмечают киберпреступность (31%). На втором и третьих местах — злоупотребления администраторов ИС (23%) и сотрудников компаний (17%). Интересно, что не так много респондентов включают в число возможных угроз поставщиков услуг (11%). Те же, кто включил поставщиков, в основном связали это с расширением IТ-аутсорсинга. Что касается деятельности спецслужб, то на угрозы информационной безопасности со стороны этой категории указали как специалисты государственных организаций и ведомств, так и представители одного из ведущих перевозчиков и крупного медиа-канала.

Как быстро устраняют критические уязвимости?

Уязвимости высокого уровня риска способны доставить множество неприятностей как самой компании, так и ее клиентам. Согласно данным опроса, чуть больше половины компаний (60%) устраняют такие ошибки в течение нескольких дней, каждая пятая тратит на этот процесс недели, а у 15% на «залатывание дыр» уходят месяцы. Наилучшие результаты в опросе показывали банки, что несколько расходится с результатами реальных проверок на уязвимость. По данным отчета Positive Technologies [2] 37% систем дистанционного банковского обслуживания не защищены от несанкционированных транзакций, и в половине систем ДБО присутствуют критические уязвимости[3].

«Несколько дней на устранение уязвимости — это фантастический результат. Однако исследования Positive Technologies, основанные на результатах работ по тестированию на проникновение, рисуют менее радужную картину,  — говорит Борис Симис, заместитель генерального директора Positive Technologies. — По нашему опыту, на практике критические недостатки устраняются гораздо дольше. Мы находили уязвимости, которым 9 лет! В целом, 57% систем, исследованных в 2013 году, содержали критические ошибки, связанные с использованием устаревших версий программного обеспечения. При этом средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца. В ходе нашего опроса многие участники проведенного опроса отмечали сложность своевременного реагирования на инциденты, которое невозможно без грамотной политики управления уязвимостями. Отмечу, что санкционированные атаки экспертных групп Positive Technologies, проводимые в ходе пентестов, крайне редко фиксируются службами ИБ компаний, что напрямую связано с наличием уязвимостей. По нашим данным [4], для преодоления периметра корпоративной сети в 2013 году в среднем требуется использовать всего две уязвимости, тогда как в предыдущие годы требовалось три».

Причины, препятствующие эффективной ИБ-защите

Основными причинами, препятствующими эффективному обеспечению защиты IT-систем системообразующих компаний России, участники опроса назвали нехватку профессионалов, знакомых и с вопросами информационной безопасности, и с производственными процессами (37%), а также несовершенство нормативно-законодательной базы (26%).

Увидеть уязвимости своими глазами

На PHDays IV состоится конкурс Critical Infrastructure Attack, который позволит участникам изучить безопасность реальных систем АСУ ТП (SCADA), используемых на заводах и электростанциях, для управления городским транспортом и освещением, в нефтяной и газовой промышленности. В этом году участники проверят защиту ТЭЦ, систем городского освещения и транспорта, кранов и промышленных роботов-манипуляторов, а победителем станет тот, кто найдет больше уязвимостей и продемонстрирует их использование на живом макете умного города.

Кроме того, с реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем, можно будет познакомиться в ходе конкурса «Большой ку$h». Участникам предстоит воспользоваться найденными уязвимостями для вывода денежных средств.

[1] «Статистика уязвимостей корпоративных информационных систем (2013)»

[2] «Статистика уязвимостей систем дистанционного банковского обслуживания (2011—2012)»

[3] «Статистика уязвимостей веб-приложений (2013)

[4] «Статистика уязвимостей корпоративных информационных систем (2013)»