Дарья Кошкина: «Современные угрозы, информационные войны и актуальные прогнозы по кибербезопасности»

На встрече южного медиаклуба #ВСЕТИ общение прошло в живом формате в одном из красивейших мест страны – на Красной Поляне в Сочи. Насыщенная деловая программа включала актуальные темы о телеком-трендах. Перед представителями СМИ, в числе которых был AST-NEWS.ru, выступили топ-менеджеры «Ростелекома», которые играют ключевую роль в развитии цифровой экономики. Они поделились реальными цифрами и кейсами из практики.

Ранее мы рассказали о южных телеком-трендах, о которых на медиаклубе поведал вице-президент «Ростелекома» на Юге Сергей Мордасов. Сегодня мы познакомим вас с гибридными войнами и актуальными прогнозами на будущее, о которых рассказала руководитель направления аналитики киберугроз компании «Ростелеком-Солар» Дарья Кошкина.

Как известно, в прошлом году на сайты государственных органов власти, российских компаний и СМИ, в том числе астраханских и в том числе нашего, пришлось очень много кибератак. Россияне столкнулись с массовыми сливами и утечками данных, большим потоком в интернете фейков, провокаций и недостоверной информации. В 2022 году многие узнали, что такое вредоносные программы, веб-атаки, компрометация учётных записей, уязвимости в сети.

Злоумышленники использовали для взлома сайтов украденные учётные данные пользователей.

Минувший год произвел революцию в российском киберкриминальном мире. Число атак существенно увеличилось, а перечень атакуемых отраслей и компаний расширился. 2023 год стал достойным преемником 2022-го: все ключевые тенденции сохранились и получили свое эволюционное развитие. Можно выделить две основные причины, способствовавшие изменению ландшафта угроз информационной безопасности. Во-первых, это изменение мотивации киберпреступников, которые затронули в первую очередь B2B и B2G. Даже множественные утечки персональных данных граждан стали следствием роста числа атак на организации, а не на физических лиц. Вторая причина – появление в открытом доступе многочисленных автоматизированных инструментов, облегчающих реализацию типовых кибератак. Это существенно снизило порог вхождения в преступный бизнес и позволило низкоквалифицированным злоумышленникам осуществлять технически сложные атаки даже при отсутствии должного опыта и понимания происходящих процессов. С одной стороны, бесплатная публикация инструментов, которые раньше были доступны узкому кругу лиц, дает возможность организовывать более массовые атаки на российский бизнес. С другой – позволяет замаскировать по-настоящему серьезные атаки за счет повышения нагрузки на подразделения информационной безопасности атакуемых компаний.

В обиходе появились и атаки через подрядчиков-партнёров. Как это происходит? Например, взлом приложения онлайн-кинотеатров позволил заменить прошивку и получить доступ к управлению медиаплеером, и DDos-атака на Госуслуги проводилась при помощи ничего не подозревающих зрителей онлайн-кинотеатров.

«Самыми уязвимыми на Юге и в целом по стране остаются сферы образования, здравоохранения и госсектор – две трети заражений приходится именно на эти отрасли, – отметила в своем выступлении Дарья Кошкина. – Под прицелом злоумышленников оказались и средства массовой информации. Несмотря на общий рост защищенности, остаётся много слабых мест, и хакеры этим пользуются. Например, в 72 процента случаев злоумышленники используют уязвимости двух-трёхлетней давности, которые должны были быть давно «закрыты». Мы живём в интересное время информационной войны, кибермир является прямым отражением того, что происходит в реальности, реагирует на все события, происходящие внутри страны и за её пределами. 

Вскрытые данные используют как инструмент информационно-психологического воздействия, а это приводит к массовому распространению непроверенной информации, формирует искусственный информационный фон, создаёт панику и наносит ущерб организациям, чьи данные «утекли». Недостоверная информация распространяется слишком быстро, о её качестве никто не задумывается, и отличить правду от лжи становится всё сложнее».

С января по апрель 2023 года в отрытый доступ сети Интернет попали данные 123 российских организаций. Общий объем опубликованных данных составил 1,1 терабайта. В первом квартале зафиксировано 290 тысяч событий информационной безопасности, но только 2 процента из них отнесены к критическим. По сравнению с аналогичным периодом прошлого года их количество выросло на 80 процентов, при этом критические угрозы снизились в два раза.

Дарья Кошкина отметила, что одним из каналов «слива» информации сегодня все чаще становится «человеческий» фактор.

  • Изменение мотивации киберпреступников привело к существенному смещению ландшафта угроз.

  • Атакам стали подвергаться даже те организации и отрасли, которые ранее не привлекали внимания злоумышленников.Киберпреступность быстро адаптировалась к санкционным условиям и уходу из России популярных сервисов и платежных систем.

  • Ключевая угроза – утечки данных. С начала года в Сеть попало более 300 млн строк конфиденциальных сведений, а общий объем размещенных данных российских компаний составил 1,1 ТБ.

  • Косвенные утечки также могут наносить прямой ущерб. Значительное количество чувствительных корпоративных данных, фигурирующих в утечках из сторонних компаний, не имеют прямого отношения к объекту мониторинга.

  • В то же время появляется множество фейковых данных, выдаваемых за сведения, украденные из той или иной компании.

  • Злоумышленники не брезгают копаться в «мусоре»: даже отработанные логи с троянов-стилеров представляют интерес для ряда киберпреступников, выискивающих в них чувствительные корпоративные данные.

  • Фишинговые атаки становятся все более массовыми и изощренными. Основные характеристики современного фишинга: высокий уровень автоматизации, защита от обнаружения, нацеленность на самые разные отрасли.


Руководитель направления аналитики киберугроз компании «Ростелеком-Солар» Дарья Кошкина рассказала об основных трендах и правилах кибергигиены. Атаки будут только усложняться, под «огонь» попадут СМИ, госструктуры и субъекты критической информационной инфраструктуры, злоумышленники будут вести киберразведку, чтобы действовать наверняка, а не вслепую. Для максимальной защиты надо создавать сложные пароли и вовремя их менять, применять двухфакторную аутентификацию, разделять личное и рабочее пространство, устанавливать и обновлять антивирусы, проверять названия сайтов, прежде чем вносить данные, не переходить по подозрительным ссылкам. Осторожно пользоваться общедоступным wi-fi, устанавливать программное обеспечение только с проверенных ресурсов и желательно лицензированное.

События, не оставляющие следов внутри инфраструктуры компании и зарождающиеся за ее пределами, могут наносить реальный ущерб. Чаще всего подобные инциденты влекут за собой комбинированные негативные последствия, выражающиеся в прямом или косвенном финансовом ущербе, репутационных рисках или санкциях со стороны регуляторов. Любой достаточно крупный инцидент в наши дни становится достоянием общественности и остается пятном на репутации организации. Задачи по самостоятельному мониторингу глобальной сети и обнаружению признаков самых разноплановых угроз крайне сложны и труднореализуемы силами какой-то одной организации, так как требуют сочетания усилий работающего в режиме 24/7 коллектива высококвалифицированных аналитиков и целого комплекса разнообразных узкоспециализированных программных инструментов, многие из которых недоступны на широком рынке. Задача осложняется и тем, что для эффективного обнаружения признаков внешних инцидентов необходимо иметь доступ к всевозможным информационным источникам, перечень которых должен корректироваться и актуализироваться ежедневно. Сервис мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» призван решить эти проблемы. Благодаря широкому функционалу решения и многовекторному мониторингу, компании станет доступен максимально полный набор данных, которые в Сети может найти потенциальный киберпреступник, и на их основе построить надежную защиту информации.

Максим Терский