Solar Security

Согласно результатам исследования, размер ИБ-подразделения напрямую зависит от масштаба бизнеса. Крупнейшие компании с выручкой свыше 80 млрд руб. формируют ИБ-подразделения в среднем из 33 специалистов. В компаниях с годовой выручкой от 5 до 80 млрд руб. средний штат ИБ-функции составляет 6 специалистов. В эту команду, как правило, входят один начинающий специалист, трое зрелых и двое менеджеров. Более половины опрошенных компаний (54%) имеют самостоятельную, формализованную стратегию ИБ, что свидетельствует о высоком уровне зрелости функции кибербезопасности в крупном бизнесе.

Главным фактором, влияющим на кадровую политику в сфере ИБ, респонденты назвали общий рост угроз — на него указали 32% опрошенных. Вторым по значимости драйвером стало внедрение цифровой стратегии (21%), которая требует усиления защитных мер. Рост материальности рисков информационной безопасности отметили 16% экспертов. По итогам интервью, у каждой третьей компании штат ИБ укомплектован лишь на 50–80%, что указывает на устойчивый кадровый дефицит.

Бюджеты на информационную безопасность также демонстрируют сильную корреляцию с размером компании. Аналитики отмечают высокую концентрацию бюджетов именно в сегменте крупнейших компаний, что позволяет им выстраивать комплексные системы защиты и привлекать наиболее квалифицированные кадры.

Логичным следствием роста общих бюджетов и кадрового дефицита становится увеличение инвестиций в обучение ИБ-команд. Бизнес осознает, что эффективность даже самых технологичных систем защиты напрямую зависит от компетенций команды, которая ими управляет. Это закономерно смещает фокус на образовательные программы как на стратегический инструмент обеспечения киберустойчивости.

Инвестиции в обучение специалистов по информационной безопасности являются для компаний стратегическим направлением, непосредственно влияющим на эффективность всей системы защиты. Образовательные бюджеты демонстрируют значительную градацию: если крупный бизнес инвестирует в развитие ИБ-кадров в среднем 0,6 млн руб. в год, то бюджеты крупнейших компаний кратно превышают эту сумму, достигая 10 млн руб. При этом данные показывают, что основная аудитория обучающих программ — это зрелые специалисты: в 38% компаний на обучение направляют группы от 6 до 20 таких сотрудников. Топ-менеджеры также проходят обучение, но, как правило, в ограниченном составе — 77% компаний обучают одного-двух руководителей высшего звена.

Согласно исследованию, респонденты видят в образовательных программах инструмент решения ключевых бизнес-задач. Основными целями являются обеспечение соответствия требованиям законодательства (24%) и внутренних нормативных актов (24%). Наряду с этим компании фокусируются на сокращении как реальных операционных рисков (17%), так и потенциальных угроз безопасности (17%). Важно отметить, что 17% респондентов рассматривают развитие сильных ИБ-кадров как самостоятельное конкурентное преимущество, что демонстрирует растущее понимание стратегической ценности человеческого капитала в кибербезопасности.

Финансовый сектор остается одним из наиболее уязвимых, опережая по объему утечек госсектор и ИТ-отрасль. По данным центра мониторинга внешних цифровых угроз Solar AURA, самые крупные инциденты произошли в январе и марте 2024 года – 115 млн и 200 млн строк соответственно.

В результате анализа 230 инцидентов ИБ, выявленных при пилотировании DLP-системы Solar Dozor, основными каналами утечек данных по вине инсайдеров стали мессенджеры (35% от всех инцидентов) и корпоративная электронная почта (23%). В 15% случаев утечка информации происходила через публикацию данных в открытых источниках в интернете, облачных хранилищах и на файлообменниках.

В ходе пилотирования Solar Dozor эксперты ГК «Солар» анализируют движение конфиденциальных данных между пользователями внутри организаций и их передачу за пределы по различным каналам коммуникаций. Это позволяет выявить нарушения и оптимизировать политики для предотвращения неправомерной передачи информации. При фиксации нарушения DLP-система показывает данные об активности пользователя за рабочим компьютером и перехваты его коммуникационных каналов.

Согласно данным экспертов «Солара», мессенджеры являются самым популярным каналом для утечки информации из компаний, составляя 35% случаев. Telegram и WhatsApp (принадлежит корпорации Meta, которая признана в РФ экстремистской и запрещена на территории России) продолжают широко использоваться в корпоративных коммуникациях даже в крупных организациях. В половине случаев мессенджеры применяются для передачи коммерческой тайны. Сканы любых официальных документов, такие как сканы с подписями, могут существенно повлиять на рынок, например, если информация о финансовых проблемах крупной компании станет доступной третьим сторонам.

Несмотря на то, утечки в организациях чаще случаются по неосторожности, чем по злому умыслу, человеческий фактор признается основной причиной увеличения числа скомпрометированных данных. Так, 82% инцидентов в организациях вызвано ошибками сотрудников, в то время как только 18% является следствием умышленных действий.

Почти четверть утечек (23%) происходит через корпоративную электронную почту. Например, сотрудник может отсканировать свой паспорт и отправить его на личную почту, полагая, что это не является нарушением. Однако если сотрудник отправляет свои персональные данные с рабочего компьютера на личный адрес, это считается передачей персональных данных физического лица за пределы компании. Для Роскомнадзора это означает нарушение ФЗ-152, связанное с нецелевым использованием и передачей конфиденциальных данных без мер защиты. В негативном сценарии организация может столкнуться со значительными санкциями.

В 15% случаев утечка информации происходит через публикацию данных в открытых источниках в интернете, облачных хранилищах и на файлообменниках. Далее по частоте инцидентов идут съемные носители (12%). Как и файлообменники, они чаще всего используются именно со злым умыслом, для скачивания клиентских баз и других больших объемов данных. Кроме того, еще 12% информации утекает вследствие демонстрации экрана третьим лицам во время видеоконференций. Реже всего злоумышленники используют печать на принтере (3%). Это, как правило, связано с тем, что печатные документы сложнее вынести с работы и процесс печати может привлечь внимание коллег.

В целом по количеству утекших строк финансовый сектор стал наиболее уязвимым, опережая в том числе госсектор и ИТ-отрасль, которая занимала первое место антирейтинга в 2023 году. Предположительно, в произошедших утечках содержатся ФИО клиентов, e-mail, телефоны и данные о кредитах. Самые крупные инциденты произошли в январе и марте 2024 года – 115 млн и 200 млн строк соответственно.

Помимо публикации украденных данных, хакеры нередко выставляют на продажу на черном рынке и компании для проведения нелегальных операций – например, фейкового партнерства, обналичивания и отмывания средств через счета, получения кредитов у банков без возврата и т.д. В настоящий момент база сервиса Solar AURA насчитывает 8 тыс. подобных организаций. Из них 1,5 тыс. были обнаружены в 2024 году – в среднем это четыре компании в день. Также эксперты сервиса за прошлый год выявили 83 тыс. инцидентов, связанных с нелегальными транзакциями.

Аналитики признают, что банки с каждым годом наращивают потенциал противодействия кибератакам и результаты налицо – количество серьезных инцидентов, повлекших утечки данных в финансовом секторе, не так высоко по сравнению с другими отраслями. Однако цифры подтверждают, что утечки данных все еще остаются серьезной угрозой для российских компаний из всех отраслей.

Эксперты Solar выяснили, какие факторы в управлении доступом к инфраструктуре способствуют эксплуатации подобных векторов атак. Как отметили представители более 40% компаний, доступ к информационным ресурсам организаций под учетными записями сотрудников сохраняется после увольнения. Самой частой причиной становится несогласованность действий кадровых служб и ИТ подразделений, ответственных за управление доступом к цифровым активам организаций. Поэтому такие учетные записи могут существовать в корпоративных информационных системах подолгу, а уволенные сотрудники сохраняют доступ к цифровым активам бывшего работодателя. При этом если в компании не внедрены процедуры регулярного обновления парольной политики, именно эти учетные записи чаще всего становятся точкой входа для киберпреступников.

Аналогично в более чем 40% компаний есть сложности с выявлением устаревших учетных записей и накоплением избыточных прав. По мнению экспертов Solar inRights, основные причины — это отсутствие аудита категорий пользователей, большое количество разрозненных информационных систем, общие учетные записи, которые скрывают реального владельца, и различные механизмы предоставления доступа к IT-инфраструктуре.

В 35% случаев отсутствие автоматизации в управлении доступом создает трудности при расследовании инцидентов и получении информации о полномочиях уволенных сотрудников. Таким образом, у компаний нет возможности оперативно реагировать на потенциальные угрозы, анализировать и снижать риски инцидентов, связанных с нелегитимными правами доступа.

Более 25% участников исследования также отметили, что существующие ручные и полуавтоматические скрипты для блокировки учетных записей работают неэффективно. На практике даже одна незаблокированная учетная запись с расширенными правами, принадлежащая, например, недавно уволенному сотруднику финансового отдела, способна привести к значительным потерям и юридическим последствиям.

Технические учетные записи — еще одна уязвимая точка в управлении доступом к информационным системам. Они создаются для управления инфраструктурой, работы различных ИТ-сервисов. Для таких записей ответственный либо не определяется, либо данные о нем фиксируются в документации на проект по интеграции. Если в компании нет единой системы учета ответственных по таким типам учетных записей, то при увольнении сотрудников практически нет шансов определить, за какие учетные записи он отвечал. При этом для технических учетных записей логины и пароли могут сохраняться годами, если в компании не прописаны требования к регулярной смене паролей. Поэтому возрастает риск разглашения данных для аутентификации в информационных системах, которыми могут воспользоваться киберпреступники.

При этом представители более 30% компаний отметили, что не ведут реестр технических учетных записей и ответственных, которые назначены за каждую из них, в четверти компаний не разработана и не исполняется парольная политика в отношении технических «учеток». В более 50% случаев компании не автоматизируют процессы для передачи ответственности, если пользователь увольняется или переводится на другую должность.

Участники исследования также отметили проблемы в управлении доступом для подрядчиков и субподрядчиков. В более 40% случаев компании не владеют актуальным статусом об уровне доступа для внешнего контрагента, в трети — доступ прекращается несвоевременно, в 48% компаний нет автоматизированных процессов, чтобы отозвать полномочия и заблокировать учетные записи подрядчиков в случае расторжения договора. Почти в 15% случаев в компаниях не разработана и не исполняется парольная политика для учетных записей подрядчиков, которые имеют доступ к информационным системам.

Как отметили респонденты, в каждой второй компании не используются централизованные системы управления учетными записями сотрудников и доступом. Разрозненные процессы, отсутствие автоматизации и, как следствие, сложный контроль УЗ и полномочий пользователей в ИТ-инфраструктуре серьезно влияют на стабильность кибербезопасности, создают риски, которые влияют на стабильность работы. Еще более острой проблема управления доступом становится в рамках слияний и поглощений. В среднем, в 2023–2024 годах в России фиксируются около 400 сделок M&A в год, и это заставляет компании системно заниматься проблемами аутентификации, идентификации и регулирования доступа на всех уровнях. Автоматизированные системы позволяют провести аудит прав доступа всех сотрудников и контрагентов объединенной компании, а далее обобщить и структурировать политики ИБ на основе комплексного подхода к кибербезопасности.

Больше трети атак в банковской сфере (36%) связано с эксплуатацией уязвимостей. На втором месте (28%) – несанкционированный доступ к системам и сервисам (включая компоненты автоматизированной банковской системы и дистанционного банковского обслуживания, внутренний документооборот и ключевые базы данных). Долю в 14% заняли сетевые атаки. В то же время на вредоносное ПО в этой сфере приходится только 4%, что ниже аналогичного показателя в других отраслях. Последнее указывает на высокий уровень базовой защиты финансовой ИТ-инфраструктуры, то есть хорошо настроенную антивирусную защиту и жесткое соблюдение политик ИБ сотрудниками.

Есть сценарии, свойственные именно банковской сфере. К ним относятся попытки взлома баз данных основных банковских приложений, а также попытки использования учетных записей сотрудников третьими лицами. Связано это с тем, что базы данных содержат много конфиденциальной информации, а сотрудники проводят критически значимые операции.

Самым популярным способом доставки хакерских утилит, включая средства разведки, вредоносного ПО и средств удаленного администрирования является фишинг: с начала 2023 года число фишинговых писем в адрес российских кредитно-финансовых организаций выросло в 1,5 раза. Чаще всего в своих рассылках злоумышленники имитировали акции или опросы от имени банка. А их главной целью стали не данные банковских карт, а доступ в личный кабинет клиента.

Количество киберударов по банковским веб-ресурсам (DDoS- и веб-атаки) постепенно сокращаются, что объясняется высокой защищенностью организаций (наличием решений класса WAF и Anti-DDoS) и неэффективностью массовых атак. Так, в 2023 году количество DDoS-атак в финансовой сфере уменьшилось почти в 9 раз. В то же время заметен рост числа сканирований веб-приложений, то есть поиска уязвимостей для совершения успешной атаки.

По оценкам ГК «Солар», финансы, наряду с телекоммуникациями, ИТ, нефтегазовой отраслью, химией и нефтехимией, энергетикой и транспортом входят в список ключевых заказчиков ИБ-вендоров, образуя 67% рынка среди коммерческих компаний и 44% всего рынка ИБ. Непосредственно финансовая сфера занимает 13% в ИБ-рынка. В 2023 году затраты компаний финансовой отрасли на ПАК, лицензии, работы по внедрению, техподдержку и услуги составили 18 млрд руб. Поскольку задолго до начала драматического роста киберугроз банки выстроили достаточно устойчивые системы безопасности, сейчас затраты идут в основном на обновление и внедрение принципиально новых решений.

Несмотря на то, что бюджеты финансовых организаций превышают только бюджеты федеральных органов исполнительной власти – 20 млрд руб. в 2023 году, отрасль испытывает проблему недофинансирования. За год бюджеты на ИБ выросли на 5%, в то время, как рост ИТ-бюджетов в финансах составил 12%.

По оценкам аналитиков, к 2030 затраты финансовых компаний на ИБ могут составить 30 млрд руб. при среднегодовом темпе роста 8%, что соответствует росту рынка ИБ в целом.

Число DDoS-атак в III квартале 2023 года в сравнении со II кварталом выросло вдвое, до 41 тыс. в месяц. Средняя мощность одной атаки, наоборот, снизилась почти в 4,5 раза – с 2,6 Гбит/c до 0,6 Гбит/c. При этом максимальная мощность DDoS в отчетном периоде выросла до 280 Гбит/c в секунду, достигнув уровня III квартала 2022 года.

По данным экспертов, это свидетельствует о том, злоумышленники стали меньше времени и внимания уделять точечным атакам на конкретные организации, теперь их цель – атаковать как можно больше российских компаний. Они начали оптимизировать распределение своих ресурсов и следить, оказывает ли DDoS-атака ожидаемый эффект. Если его не видно и организация надежно защищена, то тут же заканчивают атаку и переходят к следующей цели. По прогнозам, этот тренд продолжится, а к концу 2023 года число DDoS-атак в сравнении с летом вырастет минимум в 1,5 раза

Самыми атакуемыми регионами в РФ стали Урал (31%) и Москва (23%). Самая продолжительная из зафиксированных DDoS-атак в 2023 году длилась более 9 месяцев – 277 дней, с января по сентябрь. Чаще других под DDoS-удары попадали компании из сферы телекома, госсектора и ИТ: среднее количество атак на одну организацию за месяц с начала квартала увеличилось в три раза. Также с начала квартала был зафиксирован рост атак на строительную отрасль на 19%.

Согласно оценкам «Солар», в III квартале рост числа подтвержденных инцидентов составил 16% (по отношению ко II кварталу, в котором также наблюдался рост – на 24%). Как отмечают аналитики, предпосылок для снижения этого тренда в ближайшее время не ожидается.

Примечательно, что «летнего затишья», характерного для прошлого года, в этот раз не наблюдалось. Если в конце 2022 – начале 2023 годов активность хакеров несколько снизилась (это время они, вероятно, использовали для совершенствования техник и инструментария), то во II и особенно в III квартале злоумышленники начали атаковать российские компании с новой силой, что стало для бизнеса серьезным вызовом. Так, доля высококритичных инцидентов в сравнении с прошлым кварталом выросла на 10 процентных пунктов, до 56%. За последние два года бизнес научился отражать массовые атаки, но рост числа продвинутых инцидентов говорит о том, что для борьбы с новыми ударами компаниям нужно срочно совершенствовать защиту, используя комплексный подход.

Вредоносное ПО стало наиболее часто используемым инструментом в руках хакеров – доля высококритичных инцидентов с его использованием выросла с 71% до 83%. Основным каналом доставки по-прежнему остаются фишинговые письма с фокусом на персонал компаний.

Также в III квартале существенно выросло число инцидентов, выявляемых лишь специальными сенсорами SOC – EDR, NTA и AntiAPT – и не фиксируемых стандартными средствами мониторинга. Их доля составила 22% от всех подтвержденных инцидентов, что говорит об усложнении техник и тактик хакеров, позволяющих им скрытно проникать и продвигаться по инфраструктуре компании для нанесения максимального урона.

Число веб-атак, сократившееся во II квартале на 21%, в отчетном периоде снова продемонстрировало положительную динамику и заняло долю в 3% от других инцидентов. Онлайн-ресурсы по-прежнему остаются довольно уязвимым местом в инфраструктуре и требуют пристального внимания, особенно в преддверии распродаж и праздников.

За последний год среди угроз в информационной безопасности российские компании чаще сталкивались с утечками чувствительных данных (33%), атаками на незащищенные ресурсы, связанные с выводом новых информационных активов (26%), появлением фейковых новостей (25%) и негативных публикаций о бизнесе в открытых источниках (23%). Средний ущерб от одного такого инцидента составил порядка 2 млн руб. без учета репутационных потерь, как правило, растянутых во времени на 3-5 лет.

При этом, как следует из исследования, более половины специалистов (55%) на рынке ИБ недостаточно знакомы с сервисами для выявления интернет-угроз. 11% опрошенных компаний хорошо знают этот класс решений и имеют личный опыт использования, а 43% хорошо осведомлены, но не тестировали решения на практике. При этом сотрудники среднего бизнеса несколько лучше знакомы с подобными сервисами в сравнении с крупным бизнесом.

Компании, которые уже внедрили решения для выявления интернет-угроз, чаще используют их для обнаружения утечек (53%), поиска публичных ресурсов, которые неправомерно используют бренд компании (47%), мониторинга негатива в медиа (45%) и обнаружения новых или некорректно выведенных из эксплуатации информационных активов инфраструктуры (43%).

Как подчеркивают в «Солар», с начала года в открытый доступ попало 92 Тбайт конфиденциальных данных 200 российских организаций. Злоумышленники постоянно совершенствуют инструменты для атак на бизнес и госструктуры, поэтому важно обращать внимание не только на защиту непосредственно периметра компании, но и на внешний киберландшафт, своевременно выявлять и блокировать интернет-угрозы.

Финансовый сектор является наиболее передовой отраслью с точки зрения обеспечения информационной безопасности организаций. Этот тезис явно подтверждают результаты проведенного исследования: максимальный ущерб от утечек данных, зафиксированный в финансовом секторе в 2022 году составил 1 млн руб. В 2021 году несколько организаций данного сегмента, принявших участие в исследовании, признались, что пострадали от утечек данных на сумму 100 млн руб. Столь существенный ущерб был зафиксирован в организациях, не использующих DLP.

При этом половине финансовых организаций удалось сэкономить от 10 до 100 млн руб. в результате внедрения DLP-системы. В 2021 году лишь 36% участников опроса оценили потенциальную экономию средств в результате предотвращенных утечек более чем в 10 млн руб. за последний год. Снижение предельного размера ущерба и одновременный рост экономии финансовых организаций при внедрении DLP-систем объясняется тем, что все больше финансовых организаций используют надежные средства защиты от утечек. Сейчас системы защиты от утечек эксплуатируют три четверти представителей финансового блока.

Вместе с тем по сравнению с прошлым годом резко изменилось соотношение умышленных и случайных утечек в организациях финансового сектора. Если в 2021 году 20% респондентов предполагали наличие скорее умышленных, нежели случайных утечек в своих организациях, то в 2022-м о намеренном сливе данных заявили уже 67% опрошенных. Это в точности коррелирует с озвученным трендом высокого проникновения DLP-систем в финансовом секторе, которые автоматически пресекают случайные утечки, а при правильной настройке справляются и со значительной частью умышленных.

Что касается подверженной утечкам конфиденциальной информации, то 90% совокупно составляют утечки коммерческой тайны, данных о финансовых операциях и персональных данных клиентов и сотрудников. Как и годом ранее, в 2022 году свыше 60% утечек в финансовом секторе происходит с использованием интернет-технологий (облачные хранилища, интернет-почта, веб-версии мессенджеров соцсетей).

Как подсчитали в «РТК-Солар», среднестатистическая организация, в которой в 2021 году чаще всего происходили различные нарушения внутренней ИБ и трудовой дисциплины (включая нарушение правил безопасного обращения с конфиденциальной информацией), относится к производственной сфере и имеет в штате свыше 1 тыс. чел. Здесь зафиксировано наибольшее количество (29% от общего числа) внутренних нарушений информационной безопасности, включая утечки информации, нецелевое использование рабочего времени и т.п. На втором месте по количеству нарушений расположилась государственная сфера (24% нарушений), замыкает тройку финансовая отрасль (15% нарушений).

Следует отметить, что производство лидировало по объему внутренних нарушений и в предыдущем исследовании за 2020 год. А вот государственная сфера за минувший год обогнала финансовые организации по количеству выявленных внутренних нарушений. Это связано скорее не с резким ростом нарушений в госструктурах, а с интенсивным внедрением систем защиты от внутренних угроз в государственной сфере.

Среднее число проанализированных сообщений о событиях безопасности в каждой организации в 2021 году составило 900 тыс. единиц, что почти на 30% больше показателя из предыдущего исследования. Из них в среднем 10 тыс. сообщений (то есть каждое девятое) были признаны нарушениями разной степени критичности, от низкой до высокой.

Лидерами по числу критичных нарушений стали организации финансовой сферы: 87% всех зарегистрированных событий в них были критичными. Также много серьезных нарушений было выявлено в организациях сферы приборостроения (53% от всех инцидентов) и консалтинга (52%). Наиболее распространенными внутренними нарушениями в них стали неконтролируемый вывод конфиденциальной информации за периметр организации, нецелевое использование рабочего времени, признаки коммерческого сговора, нарушения ограничений и запретов, конфликт интересов.

При совершении таких нарушений сотрудники организаций чаще всего использовали электронную почту – пересылали конфиденциальную информацию на личный e-mail или на адреса третьих лиц (более 37% случаев), копировали информацию на флешки и сливали данные в мессенджерах (каждый канал использовался в 17% случаев).

В структуре нарушений как в Москве, так и в регионах преобладали нарушения, связанные с выводом за информационный периметр работодателя конфиденциальной информации разной степени критичности. Однако выводимая информация в регионах отличалась значительно большим разнообразием: здесь и врачебная тайна, и персональные данные граждан, и иная информация, содержащаяся в базах данных государственных информационных систем. При этом в регионах сотрудники менее склонны проводить время, отвлекаясь на не связанные с работой активности. Кроме того, в регионах чаще, чем в Москве, используют для вывода конфиденциальной информации за периметр организации съемные носители, а также в отличие от столицы все еще используют для этих целей печать на принтере.