ENGCovid-19 оказался опасен не только с точки зрения связанных с ним последствий для здоровья населения. Коронавирусная инфекция нового типа спровоцировала повышенные риски в иных областях, включая экономику и безопасность.
На стыке этих направлений находится проблема кибератак, число которых во время пандемии заметно возросло. Способствовало этому, пожалуй, одно из самых противоречивых явлений эпохи Covid-19 — дистанционная работа, ставшая для одних возможностью сэкономить средства на аренде помещений или время на дорогу, а для других продемонстрировавшая неэффективность в процессе достижения поставленных бизнес-задач.
В настоящий момент мир столкнулся с необходимостью вводить новые карантинные ограничения из-за второй волны распространения опасной инфекции. Где-то они пока носят преимущественно рекомендательный характер, где-то речь идет уже о повторном полноценном локдауне. Впрочем, каким бы ни был сценарий, избранный страной, одной из основных мер, предлагаемых для соблюдения социального дистанцирования, является удаленная работа, которая в свою очередь грозит вновь проверить системы кибербезопасности на прочность.
В этом контексте особый интерес представляет опыт Израиля. С одной стороны, государство известно своими достижениями в борьбе с киберугрозами. С другой — проводит один из наиболее жестких курсов в отношении эпидемии.
Специфика кибератак периода Covid-19
Киберпреступность, всплеск которой стал отчетливо заметен на фоне пандемии, в очередной раз продемонстрировала, что главная уязвимость заключается не в машине, а в человеке. Согласно израильской статистике атак на бизнес через сотрудников, работающих из дома, в то время как сами компании сосредоточили внимание на усовершенствовании внутренних, и без того достаточно развитых, систем безопасности, своего рода «ловушками» стали особенности работы с домашним компьютером. Сюда относится, к примеру, пользование устройством с подключенными офисными программами удаленного доступа членами семьи, включая личную почту или социальные сети. Мошенникам стало казаться более перспективным атаковать именно компьютер потенциальной жертвы, оставляя без внимания офисную сеть как таковую.
Обнаружились и новые группы рисков, связанные с повышенным спросом на программы видеосвязи или обмена короткими сообщениями, применение которых достигло своего пика на карантине. Если раньше они имели ограниченное распространение и, как правило, помогали поддерживать контакт с филиалами или партнерами, находящимися на расстоянии, то при переводе основной активности в дистанционный режим полностью заменили собой офисное общение от совещаний до разговоров у кулера.
Израильская компания CyberArk, специализирующаяся на IT-безопасности, обнаружила уязвимость платформы Microsoft Teams, которая позволяла получить доступ к аккаунту жертвы посредством отправки gif-файла. Далее, используя информацию одного пользователя, по мнению CyberArk, киберпреступники способны были расширять свой доступ к данным других сотрудников, а через них — и организации в целом. При этом злоумышленники потенциально могли как собирать данные о компании для их последующего использования, так и отправлять персоналу ложные сведения от лица якобы реальных коллег или руководства. По данным CyberArk, обнаруженная уязвимость в настройках поддомена была исправлена Microsoft. Примечательно, что обе компании вошли в топ-5 рейтинга 100 наиболее надежных работодателей Израиля в период Covid-19: CyberArk на 5-м месте, а израильский филиал Microsoft — на первом. Таким образом, координация усилий в борьбе с брешами в системах кибербезопасности стала своего рода проявлением социальной ответственности бизнеса в сложных экономических условиях.
Для сравнения со знаковыми инцидентами прошлого можно взять, к примеру, атаку на американо-израильскую кампанию Verint Systems, по иронии судьбы также занимающуюся кибербезопасностью. В прошлом году, когда большая делегация представителей фирмы находилась на выездной конференции в Европе, офисы подверглись нападению с использованием программы-вымогателя. Важным аспектом данной ситуации стало то, что был выбран именно период отсутствия сотрудников на местах, что расценивалось злоумышленниками как фактор, повышающий уязвимость. Однако на тот момент преступники исходили из того, что наилучшими мишенями для них являются все же рабочие компьютеры.
Еще один важный и весьма противоречивый аспект киберугроз коронавирусного периода — время. С одной стороны, довольно быстрое введение ограничительных мер потребовало наладить удаленную работу, способную хоть как-то обеспечить выполнение основных функций организации, в очень ограниченные сроки. Это привело к тому, что не были разработаны соответствующие инструкции для персонала, и в целом никто заранее не успел просчитать, с какими именно опасностями придется столкнуться. Неслучайно главным компонентом, требующим защиты, на начальном этапе стали именно офисные системы удаленного доступа, а не личные ПК, на которые легла основная нагрузка.
С другой стороны, никто не может точно ответить на вопрос, сколько продлятся ограничения, а потому долгосрочную стратегию обеспечения кибербезопасности при удаленной работе бизнес в большинстве своем пока не разрабатывает. Это еще одно отличие нынешнего периода от предыдущего, когда бизнес стремился обеспечить себе защиту на максимально длительный срок. Если крупные корпорации предпочитают оставлять сотрудников дома, надеясь таким образом сберечь ресурсы, уже потраченные на обеспечение удаленного доступа, более мелкие организации такого позволить себе не могут. Следовательно, они оказываются наиболее подверженными угрозам.
Кроме того, к категории рисков, связанных со временем, относится увеличенная продолжительность рабочего дня. Израильская компания Sepio Systems, специализирующаяся на аппаратных киберугрозах, обратила внимание на то, что при формальном сохранении привычной продолжительности рабочего времени на практике трудовой день всего коллектива существенно увеличен, так как для сотрудников нет необходимости строго придерживаться графика его начала и окончания. Таким образом, организации нужно обеспечивать непрерывную деятельность части команды, ответственной за предотвращение кибератак, или ждать хакерской активности, время для которой с высокой долей вероятности будет выбрано ночью.
Наконец, еще один элемент — ценовой. За оснащение рабочих мест в офисе отвечает работодатель, в то время как дома, если речь не идет о специфическом оборудовании, эта задача ложится на сотрудника. Причем выполняет он ее, основываясь не столько на особенностях своей работы, а на потребностях всех членов семьи, зачастую мало внимания уделяя безопасности. Здесь возникает еще один потенциальный риск, заключающийся в оборудовании, которое несет в себе целый букет опасностей. Первая состоит в устаревании, поскольку дома могут использоваться устройства, техническая поддержка которых разработчиком приостановлена. Соответственно, ее уязвимости попросту никто не будет анализировать. Вторая — применение низкокачественного оборудования, чья опасность кроется в простоте. Третья — наиболее сложная и сводится к возможности еще на стадии создания заложить угрозу в устройство, например одноплатный компьютер, с помощью которого появится шанс получить к нему доступ уже после покупки. Последний пример может показаться слишком надуманным, поскольку вероятность попадания такого девайса в распоряжение крупной фирмы или влиятельного лица довольно низкая. Впрочем, Sepio Systems уверяет, что такие случаи имеют место и ошибочно их недооценивать.
Кому стоит остерегаться?
Всплеск киберпреступности на фоне массового перехода на удаленную работу ставит вполне логичный вопрос: все ли представители бизнеса уязвимы одинаково или каждый из них по-своему? Израильский опыт последних месяцев не дает однозначного ответа. Согласно общей статистике, порядка 60% израильских компаний сообщили о заметном всплеске кибератак после перехода на дистанционную работу.
Если же сосредоточиться на конкретных примерах, то наиболее резонансными из них в Израиле стали атаки на производителя микрочипов Tower Semiconductor и разработчика программного обеспечения для страховых и финансовых компаний Sapiens International. При этом основной версией стала не организация целенаправленного нападения на конкретную организацию, а масштабная акция в отношении всего сектора, от которой пострадали названные фирмы. Интерес к ним может быть спровоцирован желанием хакеров через проникновение в системы разгадать технологии противодействия киберугрозам.
Примечательно, что раскрытие информации о фактах кибератак в профессиональном сообществе было встречено положительно. С одной стороны, эксперты сочли, что данный аспект не ухудшает, а наоборот, улучшает репутацию организации, которая не вводит в заблуждение своих потенциальных заказчиков и партнеров, предпочитая использовать даже негативный опыт во благо совершенствования всей отрасли. С другой стороны, многие сходятся во мнении, что скрыть такой инцидент полностью невозможно, следовательно, в противном случае деловой репутации был бы нанесен более серьезный ущерб.
Высокой степенью уязвимости характеризуются также компания, чьими заказчиками являются органы власти. Здесь возможны как попытки проникновения через зараженный компьютер сотрудника, работающего удаленно, так и фишинг посредством социальных медиа. В начале августа оборонная отрасль Израиля подверглась попытке кибератаки с использованием поддельных профилей в социальной сети, ориентированной на установление и поддержание деловых контактов, Linkedin. По имеющимся данным, за этим стояла международная сеть киберпреступников Lazarus Group, которая, по мнению ведомств, заблокировавших утечки информации, проявляет все больший интерес к персональным данным сотрудников предприятий оборонной, авиационной и космической промышленности, в том числе через домашние ПК.
Есть ли лекарство от ковидной киберпандемии?
Несмотря на солидные достижения израильских специалистов в области информационных технологий и кибербезопасности, их ответ на вызов нового времени, как ни странно, не инновационный, а традиционный.
Большинство экспертов на фоне угроз в киберпространстве, так или иначе связанных с Covid-19, сошлись во мнении, что основное направление по противодействию им в том, что касается сотрудников, должно быть напрямую связано с ключевым фактором риска, то есть пользователем. В этой связи было предложено несколько простых и, как могло бы показаться, очевидных правил, среди которых, к примеру, совет менять пароль на устройстве, подключенном к корпоративной сети чаще, чем в офисе, не использовать одинаковые пароли для нескольких систем, не открывать подозрительные ссылки, а лучше всего — не пользоваться программами и сервисами, не имеющими отношения к выполнению рабочих задач.
В целом эксперты рекомендуют максимально разграничить личное и рабочее пространство, даже если физически оно совпадает, а также напомнить персоналу о необходимости соблюдать простые правила, которыми они стали пренебрегать, полагаясь на то, что корпоративная сеть в офисе хорошо защищена, а если для нее и создалась какая-то опасность, ту быстро решит команда профессионалов. В этой связи израильская компания Konfidas Digital, работающая в сфере корпоративной кибербезопасности, даже задумалась над разработкой программы, позволяющей отработать последовательность действий в условиях кибератак, в некотором смысле имитируя учения.
Для организаций список возможных мер противодействия более широкий, однако и здесь на первое место выходят далеко не цифровые технологии. Передовые представители индустрии прежде всего дают совет провести мониторинг, чтобы понять, какая информация требует защиты, а также каким именно сотрудникам требуется доступ к ней, так как сокращение числа удаленных подключений и мест хранения важной информации потенциально снижает риск стать добычей хакеров.
Впрочем, есть и вполне технологичные решения. Первое из них предлагает уже упоминавшаяся Sepio Systems, специализирующаяся на аппаратных угрозах. На фоне пандемии компания занялась совершенствованием своей платформы контроля подключенного к корпоративной сети оборудования с учетом таких уязвимостей, как увеличенная продолжительность рабочего дня. Вторым направлением является проверка безопасности приложений от Checkmarx. Она предлагает технологии статического и динамического тестирования, а также ставит своей целью работу с нуждами компаний разной величины и сферы деятельности, в том числе малого и среднего бизнеса.
Автор: Елизавета Якимова
