96% крупнейших компаний России уязвимы для хакеров

Большинство крупных российских компаний имеют уязвимости в своих IT-системах, позволяющие хакерам получить доступ к конфиденциальной корпоративной информации, следует из исследования Positive Technologies (документ есть в распоряжении «Ведомостей»). Результаты пентестов показали, что в 96% компаний злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть. К схожим оценкам склоняются в «Лаборатории Касперского» и «Информзащите».

Пентесты проводились в нескольких десятках российских компаний из разных секторов экономики, в том числе финансовом, промышленном, госсекторе, торговом, транспортном и др. 57% компаний, в которых проводилось исследование, входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600. Но в каких конкретно компаниях прошли пентесты, представитель Positive Technologies не уточнил.

Как следует из исследования, 96% компаний оказались не защищены от проникновения внешнего злоумышленника. В 90% случаев в результате атаки злоумышленник мог бы получить доступ к конфиденциальной информации, в том числе составляющей коммерческую тайну.

В 100% организаций была доказана возможность получить привилегии администратора домена. Это значит, что злоумышленник сможет выполнять любые действия в инфраструктуре компании, в том числе подключаться ко всем серверам и компьютерам, объясняет аналитик Positive Technologies Яна Юракова. В 85% уязвимости критического и высокого уровня опасности были связаны с недостатками парольной политики. В 60% компаний были найдены уязвимости критического и высокого уровня опасности, связанные с использованием устаревших версий ПО. С конфигурацией и кодом веб-приложений были связаны 35 и 15% уязвимостей соответственно.

Более того, пентестерам удалось подтвердить возможность реализации 89% недопустимых событий, обозначенных самими компаниями. Недопустимые события определяются компанией индивидуально, объясняет Юракова. Например, для банка это кража денежных средств свыше определенной суммы, нарушение работы сервисов, кража персональных данных клиентов, для госучреждения – остановка работы важной информационной системы и утечка данных о гражданах, продолжает она. Большая часть недопустимых событий, возможность реализации которых была доказана, была связана с потенциальным ущербом для репутации (61% событий), регуляторными санкциями (57%) и финансовыми потерями (39%), следует из исследования.

В среднем на то, чтобы получить доступ во внутреннюю сеть компаний, пентестерам требовалось пять дней и четыре часа, а самая быстрая атака заняла час, зафиксировали в Positive Technologies. В 57% компаний был вектор атак (последовательность действий для получения доступа к ресурсам сети. – «Ведомости»), состоящий не более чем из двух шагов, в 21% компаний для проникновения требовалось от трех до шести шагов, в 18% – семь шагов и более. При этом в 84% компаний проникнуть во внутреннюю сеть может даже низкоквалифицированный злоумышленник, отметили аналитики.

Низкий уровень защищенности компаний прежде всего объясняется перекосом в распределении затрат на информационную безопасность (ИБ), говорит директор группы кибербезопасности департамента управленческого консалтинга ДРТ Юлия Гончарова. Много затрат уходит в сетевую безопасность, в средства защиты с использованием режимов работы «от производителя» без доработки под собственную инфраструктуру и мало внимания уделяется ИБ-персоналу, способному эксплуатировать средства защиты и реагировать на угрозы, слабому развитию процессов ИБ в целом объясняет она.

Не существует на 100% защищенных систем, говорит президент InfoWatch Наталья Касперская. «Чтобы построить неуязвимую защиту, нужно потратить очень много денег, потому что защита стоит на несколько порядков дороже, чем нападение, – объясняет она. – Для нападения достаточно найти хотя бы одну дырочку в системе, а для 100%-ной защиты необходимо закрыть все возможные дыры и уязвимости системы».

Цифровизация компаний, строивших свою защиту на иностранных решениях, сегодня испытывает «идеальный шторм», говорит независимый эксперт по ИБ Рустэм Хайретдинов. Перестали обновляться IT-системы, увеличилась активность хактивистов, возникли проблемы со специалистами в связи с миграцией и мобилизацией, иностранные средства защиты перестали работать, а внедрение альтернатив пока не закончено, перечисляет он. Более того, если западные решения были более зрелыми и функциональными, отечественные продукты пока не всегда дотягивают до их уровня, добавляет эксперт технологической практики компании «Технологии доверия» Тимофей Хорошев.

Но советник по информационной безопасности FBK Cybersecurity Андрей Курило считает, что число уязвимых к атакам компаний несколько завышено и скорее отражает тенденцию. По его словам, данные отражают потенциальные уязвимости, но реальных атак гораздо меньше. Кроме того, наличие уязвимостей не гарантирует их 100%-ный успех, добавляет он.

Одной из мер по защите компаний от кибератак может стать децифровизация, считает Касперская. Речь, по ее словам, идет «про отключение доступа к интернету и неприменение цифровых решений к критическим объектам, лежащим на критическом пути». «Уровень защищенности системы определяется по ее слабейшему звену, и слабейшим звеном становится IT-система, подключенная к интернету», – говорит она. Как временное решение децифровизация уже применяется, добавляет Хайретдинов: во время атак защищающиеся сами отключают уязвимые сервисы – например, системы для удаленной работы.