Треть крупнейших российских компаний пренебрегают защитой веб-сайтов от DDoS-атак

Почти треть крупнейших по выручке российских компаний не обеспечивают надлежащий уровень защиты сайтов от DDoS-атак. Об этом говорится в исследовании компании StormWall (есть в распоряжении «Ведомостей»). Исследование проводилось в июне 2023 г. StormWall проанализировала веб-сайты 100 крупнейших российских компаний из рейтинга Test Firm (аккумулирует данные финотчетности, составляется аудиторской компанией «Авдеев и Ко»).

Согласно исследованию, все 100 компаний рейтинга обеспечивают защиту сайта лишь на низком сетевом уровне хостинг-провайдера. Но если злоумышленники будут атаковать ресурс конкретной компании, то 30% компаний не смогут его защитить. Именно по такому сценарию происходит более 90% DDoS-атак, отмечают аналитики StormWall.

Злоумышленник может атаковать интернет-магазин, в котором можно находить товары через поиск, и начать массово слать запросы через ботнет, приводит пример атаки эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников. Это нагрузит базу данных сайта и приведет к отказу инструментов поиска или всего магазина целиком, продолжил эксперт.

С оценкой в 30% согласен технический директор АО «Синклит» Лука Сафонов. По словам руководителя направления WAF и Anti-DDoS компании «РТК-Солар» Алексея Пашкова, от высокоуровневых атак не защищены сайты 15% крупнейших компаний.

Меньше всего из исследуемых StormWall компаний к таким атакам готовы телекомкомпании: 38% из них не защищены от таких DDoS-атак. На 2-м месте в антирейтинге оказались компании энергетики (26%), затем нефтекомпании (18%), финансовые организации (16%), транспортные компании (12%) и производственные предприятия (9%).

Последствия атаки зависят от стратегии компании при работе со своим сайтом, отмечает бизнес-консультант по информационной безопасности (ИБ) Positive Technologies Алексей Лукацкий. Если он выполняет роль витрины или визитки, то ущерба не будет, отметил он. Но если парализовать работу сайта, то финансовая организация не сможет оказывать услуги интернет-банкинга, транспортная – продавать билеты или размещать заказы на перевозку, промышленное предприятие – размещать заказы на производство или давать доступ к складским системам, привел он примеры. Кроме того, часто DDoS-атаки используются для прикрытия других хакерских атак, которые могут вести к утечке конфиденциальных данных или выводу из строя критически важных систем, добавил сооснователь и исполнительный директор StormWall Рамиль Хантимиров.

По данным StormWall, в 2022 г. количество DDoS-атак на все секторы увеличилось на 74%. К самым мощным атакам прошлого года можно отнести DDoS-атаку на ресурсы Сбербанка в мае, заметил эксперт инжинирингового центра SafeNet «Национальной технологической инициативы» Игорь Бедеров. Вредоносный трафик, сгенерированный ботнетом, исходил более чем из 27 000 устройств, а мощность нагрузки составила более 450 Гб/с, сказал он.

Представитель «Сбера» подтвердил «Ведомостям» рост числа DDoS-атак на свой сайт в 2022 г. В прошлом году банк отразил 490 DDoS-атак, в 3 раза больше, чем в 2021 г., мощность атак выросла в 4,5 раза, добавил он. Представитель Мосбиржи сказал, что организация сохраняет высокую надежность основных платформ даже в условиях роста числа кибератак. «Ведомости» также направили запросы в «Билайн», «Ростелеком», «Газпром», «Лукойл», «Норникель», «Роснефть», «Аэрофлот», Fesco, ВТБ, «Акрон», Объединенную авиастроительную корпорацию, «Алросу» и другие компании из рейтинга.

Активность хакеров не снижается и в 2023 г. Так, количество атак на энергосектор в июне 2023 г. год к году выросло на 83%, в нефтяной отрасли – на 64%, в финансовом секторе – на 32%, в телекоме – на 28%, в транспортном секторе – на 18%, в сфере промышленности – на 14%, следует из данных StormWall.

Меньшая защищенность этих секторов может объясняться тем, что здесь на сайты заходит меньше пользователей, чем на продуктовые магазины или маркетплейсы, и их реже рассматривают в качестве целей, рассуждает Сафонов. Ритейл изначально готовится к большому объему трафика и хакерским атакам, а предприятия ТЭКа, транспортники и промышленность защищаются меньше, согласен с ним Бедеров. Когда простой в работе ресурса дешевле защиты, компания может не видеть в ней смысла, эти потери можно будет включить в цену продукта, рассуждает заместитель гендиректора компании «Гарда технологии» Рустэм Хайретдинов. Для многих компаний из топ-100 важен личный опыт и опыт их партнеров, т. е., пока они не столкнутся с последствиями атаки, дополнительные финансы на ИБ не выделяются, заметил Пашков.

Вопросы ИБ, несмотря на активные регуляторные изменения, все еще не в приоритете у большинства компаний, считает руководитель направления «Расследование инцидентов ИБ» FBK CyberSecurity Игорь Собецкий. Кроме того, крупные компании, закупочную деятельность которых регулируют 44-ФЗ и 223-ФЗ (законы о госзакупках), не могут быть достаточно гибкими и оперативными для закрытия всех задач в области ИБ, продолжил он. «Когда компания формирует свой бюджет на ИБ на год вперед, пробелы просто неизбежны», – продолжил Собецкий.