За 2023 год количество атак, приведших к утечке персональных данных, увеличилось на 78%. Об этом пишет в своем отчете некоммерческая компания «Центр по борьбе с хищениями персональных данных» (ITRC).​

Только в России за прошлый год случилось 133 крупных утечки. Объем скомпрометированных данных в полтора раза больше, чем в прошлом году.
Такой активный рост преступлений стимулирует развитие новых методов защиты информации. Рассказываем, какие тренды и тенденции в сфере кибербезопасности ждут Россию и мир в ближайшем будущем.

1e5224be-b11d-4e4f-b1d4-28647e258979.png

Международные тренды​

Индустрия информационной безопасности не стоит на месте. Чтобы победить в гонке с киберпреступниками, разработчикам систем безопасности нужно быть в курсе новых технологий и как можно быстрее адаптировать их к своей работе.

Применение искусственного интеллекта​

В 2023 году хакеры активно использовали генеративный искусственный интеллект для фишинговых кампаний и взломов сайтов. Агентство по кибербезопасности Евросоюза ENISA прогнозирует, что злоупотребление искусственным интеллектом останется в топ-10 крупнейших угроз кибербезопасности вплоть до 2030 года.
Для преступных схем злоумышленники использовали как нашумевший ChatGPT от OpenAI, так и собственные языковые модели. Распространение моделей с открытым исходным кодом косвенно помогло мошенникам: они брали за основу чужой инструмент и дорабатывали код под свои задачи.
В существующие коммерческие ИИ вшиты ограничения, которые не дают им создавать вредоносный контент, однако злоумышленники научились обходить эти фильтры. А модели, которые мошенники разрабатывают самостоятельно, вообще не имеют этических ограничений. Их можно натренировать на содержимом хакерских форумов из даркнета.
Также злоумышленники начали использовать нейросети в техниках социальной инженерии. Например, для подделки голоса и для создания дипфейков в видеозвонках.
Подробнее о том, как киберпреступники используют языковые модели, можно узнать из публикации полицейской службы Европейского союза «Европол». В этом статье сосредоточимся на мерах безопасности.
Какие есть решения. Работа идет по двум основным направлениям: формированию международных этических норм и применению технологий искусственного интеллекта в информационной безопасности.
С одной стороны, крупные международные организации предлагают принять единый кодекс этичного использования ИИ, чтобы ограничить возможности киберпреступников. Например, ЮНЕСКО еще в 2021 году представила свой свод соответствующих рекомендаций. А в 2024-м Европарламент утвердил первый в мировой практике закон о регулировании искусственного интеллекта.
С другой стороны, сами разработчики решений по информационной безопасности задействуют ИИ в своих продуктах, например:

  • используют механизмы машинного обучения, чтобы выявлять нестандартные атаки;
  • применяют генеративный искусственный интеллект вроде больших языковых моделей, чтобы симулировать атаки, анализировать исходный код и выявлять признаки мошенничества.
Инструменты противодействия мошенникам на базе таких технологий активно развиваются и с каждым годом будут становиться всё быстрее и эффективнее.

Обучение сотрудников основам кибербезопасности​

Агентство ENISA, на которое мы уже ссылались ранее, составило рейтинг крупнейших угроз информационной безопасности. Нехватка навыков у сотрудников — на втором месте.
По данным компании BI.ZONE, 68% хакерских атак начинаются с электронных писем. В июле 2023 года на каждые 250 сообщений приходилось одно фишинговое. Ждать сокращения хакерских атак не приходится. А самым эффективным способом противодействия остается обучение персонала.
Отдельная проблема — нехватка навыков у работников сферы кибербезопасности. Исследовательская компания Gartner считает их переквалификацию и пересмотр существующих ролей одним из главных трендов 2024 года.
Какие есть решения. Основы информационной безопасности должны знать все сотрудники, которые работают с информацией в интернете. Важно обучать их принципам цифровой гигиены и регулярно проводить тренировочные атаки, чтобы определять уровень киберграмотности и дополнительно работать с теми, кто переходит по ложным ссылкам.
Так уже делают некоторые крупные компании. Например, «Сбер», «ВТБ» и «Газпромбанк» регулярно проводят киберучения — отправляют фишинговые письма, имитируют внутренние порталы и веб-приложения, которыми сотрудники пользуются каждый день. Это помогает команде развивать внимательность и критическое мышление, чтобы не поддаваться на уловки мошенников.
Помимо обучения сотрудников важно развивать культуру хранения данных. У каждого в компании должен быть доступ только к той информации, которая нужна ему для работы. Даже если мошенники обманут кого-то из сотрудников, они получат доступ только к небольшой части конфиденциальной информации, а не ко всей базе данных компании. С этой целью внедряют IdM- и DLP-системы.
IdM-системы разграничивают доступ к данным для разных сотрудников, автоматически применяя и поддерживая заранее настроенную ролевую модель доступа:


  • помещают учетные записи работников в группы, которые дают необходимый минимум сетевых доступов при подключении через корпоративный VPN;
  • дают менеджерам доступ только к части клиентской базы, с которой каждый из них работает.
Чтобы конфиденциальная информация не просочилась за пределы компании, можно настроить DLP-систему. Она поможет отслеживать перемещение данных и сообщит, если кто-то из сотрудников попытается переслать информацию или скопировать на внешний носитель.

Развитие экосистем​

Чтобы эффективно выстроить систему безопасности в компании, нужно применять разноплановые решения. При этом сложно сформировать систему защиты из программ разных производителей: нужно интегрировать их друг с другом, постоянно поддерживать и настраивать для противодействия актуальным угрозам, вовремя устанавливать обновления. Это отнимает много времени и требует от сотрудников службы безопасности высокой экспертности.
Какие есть решения. В последнее время набирают популярность экосистемы, которые объединяют несколько продуктов.

  • Каждая программа выполняет свои задачи, но при этом они обмениваются данными, дополняют и усиливают друг друга для комплексной защиты от кибератак.
  • Элементы экосистемы настраиваются так, чтобы сотрудники могли централизованно управлять защитой на всех уровнях, не переживая о совместимости программ.
  • На обслуживание экосистем требуется меньше трудозатрат, так как часть задач переносится на вендора.
Однако у экосистемных решений есть особенности, которые нужно учесть на старте. Например, риск vendor lock-in, т. е. привязки к поставщику. Выбирая экосистемное ПО, компания попадает в зависимость от ценовой политики вендора. При больших объемах внедрений это может стать нагрузкой для бюджета.
Экосистемы есть у крупных игроков отечественного рынка: «Лаборатории Касперского», Positive Technologies, BI.ZONE или Security Vision.

Непрерывный анализ уязвимостей и угроз​

В последние годы развиваются сервисы и технологии, которые, с одной стороны, ускоряют разработку, а с другой — открывают уязвимости, которыми пользуются мошенники. Технологический стек бизнес-сервисов, ПО и библиотеки с открытым исходным кодом значительно увеличивают поверхность атаки.
Какие есть решения. Для усиления безопасности следует делать перечисленное ниже.

  • Настроить процесс контроля периметра, то есть вести учет системных и сетевых (в том числе облачных) сервисов компании, которые доступны в интернете. Не публиковать новые сервисы в открытом доступе до тех пор, пока служба безопасности не примет меры по защите от кибератак — в соответствии с типом сервиса.
  • Организовать процессы управления уязвимостями и управления обновлениями в корпоративной инфраструктуре.
  • Использовать средства защиты, которые выявляют и блокируют попытки эксплуатации уязвимостей: антивирусные программы и межсетевые экраны (NGFW, WAF).
Особое внимание стоит уделять проверке подрядчиков и использованию продуктов с открытым исходным кодом. По данным компании Solar, в 2022 и 2023 годах атаки через контрагентов и эксплуатация уязвимостей были одними из самых популярных векторов проникновения в инфраструктуру компаний.
Обезопасить компанию от недобросовестного поведения подрядчиков поможет ограничение и контроль доступа к инфраструктуре, в том числе с применением средств управления привилегированным доступом, и реализация мер, аналогичных примененным к внешнему периметру. Подробнее об этом мы писали выше.
Контролировать использование продуктов с открытым исходным кодом сложнее: не все вендоры раскрывают, какие библиотеки они использовали при создании продукта. Еще сложнее отследить транзитивные зависимости, т. е. библиотеки, использованные для написания других библиотек. Чтобы уменьшить риски, следует выбирать продукты ответственных разработчиков, которые постоянно обновляют свои сервисы и вовремя устраняют уязвимости.
При разработке продуктов своими силами следует придерживаться подхода SSDLC — методики по обеспечению безопасности на каждом этапе разработки.

Тренды российского рынка​

Для российского рынка актуальны те же тенденции, что и для мирового. Но в нашей стране есть свои особенности, связанные с геополитической ситуацией и законами последних лет. Развивается импортозамещение, государство внедряет новые нормы контроля и готовит рекомендации по кибербезопасности, а крупные компании растят кадров самостоятельно и дотягивают персонал до нужного им уровня.

Импортозамещение​

Согласно Указу Президента Российской Федерации от 30.03.2022 № 166, с 1 января 2025 года субъекты критической инфраструктуры не смогут пользоваться иностранным ПО. То есть организации в сферах здравоохранения, связи, энергетики, промышленности должны будут полностью перейти на российский софт. Поэтому спрос на отечественные решения вырос уже сейчас и будет расти еще.
В 2024 году импортозамещение в сфере информационной безопасности должно вступить в завершающую фазу. Об этом на пресс-конференции «Руссофт» в Москве высказался Игорь Кириченко, исполнительный директор российской компании Naumen, которая разрабатывает ПО для государственных структур и бизнес-структур.

Государственное регулирование рынка​

Регуляторы на законодательном уровне усиливают контроль за соблюдением норм кибербезопасности. Например, Федеральная служба по техническому и экспортному контролю (ФСТЭК) создает централизованную базу данных, с помощью которой сможет лучше контролировать субъекты и объекты критической информационной инфраструктуры (КИИ). К ним относятся социально значимые учреждения и необходимые для их работы информационные системы.
Что планирует сделать ФСТЭК:

  • создать автоматизированную систему защиты информации для значимых объектов КИИ;
  • отслеживать, насколько хорошо защищена информация на этих объектах;
  • сообщать органам власти об угрозах безопасности и т. д.
Помимо этого в соответствии с Федеральным законом № 406-ФЗ от 31 июля 2023 года началось создание реестра надежных хостинг-провайдеров, соблюдающих требования безопасности по защите от кибератак. Подробнее об этом мы рассказывали в статье об изменениях в законодательстве для хостинг-провайдеров.

Решение проблемы дефицита кадров​

Спрос на отечественное ПО в области информационной безопасности постоянно растет — а значит, растет и спрос на разработчиков с высоким уровнем квалификации. Специалистам нужно на шаг опережать хакеров, быть быстрее и умнее их. Вот четыре ключевых направления, которые помогают развивать сферу IT в России:

  1. IT-компании борются за опытных программистов, повышая зарплаты и улучшая условия работы.
  2. Государство поддерживает IT-специалистов, предлагая им льготные кредиты, отсрочку от армии и другие преимущества.
  3. Вузы запускают совместные с крупными компаниями программы обучения в различных форматах. К ним относятся совместные лаборатории, базовые кафедры, регулярные семинары с профессорами-практиками от компаний, хакатоны, стипендиальные программы. Например, в «Лаборатории Касперского» есть программа стажировок для студентов, после которой они могут начать карьеру в компании до окончания вуза.
  4. Крупные компании обучают IT-специалистов самостоятельно. Например, с этой целью создали образовательные программы «Школа 21» от «Сбера» и «Т-Банк Финтех» от «Т-банка». Студенты обучаются бесплатно, но компаниям это выгодно: лучших выпускников они приглашают на работу.

Как повысить уровень кибербезопасности в компании​

  1. Минимизировать количество сетевых сервисов компании, доступных в интернете. Прежде чем опубликовать сервисы в свободном доступе, важно согласовать это со службой безопасности, принять защитные меры и организовать контроль периметра компании.
  2. Сегментировать корпоративную сеть и ограничивать избыточный сетевой доступ как для пользователей, так и между сегментами.
  3. Следовать принципу минимальных привилегий при выдаче сотрудникам доступов. Чтобы снизить риски нелегитимного использования привилегированных учетных записей, следует настроить управление привилегированным доступом, в том числе с использованием систем класса PAM и Privileged Access Management.
  4. Выстроить процесс управления уязвимостями и обновлениями в корпоративной инфраструктуре.
  5. Регулярно делать аудиты корпоративной инфраструктуры, чтобы проверить, выполняются ли требования кибербезопасности.
  6. Следить за настройкой прав доступа в облачных сервисах, если компания их использует.
  7. Регулярно освежать знания сотрудников об основах кибербезопасности.
  8. Настроить процесс выявления атак с помощью собственного или коммерческого центра мониторинга — SOC. Для этого нужно организовать сбор событий безопасности с компонентов корпоративной инфраструктуры. Примеры таких событий: подключения пользователей, манипуляции с их учетными записями и правами, доступ к критичным данным и выполнение критичных операций.