«Газпром-Медиа Холдинг», представители IT-компаний и государственных структур выступили с инициативой создания Центра компетенций по кибербезопасности в медиа. Необходимость в этом появилась после масштабной волны хакерских атак как на федеральные, так и на региональные российские СМИ. Эксперты говорят о том, что необходимо выработать специфические отраслевые меры противодействия угрозам и защищать массмедиа не менее тщательно, чем объекты критической инфраструктуры.

АГРЕССИВНАЯ КИБЕРСРЕДА

В России должен появиться Центр предупреждения и обнаружения кибератак на медиа, в котором будут объединены усилия органов государственной власти, надзорных служб, а также специализированных компаний. Такое мнение высказал на XXV Петербургском международном экономическом форуме (ПМЭФ) генеральный директор «Газпром-Медиа Холдинга» Александр Жаров.

ПОСЛЕ НАЧАЛА СПЕЦОПЕРАЦИИ РФ НА УКРАИНЕ ИНТЕРНЕТ-РЕСУРСЫ РОССИЙСКИХ СМИ ПОДВЕРГАЮТСЯ МАССИРОВАННЫМ ХАКЕРСКИМ АТАКАМ

Так, 28 февраля оказались взломанными сразу несколько сайтов крупнейших изданий – ТАСС, «Коммерсантъ», «Известия», РБК и другие.

А в мае DDoS-атакам подверглись 234 региональных сайта в 46 городах России, писали «Новые Известия».

Генеральный директор компании Positive Technologies Денис Баранов на ПМЭФ констатировал, что отечественные медиаресурсы попали в столь же агрессивную киберсреду, как банковская отрасль, и стали одной из ключевых целей хакеров. Атакующие достигали разных результатов: от подмены контента на медиаплощадках до попыток полностью обрушить инфраструктуру и работоспособность сервисов.

Денис Баранов, Positive Technologies:

– Это не удивительно: успешное нападение на медиа по степени резонанса и воздействия на аудиторию может быть сравнимо с реализацией недопустимого события уровня, скажем, остановки банковского процессинга или нарушения подачи электричества в мегаполисе.

НЕ БЫЛИ ГОТОВЫ

Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов рассказал RSpectr, что это были DDoS-атаки (на канал связи), которые делают ресурс СМИ недоступным для легальных пользователей. Также хакеры старались вывести сайты из строя с помощью веб-уязвимостей, использовав которые они размещали нелегитимный контент, например, на стартовой странице СМИ или в ленте новостей.

Основатель и генеральный директор компании Qrator Labs Александр Лямин сообщил RSpectr, что трендом последнего года стали DDoS-атаки уровня приложения (L7). Их специфика в том, что трафик максимально похож на легитимный – на активность обычных пользователей. По его словам, для выявления и фильтрации таких воздействий требуется большое количество ресурсов и вычислительных мощностей.

Александр Лямин, Qrator Labs:

– Кроме того, известны случаи применения спама – перегрузки редакции звонками с целью парализовать ее работу, так называемый телефонный DDoS. Сегодня с появлением искусственного интеллекта, умных голосовых помощников возможности злоумышленников для организации подобных атак намного возросли.

Руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин в разговоре с RSpectr описал также воздействие через рассылку электронных писем с вредоносным вложением (фишинг). Они позволяют злоумышленникам управлять зараженными устройствами.

А.Павлов отмечает, что

ГЛАВНЫЙ МОТИВ АТАК – ХАКТИВИЗМ С ЦЕЛЬЮ ПРИОСТАНОВИТЬ РАБОТУ САЙТА И ПОСЕЯТЬ ПАНИКУ

Другая задача злоумышленников – нанесение репутационного ущерба СМИ и сокращение российского инфопространства, указывает А.Кузьмин.

Первые массовые удары по массмедиа оказались успешными для хакеров, так как СМИ обычно не уделяли такое пристальное внимание собственной киберзащите, как банки или промышленность, объясняет А.Павлов. Это сделало их легкой добычей для хакеров.

А.Лямин также согласен, что не все СМИ встретили во всеоружии массовые нападения: у них не было подготовленной инфраструктуры и плана противодействия атакам.

КАК АТАКОВАЛИ RUTUBE

В мае двое суток не работал Rutube. Видеохостинг подвергся хакерской атаке на День Победы, после чего доступ к платформе был утерян.

На ПМЭФ генеральный директор Rutube Александр Моисеев, а также представители компаний Positive Technologies и «Лаборатория Касперского», принимавших участие в восстановлении ресурса и расследовании, пролили свет на подробности инцидента.

Как пояснил Александр Моисеев, Rutube – сложная гиперконвергентная сеть. Взломать ее сложно, единовременно удалить все – невозможно.

В офисе видеосервиса 9 мая собралась вся «кибергруппировка» – лучшие IТ-специалисты страны.

Александр Моисеев, Rutube:

– За 50 часов мы подняли сервис на 99 процентов. Важно понимать, что количество закладок, которые в дальнейшем могли привести к необратимым последствиям, было огромным, и мы их удалили. Мы находим новые пути развития недопустимых событий. На Rutube мы отлавливали уже вторую попытку проникновения, но так как уже предполагали такой вариант, то успешно ее отразили.

По словам Д.Баранова, хакерам удалось удалить большую часть виртуальной инфраструктуры и резервных копий видеосервиса. «Информация о том, что нападение произошло изнутри, – чушь. Мы первыми появились на месте происшествия. Это была именно внешняя целевая хакерская атака, нацеленная на нанесение максимального и долговременного урона сервису», – сообщил он.

Только оперативная совместная работа специалистов Rutube и представителей кибербезопасности позволила избежать катастрофических последствий.

Денис Баранов, Positive Technologies:

– Опыт отечественных СМИ, и Rutube в частности, сегодня отчетливо сигнализирует о том, что медиаотрасли необходимо пересмотреть свое отношение к кибербезопасности, а главное – выработать специфические отраслевые меры защиты, при которых реализация недопустимых событий (подмена контента, нарушение вещания и пр.) станет гарантированно невозможна.

Д.Баранов считает, что процессы внедрения практической киберзащиты, которые в других компаниях и странах растягиваются на годы, в России будут сильно форсированы и пройдут за месяцы, а страна в результате получит выкованные в бою решения для обнаружения хакерских атак.

ЧЕМ ЗАЙМЕТСЯ ЦЕНТР

Спикеры на ПМЭФ сошлись во мнении, что рост общего числа кибератак на отечественные медиаресурсы требует консолидации бизнеса и власти для масштабной совместной работы по защите российских СМИ.

ПРИОРИТЕТНЫМ НАПРАВЛЕНИЕМ ЯВЛЯЕТСЯ СОЗДАНИЕ ЦЕНТРА КОМПЕТЕНЦИИ ПО КИБЕРБЕЗОПАСНОСТИ

В его полномочия будет входить обеспечение информационной безопасности цифровых медиа.

Начальник управления президента РФ по развитию информационных технологий и инфраструктуры связи Татьяна Матвеева считает, что «сейчас создание специализированного центра было бы оправдано, так как здесь вскрывается много особенностей». По ее мнению, такая консолидированная история была бы полезна.

По словам А.Жарова, сейчас, перед лицом растущих угроз, кибербезопасность и защита информации – первостепенные задачи.

Александр Жаров, «Газпром-Медиа Холдинг»:

– Принципиально важно из позиции оборонительной переходить к проактивным действиям. Необходимо привлекать экспертов, а нынешняя информационная сфера такова, что нужен целый консорциум компаний, специализирующихся в различных аспектах информбезопасности.

Важно, чтобы создаваемый Центр получал данные об инцидентах от многих компаний, отмечает в разговоре с RSpectr А.Кузьмин. В таком случае он будет представлять собой агрегатор информации о компьютерных атаках и угрозах.

Антон Кузьмин, ГК Innostage:

– Помощь СМИ он сможет оказывать по нескольким направлениям. Например, своевременно предупреждать об атаках. Не менее важны данные об угрозах, которые центр сможет актуализировать и передавать СМИ. Среди других его возможностей – рекомендации и методики, которые позволят редакциям предотвратить или не допустить атаки, а также содействие в расследовании и ликвидации инцидентов.

По мнению А.Павлова, идея создания Центра компетенций по кибербезопасности в медиа звучит очень своевременно, но требует серьезных усилий. Вопрос только в том, как она будет в итоге реализована.

«Будет ли это отраслевой CERT, который просто собирает данные об атаках на СМИ? Такой вариант решает вопрос информирования об актуальных угрозах, но не построения надежной защиты», – говорит эксперт.

ЕСЛИ РЕЧЬ ИДЕТ ОБ ОТРАСЛЕВОМ ИБ-ОПЕРАТОРЕ, КОТОРЫЙ БУДЕТ ЗАНИМАТЬСЯ ЗАЩИТОЙ ПРЕДСТАВИТЕЛЕЙ ОТРАСЛИ, ЭТО МОГЛО БЫ РЕШИТЬ ПРОБЛЕМУ ДЕФИЦИТА КАДРОВ ИБ-РЫНКА, НО ВОЗНИКАЕТ ВОПРОС ВЫБОРА НАДЕЖНОГО ПОДРЯДЧИКА И СТОИМОСТИ УСЛУГИ

«В то же время принудительный аутсорсинг может как быстро повысить общую защищенность отрасли, так и размыть ответственность за инцидент между поставщиком услуг и заказчиком», – предупреждает А.Павлов.

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ РЕДАКЦИЯМ

А.Павлов в комментарии для RSpectr отмечает, что массовые атаки идут на спад, но уровень точечных взломов остается очень высоким.

Алексей Павлов, «РТК-Солар»:

– Сейчас стало очевидно, что уровень киберзащиты СМИ надо повышать. Ведь подобные атаки на основной канал информирования населения воспринимаются обществом крайне болезненно. А значит, защищать массмедиа нужно не менее тщательно, чем объекты критической инфраструктуры.

По мнению эксперта, определенные шаги для этого СМИ могут сделать уже сейчас. В первую очередь им необходимо организовать комплексную защиту каналов связи, чтобы исключить DDoS-атаки, и закрыть уязвимости веб-приложений, чтобы не допустить дефейса.

«Радует, что в последние месяцы количество обращений со стороны массмедиа за подобными ИБ-услугами значительно выросло», – говорит А.Павлов.

Для организации надежной защиты рекомендуется использовать специализированные сервисы противодействия DDoS-атакам и взломам, использующие поведенческий анализ трафика и математические модели для выявления и точной блокировки вредоносных источников трафика, уточняет А.Лямин.

По его словам, необходимо выбрать сервис, максимально отвечающий потребностям компании, составить план работы, реализовать его интеграцию в инфраструктуру. Этот комплекс мер поможет обеспечить нейтрализацию даже сложных и масштабных сетевых атак.

А.Кузьмин советуетначать с базовых задач – провести инвентаризацию сервисов на внешнем сетевом периметре: неиспользуемые и лишние лучше исключить или сократить. Далее нужно предпринять дополнительные меры для защиты сервисов, например, обеспечить двухфакторную аутентификацию и внедрить решения AntiDDoS.

ВАЖНО ТАКЖЕ ПРОИНФОРМИРОВАТЬ ПЕРСОНАЛ – РАССКАЗАТЬ О ФИШИНГОВЫХ ПИСЬМАХ И НЕСТАНДАРТНОМ ПОВЕДЕНИИ ИНФОРМАЦИОННЫХ СИСТЕМ

Чтобы обеспечить безопасность инфраструктуры, нужно настроить резервное копирование критичной информации.

Не менее важно инвентаризировать привилегированные учетные записи и заблокировать те из них, которые не используются и неактивны более 14 дней. Разблокировку проводить только в случае обращения пользователя.

Еще одна рекомендация эксперта – исключить возможность применения простых паролей.

Источник: Rspectr.com