Этим летом «Аэрофлот» стал жертвой сокрушительной кибератаки. Последствия оказались катастрофическими: почти половина рейсов отменена, планы более 20 тыс. человек пошли прахом, а финансовые потери, по скромным оценкам, перевалили за $50 млн. Котировки акций компании рухнули, а хакеры не только стерли тысячи серверов, но и унесли с собой около 20 терабайт данных. Самое поразительное в этой истории то, что на обеспечение цифровой безопасности компания только за 2024 год потратила почти миллиард рублей.
Прошло достаточно времени, но детального разбора причин кибератаки мы так и не увидели. Можно сколько угодно гадать о слабых паролях или дырах в старом софте, но опыт подсказывает, что корень проблемы лежит гораздо глубже. Получается, даже колоссальный бюджет, выделенный на информационную безопасность (ИБ), не дает никаких реальных гарантий. Подобные инциденты ставят ребром неудобный вопрос, который не дает покоя IT-директорам: как получается, что, несмотря на все вложения и усилия, IT-инфраструктура все равно пробиваема? Где кроется ошибка? И только ли в хакерах дело?
В какую ловушку попадают специалисты по информационной безопасности
Парадокс: покупка навороченных и дорогих систем защиты не делает компанию по-настоящему неуязвимой. Эти блестящие решения прекрасно показывают себя в лабораторных тестах, но пасуют перед хаосом реальной корпоративной сети. Наша практика показывает, что причина провалов кроется в фундаментальном непонимании – что нужно проверять защитные системы под давлением реальных нагрузок и уникального трафика, который есть у каждой компании.
«Аэрофлот» в этой проблеме не одинок. Вспомним недавние атаки на аптечную сеть «Столички» или магазины «ВинЛаб», где злоумышленники шифровали данные и требовали выкуп. Можно не сомневаться, что эти компании тоже серьезно относились к своей кибербезопасности, но это их не уберегло.
Вера в технологическую «серебряную пулю» порождает не только техническую уязвимость, но и психологическую. Команда безопасности, уверенная в своем непробиваемом периметре, может ослабить бдительность. Снижается фокус на рутинных, но критически важных задачах: обучении сотрудников, отработке планов реагирования на инциденты, регулярном аудите. Защита превращается из живого процесса в статичный памятник вложенным средствам, который хакеры с удовольствием обходят.
Проблема не в нехватке денег, а в опасной иллюзии. Руководители, установив дорогостоящее оборудование, почему-то начинают верить, что они построили неприступную крепость и теперь им ни один хакер не страшен.
Жизнь доказывает обратное. В своей работе мы постоянно видим одну и ту же критическую ошибку: защитное оборудование выбирают, ориентируясь на красивые цифры в рекламных брошюрах поставщика. Но эти показатели, как правило, отражают работу системы в «идеальных» условиях, созданных для маркетинга, а не для уникального сетевого трафика.
Как тестировать системы информационной безопасности
В мире тотальной виртуализации у каждой компании свои пользовательские нагрузки. Сетевой трафик – это уже давно не просто почта и видеозвонки по стандартным протоколам. Почти весь трафик зашифрован, и чтобы системы безопасности могли выполнять свою работу, им нужно этот поток «вскрывать» и анализировать в режиме реального времени.
Эта расшифровка «на лету» – колоссальная нагрузка для любого железа. И если оборудование не тестировалось на способность справляться с давлением без просадки производительности, оно неизбежно становится самым слабым звеном в обороне. В итоге компания получает:
- Либо систему, которая пропускает атаки, потому что ей не хватает мощности.
- Либо такое торможение рабочих процессов, что сотрудники сами ищут пути, как обойти эту систему защиты.
Когда ключевые бизнес-приложения начинают «тормозить» из-за проверок, сотрудники неизбежно ищут обходные пути. Они начинают использовать личные устройства или несанкционированные облачные сервисы («теневые IT»), требуя для них исключений в политиках безопасности. В результате, они собственными руками пробивают бреши в той самой обороне, за которую компания заплатила целое состояние.
Выводы
Есть только один способ понять, выдержит ли ваша кибер-оборона реальный бой, – провести настоящие стресс-тесты. Без этого вы действуете вслепую. Такой подход превращает безопасность из единовременной покупки в непрерывный процесс проверки и адаптации IT-инфраструктуры. Обычно для таких проверок используют специализированные решения. Такие инструменты позволяют не просто проверить, работает ли система в принципе, но и посмотреть, как она себя поведет под шквалом реальной нагрузки, эмулируя тысячи различных видов кибератак. Только так можно от иллюзии безопасности перейти к реальной, подтвержденной защищенности.
Фото в анонсе: freepik.com
Также читайте:
А я не поняла, это вопрос только про нагрузочное тестирование? При хакерских атаках с точки зрения нагрузки это кратное превышение обычных параметров работы. Тут скорее получается речь идет о реакции системы, когда она не справляется с нагрузкой, в разы превышающей расчетную допустимую. Правильно ли я понимаю что сейчас у систем предприятия есть 2 варианта реакций на превышение нагрузки: 1. "Убиться" и погубить все данные и инфраструктуру предприятия; 2. "Открыться" и предоставить доступ атакующему ко всем данным и всей системе предприятия.
Если я правильно все понимаю, то выбор системы кибербезопасности лежит в плоскости реакции на ЧП - "убиться" или "открыться", где для предприятия видится меньшее зло?
Насколько я понимаю, все системы безопасности строятся в ответ на действия жуликов, взломщиков и так далее.
Сначала жулики придумывают схемы, потом безопасники разрабатывают «ответку» в виде новых мер, потом жулики придумывают новые схемы.
Это видно и в борьбе со схемами по выманиванию кодов у граждан и похищении у них денег.
Поэтому я за жесткие меры в виде запрета на онлайн-кредиты, онлайн-продажи квартир и тому подобное.
Что касается расхлябанности в службах ИТ-безопасности, то, наверное, там уже есть службы внутренней безопасности от расхлябанности служб ИТ-безопасности.
Думаю, что без соответствующих организационных мер тут не обойдешься.
Хотя, возможно, фирмы считают, что дешевле иногда терять деньги, чем тратиться на сверхбезопасность.
Стресс-тесты тоже делают люди, причем за гораздо меньшие деньги.
Так что не панацея.
Не факт, что система не тестировалась, как пишет автор. Судя по тексту, автор выдвигает свою гипотезу, основываясь ни на чем.
По сути Николай Зыляев прав! Сейчас рынок предлагает огромное количество технических средств безопасности информации. Вроде бы заплатил и спи спокойно.
Если на фирме нормально относятся к этой стороне жизни, что встречается довольно редко, если они провели здравое категорирование, если отлажены процессы, проанализированы угрозы внутренние и внешние, обеспечены варианты действий при угрозах, то очень важно понять, какую нагрузку может выдержать система в пессимистическом сценарии.
Я вот скажу, что только в одном месте я видел прекрасно работающую систему ОБИ - в одном из банков. Это было настолько красиво, что система ОБИ не доставляла работникам никаких препятствий. Мы сами выбирали варианты использования ресурсов и это было здорово. СИБ анализировали наши запросы и формировали контур безопасности. И работало там всего три человека!
Периодически они проводили учения по выполению мероприятий ОБИ, заранее предупреждали, работу не остнаваливали. А потом собирали наши замечания по работе сервисов.
Ну не убиться, но закрыть систему полностью и ждать,что злоумышленники успокоятся )) Так обычно. В хороших компаниях действия сложнее, например, временное отсечение критических узлов. Странно, что в Аэрофлоте этого не сделали, я знал коллег оттуда, они прекрасные спецы. Что-то там с человеческим фактором, наверное, связано.
Пусть на меня аптеки не обижаются, скоре всего я неправ, но в медицинских учреждениях относятся к таким вопросам второстепенно. Автоматизировал какое-то время назад один из фед центров.
Случаев "открыться" не знаю, не очень понимаю, что вы имеете в виду.
Вечная тема:
Извечный спор Снаряда и Брони
Решается с успехом переменным…
Пусть толщины неимоверной стены,
Но щёлки есть. Найди и загляни!