Предупреждение киберпреступлений в условиях цифровой трансформации

Полный текст

В настоящее время в условиях растущей цифровизации общества наблюдается ежегодное увеличение числа киберпреступлений (рис. 1), что требует симметричного ответа в виде разработки и внедрения новых подходов к их предотвращению. В 2024 г. количество киберпреступлений достигло своего пика – 765,4 тыс. Это на 13% больше, чем за этот же период 2023 г.¹¹⁴

Внедрение современных информационных технологий в производственный процесс предусматривает возможность максимально повысить эффективность и качество как самой производственной деятельности, так и выпускаемой продукции (услуг) [1]. Системы информационной безопасности должны включать подходы инновационного обнаружения новых сложных систем, которые способствуют развитию продвинутых технологий и решению новых угроз и задач [2].

Для минимизации числа киберпреступлений необходимо исследование цифровых технологий и правильное их применение организациями и предприятиями. Ввиду значимости исследуемой категории необходимо провести изучение критериев и индикаторов обеспечения финансовой безопасности Российской Федерации, что будет способствовать своевременному выявлению проблем в этой сфере [4].

Рис. 1. График роста числа киберпреступлений с 2008 по 2024 г.¹¹⁵

Цель применения цифровых технологий для обезвреживания киберпреступлений – защита физических и юридических лиц, а также государства от мошенников, утечки конфиденциальных данных, финансовых потерь, использования пиратского контента и т. п. В задачи входят также разработка правовых и технических мер противодействия таким правонарушениям и создание специальных подразделений для их расследования.

Рассмотрим пример применения информационных технологий для защиты данных и предотвращения кибератак на примере Государственной корпорации «Ростех» (далее – «Ростех»)¹¹⁶.

«Ростех» – это российская государственная корпорация, созданная в конце 2007 г. для помощи и содействия в разработке и производстве высокотехнологичной промышленной продукции, которая предназначена для гражданского и военного назначения¹¹⁷.

Компания «РТ-информационная безопасность», которая входит в корпорацию «Ростех», представила на форуме «Цифровая индустрия промышленной России» (ЦИПР) отечественную систему RT Protect EDR для обнаружения кибератак и противодействия им. Кроме того, в настоящее время активно ведет работу центр SOC (отдел компании, который занимается постоянным отслеживанием состояния IT-инфраструктуры и защитой от киберугроз). В нем используются современные практики и технологии, которые представлены на рис. 2.

Рис. 2. Технологии SOC Ростех¹¹⁸

Рассматривая технологии SOC Ростех, необходимо выделить следующие.

1. ELK-стек – это технологический стек на базе опенсорс-проектов Elasticsearch, Logstash и Kibana. Он позволяет быстро и безопасно извлекать данные в нужном формате из любых источников и работать с этой информацией, осуществляя поиск, анализ или визуализацию в режиме реального времени.

• Elasticsearch – хранилище для быстрого и эффективного поиска, а также анализа больших объемов данных. Оно сочетает в себе различные функции базы данных, поисковой и аналитической системы.
• Logstash – приложение для сбора информации из всех возможных источников, преобразования ее в удобный для работы формат. Logstash позволяет фильтровать, массировать и структурировать интересующие данные.
• Kibana – небольшое дополнение для Elasticsearch, которое отвечает за визуализацию данных, аналитику и представление итоговой информации в удобном для восприятия виде. Kibana позволяет быстро анализировать итоги поиска, выискивать закономерности и представлять, где именно в проекте находятся недоработанные и слабые места.

2. Интегрированное IRP-решение. Интегрированное IRP-решение в RT Protect SOC Государственной корпорации «Ростех» позволяет уменьшить время реагирования на инцидент до 5 минут.
3. Собственный Threat Intelligence-портал аналитики позволяет загружать файлы для анализа и интегрирован с VirusTotal – это онлайн-платформа, предназначенная для проверки файлов и веб-ресурсов на вирусы и другое вредоносное программное обеспечение. Портал предоставляет актуальную подробную информацию об угрозах по CVE, IP-адресам, хэшам, доменам, URL, правилам, техникам и тактикам, данным WHOIS и другим параметрам.

Рассмотрим также использование современных практик и технологий для обезвреживания киберпреступлений ПАО «Газпром» (рис. 3), российской энергетической компании, более 50% акций которой контролирует государство. Основные направления ее работы – геологоразведка, добыча, транспортировка, хранение, переработка и реализация газа, газового конденсата и нефти. Она занимается в том числе производством и сбытом электроэнергии.

Рис. 3. Технологии SOC Газпром¹¹⁹

1. Цифровые двойники – это виртуальные копии объектов, которые имеют физические характеристики и сопровождаются процессами внутри объекта. Главным процессом цифровых двойников является обеспечение кибербезопасности объекта и прогноз работы оригинала в различных условиях. Также цифровые двойники при обнаружении атаки помогают реальному объекту незамедлительно начать расследование.
2. Система резервного копирования и восстановления данных осуществляется на базе «Кибер Бэкап»¹²⁰. Российская база «Кибер Бэкап» специализируется на восстановлении и копировании данных от различных вирусов. Ее используют как ПАО «Газпром», так и большинство его дочерних компаний, например ООО «Газпром трансгаз Сургут».
3. Технологии искусственного интеллекта (ИИ) способствуют:

• обнаружению угроз, установлению возможных угроз;
• прогнозированию и предотвращению будущих атак на основе анализа произошедших вторжений;
• анализированию информации о пользователе и блокированию подозрительных действий.

Цифровая трансформация требует высококвалифицированных специалистов, способных работать с новыми технологиями, такими как искусственный интеллект, интернет вещей (IoT), робототехника и аналитика больших данных [5].

В результате анализа систем информационной безопасности, используемых в деятельности Госкорпорации «Ростех» и ПАО «Газпром», было выявлено, что у каждой крупной организации есть возможности и свои пути предотвращения кибератак. Данные технологии эффективно применяются на практике, при этом у них есть существенные отличия, эффективные для каждой организации в отдельности.

Несмотря на это, при обнаружении киберугрозы разные организации предпринимают шаблонные меры:

1) минимизация ущерба с помощью изоляции. Чтобы избежать заражения сети при обнаружении кибератаки, необходимо быстро ее изолировать;

2) своевременный анализ и Incident Response. Сотрудники должны своевременно проводить анализ угроз, устанавливать их источник и реагировать на инциденты;

3) принятие мер по устранению уязвимостей. Необходимо предпринимать меры по предотвращению повторного возникновения атак и угроз с помощью выявления уязвимостей в сетях;

4) быстрое восстановление систем и работоспособности данных в случае их повреждения;

5) полный анализ инцидента с выявлением причин угроз для составления шаблонного метода недопущения подобных инцидентов в будущем.

В соответствии с данным шаблоном описываются подробные инструкции и процедуры Play-book, которые необходимо предпринять при обнаружении информационных угроз.

Быстрое развитие технологий требует постоянного обновления знаний и навыков специалистов, а также адаптации существующих систем защиты к новым угрозам. Кроме того, необходимо учитывать аспекты правового регулирования и этические вопросы, связанные с использованием цифровых технологий.

В заключение можно признать, что меры предотвращения кибератак достаточно эффективны. У каждой организации они свои, и каждая компания применяет свои технологии. Однако у всех очень похожий алгоритм действий при появлении угрозы извне.

Об авторах

Марина Сергеевна Шавишева

Автор, ответственный за переписку.
Email: mshavisheva05@mail.ru

студент 3 курса

Список литературы

Дополнительные файлы