Эксперт Михеев: на каждую зафиксированную кибератаку приходится множество незамеченных, но и измеряются они всеми по-разному
Изображение: recraft
Технический директор компании «АйТи Бастион» Дмитрий Михеев прокомментировал для CISOCLUB данные о масштабах кибератак в России. По его мнению, выявленный ранее экспертами разрыв между официальной статистикой и реальным числом атак объясняется не только нежеланием пострадавших компаний раскрывать инциденты, но и отсутствием единых подходов к определению самого понятия «атака».
«Во многом это вопрос самого определения термина “атака”. Любой публичный сервис в интернете постоянно находится “под боем”, так как ежесекундно фиксируются попытки найти уязвимости. Эту активность уже по определению можно считать атакой, хотя на практике далеко не все воспринимают её именно так. А то, что именно в итоге учитывается как “атака хакеров”, во многом зависит от методологии и подхода тех, кто формирует статистику», — объяснил Дмитрий Михеев.
Он добавил, что внутри компаний далеко не каждый технический сбой фиксируется как инцидент. Если проблема не вызывает серьёзных последствий, её, как правило, не выносят за пределы организации. При этом публикация даже формального сообщения требует ресурсов — и компании нередко отказываются от этой нагрузки.
«Обычно стандартные фоновые проблемы, не приводящие к значимым нарушениям работы сервисов, никто за пределы компании не выносит. Да и внутри периметра далеко не каждая обнаруженная проблема приводит к объявлению “инцидента”. О ситуациях уровня “ЧП”, как правило, так или иначе оповещают. Но если делать оповещение корректно, это процесс совсем не бесплатный», — отметил он.
Дмитрий Михеев уверен, что для бизнеса раскрытие информации о кибератаках зачастую попросту невыгодно. Исключение составляют случаи, связанные с исполнением требований регуляторов или действительно крупными сбоями.
«Если можно не раскрывать — раскрывать не будут. Говорят обычно о действительно серьёзных проблемах или о ситуациях, связанных с исполнением требований регуляторов. Достаточно часто это одни и те же проблемы. Иногда серьёзные инциденты связаны с тем или иным уровнем внутренних нарушений. Гордиться в таких ситуациях особо нечем, поэтому логично, что мотивации к их публичному раскрытию нет», — пояснил эксперт.
По его словам, под атаки попадают любые сервисы, если их можно монетизировать — напрямую или косвенно. СМИ, как правило, акцентируются на утечках персональных данных или банковских инцидентах, в то время как атаки на КИИ, подрядчиков, логистов и каналы связи остаются в тени, несмотря на более серьёзные последствия.
«Если посмотреть на публикации в СМИ, создаётся ощущение, что самые страшные проблемы — это утечки персональных данных, банковское мошенничество и незащищённые от информационных угроз дети. При этом в статистике регулярно всплывают сведения об атаках на КИИ, инфраструктуру ИТ-подрядчиков, логистику, коммуникационные сервисы. Про последствия — отключение передачи данных, блокировки сервисов или нарушение связности — почти не пишут», — добавил Дмитрий Михеев.
По его мнению, решить проблему можно только при условии прозрачной методологии и осознания, что у разных участников рынка — разная картина угроз. Вендор, регулятор, крупный бизнес и МСБ сталкиваются с принципиально разными рисками и оценивают инциденты по-разному.
«Существующая картина вполне реальная — просто в каких-то аспектах она неточная. Картина киберугроз для вендора СЗИ и для компании сегмента МСБ будут разными. Учитывая, сколько интересов сходится на этом рынке, скорее имеет смысл регулярно строить разные частные картины. И важно, чтобы у этой работы был хоть какой-то научный подход, с чёткой методологией в основе», — резюмировал Дмитрий Михеев.
