После начала СВО ситуация в киберпространстве резко изменилась. Сейчас можно говорить о кибервойне против России, в которую вовлечено больше 250 тысяч атакующих.
Чаще всего это не профессиональные хакеры, а обычные люди. Но им в руки дают инструменты, не требующие никаких специальных знаний, а их действия очень хорошо координируются. Такие «кибердружины» преимущественно устраивают DDoS-атаки, направленные не на разрушение инфраструктуры, а на ее вывод из строя хотя бы на несколько часов. Весной преобладали атаки именно этого типа. В период их пиковой частоты ключом к успеху была не только работа ИБ по борьбе с деструктивными кибервоздействиями, но и качество ИТ, скорость восстановления после сбоев. И именно скорость восстановления ИТ стала определяющим фактором, который предотвратил в итоге заметный ущерб для российского бизнеса.
Сейчас же мы фиксируем все больше сложных целевых атак. Нападающие пытаются причинить ущерб самой инфраструктуре или же незаметно закрепиться в ней с целью как можно более длительного шпионажа. Хакеры пытаются получить внутреннюю информацию об объектах критической информационной инфраструктуры, их устройстве, сотрудниках. За этапом такой разведки может последовать более серьезная атака, целью которой будут уже реальные деструктивные воздействия.
Если говорить о сферах повышенного интереса хакеров, можно выделить три ключевых направления. Первое — это медиа. Нападающим важны не только реальные последствия атаки, но и визуальный эффект, заметность и широкое освещение инцидента. Кибервойна ведется не только в технологическом, но и в медийном, информационном поле.
Второй фокус внимания хакеров — системы государственного управления. Ожидаемо, нападающие очень прицельно работают по социально значимым структурам. И третий фокус — критическая информационная инфраструктура, которая по понятным причинам является лакомым куском для атакующих.
Всё это приводит к выводу, что киберпротивостояние будет продолжаться. Атаки становятся более сложными, продуманными и изощренными, а цели — более серьезными. Поэтому, хотя российские компании и органы госвласти отразили первые волны атак и выстояли, расслабляться рано: сейчас необходимо проанализировать спектр новых угроз и перевести безопасность в круглосуточный и оперативный режим функционирования.
Текущая ситуация в киберпространстве также показала, что компаниям нужен новый подход к кибербезопасности. Он подразумевает системное взаимодействие между ИТ и ИБ, выстраивание защиты на базе единого проектного офиса, который сформирует карту ключевых бизнес-рисков, единую стратегию развития, этапы проверки ее эффективности, пересмотра и актуализации. Это предполагает централизацию и вертикализацию ответственности за информационную безопасность. В вопросе обеспечения киберустойчивости, как и во всех прочих бизнес-задачах, должна существовать единая точка ответственности.