Экспертное заключение подготовлено по итогам сессии ВЭФ-2024 «Цифровая безопасность и ответственность бизнеса».
Эволюция киберугроз
В первом полугодии 2024 года количество утечек данных в России увеличилось на 10,1% относительно аналогичного периода 2023 года: 1 миллиард единиц персональных данных, или 986 миллионов записей, оказался в распоряжении третьих лиц. По данным экспертно-аналитического центра InfoWatch, в первом полугодии 2024 года более 99% утечек в России носили умышленный характер, что на 1% выше, чем в том же периоде 2023 года [1]. До 2022 года более 70% нарушений имели внутренний источник, но за последние несколько лет данный показатель значительно снизился. Как отметила Марина Мишункина, первый заместитель генерального директора АО «Аргументы и факты», в настоящее время всего 10% утечек происходят по вине сотрудников, тогда как доля утечек в результате кибератак стала превышать 80%. [2].
Среди отраслей экономики в России в первом полугодии 2024 года наиболее уязвимой оказалась торговля (около 30% инцидентов), в частности интернет-магазины, которые являются привлекательной целью для мошенников в связи с отсутствием сопоставимого с банковским сектором уровня защиты, например, шифрования данных, многофакторной аутентификации и систем обнаружения вторжений. При этом более всего подвержены атакам индивидуальные предприниматели и небольшие компании, доля которых в общей численности пострадавших предприятий составила более 50% за тот же период, что объясняется недостатком финансовых и кадровых ресурсов для противостояния киберугрозам.
Развитие новых технологий, в частности искусственного интеллекта, повлекло за собой серьезную проблему для безопасности информационных систем, такую как автоматизация процессов поиска уязвимостей объектов критической информационной инфраструктуры, анализа информации и создания текстов, что делает атаки с использованием ИИ-решений более целенаправленными и масштабируемыми. Согласно данным исследования компании SlashNext, специализирующейся на кибербезопасности, использование чат-ботов с большими языковыми моделями кардинально повлияло на ландшафт угроз. Появление ChatGPT в конце 2022 года способствовало стремительному росту количества фишинговых атак, которое увеличилось на 4151% к началу 2024 года. [3]. По оценкам Positive Technologies, российского разработчика продуктов в сфере кибербезопасности, практически 50% успешных атак на компании были реализованы с использованием социальной инженерии. [4]. Помимо больших языковых моделей, искусственный интеллект активно применяется преступниками для генерации дипфейков. По словам заместителя председателя правления Сбербанка Станислава Кузнецова, с января по сентябрь 2024 года число правонарушений, в которых задействована технология «deepfake», увеличилось в 30 раз. [5].
Всё вышеперечисленное свидетельствует о стремительных темпах усиления вредоносных воздействий в сфере цифровой безопасности, в том числе за счёт технологического прогресса в области искусственного интеллекта, и необходимости быстрого реагирования на данные изменения со стороны государства, бизнеса и других акторов экономики.
Роль государства в обеспечении цифровой безопасности
Одним из способов противодействия утечкам данных является формирование четкой государственной политики в сфере кибербезопасности, включающей разработку нормативных правовых норм и национальных программ, направленных на защиту данных и инфраструктуры.
Государство проводит инициативы как со стороны развития методов защиты персональных данных, так и методов предотвращения киберпреступлений.
В 2021 году было создано специализированное подразделение по надзору за исполнением законов в сфере информационных технологий и защиты информации, в рамках деятельности которого было устранено почти 155 тысяч нарушений в сфере цифровых технологий и защиты информации и закрыт доступ почти к 40 тысячам фишинговых ресурсов, как сообщает заместитель начальника следственного департамента Министерства внутренних дел Российской Федерации Данил Филиппов.
Использование платформы ФинЦЕРТ, созданной МВД и Центральным банком в сотрудничестве, для вычисления преступников, незаконно использующих банковские карты третьих лиц, стало обязательным с июля 2024 года в соответствии с Федеральным законом от 24.07.2023 № 369-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе». [6].
Также государственные органы занимаются разработкой мер обеспечения финансовой ответственности компаний за безопасность данных. До конца 2024 года планируется принять законопроект, вводящий оборотные штрафы за утечку персональных данных. В настоящее время уточняются денежные характеристики и основные определения. Кроме того, Правительством Российской Федерации была поддержана инициатива Министерства цифрового развития, связи и массовых коммуникаций РФ о необходимости наличия у компаний финансового резерва для компенсации морального ущерба в случае утечки персональных данных. При этом предлагается применять пониженные оборотные штрафы к компаниям, осуществившим выплаты пострадавшей стороне.
Данные меры необходимы для создания надежной системы защиты информации и обеспечения безопасности граждан и бизнеса в условиях быстро меняющегося цифрового ландшафта и подчеркивают важность государственного контроля в этой области.
Политика в области повышения осведомленности о киберугрозах
Обучение сотрудников методам обеспечения кибербезопасности — ключевой элемент защиты бизнеса от киберугроз. Регулярные тренинги по распознаванию подозрительных электронных писем, сообщений и звонков помогают повысить осведомленность о современных угрозах, таких как фишинг и социальная инженерия. Например, «Лаборатория Касперского» реализует проект, направленный на повышение осведомленности о кибербезопасности среди сотрудников через игровые тренинги и имитации атак. Программа обучения адаптирована для разных уровней, помогает формировать устойчивые привычки и выявляет проблемные области в культуре кибербезопасности компании. Крайне важно регулярно обновлять данные тренинги, так как методы злоумышленников постоянно эволюционируют.
Другим способом повышения общей устойчивости общества к киберугрозам может стать взаимодействие медиа, государства и бизнеса. По сообщениям «Коммерсанта», Минцифры разрабатывает платформу для борьбы с киберугрозами «ТелекомЦерт», которая будет объединять усилия государства, банков, бизнеса, операторов связи, владельцев соцсетей и разработчиков мобильных приложений по обмену информацией о киберинцидентах и мошеннических действиях. Запуск проекта запланирован на конец 2026 года. [7].
Регулярное информирование о текущих киберугрозах и методах защиты не только защищает организацию от атак, но и способствует формированию более безопасного цифрового пространства в целом. Вложение в образование и осведомленность окупается снижением рисков и повышением устойчивости к угрозам.
Инновационные решения в сфере защиты данных
Для обеспечения информационной безопасности российским компаниям необходимо не только разрабатывать новые IT-решения для защиты от современных угроз, но и активно заниматься импортозамещением иностранного ПО из-за ухода зарубежных компаний и изменений в законодательстве. По оценке Минцифры РФ, объекты критической информационной инфраструктуры (КИИ) качественно подготовились к импортозамещению средств защиты информации (СЗИ), достигнув формальных показателей замещения около 100%, по классам файерволов и резервного копирования — 75-80%, базам данных и операционным системам — около 50%. В соответствии с указом президента, с 1 января 2025 года органам государственной власти будет запрещено использовать иностранное ПО на объектах КИИ. [8].
Российскими компаниями и научными коллективами активно разрабатываются разнообразные решения по защите информационных систем. Примеры успешных разработок, такие как центр сертификации от компании SafeTech, позволяющий осуществить бесшовный переход с Microsoft CA, и модель классификации сайтов для обнаружения фишинговых ресурсов от Московского технического университета связи и информатики, демонстрируют потенциал отечественных технологий. [9]. Но для достижения полной безопасности и устойчивости цифровой среды требуется дальнейшая работа и сотрудничество между государством и бизнесом.
Вызовы в сфере цифровой безопасности на ближайшие годы
Как подчеркнул Сергей Беляков, президент Национальной ассоциации негосударственных пенсионных фондов, киберпреступники будут продолжать развивать новые методы и технологии для атак, что является вызовом для компаний, которым необходимо соответствовать злоумышленникам в способах выявления и предупреждения инцидентов. В связи с этим, бизнес будет нуждаться в значительных финансовых и кадровых ресурсах. Важно отметить, что в 2024 году российский бизнес ощутил острый дефицит специалистов в сфере информационной безопасности. По данным исследования фонда «Центр стратегических разработок «Северо—Запад» и компании Positive Technologies, несмотря на рост числа специалистов в данной области, в 2027 году нехватка кадров будет продолжаться. Это будет вызвано увеличением количества и разнообразия киберугроз и повышением сложности атак в будущем, что потребует усиления разделения труда в секторе и появления специалистов узкого профиля. [10].
Одним из потенциальных вызовов для сферы кибербезопасности в ближайшие годы могут стать квантовые технологии. Злоумышленники, владеющие квантовыми компьютерами, будут иметь возможность взломать шифрование за счёт алгоритмов по факторизации чисел. По мнению представителей Cloud Security Alliance, некоммерческой организации по обеспечению безопасности в облачных вычислениях, к 2030 году квантовый компьютер сможет расшифровать современные системы защиты данных. При этом угроза потери конфиденциальной информации из-за квантовых компьютеров существует уже сейчас, так как преступники могут сохранить зашифрованные данные до момента появления доступа к необходимому оборудованию и осуществить взлом позднее. По этой причине наступает острая необходимость в развитии методов постквантовой криптографии в наиближайшей перспективе, до внедрения квантовых компьютеров. В настоящее время в России проводятся пилотные проекты по реализации постквантового шифрования структурным подразделением «Российского квантового центра». [11].
В ближайшие пять лет можно ожидать, что законодательное регулирование и стандарты в области кибербезопасности будут значительно отставать от стремительного развития технологий. С учетом того, что киберугрозы становятся все более сложными, организации нуждаются в четких правилах, чтобы защитить свои данные и минимизировать риски. Отсутствие качественного регулирования может привести не только к утечкам данных и финансовым потерям, но и репутационному ущербу для компаний.
Однако в условиях, когда государственные органы активно отвечают на возникающие угрозы, компании могут столкнуться с увеличением финансовых и административных затрат на соблюдение новых нормативных правовых норм, которые могут включать расходы на обучение персонала и внедрение новых технологий. Для малых и средних предприятий такие требования могут стать непреодолимым бременем, что негативно скажется на их конкурентоспособности.
В этом контексте важно найти баланс между необходимостью жесткого регулирования и возможностью компаний адаптироваться к новым условиям. Установление гибких, но действенных стандартов может помочь обеспечить кибербезопасность без чрезмерного давления на компании. Сотрудничество между государством и бизнесом станет ключевым элементом в разработке адекватных мер, способствующих безопасному развитию технологий.
Рекомендации для органов государственной и муниципальной власти по тематике сессии
1. Разработать систему поощрения в виде налоговых льгот или финансовой поддержки для компаний-лидеров в разработке решений в области кибербезопасности и внедрении современных требований в корпоративные системы безопасности.
2. Установить механизмы взаимодействия между государственными структурами и бизнесом для обмена информацией о киберугрозах и лучшими практиками защиты и разработки эффективных мер в области защиты персональных данных с учетом интересов компаний.
3. Разработать информационные кампании для повышения осведомленности населения, в особенности старшего поколения, о киберугрозах и методах защиты, используя социальные сети и другие доступные каналы.
Список источников.
1. В России в первом полугодии утекло почти 1 млрд персональных данных
//
https://www.infowatch.ru/company/presscenter/news/v-rossii-v-pervom-polugodii-uteklo-pochti-odin-mil..., 05.09.2024.
2. Россия: утечки информации ограниченного доступа, 2022-2023 годы //
https://www.infowatch.ru/sites/default/files/analytics/files/utechki-informatsii-ogranichennogo-dost..., 11.03.2024.
3. The State of Phishing 2024 Mid-Year Assessment //
https://slashnext.com/wp-content/uploads/2024/05/SlashNext-The-State-of-Phishing-24-Midyear-Report.p..., 22.05.2024/
4. Актуальные киберугрозы для организаций: итоги 2023 года //
https://www.ptsecurity.com/ru-ru/research/analytics/aktualnye-kiberugrozy-dlya-organizacij-itogi-202..., 22.04.2024.
5. В Сбере заявили о росте в 30 раз числа преступлений с использованием дипфейков //
https://www.gazeta.ru/business/news/2024/09/15/23927527.shtml?updated, 15.09.2024.
6. Федеральный закон от 24.07.2023 г. № 369-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе»
http://publication.pravo.gov.ru/document/0001202307240049, 24.07.2023.
7. На платформу становись. Минцифры поднимает отрасли на борьбу с киберугрозами //
https://www.kommersant.ru/doc/6905615, 21.08.2024.
8. Минцифры оценило импортозамещение средств защиты информации на объектах КИИ //
https://tass.ru/ekonomika/21904761, 19.09.2024.
9. В МТУСИ предложили метод машинного обучения для обнаружение фишингового сайта //
https://mtuci.ru/about_the_university/news/11379/, 19.09.2024.
10. Рынок труда в информационной безопасности в России в 2024–2027 гг.: прогнозы, проблемы и перспективы //
https://www.ptsecurity.com/ru-ru/research/analytics/rynok-truda-v-informaczionnoj-bezopasnosti-v-ros..., 06.06.2024.
11. НСПК и QApp реализовали пилот по защите данных на основе постквантовых алгоритмов шифрования //
https://www.cnews.ru/news/line/2023-11-10_nspk_i_qapp_realizovali_pilot, 10.11.2023.
Экспертные аналитические заключения по итогам сессий деловой программы Форума и любые рекомендации, предоставленные экспертами и опубликованные на сайте Фонда Росконгресс являются выражением мнения данных специалистов, основанном, среди прочего, на толковании ими действующего законодательства, по поводу которого дается заключение. Указанная точка зрения может не совпадать с точкой зрения руководства и/или специалистов Фонда Росконгресс, представителей налоговых, судебных, иных контролирующих органов, а равно и с мнением третьих лиц, включая иных специалистов. Фонд Росконгресс не несет ответственности за недостоверность публикуемых данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
