Кибератаки нового типа: бизнес разрушает не вредоносное ПО, а паника

Руководителю или собственнику оставалось решить, сколько денег и времени он готов потерять. 

Но сегодня речь все чаще идёт о так называемых «панических» атаках — операциях, в которых технический ущерб вторичен по отношению к управленческому и организационному. Злоумышленники больше не рассчитывают на то, что компания будет с ними торговаться о выкупе. 

Им важнее запустить цепочку решений, принятых «на эмоциях», и даже внутренних конфликтов, которые нанесут бизнесу максимальный урон. Иначе говоря, раньше атаковали систему, а теперь чаще атакуют людей, которые этой системой управляют. 

Рассказывает Анатолий Волков, эксперт в области информационной безопасности, основатель компании Soltecs.

Почему старая модель вымогательства уходит на второй план

Классическая модель кибератаки многие десятилетия строилась на шантаже. Злоумышленники проникали в сеть, шифровали серверы или копировали чувствительные данные, после чего выходили на связь и предлагали «решить проблему» за определённую сумму. Эта схема так или иначе работала, потому что у обеих сторон был общий интерес: хакерам нужны были деньги, бизнесу — возвращение контроля и минимизация простоя и ущерба.

При этом точка входа злоумышленников почти не менялась. Несмотря на рост бюджетов на информационную безопасность (ИБ), усложнение технологий и появление новых средств защиты, основной вектор атак по-прежнему связан с человеческим фактором. Письмо от «партнёра», ссылка «от службы доставки», имейл с вложенным файлом «договора» — социальная инженерия остаётся самым дешёвым и эффективным способом проникновения внутрь IT-среды компании. История старая, как сам интернет.

Мотивация изменилась

Сегодня атаки всё чаще финансируются заранее и не зависят от того, заплатит ли компания, являющаяся её объектом. В таких сценариях этап переговоров не предусмотрен как таковой. 

Данные могут быть уничтожены, резервные копии — стёрты, инфраструктура — выведена из строя без возможности восстановления. Письмо с требованием выкупа может и появиться, но оно теперь играет роль скорее психологического триггера, чем реального предложения. Даже если компания готова заплатить, это уже ничего не меняет.


@Freepik (лицензия INV-C-2024-8250540)

«Паническая» атака на практике

Ключевое отличие современных атак — скорость и комплексность. Технические инструменты могут быть вполне стандартными: фишинг, компрометация учётных записей, вредоносное ПО, атаки через подрядчиков (Chain of Supply Attacks). Но используются они иначе. Атака развивается не линейно, а скачкообразно, часто с применением автоматизированных сценариев и ИИ-инструментов, которые позволяют одновременно атаковать несколько сегментов инфраструктуры.

В результате компания очень быстро оказывается в ситуации неопределённости. Что именно сломано? Насколько глубоко проникновение? Что конкретно в ИТ-инфраструктуре остаётся уязвимым на данный момент? Доступны ли резервные копии? Можно ли включить серверы и попытаться восстановить работу предприятия, или это только усугубит ситуацию? Ответов обычно нет, а время идёт.

Именно здесь начинается главное — паника.

Руководство сталкивается не столько с ИТ-инцидентом, сколько с кризисом управления. Нарушаются привычные каналы коммуникации, не работают ключевые сервисы, сотрудники не понимают, что происходит и чего от них ждут. В такой обстановке даже опытные управленцы начинают принимать решения, которых никогда бы не приняли в спокойной ситуации.

Что оказывается наиболее уязвимо в бизнесе чаще всего 

Парадокс в том, что уязвимости в большинстве компаний хорошо известны и почти всегда стандартны. Это рабочие станции сотрудников, корпоративная почта, удалённые рабочие столы, сетевое оборудование, ИТ-сервисы, выставленные в интернет «на всякий случай». 

Отдельная проблема — резервное копирование, которое формально существует, но либо бэкапы не проверяются, либо хранятся «рядом» (внутри той же инфраструктуры) и в результате уничтожаются вместе с основными данными. 


@Freepik (лицензия INV-C-2024-8250540)

Особого внимания заслуживает ещё один контур — подрядчики и поставщики. Мы наблюдаем, что всё чаще атакуют не саму компанию, а её доверенное окружение: интеграторов, аутсорсеров, службы поддержки и так далее, которым выданы расширенные права доступа. 

Через одного такого подрядчика злоумышленники могут получить легальный вход сразу в десятки корпоративных сетей, минуя сложные и современные системы защиты. Для бизнеса это особенно опасно, потому что такая атака выглядит как «внутренняя активность»: логины правильные, доступы разрешённые, действия формально легитимные.

Когда всё идёт не так

На практике «паническая» атака редко начинается как катастрофа. Чаще это мелкий сбой: не открывается файл, странно ведёт себя сервер, тормозит сайт, такие сигналы легко проигнорировать или списать на технические проблемы. Но затем события начинают развиваться лавинообразно. Перестаёт работать часть сервисов, исчезает доступ к данным, появляются сообщения о шифровании или просто «пустые» документы или отчёты.

Ключевой момент — осознание того, что ситуация выходит из-под контроля. Именно здесь большинство компаний допускают фатальные ошибки. Фокус смещается с восстановления работоспособности на поиск виноватых, начинаются экстренные совещания, давление на ИТ-специалистов, попытки «быстро что-нибудь сделать», не выяснив реального масштаба проблемы.

В условиях стресса руководство часто мешает тем, кто должен устранять последствия атаки. Принимаются решения об отключении или включении систем без согласованного плана, теряется время, усугубляется ущерб. В некоторых случаях мы наблюдали, как руководство компании само ускоряет разрушение собственной ИТ-инфраструктуры.

Переговоры со злоумышленниками больше не работают

Отдельно хочу остановиться на заблуждениях по поводу переговоров со злоумышленниками. Стремление «договариваться» с атакующими особенно распространено у тех предпринимателей, которые привыкли решать проблемы через компромисс. Однако в случае описываемого типа атак переговоры — это, как правило, просто потеря времени. Если целью операции не является выкуп, то никакие деньги не вернут вам доступ к своим данным.

Более того, попытка вести диалог может дать злоумышленникам дополнительную информацию о внутреннем состоянии компании и усилить давление.


@Freepik (лицензия INV-C-2024-8250540)

Что реально имеет значение

Единственная рабочая стратегия в такой ситуации — жёсткое разделение этапов. Во время собственно атаки задача может быть только одна: остановить распространение ущерба. Это может означать полное выключение серверов и рабочих станций и отказ от внешних подключений. Мера грубая, болезненная, но зачастую единственно эффективная.

Дальше следует этап стабилизации — осторожное включение систем под контролем специалистов, изоляция заражённых сегментов, оценка ущерба. И только после этого возможен принципиальный разговор об анализе причин и восстановлении работоспособности. Попытка пропустить любой из названных этапов почти неизбежно закончится провалом.

Для собственников и топ-менеджеров в этом есть неприятный, но важный вывод: в момент атаки их главная роль — не управление процессом в ручном режиме или поиск крайних, а необходимость обеспечить условия и не мешать тем, кто умеет с этим работать.

---

Читайте также: Массовые атаки в ритейле: как один скомпрометированный доступ ломает всю цифровую цепочку

---

Можно ли заранее подготовиться к ИТ-катастрофе

Полностью исключить риск кибератаки невозможно. Современный бизнес слишком плотно связан с цифровыми сервисами, подрядчиками и удалёнными доступами, чтобы всерьёз рассчитывать на абсолютную защищённость. Но в «панических» атаках это и не является ключевой задачей. Гораздо важнее другое — способность инфраструктуры выжить, а компании — сохранить управляемость в момент, когда всё идёт к катастрофе.

Практика показывает, что лучше всего справляются не те, у кого самый дорогой набор средств защиты, а те, кто заранее потратил время и уделил достаточное внимание регламентам, дисциплине сотрудников и анализу пределов допустимого ущерба. В критической ситуации это позволяет ключевым специалистам действовать не вслепую, интуитивно, а по заранее понятной логике или по схеме, уже отработанной на учениях по кибербезопасности.


@Freepik (лицензия INV-C-2024-8250540)

Если свести основные меры предосторожности к минимальному, но действительно работающему набору — на мой взгляд, он выглядел бы так.

● Минимизация поверхности атаки. В инфраструктуре должны быть открыты только те сервисы и доступы, которые реально нужны бизнесу, без каких-либо «временных» решений, которые легко становятся постоянными.

● Принцип минимальных полномочий. Сотрудники, подрядчики и даже менеджмент имеют ровно те права, которые необходимы им для исполнения своих обязанностей, и не больше. То же касается топ-менеджеров и собственников. 

● Резервное копирование, регулярно проверяемое на практике. Бэкапы существуют отдельно от основной инфраструктуры и регулярно тестируются на восстановление, а не просто «помечаются галочкой».

● Понимание временных рамок допустимого простоя. У собственников и руководства должен быть честный ответ на вопрос, сколько времени бизнес может позволить себе не работать и какие потери при этом считаются приемлемыми.

● Готовый сценарий реагирования. Должно быть заранее определено, кто принимает решения, кто отключает системы, кто общается с внешними специалистами и сотрудниками.

● Контроль подрядчиков и цепочек доверия. Внешние доступы должны проходить регулярную инвентаризацию и пересматриваться. Недопустимо, когда они «живут годами» без какой-либо проверки актуальности.

● Базовая цифровая гигиена персонала. Обучение ей нужно проводить без иллюзий, что «одного раза достаточно» — руководство должно понимать, что главным вектором атак является именно человеческий фактор.

Самый важный вопрос, который собственнику стоит задать себе заранее, звучит предельно просто: что будет с моим бизнесом, если он остановится — на час, на сутки, на неделю, на месяц. Ответ на него определяет не только стратегию информационной безопасности, но и зрелость управления в целом.

Панические атаки опасны именно тем, что вскрывают слабые места не в коде и не в серверах, а в управленческих решениях и организационной устойчивости. И в этом смысле они становятся не столько ИТ-инцидентом, сколько стресс-тестом для бизнеса — тем самым, к которому лучше готовиться до того, как он начнётся.

Анатолий Волков, 
эксперт в области информационной безопасности, 
основатель компании Soltecs.

Для NEW RETAIL