В Минцифры рассказали о планах на 2023 год, среди которых развитие регуляторики в сфере защиты персональных данных, запуск программы Bug Bounty для поиска уязвимостей государственных информационных систем, а также создание системы сертификации российских специалистов по информационной безопасности (ИБ).

Картина ключевых событий в сфере информационной и кибербезопасности с 17 декабря 2022 года по 12 января 2023 года — в материале ICT.Moscow.

Минцифры в 2023 году планирует упорядочить регулирование в сфере защиты персональных данных, поскольку «процесс цифровизации стал настолько быстрым, что регуляторика и общество не поспевают за ним». Одним из направлений такой работы станет введение оборотных штрафов, которые, согласно заключительной версии законопроекта, могут составить от пяти до 500 млн руб. Максимальная сумма может быть назначена компании, если она допустила утечку данных повторно с момента вступления закона в силу (ожидается в сентябре 2023 года) и нарушила ряд требований регулятора, например, попыталась скрыть утечку. По мнению отдельных игроков рынка, оборотные штрафы будут стимулировать компании усилить меры киберзащиты. Но, как заявил «Коммерсанту» исполнительный директор «Кросс технолоджис» Лев Фисенко, пока не ясно, как будут применяться штрафы к госструктурам, у которых также случаются утечки данных, но нет выручки.

Для усиления киберзащиты госструктуры применяют те же средства, что и бизнес — программы Bug Bounty. Например, о планах по привлечению сторонних ИБ-специалистов для поиска уязвимостей государственных информационных систем сообщили в Минцифры. Программа будет запущена в январе этого года на ресурсах российских ИБ-компаний Bi.Zone и Positive Technologies. В свою очередь Яндекс для привлечения «белых хакеров» к поиску уязвимостей собственных сервисов и инфраструктуры увеличит вознаграждение в два раза. Максимальная выплата за уязвимость составит 1,5 млн руб.

Еще одним проектом Минцифры в регулировании отрасли может стать сертификация специалистов в сфере ИБ. При этом в ближайшей перспективе замена международных сертификатов не планируется, речь идет исключительно о внедрении российских внутренних сертификатов. Отдельные же требования для ИБ-специалистов в финансовых организациях уже утверждены. Стандарт, который разработали Банк России и Федеральное учебно-методическое объединение по информационной безопасности, вступит в силу с 1 сентября 2023 года.

📎Мнения участников ИБ-рынка и представителей вузов о кадровых потребностях отрасли в будущем можно прочитать в лонгриде ICT.Moscow.

Аналитика угроз

● Эксперты «Группы Т1» ожидают заметного увеличения числа киберугроз в 2023 году. Предпосылками к этому могут стать недостаточный уровень зрелости информационной безопасности организаций и большое количество уязвимостей нулевого дня (те, против которых еще не созданы защитные механизмы — прим. ред.). Также в компании прогнозируют рост числа атак с использованием банковских троянских вирусных программ, так как официальные приложения ряда российских банков удалены из онлайн-магазинов, а пользователи вынуждены устанавливать программы из непроверенных источников.

На значительное количество уязвимостей высокой и наивысшей степени критичности мобильных приложений обратили внимание и в «Стингрей Технолоджиз» (входит в ГК Swordfish Security). Согласно анализу компании, обнаруженные уязвимости в 83% таких программных продуктов «позволяют завладеть аккаунтами пользователей, получить доступ к персональным данным и настройкам, изменить их или использовать для таргетированных атак, хищения денежных средств или каких-либо иных целей».

● Согласно прогнозу DDoS-Guard, к весне 2023 года количество DDoS-атак на инфраструктуру российских компаний может вырасти на 300% по отношению к концу 2022 года, когда число инцидентов составляло около 1,2 млн.

● Появление в интернете большого числа баз данных с личной информацией пользователей, по данным DLBI, снизила их стоимость почти в два раза. По оценке Positive Technologies, если в 2021 году стоимость «простой» базы составляла от $200 до $250, то в 2022 году ее цена не превышала $150. А в InfoWatch отметили, что наиболее дорогими в 2022 году были базы банковских данных.

● Как заявили в МИД РФ, в 2022 году число кибератак увеличилось на 80%. Причем, в 2022 году основной удар пришелся на госсектор, объекты критической информационной инфраструктуры и социально значимые учреждения.

Сделки и стратегии

● «РТК-Солар» приобрела разработчика софта для повышения уровня безопасности информационных систем и управления критической ИТ-инфраструктурой «Новые технологии безопасности». Благодаря сделке «РТК-Солар» планирует увеличить профильную выручку на 30% уже в 2023 году.

● «Русатом – Цифровые решения» (входит в «Росатом») купил 50% разработчика программных и аппаратных средств защиты информации «Код безопасности». В результате соглашения компании планируют объединить компетенции для развития российских ИБ-продуктов.

● VK в 2023 году планирует увеличить бюджет на кибербезопасность компании в 2,5 раза по сравнению с 2022 годом, а также продолжит набор новых специалистов в ИБ-подразделения.

Атаки и утечки

Среди заметных инцидентов за последние три недели стала утечка данных клиентов «Спортмастера». В сеть попали их имена, даты рождения, номера телефонов и адреса электронных почт, но, как уточнили в компании, утечка не затронула платежную информацию, а также учетные данные сотрудников. На данный момент ритейлер проводит оценку рисков и внутреннее расследование. Аналогичные действия предпринимает и «Ситимобил» после размещения злоумышленниками в открытом доступе 4 тыс. фотографий паспортов, принадлежащих водителям «Ситимобила».

Также медиа сообщили о взломе сайта Минстроя и утечке записей из базы данных Единой системы идентификации и аутентификации (ЕСИА), но позже в Минцифры заявили, что появившаяся в открытом доступе база ЕСИА является компиляцией ранее публиковавшихся в сети данных стороннего ресурса.

Более полная хронология ИБ-новостей об утечках данных, DDoS-атаках, новых решениях, соглашениях и регуляторных инициативах отражена на обновляемом таймлайне ICT.Moscow.

Прошлые выпуски ИБ-сводок с ключевыми событиями в сфере информационной безопасности читайте на сайте ICT.Moscow.