Июль 2024 года стал периодом относительного затишья в части законодательства по ИБ. Работа над большинством ключевых законопроектов должна продолжиться только осенью. Киберпреступники предприняли ряд масштабных атак против банков различных уровней, традиционно атаковали ВУЗы в период приемной кампании, а «Лаборатория Касперского» поделилась информацией о выявленной попытке кибершпионажа.

Новое в законодательстве

В июле 2024 года законодатели сосредоточились на доработке и уточнении существующих нормативных актов и не представили критичных изменений.

Защита информации и объекты КИИ – в зоне пристального внимания ФСТЭК

Основными целями новых законопроектов и нормативных актов ФСТЭК стало уточнение правил категорирования объектов КИИ, а также ужесточение ответственности за нарушения в сфере защиты информации. В июле 2024 года ведомство представило сразу 3 документа:

1. 02.07.2024 года ФСТЭК опубликовала обзор правоприменительной практики за 2023 год. В подборку вошли ситуации, связанные с разработкой и производством СрЗИ, а также контролем деятельности по технической защите конфиденциальных данных.
2. 03.07.2024 года служба опубликовала проект федерального закона, вносящего изменения в Кодекс РФ об административных правонарушениях. Предлагаемые изменения предусматривают увеличение сумм штрафов:
   • • за использование несертифицированных ИС и СрЗИ (если они подлежат обязательной сертификации) – в том числе для юридических лиц штрафы вырастут с 20-25 тысяч рублей до 50-100 тысяч рублей;
     • за использование несертифицированных СрЗИ, в случае, если данные относятся к категории гос.тайны – например, для юр.лиц предусмотрен рост штрафов с 20-30 тысяч рублей до 50-100 тысяч рублей;
     • за нарушение требований по защите информации ФСТЭК предлагает увеличить штрафы, при этом для юридических лиц они увеличатся с 10-20 тысяч рублей до 50-100 тысяч рублей.
3. 10.07.2024 года ФСТЭК был опубликован проект нормативного акта, вносящего изменения в Правила категорирования объектов КИИ. Служба планирует уточнить функции комиссии по категорированиюи, а также снять с субъектов КИИ обязанность формировать перечни объектов, которые подлежат категорированию.

Внесение изменений в приказы ФСТЭК №17 и №239

Проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239» разработан на основе оперативного совещания Совета Безопасности Российской Федерации от 8 ноября 2023 г. по вопросу «О повышении эффективности мероприятий по обеспечению информационной безопасности Российской Федерации».
Проектом приказа устанавливаются требования о защите информации, содержащейся в государственных информационных системах и информационных системах ЗО КИИ от угроз типа «отказ в обслуживании».

Запреты на VPN продолжаются

Роскомнадзор 30 июля опубликовал проект приказа, согласно которому научно-техническая и статическая информация о VPN-сервисах будет считаться запрещенной в РФ. Исключение – информация о VPN, которые используются для обеспечения защищенного удаленного доступа. Проектом предполагается, что приказ вступит в силу с 1 марта 2025 года и будет действовать до 1 сентября 2029 года.

Единое «облако» заработает в 2025 году

Соответствующее Постановление 10.07.2024 г. утвердило Правительство. Платформа предназначена для централизованного размещения и работы ИС органов государственной власти и гос.учреждений, СОНКО, ГВБФ, некоммерческихе организацийи, осуществляющихе деятельность в публично-правовой сфере.
Документ определяет:

• • список услуг платформы;
  • состав участников, их основные функции;
  • цели, принципы, задачи облачной платформы.

 
Документ вступит в действие с 01.01.2025 года, в этот же день единое «облако» должно заработать в полном объеме.

Карта российского рынка ИБ

Аналитический центр TAdviser подготовил новую Карту российского рынка ИБ. На ней отмечено более 250 отечественных компаний-разработчиков продуктов и сервисов в ИБ-сфере, а также поставщиков таких услуг. Всего выделено 43 категории решений. Также в создании проекта приняли участие компании InfoWatch, NGENIX и VolgaBlob.

Самые громкие события и инциденты июля 2024 года в России

Во II квартале 2024 года Россия выбыла из «десятки» самых атакуемых стран мира. Однако это вовсе не повод расслабиться и предположить, что хакеры потеряли интерес к стране. Такое изменение в рейтинге эксперты связывают с президентскими и парламентскими выборами, прошедшими в апреле-июне в ряде государств (в том числе Бельгия, Франция, Южная Корея, Германия, Северная Корея), что сделало их заманчивыми мишенями для злоумышленников.
Киберпреступники по-прежнему активно атакуют финансовый сектор, государственные органы и университеты. Учитывая, что многие хакерские группировки являются политически мотивированными, ожидать ослабления интенсивности атак в ближайшее время не стоит.

Инцидент с Crowdstrike и Microsoft

19 июля много шумихи наделал сбой в работе аэропортов, авиакомпаний, банков почти по всему миру. Особенно сильно это отразилось на США.
Сбой связан с проблемным обновлением приложения Crowdstrike Falcon Sensor, которое размещается в Microsoft Azure и предназначено для мониторинга ИБ. Обновления привели к так называемому «экрану смерти», который означает критический сбой в операционной системе Windows. Хотя обновления никак не должны затрагивать «ядро» ОС.

Почему не киберинцидент не коснулся России? Во-первых, еще в 2014 году компания Crowdstrike решила, что РФ занимается кибершпионажем и их продукты не стали пользоваться популярность у нас. В последствии компания совсем отказалась работать на территории России. В дополнение к этому проблемы с поддержкой ПО от Microsoft и общий тренд на импортозамещение в какой-то степени обезопасили отечественные компании от всеобщего хаоса 19 июля. Поэтому сбой 19 июля не имеет к нам никакого отношения.

Хакеры проникают в компании через… лифт

В начале июля 2024 года киберпреступники предприняли попытку атаки на ряд российских компаний, используя взлом контроллеров, входящих в состав систем для лифтов.
Злоумышленники попытались заразить ПО SCADA-системы для дальнейшего распространения вредоносов. Под угрозой оказался ряд компаний из сферы телекоммуникаций, ИТ-технологий, госсектора. К счастью, попытка атаки была вовремя замечена и пресечена.
Хакеры не пытались нарушить работу самих лифтов, хотя такая возможность у них была.
Ответственность за атаку взяла на себя хакерская группировка Lifting Zmiy. Киберпреступники использовали инфраструктуру Starlink.

Масштабная атака на банковский сектор

24-25 июля 2024 года финансовый сектор России подвергся DDoS-атаке, которая признана самой масштабной с начала текущего года. Под ударом оказались около 400 IP-адресов, в зону внимания киберпреступников попали как приложения, так и сайты крупных российских банков. В первый день атаки – 24 июля – злоумышленники сосредоточили свои усилия на ресурсах и сервисах Газпромбанка, Росбанка, Альфа-Банка и ВТБ. На следующий день под ударом снова оказался Росбанк, а также СБП, экосистема МТС и Сбербанк. 25 июля хакеры также атаковали ресурсы популярной социальной сети «Вконтакте».

Длительность атак при постоянной нагрузке составляла около 7 часов, а продолжительность пиковых нагрузок достигала 20 минут. При этом максимальный трафик атак достигал 530 Гбит/с.
Защитные системы банков продемонстрировали свою устойчивость к подобным атакам, критических последствий для работоспособности сервисов и приложений удалось избежать. Нормальное функционирование ИТ-инфраструктуры финансового сектора было быстро восстановлено.

Центробанк России – мишень киберпреступников

После мощной атаки на ряд крупных российских банков хакеры направили свои усилия против сервисов ЦБ РФ. 29.07.2024 года официальный интернет-портал Центробанка подвергся DDoS-атаке. В результате действий киберпреступников пользователи испытывали трудности с доступом к сайту, а войти на портал из зарубежных стран было невозможно.
Работоспособность сайта была быстро восстановлена, никаких критических последствий атака за собой не повлекла.

Новая волна атак на ВУЗы

В июле 2024 года был предпринят ряд атак на сервисы и сайты российских университетов. Основная «волна» пришлась на период 1-15 июля, как раз в разгар приемной кампании. Эксперты отмечают, что относительно прошлого месяца интенсивность атак выросла примерно в 4,5 раза.
Мощность зафиксированных инцидентов составляла 4-700 тысяч запросов в секунду, а длительность атаки варьировалась в диапазоне 4-53 минуты. В роли организаторов выступали как профессиональные киберпреступники, так и «любители», к примеру, абитуриенты, стремившиеся повысить свои шансы на поступление или помешать «конкурентам».

Облачный кибершпионаж

Кампания по кибершпионажу, направленная против российских госструктур была выявлена Лабораторией Касперского еще в мае 2024 года, однако подробностями о методах и стратегии злоумышленников специалисты поделились только в июле.
Кампания получила название CloudSorcerer. Многоступенчатая стратегия и отсутствие критичных ошибок в коде говорит о профессионализме кибергруппы, ответственной за организацию шпионажа. Хакеры получают доступ к «облакам» посредством API, используя токены аутентификации. Сначала вредоносное ПО разворачивается на зараженном устройстве вручную, затем CloudSorcerer адаптируется под системные настройки и активирует иные функции – в зависимости от атакуемого объекта и особенностей зараженной системы.