Positive Technologies

Актуальные киберугрозы для стран Африки: Q1 2023 — Q3 2024

Актуальные киберугрозы для стран Африки: Q1 2023 — Q3 2024

Анастасия Безбородько

Анастасия Безбородько

Аналитик группы международной аналитики PT Cyber Analytics

Введение

В последние годы киберугрозы стали одной из самых серьезных проблем, с которыми сталкиваются государства, организации и частные лица по всему миру, и страны Африки не стали исключением. Стремительное развитие цифровых технологий в регионе и распространение доступа в интернет открывают новые возможности для пользователей и вместе с тем несут угрозы со стороны киберпреступников. Кроме того, наличие богатого природного потенциала способствует развитию промышленности в регионе, что также делает Африку объектом интереса киберпреступников. При этом развитие цифровых технологий в регионе происходит быстрее, чем внедрение законов и регулирования в области кибербезопасности, что ставит под угрозу защиту критической информационной инфраструктуры.

За период I квартал 2023 — III квартал 2024 годов регион столкнулся со множеством киберугроз, включая кибератаки на критическую инфраструктуру, утечки данных и мошенничество в интернете. В условиях растущей цифровизации важно понимать, какие на сегодняшний день существуют киберугрозы для стран Африки и какие меры для обеспечения защиты необходимо применять во избежание будущих попыток реализации кибератак.

В этом исследовании мы рассмотрим статистику кибератак в африканском регионе за указанный период, основные методы их реализации и последствия, к которым они приводят, а также возможные решения для повышения уровня безопасности цифровой среды.

Резюме

  • Как правило, организации региона подвергаются кибератакам с использованием ВПО (43%) и эксплуатации уязвимостей (18%), а частные лица — с использованием ВПО (53%) и социальной инженерии (33%).

  • Госучреждения и финансовые организации — основные цели у злоумышленников среди организаций. Доля успешных кибератак на них составляет 29 и 22% соответственно. При этом анализ теневых площадок подтвердил, что эти организации вызывают наибольший интерес у злоумышленников, доли объявлений которых составляют 19 и 13% соответственно.

  • Согласно данным, полученным из открытых источников, значительная часть кибератак в регионе была зафиксирована в ЮАР (22%) и Египте (13%), а объявления в дарквебе чаще затрагивали ЮАР (25%), Нигерию (18%) и Алжир (13%).

  • В дарквебе активно продают доступы в сети крупных компаний Африки (74%), значительная часть которых затрагивает финансовые организации, госучреждения и промышленные предприятия. Средняя стоимость доступа составляет 2 970 $.

Цифровой статус региона

В последние годы африканский регион демонстрирует значительный прогресс в области телекоммуникаций и цифровых технологий. Так, наиболее развитыми цифровыми странами Африки считаются Нигерия, Египет, ЮАР и Кения, число интернет-пользователей которых составляет 103 млн, 82 млн, 45 млн и 23 млн человек соответственно по данным за январь 2024 года. При этом доля пользователей интернета в Африке на 2023 год от общего числа населения, согласно данным компании Equinix, составила около 43%, что на 13% больше показателя за предшествующий год.

Развитие цифровой сферы в регионе поддерживается и на законодательном уровне. В 2020 году была разработана стратегия цифровой трансформации Африки, ориентированная на десятилетнюю перспективу развития телекоммуникационных сетей, распространения интернета по всему региону, а также внедрения цифровых платформ и услуг и обеспечения информационной безопасности. Кроме того, в декабре 2022 года на саммите лидеров стран Африки в США была запущена инициатива «Цифровая трансформация с Африкой» (DTA), направленная на расширение доступа к цифровым технологиям и повышение грамотности и укрепление благоприятной цифровой среды по всему региону. В связи с этим ожидается значительный рост количества пользователей интернета и внедрение новых цифровых решений.

На сегодняшний день перспективным направлением цифрового развития остается внедрение криптовалют, которое отмечается и в Африке. Кроме того, Нигерия, Кения и ЮАР в 2020 году вошли в топ-10 лидеров Глобального индекса внедрения криптовалют, а в 2024 году Нигерия заняла 2-е место в этом рейтинге. Как правило, криптовалюта здесь используется для хранения сбережений, обмена валюты, зарплатных расчетов и перевода средств за рубеж. В Нигерии криптовалюта разрешена на законодательном уровне и на территории страны представлены криптообменники, имеющие лицензию от Центрального банка Нигерии. Примечательно, что в 2021 году в Нигерии был введен запрет на операции с криптовалютой из-за рисков, связанных с отмыванием денег и финансированием терроризма, но в 2023 году данный запрет был официально снят. Также среди стран, в которых криптовалюта легализована, можно выделить Центральноафриканскую Республику, Гану, Сенегал и Танзанию.

В регионе активно развиваются и электронные сервисы. В таких странах, как Эфиопия, Кения и Сенегал, представлены десятки различных площадок в сфере электронной коммерции. Например, в Кении функционирует сервис «M-Pesa», который позволяет оплачивать товары и услуги, государственные пошлины, коммунальные платежи и осуществлять другие переводы. Сайты электронного правительства, а также порталы, связанные с ним, действуют в Эфиопии, Египте, Сенегале, Гане, ЮАР, Танзании и Буркина-Фасо.

Вместе с развитием цифровой сферы в регионе разрабатываются меры обеспечения защиты современных технологий. Например, в Эфиопии разработана стратегия цифровой трансформации «Цифровая Эфиопия 2025», в которой описан путь развития телекоммуникаций, цифровизация государственных услуг и внедрение инновационных технологий, таких как искусственный интеллект, а также проект содержит раздел, посвященный обеспечению кибербезопасности. В нем предлагается использовать международный опыт в решении проблем информационной безопасности для определения лучших практик. Также в Египте была выпущена стратегия в области кибербезопасности с планом развития до 2027 года, включающая усиление правовых мер, защиту критической инфраструктуры и поддержку научных исследований и разработок в области кибербезопасности (защита облачных сервисов, криптография, анализ ВПО). Однако стоит отметить, что развитие технологий позволяет злоумышленникам применять новые и более сложные методы кибератак, для противостояния которым зачастую бывает недостаточно разработанных защитных мер.

Таким образом, увеличение числа новых пользователей, переход государственных и других организаций к цифровым технологиям, а также уязвимости используемых защитных механизмов в условиях постоянно развивающихся методов кибератак приводят к росту числа успешных кибератак на африканском материке. По данным Check Point, в первом квартале 2024 года число кибератак на предприятия в Африке увеличилось на 20% по сравнению с аналогичным периодом прошлого года. Так, например, за первую половину 2024 года были реализованы 4 623 попытки кибератак, направленных на государственные и частные организации Эфиопии, что по сравнению с аналогичным периодом 2023 года больше на 115%.

Основные цели злоумышленников

В рассматриваемый период времени доля кибератак, из общего количества успешно реализованных, на организации составила 89%, а на частные лица, соответственно, 11%. Госучреждения и финансовые организации являются основными целями киберпреступников в регионе: на них приходится 29 и 22% всех успешных кибератак на организации соответственно.

Рисунок 1. Категории жертв среди организаций

Госучреждения

Из года в год одной из наиболее привлекательных целей для злоумышленников остаются государственные организации. По нашим данным, в 2023 году доля успешных кибератак на данный сектор в мире составила 15%. Чаще всего на госучреждения в регионе совершают кибератаки APT-группировки (46%). В первую очередь они нацелены на длительные и скрытные атаки, направленные на сбор информации и кибершпионаж. Так, весной этого года была зафиксирована серия кибератак, направленных на правительства стран Африки и Карибского бассейна. За реализацией кибератаки стояла APT-группировка SharpPanda, основной целью которой было проведение кибершпионажа и получение конфиденциальной информации. Ее метод работы заключался в использовании скомпрометированных учетных записей электронной почты высокопоставленных лиц в Юго-Восточной Азии для рассылки фишинговых писем с целью заражения новых целей в этих двух регионах.

Также государственный сектор атакуют и хактивисты (18%). В июле 2023 года онлайн-платформа eCitizen, предоставляющая государственные услуги и информацию гражданам Кении, пострадала в результате DDoS-атаки, ответственность за которую взяла на себя группировка Anonymous Sudan. На протяжении нескольких дней были недоступны ключевые сервисы, в том числе связанные с получением паспортов, виз и водительских удостоверений. В то же время на одном из теневых форумов была выставлена на продажу база данных, украденная, по утверждению злоумышленников, из Министерства здравоохранения и народонаселения Египта и содержащая 2 млн записей.

Рис2.png
Рисунок 2. Скриншот объявления в дарквебе о продаже конфиденциальных данных

По данным с теневых форумов, наиболее часто злоумышленников привлекает государственный сектор Нигерии (27%), Алжира (17%), Эфиопии (12%) и ЮАР (12%). Публикации, связанные с государственным сектором, как правило, направлены на бесплатную раздачу информации (66%). Например, на одном из теневых форумов был опубликован пост, содержащий конфиденциальные данные Министерства региональной торговли и интеграции Эфиопии, утечка которых якобы произошла вследствие кибератаки, совершенной группировкой хактивистов ThreatSec в октябре 2023 года.

Рис3.png
Рисунок 3. Скриншот объявления в дарквебе о раздаче конфиденциальных данных

Финансовые организации

Второе место по доле успешных кибератак в регионе занимает финансовый сектор (22%). В данном случае киберпреступников в первую очередь интересует материальная выгода, которую они могут получить при реализации подобных кибератак. Так, например, в январе 2023 года на одном из теневых форумов киберпреступники выставили на продажу базу данных банка ЮАР PostBank и доступ к ней. База содержит более 10 млн строк конфиденциальной информации, предположительно, о клиентах банка, включая персональные данные клиента, информацию о карте и произведенных транзакциях.

Рис4_1.png
Рис4_2.png
Рисунок 4. Скриншот объявления в дарквебе о продаже базы данных банка ЮАР PostBank и доступа к ней

В ноябре 2023 года эксперты сообщили о кибератаке на кредитную организацию Toyota Financial Services в Европе и Африке. Ответственность за реализацию кибератаки взяла на себя группировка вымогателей Medusa. В качестве доказательства «успешности» кибератаки злоумышленники опубликовали на своем сайте фрагменты данных, среди которых были финансовые документы, личные данные пользователей и многое другое. Предположительно, кибератака была совершена путем эксплуатации уязвимости Citrix NetScaler, зарегистрированной как CVE-2023-4966 и получившей название CitrixBleed.

О другом случае стало известно в конце июня этого года — о кибератаке на Международный Габонский и Французский Банк. Группировка вымогателей Bianlian взяла на себя ответственность за проведенную кибератаку, в результате которой ею были получены данные, составляющие коммерческую тайну. В подтверждение своего заявления Bianlian выложила фрагмент украденной информации.

В 2023 году кибератакам со стороны вымогателей подверглись две крупные финансовые организации: кредитная организация TransUnion и Банк развития ЮАР. В результате взлома системы TransUnion, реализованного группировкой N4ughtySecTU, был потребован выкуп за украденную конфиденциальную информацию. Ранее, в марте 2022 года, компания уже сталкивалась с угрозами этой группировки, когда N4ughtySecTU пригрозила опубликовать 4 ТБ похищенных данных, если не будет выплачен выкуп в размере 15 млн $. За кибератакой на Банк развития ЮАР стояла группировка Akira, которая применила программу-вымогателя и зашифровала серверы, лог-файлы и документы компании.

Объявления в дарквебе, связанные с кибератаками на финансовый сектор, затронули такие страны, как Алжир, Гана, Камерун, Нигерия, Уганда, Эфиопия, ЮАР и другие. Чаще всего такие объявления направлены на продажу данных и доступа (64%). Например, в одном из объявлений в дарквебе предлагается купить доступ к системе Банка Ганы.

Рис5.png
Рисунок 5. Скриншот объявления в дарквебе о продаже доступа к системе Банка Ганы

На одной из теневых площадок 24 июня 2024 года было размещено объявление об утечке данных сенегальского банка Cosna Afrique Bank, якобы включающих информацию о клиентах и их кредитных картах. Автор объявления отмечает, что эта база данных была опубликована в дарквебе еще неделю назад, но он готов продать ее по более низкой цене — 5 000 $.

Рис6.png
Рисунок 6. Скриншот объявления в дарквебе о продаже базы данных банка Cosna Afrique Bank

Промышленность

Каждая десятая успешная кибератака на организации региона была направлена на промышленный сектор. Основными целями реализации данных кибератак являются нарушение основной деятельности производственных предприятий и кража конфиденциальной информации, что, в свою очередь, может иметь негативное воздействие как на саму компанию, так и целую отрасль или регион.

В январе этого года Камерунская энергетическая компания Eneo подверглась кибератаке, которая значительно повредила ее компьютерную систему. Представители Eneo не предоставили подробностей о проникновении, но сообщили, что функционирование некоторых приложений было приостановлено для обеспечения мер по защите их системы.

Об одной из крупных кампаний, нацеленных на промышленные организации по всему миру, в том числе в ЮАР и Египте, стало известно 5 марта 2024 года. По словам экспертов из Dark Reading1, за реализацию кибератак отвечали две группировки вымогателей: GhostSec и Stormous. Они использовали новую версию программы-вымогателя GhostLocker 2.0 и технику двойного вымогательства, по которой злоумышленники потребовали выкуп у жертвы не только за расшифровку данных, но и за молчание.

1 Платформа, предоставляющая новости в сфере кибербезопасности, анализ киберугроз и методов защиты от них, а также мнения экспертов в данной области.

Телекоммуникации

Телекоммуникации, как и промышленность, были успешно атакованы в каждой десятой атаке на организации региона. При этом количество кибератак на телекоммуникационные компании ежегодно растет. Такая тенденция обусловлена несколькими факторами, включающими развитие цифровых технологий, рост интернета и мобильной связи в регионе. Появление новых клиентов телекоммуникационных операторов приводит к увеличению объема информации о них, что привлекает злоумышленников, стремящихся получить материальную выгоду от вымогательства за персональные и платежные сведения о пользователях. Кроме того, APT-группировки и хактивисты осуществляют кибератаки на телекоммуникационный сектор в целях кибершпионажа и нарушения функционирования компаний. Например, 6 февраля группировка хактивистов Anonymous Sudan атаковала крупных мобильных провайдеров в Уганде. Операторы Airtel, MTN и Uganda Telecom подверглись DDoS-атакам, в результате которых была нарушена их основная деятельность. По словам группировки, целью кибератаки были компании, поддерживающие Силы быстрого реагирования в гражданской войне в Судане.

В ноябре 2023 года кибератаке APT-группировки Seedworm подверглись телекоммуникационные компании в Египте, Судане и Танзании. Целью злоумышленников стали проведение кибершпионажа и получение конфиденциальной информации. Реализация кибератаки включала использование шпионского ВПО MuddyC2Go, запущенного с помощью командной оболочки PowerShell.

Объекты и методы кибератак

В кибератаках на организации злоумышленники чаще всего атаковали компьютеры, серверы и сетевое оборудование (65%). Это указывает на низкую защищенность инфраструктуры компаний, а именно на уязвимости в сетевом периметре и недостатки конфигурации во внешних доступных сервисах.

Рисунок 7. Объекты кибератак (доля успешных кибератак)

Объектом каждой четвертой кибератаки на организации стали веб-ресурсы (27%): в половине из этих случаев злоумышленники проводили кибератаки типа DDoS. Так, группа хактивистов Mysterious Team Bangladesh в марте 2023 года атаковала Министерство здравоохранения Эфиопии, а в начале мая того же года совершила серию DDoS-атак на веб-ресурсы различных учреждений региона, включая предприятие электроэнергетики, госучреждения, в том числе портал правительства Эфиопии, и финансовые организации.

Наиболее распространенным методом реализации кибератак на организации и частных лиц за рассматриваемый период стало использование ВПО. В августе 2023 года стало известно, что Министерство обороны ЮАР пострадало от кибератаки с использованием ВПО. За реализацию кибератаки и кражу 200 ТБ данных Министерства взяла на себя ответственность группировка вымогателей Snatch Team. Для проникновения в сеть она использует метод перебора и во избежание обнаружения ВПО осуществляет перезагрузку ПК с Windows в безопасном режиме, предотвращая запуск любого антивирусного или защитного ПО. Далее данные шифруются, после чего группировка требует выкуп у жертвы.

Рисунок 8. Методы кибератак (доля успешных кибератак)

Рисунок 9. Типы ВПО (доля успешных кибератак на организации с использованием ВПО)

Практически в каждой третьей успешной атаке на организации региона злоумышленники использовали шифровальщиков. Так, в ноябре 2023 года в результате кибератаки шифровальщика произошла утечка конфиденциальной информации отеля Es Saadi в Марокко. Группировка MEOW использовала ВПО с аналогичным названием для шифрования файлов и последующим добавлением к их именам расширения «.MEOW». Похищенные данные были опубликованы на портале группировки. Также там были представлены данные коммерческого банка Нигерии Wema Bank.

Рис10.png
Рисунок 10. Скриншот объявления в дарквебе о раздаче конфиденциальных данных
Рис11.png
Рисунок 11. Скриншот объявления в дарквебе о раздаче конфиденциальных данных

В каждой четвертой успешной кибератаке злоумышленниками применялось шпионское ПО (25%). Как правило, кибершпионаж чаще всего осуществлялся в отношении организаций государственного сектора (29%). Так, 29 июля 2024 года стало известно о кибератаках на порты и морские объекты в Индийском океане и Средиземном море, реализованных группировкой SideWinder. Одной из основных целей группировки стал Египет. Для распространения шпионского ПО злоумышленники использовали метод целевого фишинга, с помощью которого рассылали жертвам фишинговые письма с документами-приманками, которые выглядят в точности как легитимный документ от официальной организации. Далее группировка использовала уязвимость Microsoft Office CVE-2017-0199 для получения доступа к системе жертвы. Это позволяет загрузить вредоносный RTF-файл по URL-адресу, спрятанному в документе. RTF-файл эксплуатирует уязвимость CVE-2017-11882 и запускает шелл-код для проверки системы жертвы. В случае соответствия системы необходимым параметрам запускает код JavaScript для удаленного управления.

Если говорить про частные лица, то в странах Африки одним из основных методов кибератак, применяемых злоумышленниками против частных лиц, как и во всем мире, остается социальная инженерия. Например, распространение мошеннического приложения для android SpyLoan, которое позволяет злоумышленникам получать учетные записи пользователей, информацию об устройстве, журналы вызовов и другое. В результате приложение было загружено 12 млн раз пользователями из разных стран, в том числе из Египта, Кении и Нигерии.

Последствия кибератак

Чаще всего в результате успешных кибератак на страны Африки злоумышленники получали доступ к конфиденциальной информации: с этим организации столкнулись в 61% успешных кибератак. Например, 8 ноября 2023 года стало известно, что ведущий поставщик электронных платежей и цифровых финансовых решений в Египте Fawry подвергся кибератаке, реализованной, по мнению экспертов из Dark Reading, вымогательской группировкой LockBit. В результате кибератаки утекли личные данные клиентов компании, включающие адреса, номера телефонов и даты рождения. В большинстве случаев успешно реализованные кибератаки на частные лица также приводили к утечке конфиденциальной информации (53%).

Рисунок 12. Последствия кибератак (доля успешных кибератак)

Для африканского региона каждая пятая (18%) успешная кибератака приводила к нарушению основной деятельности компаний. Примером является кибератака 2023 года на Центральный банк Лесото, в результате которой работа некоторых систем была приостановлена до момента их полного восстановления. Ответственность за кибератаку взяла на себя группировка вымогателей INC Ransom.

Стоит отметить, что действия злоумышленников могут привести к реализации недопустимых событий для организаций, например к нарушению или приостановке их основной деятельности. Во избежание подобных инцидентов безопасности необходимо сформулировать недопустимые события организации, наступление которых может оказать разрушительное влияние на ее операционную деятельность, а также регулярно проводить мониторинг состояния ее целевых и ключевых систем.

Анализ теневых площадок

Наибольший интерес для злоумышленников представляют ЮАР (25%), Нигерия (18%) и Алжир (13%). Это может быть обусловлено несколькими факторами: перечисленные страны характеризуются активным развитием цифровых технологий, вместе с чем растет количество пользователей сети Интернет и предоставляемых веб-ресурсов, что привлекает киберпреступников для получения материальной выгоды при реализации кибератак. Кроме того, волна кибератак хактивистов и APT-группировок в регионе может усиливаться и вследствие геополитики.

Рисунок 13. Доля объявлений на теневых площадках по странам Африки

Если говорить об отраслевом распределении, то анализ данных теневых форумов также подтвердил, что чаще всего объявления злоумышленников затрагивают организации государственного (19%) и финансового (13%) секторов.

Рисунок 14. Статистика по категориям жертв за 2023–2024 годы

Анализ объявлений и сообщений на теневых площадках показал, что чаще всего злоумышленники публикуют посты, содержащие тему раздачи (46%) или продажи (43%) информации, что свидетельствует о наличии в регионе хактивистов, действующих в политических целях, и киберпреступных группировок, ориентированных на получение материальной выгоды.

Рисунок 15. Распределение объявлений по типам

Наиболее часто в дарквебе публикуются объявления, содержащие базы данных (61%), более половины из которых (64%) направлены на бесплатную раздачу информации.

Рис16.png
Рисунок 16. Скриншот объявления в дарквебе об утечке данных Community Bank of Cameron

В каждом четвертом объявлении (24%) базы данных продаются. Так, например, в мае этого года в дарквебе был опубликован пост о продаже данных различных банков, расположенных в Камеруне. Киберпреступники установили цену в размере 100 $ за базу в размере до 10 000 строк и 200 $  — до 20 000 строк.

Рис17.png
Рисунок 17. Скриншот объявления в дарквебе о продаже данных банков в Камеруне

Кроме размещения объявлений, включающих базы данных, в дарквебе злоумышленники также предлагают доступы в сети различных организаций Африки (38%). Почти каждое пятое объявление (18%) содержит предложение доступа с подключением по протоколам VPN или RDP. Также часто встречаются объявления, в которых предлагаются доступы с возможностью подключения при помощи оболочки Shell (14%) и программ удаленного доступа, таких как AnyDesk, RDWeb и Citrix (8%).

Рисунок 18. Типы доступов, представленных в дарквебе

Рис19.png
Рисунок 19. Скриншот объявления в дарквебе о продаже доступа

Большая часть публикаций, включающих доступы, направлена на их продажу (74%). Их средняя стоимость составляет 2 970 $. В одном из таких объявлений от 29 февраля этого года киберпреступники предлагают купить доступ администраторов домена и предприятия в компаниях, предоставляющих услуги в сфере транспорта и пищевой промышленности. Стартовая цена доступов составляет 3 000 $.

Рис20.png
Рисунок 20. Скриншот объявления в дарквебе о продаже доступа

В каждом пятом объявлении (18%) доступы раздаются бесплатно. Например, в июле этого года неизвестная группировка выложила публикацию о бесплатном предоставлении доступа к системе Министерства образования Уганды.

Рис21.png
Рисунок 21. Скриншот объявления в дарквебе о бесплатном предоставлении доступа к системе Министерства образования Уганды

Выводы и рекомендации

В последние годы Африка активно работает над постоянным развитием в сфере цифровых технологий. Однако вместе с этим открываются новые возможности и для киберпреступников, вследствие чего регион продолжает регулярно сталкиваться с инцидентами кибербезопасности. Для того чтобы повысить кибербезопасность региона и помешать успешному проведению будущих кибератак, предлагаем ряд защитных мер.

Как можно повысить кибербезопасность в регионе?

Укрепление нормативно-правовой базы в области кибербезопасности

На данный момент страны Африки активно внедряют национальные политики и стратегии в области кибербезопасности. Тем не менее в условиях постоянного совершенствования методов кибератак злоумышленникам удается найти уязвимости в использующихся защитных механизмах. Важно разрабатывать и своевременно обновлять стратегии в области кибербезопасности, учитывающие текущую степень развития технологий и киберугрозы со стороны злоумышленников.

Защита критической информационной инфраструктуры

Необходимо определить критическую информационную инфраструктуру, кибератаки на которую могут привести к недопустимым событиям на уровне отраслей и страны, и определить защитные механизмы для регулирования. Особое внимание стоит уделить государственной, финансовой, телекоммуникационной и промышленной сфере региона. В разработке подходов, обеспечивающих кибербезопасность критических информационных инфраструктур, следует сочетать различные методы для достижения высокого уровня эффективности защиты от кибератак в условиях постоянного развития технологий.

Определение недопустимых событий и критически важных активов

Для обеспечения киберустойчивости организации необходимо провести анализ рисков и составить перечень недопустимых событий, способных нанести существенный ущерб ее деятельности. Это позволит определить критически важные активы и сосредоточиться на защите наиболее ценных ресурсов.

Разрабатываемая стратегия для предотвращения недопустимых событий должна содержать необходимые меры безопасности и мониторинг сетевой активности с использованием современных средств защиты.

Соблюдение общих требований по обеспечению кибербезопасности

Следует регулярно обновлять используемые системы и приложения для устранения найденных уязвимостей и предотвращения возможных кибератак в будущем. Кроме того, необходимо проводить проверку эффективности и актуальности применяемых механизмов безопасности и средств защиты информации. Например, за рассматриваемый период были отмечены случаи кибератак с использованием фишинга, следовательно, необходимо внедрять инновационные решения для фильтрации электронной почты с целью выявления и блокировки фишинговых писем. Данная мера является обязательной независимо от степени образованности сотрудника, поскольку появление современных технологий, таких как дипфейки и генеративные модели, позволяет обмануть даже опытных и образованных пользователей.

Сотрудничество государства и бизнеса

Для успешной реализации проектов в области кибербезопасности важно установить надежные партнерские отношения между государственными учреждениями и частными компаниями. Для этого формируются центры по реагированию на инциденты кибербезопасности, в обязанности которых включены мониторинг киберугроз, разработка инновационных решений в области кибербезопасности и помощь организациям в восстановлении после кибератак. В половине стран Африки уже функционируют такие центры. Для оптимизации их работы предлагается, например, выделить отдельные направления по отраслям.

Международное сотрудничество

Укрепление международного сотрудничества с другими государствами и взаимодействие с ними по ведению общей нормативной базы и обновлению базы данных, содержащей сведения об актуальных киберугрозах и защитных мерах, позволит повысить степень безопасности всего информационного общества.

Участие в международных конференциях позволит специалистам из разных сфер деятельности обмениваться информацией, что позволяет посмотреть на проблему с разных сторон и определить наиболее эффективные пути решения.

Обучение сотрудников основам кибербезопасности

В организациях необходимо проводить образовательные мероприятия, посвященные обучению пользователей основным правилам и техникам безопасности. Например, правила установки ПО, признаки для распознавания фишинговых писем и сайтов, а также предоставление перечня центров или сотрудников, которых следует своевременно уведомлять об инцидентах кибербезопасности. Также следует выделять бюджет на развитие специалистов по ИБ для повышения их навыков и знаний.

Об исследовании

Данный отчет содержит информацию об инцидентах информационной безопасности в Африканском регионе, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников. Представленная аналитика опирается на данные о кибератаках в странах: Алжир, Ангола, Ботсвана, Буркина-Фасо, Габон, Гана, Египет, Замбия, Зимбабве, Камерун, Кения, Лесото, Ливия, Маврикий, Мадагаскар, Малави, Мали, Марокко, Нигер, Нигерия, Сенегал, Судан, Танзания, Того, Тунис, Уганда, Чад, Эфиопия и ЮАР. В процессе написания исследования были изучены 350 телеграм-каналов и форумов в дарквебе, где общее количество сообщений составило 184 млн и 43 млн пользователей.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков, в связи с этим подсчитать точное число киберугроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В нашем отчете каждая массовая кибератака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.