Актуальные киберугрозы для стран Юго-Восточной Азии

Высокий темп развития технологий и цифровой экономики, создание и внедрение инновационных решений — ключевые факторы, формирующие глобальный ландшафт цифровой трансформации, и страны Юго-Восточной Азии активно демонстрируют стремление занять лидирующие позиции в этой сфере как в азиатском регионе, так и в мире.

Проблемы кибербезопасности всегда являются глобальным барьером на пути к цифровому лидерству, и их спектр расширяется по мере развития цифровой экономики. В этом отчете мы расскажем о состоянии кибербезопасности в странах — членах Ассоциации государств Юго-Восточной Азии (АСЕАН), куда входят Бруней, Вьетнам, Индонезия, Камбоджа, Лаос, Малайзия, Мьянма, Сингапур, Таиланд и Филиппины.

Цели отчета:

• оценить текущую обстановку в области кибербезопасности в регионе за 2023–2024 годы;

• определить общие для региона киберугрозы и уязвимости;

• выделить характерные киберугрозы для наиболее атакуемых стран региона;

• предположить, какие киберугрозы ожидаются для стран Юго-Восточной Азии;

• предложить рекомендации по обеспечению кибербезопасности для государств и бизнеса.

• Юго-Восточная Азия — регион с активно развивающейся цифровой экономикой и широко внедряемыми инновационными технологиями. Цифровая трансформация и растущая геополитическая значимость региона привлекают внимание киберпреступников, что отражается в росте числа кибератак и требует внедрения мер по кибербезопасности на всех уровнях инфраструктуры.

• Ключевые цели злоумышленников — страны, в которых цифровое развитие идет высокими темпами; в 2024 году самыми атакуемыми стали Таиланд (27%), Вьетнам (21%) и Сингапур (20%).

• Наиболее подверженными кибератакам секторами в регионе являются промышленность (20%), правительственные структуры (19%) и финансы (13%). Картина, отличная от общей по региону, наблюдалась в Сингапуре, где чаще всего атаковали IT-компании (17%). Это обусловлено тем, что Сингапур представляет собой технологический центр всей Азии, постоянно инвестирующий в IT-инфраструктуру и обеспечивающий благоприятную среду для цифровых технологий, бизнеса и стартапов.

• Использование вредоносного ПО остается самым популярным методом кибератак как на организации, так и на частных лиц (61% и 69% соответственно); за ним следуют социальная инженерия (24% и 46%) и эксплуатация уязвимостей (21% и 23%). Среди вредоносных программ, используемых в кибератаках на организации, лидируют шифровальщики (28%) и ВПО для удаленного управления (25%).

• Утечка конфиденциальной информации — наиболее распространенный вид последствий кибератак как на организации (66%), так и на частных лиц (77%). В результате успешных кибератак на организации и частных лиц чаще всего утекали персональные данные (в 34% и 33% успешных атак соответственно).

• Киберпреступники активно продают украденные базы данных и доступы к инфраструктуре на теневых форумах. Стоимость варьируется от 20 до 60 000 долларов в зависимости от объема данных и степени важности инфраструктуры. Преобладающее число объявлений связано с Индонезией (28%) и Таиландом (20%).

• Ландшафт киберугроз для стран — членов АСЕАН предположительно будет расширяться: будет расти число кибератак с возможным смещением их вектора в сторону Филиппин и Сингапура. В реализации кибератак ожидается использование таких ключевых технологических трендов, как искусственный интеллект, IoT и криптовалюта.

• Рекомендации для государства и бизнеса в странах Юго-Восточной Азии связаны с повышением уровня цифровой грамотности людей как наиболее уязвимого звена инфраструктуры, с определением недопустимых событий¹, специфичных для отрасли или отдельной организации, а также с использованием современных функциональных решений по кибербезопасности.

Юго-Восточная Азия — активно развивающийся регион, цифровая экономика которого, по прогнозам, к 2030 году станет четвертой по величине в мире, достигнув примерно 2 трлн долларов. Экономический рост стимулируют развитие цифровой коммерции² и появление информационных сервисов, востребованных у молодого, образованного и активно использующего интернет населения, среди которого увеличивается доля среднего класса.

Большой потенциал цифровой коммерции региона способствует притоку иностранных инвестиций; ключевыми драйверами для инвесторов являются технологии и инновации. В части цифровых возможностей в регионе лидирует Сингапур, занявший в 2024 году четвертое место в Глобальном индексе инноваций (Global Innovation Index).

Юго-Восточная Азия — самый быстрорастущий интернет-рынок в мире, что во многом обусловлено большим глобальным спросом на онлайн-покупки, доступностью смартфонов и высоким уровнем проникновения интернета в регионе: ежедневно в интернет выходят 125 000 новых пользователей стран Юго-Восточной Азии. По уровню проникновения интернета в 2024 году в АСЕАН лидировала Малайзия с показателем свыше 97%, а наименьший уровень (66,5%) оказался у Индонезии, самой густонаселенной страны региона. Быстрыми темпами также развивается инфраструктура мобильных сетей: наиболее высокие показатели проникновения мобильного интернета в мире — у Сингапура, Брунея и Малайзии.

Развитие информационной инфраструктуры региона поддерживается на государственном уровне: страны — члены АСЕАН включили задачи по созданию цифрового правительства в свои национальные стратегии цифровизации. В частности, Сингапур занимает третье место в мире (и первое — в азиатском регионе) в рейтинге уровня развития электронного правительства ООН (E-Government Development Index, EGDI) на 2024 год, набрав большое количество баллов по объему и качеству онлайн-услуг, состоянию телекоммуникационной инфраструктуры и человеческому капиталу.

Страны — члены АСЕАН добились значительных успехов в цифровом развитии: в 2024 году Индонезия, Вьетнам, Филиппины и Бруней перешли из группы с высоким значением EGDI в группу с очень высоким EGDI, что говорит об укреплении цифровой инфраструктуры и расширении возможностей подключения к интернету. Страны с очень высоким значением EGDI характеризуются активным развитием сетей передачи данных, качественной подготовкой квалифицированных специалистов, способных создавать сервисы e-Government, а также высоким качеством предоставляемых онлайн-сервисов. В 2024 году Индонезия расширила программы повышения цифровой грамотности населения, а Вьетнам активно инвестировал в цифровые государственные услуги и поднялся на 15 позиций в EGDI по сравнению с 2023 годом. Бруней использовал передовую информационную инфраструктуру для повышения эффективности работы правительства и качества государственных услуг. Филиппины проводили цифровое преобразование преимущественно в отраслях здравоохранения, образования и финансов, повышая качество предоставления услуг и вовлеченность граждан в их использование.

Растущее геополитическое значение региона, интеграция передовых технологий (искусственный интеллект, облачные вычисления, блокчейн), активное проникновение интернета привлекают внимание злоумышленников, вследствие чего уровень киберпреступности в странах — членах АСЕАН растет. Несмотря на совместные усилия государств в обеспечении кибербезопасности, такие как создание Стратегии сотрудничества в области кибербезопасности АСЕАН на 2021–2025 годы и Региональной группы реагирования на компьютерные чрезвычайные ситуации АСЕАН (ASEAN CERT), число кибератак в регионе растет. По данным исследования FalconFeeds.io, в период с января по август 2024 года в странах Юго-Восточной Азии наблюдался значительный всплеск числа инцидентов. Этому способствуют высокий темп цифровизации, активное проникновение интернета и геополитическая напряженность в регионе. За 6 месяцев 2024 года (с февраля по август) только в Индонезии было зафиксировано в среднем 3300 кибератак в неделю.

По состоянию на 2021–2025 годы, согласно «Генеральному плану АСЕАН в цифровой сфере — 2025» (2021 ASEAN Digital Masterplan 2025), определяющему цифровое сотрудничество между членами АСЕАН, цифровому развитию региона преимущественно мешают следующие долгосрочные проблемы: отсутствие цифровой грамотности среди конечных пользователей, недостаточная кибербезопасность цифровых услуг, отсутствие защиты конечных пользователей.

Несмотря на в целом высокий глобальный индекс кибербезопасности большинства стран региона на 2024 год (Вьетнам, Индонезия, Малайзия, Сингапур, Таиланд — «Образец для подражания», Филиппины — «Прогрессирующий»), число успешных кибератак на АСЕАН выросло по сравнению с 2023-м: за рассматриваемые два года на 2024 год пришлось 67% инцидентов.

В успешных кибератаках на организации преобладали использование ВПО (61%), методы социальной инженерии (24%) и эксплуатация уязвимостей (21%). Аналогичное распределение наблюдалось и в атаках на частных лиц (69%, 46% и 23% соответственно).

В кибератаках на организации злоумышленники чаще всего использовали шифровальщики и ВПО для удаленного управления (42% и 20% соответственно), а частные лица в каждом третьем случае (33%) были атакованы с использованием банковских троянов.

Что касается методов распространения ВПО, в атаках на организации за рассматриваемый период преобладало использование для этих целей электронной почты (47%).

В атаках на частных лиц наблюдается тенденция к использованию QR-кодов, ведущих на мошеннические ресурсы. В 2023 году жительница Сингапура потеряла 20 000 долларов в результате кибератаки с использованием банковского трояна для Android: женщина отсканировала на двери магазина QR-код на стикере, обещавшем бесплатный напиток за прохождение опроса. Для ответа на «опрос» женщина скачала и установила на свой смартфон стороннее приложение, оказавшееся вредоносным: благодаря ему злоумышленники смогли перевести денежные средства на свой счет.

Исследование компании Hoxhunt Challenge показало, что в Китае во второй половине 2023 года число фишинговых атак с использованием QR-кодов увеличилось на 22%, а аналитики Abnormal Security отметили, что почти 90% таких атак направлены на кражу учетных данных. Исследователи из компании Cyble также отмечают увеличение числа кибератак на граждан КНР с использованием QR-кодов в 2024 году, что говорит о тенденции к использованию киберпреступниками этой технологии для загрузки ВПО или перенаправления на вредоносные веб-ресурсы и о возможности распространения такой тенденции на другие азиатские страны, в том числе на страны Юго-Восточной Азии.

Агентство по кибербезопасности Сингапура заметило, что киберпреступники совершенствуют техники и инструменты реализации фишинговых кибератак: они стремятся сделать фишинговые ресурсы еще более похожими на легитимные. Например, более 50% фишинговых URL-адресов, о которых сообщало агентство, использовали более безопасный протокол HTTPS (для сравнения — в 2022 году этот показатель составлял 9%). Почти треть фишинговых сайтов использовали более надежный домен .com вместо .xyz, что примерно на 20% больше, чем в 2022 году.

Чаще всего (в 66% случаев) кибератаки на организации стран — членов АСЕАН приводили к утечке конфиденциальной информации, в основном — персональных данных (34%) и данных, составляющих коммерческую тайну (26%).

В конце 2023 года в результате взлома информационной системы Генеральной избирательной комиссии Индонезии произошла утечка базы данных, содержащей персональные данные множества граждан государства. Объем базы данных составляет 252 327 304 записи; приобрести ее злоумышленник предлагал за 74 000 долларов. Чтобы предоставить доказательства подлинности данных, он поделился образцами записей.

В июле 2024 года логистическая компания Melchers Singapore стала жертвой кибератаки с использованием шифровальщика. В результате взлома было удалено 15 ГБ конфиденциальных данных, включая юридические документы, финансовые записи и деловые контракты.

По результатам анализа данных дарквеба отмечается, что при совершении кибератак на частных лиц злоумышленники часто продавали номера телефонов жертв и номера национальных удостоверений личности.

Прямые финансовые потери не являются преобладающей категорией последствий для организаций Юго-Восточной Азии, однако в денежном эквиваленте ущерб от кибератак значителен. Например, в Брунее в 2023 году общий ущерб только от онлайн-мошенничества составил более 1,7 млн долларов. К июлю 2023 года экономический ущерб от утечек данных в регионе АСЕАН превысил 3 млн долларов, увеличившись с 2,87 млн долларов в 2022 году. Сингапур в первой половине 2024 года потерял более 385,6 млн долларов в результате кибермошенничества.

Согласно отчету IBM «Стоимость утечки данных в 2024 году», самые дорогостоящие утечки произошли в сфере финансовых услуг — 7,48 млн сингапурских долларов, за ними следуют промышленный сектор — 5,62 млн сингапурских долларов и технологический сектор — 5,5 млн сингапурских долларов.

Доля кибератак на организации стран Юго-Восточной Азии за рассматриваемый период составила 92%, на частных лиц пришлось 8% от всех кибератак. В успешных кибератаках на организации чаще всего в качестве объектов выступали компьютеры, серверы и сетевое оборудование (69%); значительно меньшая доля пришлась на людей и веб-ресурсы (21% и 17% соответственно). Больше половины успешных кибератаках на частных лиц (54%) были направлены на мобильные устройства, 46% — на пользователей, и в 23% случаев объектами становились компьютеры, серверы и сетевое оборудование.

Исследование, проведенное ERIA в странах АСЕАН, показало, что только 68,5% компаний малого бизнеса используют программное обеспечение для защиты инфраструктуры от кибератак. При этом особенно уязвимы организации малого и среднего бизнеса, поскольку они обладают ограниченными техническими ресурсами, необходимыми для защиты от киберугроз.

Чаще всего злоумышленники атаковали промышленные организации (20%), государственные учреждения (19%) и финансовые организации (13%).

Статистика по объявлениям на теневых форумах в целом согласуется с данными о кибератаках, однако стоит отметить, что объявления теневых форумов относительно промышленных организаций стран — членов АСЕАН малочисленны, в то время как доля объявлений относительно торговых и финансовых организаций сопоставима (10% и 9% соответственно). Это связано с тем, что финансовые и торговые организации, в отличие от промышленных, хранят большой объем персональных и платежных данных пользователей, которые киберпреступники могут легко монетизировать.

Риск возникновения недопустимых событий в промышленной отрасли связан с возможной приостановкой деятельности производственных объектов, а также с вероятностью технологических катастроф, последствия которых могут быть необратимы.

Наиболее частым последствием кибератак на промышленные организации стран — членов АСЕАН становилась утечка конфиденциальной информации (74%): в 29% случаев к киберпреступникам попадали сведения, составляющие коммерческую тайну, в 21% случаев — персональные данные и в 13% — учетные данные. Так, в августе 2024 года в результате кибератаки на вьетнамскую Nidec Precision Vietnam Corporation, дочернюю компанию японского производителя электродвигателей, злоумышленники получили доступ к серверам, используя скомпрометированные учетные данные VPN, и похитили более 50 000 файлов, включая внутренние документы, контракты и переписку с деловыми партнерами. Продажа VPN-доступов к промышленной инфраструктуре стран — членов АСЕАН нередко наблюдается и на теневых форумах. 

В 74% кибератак на промышленные организации злоумышленники использовали вредоносное ПО, среди которого преобладали шифровальщики (67%). ВПО преимущественно распространялось посредством компрометации компьютеров, серверов и сетевого оборудования.

В результате кибератаки с использованием шифровальщика на филиппинскую строительную компанию Suntrust Properties произошла утечка порядка 1 ТБ данных, включающих конфиденциальные сведения и базы данных SQL. Опубликованные киберпреступниками образцы данных включали идентификаторы сотрудников и клиентов Комиссии по профессиональному регулированию; идентификаторы, выданные правительством (водительские права и полицейские удостоверения личности); юридические документы, такие как договоры о сделках с недвижимостью и формы согласия покупателей; базы данных SQL, содержащие корпоративные данные, связанные со сделками с недвижимостью.

Значимая доля кибератак, реализованных путем эксплуатации уязвимостей (15%) и компрометации учетных данных (7%), может свидетельствовать о недостаточно высоком уровне защищенности промышленной инфраструктуры: некорректных настройках безопасности, использовании устаревших версий программного обеспечения и т. п.

Активно растущий рынок промышленного IoT в Юго-Восточной Азии (его совокупный годовой темп роста прогнозируется на уровне 19,1% в течение 2023–2030 годов), драйверами которого являются правительственные инициативы и инвестиции в технологии индустрии 4.0, может оказывать влияние на ландшафт киберугроз в промышленной отрасли. Как правило, IoT-устройства на практике часто оказываются уязвимым звеном инфраструктуры, вследствие чего они могут быть использованы злоумышленниками в качестве точки проникновения. Проблемы безопасности промышленного IoT могут быть связаны с конечными устройствами (датчиками, промышленными контроллерами), со специфичными протоколами передачи данных и IoT-шлюзами.

Государственные учреждения — важная цель киберпреступников во всем мире, и Юго-Восточная Азия не исключение. Интерес злоумышленников к ним во многом связан с тем, что государственные организации ответственны за управление большими массивами ценной информации, включая персональные данные граждан и сведения государственного значения. Утечка конфиденциальной информации из госучреждений региона происходила в 72% кибератак, а каждая третья атака (28%) приводила к нарушению их основной деятельности. Например, в марте 2024 года сайт Палаты представителей Филиппин подвергся масштабной DDoS-атаке: только в период с 8 до 9 утра число запросов к серверу составило 53 млн, а еще через 7 часов оно превысило 480 млн.

В сентябре 2024 года стало известно о значительной утечке данных двух миллионов человек из Управления социального обеспечения Вьетнама. Украденные данные, включая 12-значные идентификационные номера, были размещены на теневом форуме; стоимость всего набора данных составляла 600 долларов.

Чаще всего злоумышленники получали персональные данные (31%) и данные, составляющие коммерческую тайну (27%). Среди объявлений в дарквебе мы выявили предложения о продаже данных Министерства здравоохранения (Малайзия), Министерства юстиции и прав человека, Агентства по регулированию ядерной энергии (Индонезия), Министерства сельского хозяйства и кооперативов (Таиланд) и другие. Стоимость украденной информации варьировалась в зависимости от ее объема и ценности, в частности для данных Министерства сельского хозяйства и кооперативов Таиланда она составляла 5000 долларов.

Среди методов, используемых злоумышленниками для реализации кибератак на госсектор, преобладало вредоносное ПО (использовалось в 68% успешных кибератак). В 80% случаев для его распространения использовалась электронная почта. Среди категорий вредоносного ПО 33% составило ВПО для удаленного управления (RAT), 29% — загрузчики и 17% — шифровальщики.

Ярким примером инцидента с использованием шифровальщика стала кибератака с помощью программы Brain Cipher, которая вывела из строя сервер Временного национального центра данных Индонезии. Пострадали 210 государственных учреждений, включая иммиграционные службы в международном аэропорту Соэкарно-Хатта; проблемы затронули работу паспортного контроля и выдачу разрешений на проведение мероприятий, а также повлияли на ряд других онлайн-сервисов.

На теневых форумах часто встречаются сведения о взломе государственных информационных сервисов; среди них — электронная система индонезийского Управления по контролю за продуктами и лекарствами (e-BPOM), Электронный информационный портал Народного комитета вьетнамских коммун, Управление по предоставлению услуг в области образования Таиланда. Это подтверждает актуальность проблемы, связанной с недостаточной киберзащищенностью цифровых услуг, обозначенной в цифровом генеральном плане АСЕАН до 2025 года.

Утечка конфиденциальной информации из госучреждений интересна не только финансово мотивированным киберпреступникам, но и тем, кто не ищет денежной выгоды: хактивистам, стремящимся выразить свою политическую или социальную позицию максимально гласно, а также киберпреступникам, желающим продемонстрировать свои возможности. В связи с этим совокупная доля объявлений о продаже и раздаче информации составляет больше половины (58%) от всех объявлений теневых форумов (38% и 29% соответственно). 

Бесплатная раздача данных, украденных у госучреждений, характерна для хактивистов или может являться частью имиджевой кампании киберпреступников.

Реализация недопустимых событий в государственном секторе опасна подрывом доверия граждан к государственным цифровым сервисам и возможной дестабилизацией правительственных структур, что влечет напряженную внутриполитическую обстановку во всем регионе и увеличивает расходы на государственное управление.

Трансформация цифровой экономики региона происходит во многом благодаря активному развитию финтех-сектора. В то время как в 2024 году финансирование отрасли в Северной Америке и Европе сократилось более чем на 35%, в Юго-Восточной Азии сохраняется устойчивость: за первые три квартала года сокращение составило менее 1%.

Более высокая по сравнению с другими отраслями степень цифровизированности финансовых организаций требует от злоумышленников большей изобретательности. В связи с этим и спектр атакуемых объектов финансовых организаций шире, чем для госучреждений: преобладают компьютеры, серверы и сетевое оборудование (39%), затем идут веб-ресурсы, люди и мобильные устройства (по 17%).

Методы кибератак на финансовые организации весьма разнообразны; злоумышленники часто рассчитывают на низкую цифровую грамотность сотрудников и активно используют бреши в защите. Так, в июле 2023 года при реализации кибератаки на вьетнамский банк злоумышленник проник в его инфраструктуру, используя фишинговые письма, DDoS-атаки и вредоносное ПО. Результатом кибератаки стала утечка сведений о сотрудниках банка и потеря примерно 420 000 долларов.

Стремление злоумышленников атаковать финансовые организации отражается и в их активности на теневых форумах: наибольшая доля (21%) всех объявлений дарквеба о покупке баз данных или доступа приходится именно на финансовые учреждения.

В отличие от госучреждений, доля объявлений о раздаче данных финансовых учреждений занимают второе место по популярности — их доля составляет 28%; незначительно уступает доля объявлений о продаже (26%).

Реализация недопустимых событий в финансовом секторе опасна не только нанесением прямого финансового ущерба организациям и частным лицам, но и тем, что хранящиеся персональные данные клиентов банков, страховых компаний и прочих финансовых учреждений при попадании к злоумышленникам станут ценным ресурсом, открывающим возможности для совершения таргетированных кибератак. Так, половина (50%) успешных кибератак на финансовые организации приводили к утечке конфиденциальной информации.

В результате 22% успешных кибератак была нарушена деятельность финансовых организаций. Так, из-за кибератаки на VNDirect, одного из крупнейших вьетнамских брокеров, компании пришлось приостановить торговые операции, что привело не только к финансовым, но и к репутационным потерям.

За 2023–2024 годы по 25% кибератак было направлено на Вьетнам и Таиланд, 20% — на Филиппины, 18% на Сингапур, 13% на Индонезию и 10% — на Малайзию. В 2024 году вектор кибератак сместился в сторону Индонезии, Таиланда и Сингапура.

Высокий уровень киберпреступности в Индонезии может быть связан с недостаточной защищенностью государства, организаций и частных лиц от кибератак вследствие низкого уровня финансирования отрасли кибербезопасности. По данным консалтинговой фирмы Kearney, расходы Индонезии на кибербезопасность в процентах от ВВП (0,02%) являются самыми низкими в Юго-Восточной Азии. Проблемы безопасности усугубляются разрозненностью нормативно-правовой базы страны: в части защиты персональных данных в нормативных документах четко не прописаны механизмы действия в случае утечек данных. В частности, не описаны процессы информирования общественности об утечках, механизмы коммуникации с госорганами, практические шаги для предприятий, потребителей и организаций по внедрению и укреплению кибербезопасности. Вместе с тем, согласно данным компании Check Point, Индонезия является эпицентром АСЕАН по добыче криптовалют, ботнетам, мобильным вредоносным программам и атакам с целью кражи информации.

Причиной роста числа кибератак на организации и частных лиц Таиланда может являться противоречие, состоящее в активной цифровизации ключевых отраслей наряду с недостаточной цифровой грамотностью населения. Согласно данным исследования Thailand Cyber Wellness Index 2024, многие тайцы не знают об опасностях, связанных с атаками шифровальщиков, использованием общественного Wi-Fi и установкой легко подбираемых паролей. Это также подтверждается применением слабых мер по кибербезопасности в организациях, например использованием устаревшего программного обеспечения, отсутствием или некорректной настройкой защитных механизмов. Примечателен и рост числа инцидентов безопасности, связанных с серверами, расположенными в Таиланде (более чем на 203% за Q2 2024 по сравнению с Q2 2023).

В случае с Сингапуром причиной такого роста могли стать неоднократные инциденты с выплатой денежных средств вымогателям (отмечается, что на это пошли 64% атакованных шифровальщиками сингапурских компаний). Готовность организаций платить за получение своих данных могла стимулировать киберпреступников массово атаковать регион с использованием шифровальщиков в надежде получить финансовую выгоду. Так, в апреле 2024 года сингапурский филиал юридической фирмы Shook Lin & Bok подвергся атаке вымогателей и заплатил им 21,07 биткоина за три транзакции. На момент оплаты сумма была эквивалентна примерно 1,4 млн долларов. По данным исследования компании Cohesity, специализирующейся на защите данных, 36% сингапурских компаний, заплативших выкуп, потратили на это не менее 500 000 долларов.

На теневых форумах наибольшая часть объявлений (20% от всех объявлений по странам — членам АСЕАН) связана с Индонезией. Это объясняется тем, что недостаточная финансовая и нормативная поддержка защищенности организаций и цифровых сервисов Индонезии от киберугроз приводят к большому числу утечек данных.

В тройку лидеров по числу объявлений на теневых форумах за весь рассматриваемый период также вошли Таиланд и Вьетнам с показателями, несколько уступающими Индонезии (22% и 17% соответственно). Отметим, что на протяжении 2023 года было велико число объявлений относительно Малайзии, хотя в Q2 2024 оно стало уменьшаться. За весь рассматриваемый период Малайзия заняла четвертое место по числу объявлений на теневых форумах (15%), незначительно уступив Вьетнаму.

Большое число объявлений относительно Малайзии может быть связано с тем, что уровень утечек в стране долгое время оставался крайне высок, и киберпреступники стремились получить финансовую выгоду, продавая утекшие данные в дарквебе. По данным нидерландской компании по кибербезопасности Surfshark, в Малайзии в среднем на 100 человек приходится в среднем 152 взломанных учетных записи, в то время как в среднем по азиатскому региону этот показатель составляет 55 взломанных учетных записей. Исследователи компании поставили Малайзию на четвертое место в Юго-Восточной Азии и на 31-е место в мире по количеству взломанных учетных записей.

Ключевое влияние на формирование ландшафта киберугроз в Юго-Восточной Азии оказывают наиболее атакуемые страны, по совместительству — страны с развитой цифровой экономикой и информационной инфраструктурой. Кратко рассмотрим ландшафт киберугроз каждой из шести наиболее атакуемых стран, сосредоточившись на тройках лидеров по атакуемым отраслям и на ключевых категориях последствий кибератак.

Помимо большого числа утечек конфиденциальной информации вследствие кибератак, для Малайзии также отмечается большое число случаев онлайн-мошенничества: в 2023 году было зафиксировано 34 495 таких инцидентов, что почти вдвое больше показателя за 2019 год (17 668 случаев). По данным исследования IDC, более половины (54%) малайзийских организаций называет фишинговые атаки ключевой проблемой безопасности; также отмечаются атаки шифровальщиков, незакрытые уязвимости и атаки на IoT-устройства.

В большей степени за рассматриваемый период в Малайзии пострадали промышленные компании (31%), финансовые организации и госучреждения (по 23%). Промышленный сектор (в частности, производство полупроводников, бытовой электроники и электронных компонентов), является краеугольным камнем экономического ландшафта Малайзии, а наблюдаемые тенденции в развитии промышленности связаны с использованием автоматизации, а также трендовых технологий IoT и искусственного интеллекта. Использование IoT может являться причиной высокой доли успешных кибератак на промышленные организации.

По нашим данным, в успешных кибератаках на организации Малайзии злоумышленники чаще всего (в 85% случаев) использовали ВПО, преимущественно шифровальщики, и методы социальной инженерии (в 23% случаев). Среди громких инцидентов с использованием шифровальщиков — кибератака 2024 года на BIG Pharmacy, ведущую розничную аптечную сеть в Малайзии. Злоумышленниками было похищено около 50 ГБ конфиденциальных данных, включающих отчеты клинических лабораторий, медицинские справки, рецепты и счета, что серьезно угрожает конфиденциальности пациентов.

Нередко для распространения шифровальщиков использовались фишинговые электронные письма. Атаке программы-вымогателя подверглась Малайзийская финансовая корпорация по развитию промышленности, и в своем заявлении организация подчеркнула, что обращаться к неустановленным и незапрашиваемым источникам опасно. Это косвенно может говорить о том, что киберпреступники использовали методы социальной инженерии.

Высокая доля успешных кибератак с использованием шифровальщиков отчасти объясняет преобладающую для Малайзии категорию последствий — утечку конфиденциальной информации (в 77% случаев). Один из крупнейших инцидентов 2024 года затронул малайзийскую телекоммуникационную компанию Telekom Malaysia: помимо 20 млн записей о пользователях, содержащих номера национального идентификатора, адреса, сведения о семейном положении и религиозных убеждениях, к злоумышленникам, предположительно, попала техническая документация, включающая описание структуры, дизайна и функциональности системы базы данных клиентов компании.

Ситуация с нормативно-правовой базой в Малайзии выглядит в целом оптимистично: законопроекты и акты в сфере кибербезопасности регулярно обновляются. Так, 26 августа 2024 года в стране вступил в силу законопроект Cyber Security Act 2024. Он регламентирует требования по соблюдению конкретных стандартов, мер и процессов при урегулировании инцидентов кибербезопасности для организаций, относящихся к одиннадцати секторам национальной критической информационной инфраструктуры. Нормативные меры отчасти могут влиять на снижение числа утечек конфиденциальной информации, что заметно для Малайзии, начиная с Q2 2024. Однако обеспечение кибербезопасности на уровне страны — глобальная задача, требующая принятия комплекса взаимосвязанных мер и решений, ключевое среди которых — повышение цифровой грамотности жителей государства. Правительство Малайзии подчеркивает нехватку квалифицированных специалистов по кибербезопасности в регионе, а также планирует внедрить несколько программ по развитию талантов в области кибербезопасности и привлечению экспертов в страну.

Помимо недостаточного финансирования кибербезопасности и разрозненности нормативно-правовой базы, цифровизация Индонезии происходит в условиях низкого уровня готовности организаций к защите своих информационных систем и данных от киберугроз. Согласно Cisco Cybersecurity Readiness Index⁵, только 12% опрошенных индонезийских организаций отнесены к наивысшей — «зрелой» — стадии готовности, в то время как почти половина (47%) организаций находится на «формирующейся» стадии.

Наибольшая доля успешных кибератак (31%) за рассматриваемый период пришлась на промышленные организации Индонезии; за ними следуют госучреждения и финансовые организации (по 23%).

Промышленный сектор страны претерпевает цифровую трансформацию, в ходе которой активно используются IoT-решения для автоматизации производственной деятельности. Интеграция IoT-устройств в инфраструктуру промышленных компаний может расширять поверхность атаки и увеличивать риск реализации недопустимых событий.

Как и в остальных странах Юго-Восточной Азии, в Индонезии среди методов в успешных кибератаках на организации преобладало использование ВПО (77%). Более чем в половине случаев (55%) при реализации кибератак использовались шифровальщики; следующей по популярности категорией стало ПО для удаленного управления (18%). В конце ноября 2024 года от атаки шифровальщика пострадала промышленная компания Fuji Electric Indonesia. Из строя было выведено несколько персональных компьютеров и серверов в локальной сети компании; вместе с тем, по словам представителей Fuji Electric, могла быть раскрыта конфиденциальная информация о бизнес-партнерах компании. А на самый конец 2024 года пришлись атаки шифровальщиков на цифровой банковский сервис LINE Bank, нефтегазовую компанию Индонезии PT Pertamina и один из крупнейших коммерческих банков региона Bank Rakyat Indonesia.

Преобладающей категорией последствий для организаций Индонезии стала утечка конфиденциальных данных — ее доля составила 62%; за ней следует нарушение основной деятельности с долей 23%. Так, в феврале 2024 года кибератака (предположительно реализованная с использованием шифровальщика) затронула индонезийскую площадку международной компании Varta, производящей аккумуляторы для мирового автомобильного, промышленного и потребительского рынков. В целях безопасности компания приостановила работу IT-систем и отключила их от интернета, что привело к сбою в производстве и административных процессах.

Стремительное развитие цифровых технологий в Индонезии требует принятия усиленных мер по повышению уровня кибербезопасности. В частности, использование генеративного искусственного интеллекта в кибератаках может привести к увеличению случаев финансового мошенничества.

Высокая доля кибератак на регион может быть связана не только с его цифровизацией, но и с геополитическими причинами. Так, исследователи компании Resecurity отметили скачок вредоносной киберактивности (на 325%) на Филиппинах в первые месяцы 2024 года и приписали это хактивистским группировкам, которые пытаются подорвать доверие к правительственным учреждениям.

Доля кибератак на госучреждения в регионе крайне высока — она составляет 38% среди всех успешных киберинцидентов. Среди атакованных филиппинских государственных организаций — Статистическое управление Филиппин, Департамент науки и технологий, а также сайты Сената и Палаты представителей, Отдел по снижению и управлению рисками стихийных бедствий Департамента информационных и коммуникационных технологий, Управление огнестрельного оружия и взрывчатых веществ филиппинской национальной полиции, Министерство энергетики Филиппин и др.

Среди методов кибератак преобладали использование вредоносного ПО (55%) и эксплуатация уязвимостей (34%). Так, после обнаружения бреши в системе безопасности Филиппинская национальная полиция была вынуждена приостановить работу всех онлайн-сервисов по выдаче лицензий и разрешений на оружие, поскольку в результате взлома пострадала база данных Управления огнестрельного оружия и взрывчатых веществ.

Преобладающей категорией последствий, как и для всего южноазиатского региона в целом, стала утечка конфиденциальной информации (55%). Чаще всего (в 32% случаев) к злоумышленникам попадали персональные данные граждан. Согласно статистике утечек данных компании Surfshark, за первое полугодие 2024 года на Филиппинах произошло более 385 000 утечек данных.

Сингапур имеет один из самых высоких уровней цифровизации в Юго-Восточной Азии. Благодаря государственным программам, таким как Smart Nation Initiative, он добился оцифровки государственных услуг, предоставив гражданам онлайн-доступ к многочисленным государственным сервисам. Кроме того, Сингапур, являющийся деловым центром Юго-Восточной Азии, служит региональной штаб-квартирой примерно для 4200 многонациональных компаний. Высокая концентрация региональных и иностранных конгломератов и высокий уровень цифровизации в совокупности с готовностью сингапурских организаций платить выкуп киберпреступникам сделали регион одним из наиболее атакуемых на 2024 год.

По сравнению с остальными тремя наиболее атакуемыми странами региона, картина по категориям жертв в Сингапуре отличается. Государство превращается в глобальный технологический центр, на территории которого расположено огромное число технологических гигантов, поэтому IT-компании (17%) занимают первое место среди категорий жертв кибератак; за ней следуют промышленные компании (13%).

Атаки на IT-компании, как правило, связаны с желанием злоумышленников заполучить ценную конфиденциальную информацию о новейших технологических решениях, идеях и секретах разработки или со стремлением использовать инфраструктуру IT-компании как входную точку для реализации атак на всех ее клиентов. Например, взлом системы IT-поставщика Ezynetic в июле 2024 года позволил злоумышленникам скомпрометировать персональную информацию около 128 000 заемщиков, связанных с дюжиной лицензированных кредиторов.

Реализация кибератак на организации путем эксплуатации уязвимостей (38%) по частоте оказалась на втором месте после атак с использованием вредоносного ПО (54%). Предположительно, это связано с высокой степенью цифровизации региона при недостаточной защищенности информационных систем и сервисов. По данным агентства кибербезопасности Сингапура, еще в 2023 году многие системы были скомпрометированы устаревшими вредоносными программами, которые легко обнаруживались антивирусным ПО.

Кибератакам нередко подвергаются криптовалютные организации. Так, в сентябре 2024 года в результате взлома горячего кошелька⁶ сингапурская криптобиржа BingX потеряла более 44 млн долларов в результате кибератаки. В число пострадавших блокчейнов вошли Ethereum (ETH), Binance Smart Chain (BNB), Base (BASE), Optimism (OP), Polygon (POLYGON), Arbitrum (ARB) и Avalanche (Avalanche).

В 58% случаев последствием кибератак становилась утечка конфиденциальной информации. Только в государственном секторе, по данным Министерства цифрового развития и информации, за 2023 год число случаев утечки данных выросло на 10 п. п. по сравнению с 2022 годом. Министерство предполагает, что это связано с увеличением количества цифровых услуг.

Развитие цифровой индустрии Вьетнама происходит на основе стремления к самообеспечению⁷, в том числе в области информационно-коммуникационных технологий, и усиления международного сотрудничества в области кибербезопасности. В 2022 и 2023 годах Вьетнам обладал самой быстрорастущей цифровой экономикой в АСЕАН; прогнозируется сохранение этой позиции как минимум до 2025 года. Цифровое развитие охватывает и область кибербезопасности: к 2030 году Вьетнам стремится стать одним из ведущих центров по обеспечению информационной безопасности и кибербезопасности в Азии.

По данным системы Viettel Threat Intelligence, в первой половине 2024 года во Вьетнаме наблюдался рост числа угроз кибербезопасности. Эта тенденция продолжилась и во втором полугодии: в частности, в регионе увеличилось количество кибератак на организации — за рассматриваемый период их доля составила 92%, 8% пришлось на частных лиц. Чаще всего с киберугрозами сталкивались финансовые и государственные организации Вьетнама (26% и 23% соответственно).

Чаще всего злоумышленники атаковали организации Вьетнама с использованием вредоносного ПО (84%) и методов социальной инженерии (39%). В регионе продолжается рост числа кибератак с использованием шифровальщиков: только в 2023 году в государстве было зарегистрировано почти на 10% больше таких инцидентов, чем в 2022 году. По данным на июнь 2024-го, Вьетнам входит в десятку стран мира, в наибольшей степени пострадавших от кибератак с использованием шифровальщиков: он занимает 3-е место, уступая Израилю и Южной Корее.

Преобладающей категорией последствий кибератак, как и во всей Юго-Восточной Азии, во Вьетнаме стала утечка конфиденциальной информации (в 68% успешных кибератак). Чаще всего киберпреступников интересовали данные, составляющие коммерческую тайну (25%), и учетные данные (21%), реже — персональные данные граждан (18%). За первое полугодие 2024 года объем данных, зашифрованных в результате кибератак на вьетнамские организации, достиг 3 ТБ, а общий предполагаемый ущерб превысил 10 млн долларов США. Компания по кибербезопасности Viettel сообщила о 46 случаях утечки данных и продаже 13 млн записей, включая более 12,3 ГБ исходного кода, в первой половине 2024 года. Утечки исходного кода программного обеспечения и конфиденциальной информации о разрабатываемых продуктах — мировой тренд первого полугодия 2024 года. По Вьетнаму также отмечается, что за этот период число украденных записей с личной информацией на 50% больше, чем за аналогичный период 2023 года.

Таиланд может стать второй по величине цифровой экономикой в Юго-Восточной Азии: ожидается, что к 2030 году его валовая стоимость товара достигнет 100–165 миллиардов долларов США.

По сравнению с 2023 годом доля успешных кибератак, пришедшихся на Таиланд, выросла на 6 п. п. Лидирующими категориями жертв стали промышленные (21%) и финансовые (15%) организации. Промышленность — одна из наиболее цифровизируемых отраслей в Таиланде, что приводит к увеличению подключенных устройств и, как следствие, к расширению поверхности атаки из-за ряда актуальных проблем безопасности промышленного IoT. Финансовые организации — популярная во всем мире мишень для киберпреступников в силу их значимой роли в экономике всего государства. Кроме того, среди стран региона Таиланд занимает второе место (после Сингапура) по числу финансовых организаций, к чьим активам можно получить доступ через интернет.

За первое полугодие 2024 года именно в Таиланде зафиксировано наибольшее количество финансовых фишинговых атак (141 258); по этому показателю государство значительно опережает занявшую второе место Индонезию (48 439 кибератак).

На первом месте среди используемых методов кибератак в регионе, как и в других странах — членах АСЕАН, остается вредоносное ПО (59%), а второе место занимают кибератаки, реализованные путем эксплуатации уязвимостей (29%), что может говорить о недостаточной защищенности цифровых систем и сервисов, связанной, например, с использованием устаревших версий ПО.

Тайская промышленная компания Daikin Industries, один из ключевых игроков в индустрии кондиционирования воздуха, подверглась кибератаке с использованием шифровальщика. Обнаруженная в ноябре 2024 года утечка составила около 838 ГБ конфиденциальных данных.

В 62% случаев в результате кибератак на организации и частных лиц в Таиланде происходила утечка конфиденциальной информации, среди которой преобладали персональные данные (58%). По данным Statista, в третьем квартале 2024 года в Таиланде было зафиксировано более 690 000 утечек данных против примерно 166 000 в том же квартале предыдущего года.

Предположения об актуальных киберугрозах базируются на совокупности различных факторов, таких как текущий и ожидаемый уровни цифрового развития региона, значимые геополитические аспекты и грядущие крупные события, нормативную базу, тенденции недавних киберинцидентов в регионе, а также данные теневого рынка.

Следует ожидать продолжения тенденции к увеличению числа кибератак на страны Юго-Восточной Азии. Этому способствует активная цифровизация региона, сопровождающаяся переносом операционной деятельности организаций в киберсреду и оцифровкой больших массивов чувствительных данных, кража и последующая монетизация которых — цель финансово мотивированных киберпреступников. Скорость повышения цифровой грамотности населения может варьироваться, но в основном она ниже скорости цифровизации, вследствие чего технологическое развитие региона происходит в условиях относительно невысокого уровня осведомленности населения о киберугрозах и способах противостояния им. Причина такого отставания — недостаточно эффективные государственные меры по повышению киберграмотности населения, а также не налаженное взаимодействие между государством и бизнесом, которое могло бы обеспечить подкрепление теоретических основ отработкой сценариев противодействия киберугрозам на практике.

Предполагается, что топ-6 атакуемых стран региона останется прежним, со смещением в Q1–Q2 2025 фокуса на Филиппины в силу грядущих президентских выборов и активной деятельности хактивистских группировок.

Филиппины и Сингапур в целом представляют особенный интерес для злоумышленников, так как в них легально используется криптовалюта. Учитывая, что блокчейн и цифровые активы — один из мировых технологических трендов 2025 года, следует ожидать, что в этих странах будет наблюдаться рост числа кибератак на держателей криптовалюты, в частности с использованием новых схем обмана пользователей и эксплуатации уязвимостей в информационных системах, связанных с операциями над цифровыми валютами, а также в новых платформенных решениях. Сингапур вместе с тем привлекателен для злоумышленников как место высокой концентрации IT-компаний, а также с точки зрения высокой платежеспособности организаций, о чем свидетельствует серия случаев с уплатой выкупа после атак шифровальщиков.

Индонезия, скорее всего, останется частой мишенью для киберпреступников: разрозненная нормативно-правовая база, малые бюджеты на кибербезопасность, низкий уровень цифровой грамотности населения в сочетании со слабыми мерами защиты инфраструктуры не обеспечивают достаточной защищенности.

Тройка наиболее атакуемых отраслей в Юго-Восточной Азии (госучреждения, финансовые и промышленные организации) предположительно останется прежней: злоумышленников привлекает возможность доступа к большим массивам конфиденциальной информации, кража которых может быть монетизирована на теневых ресурсах. По данным Shadowserver Foundation, для Индонезии и Сингапура в большей степени, чем для остальных стран — членов АСЕАН, характерны киберугрозы, связанные с использованием трендовой технологии — IoT. Как показывает практика, использование подключенных устройств расширяет поверхность атак, вследствие чего киберугрозы цифровым промышленным системам не теряют актуальности.

Отметим, что отраслевые картины киберугроз по странам могут несколько отличаться от региональной. Так, для Сингапура как для технологического центра Юго-Восточной Азии предполагается, что в топ-3 атакуемых отраслей останутся IT-компании. В условиях цифровой трансформации и создания цифровых сервисов степень влияния IT-компаний на операционную деятельность организаций других отраслей возрастает, что увеличивает риск атак на цепочку поставок (supply chain).

Изменений в распределении методов кибератак не ожидается: вредоносное ПО, преимущественно шифровальщики, останется лидирующим методом реализации кибератак для всего региона. Невысокий уровень цифровой грамотности населения Юго-Восточной Азии и недостаток специалистов по кибербезопасности в совокупности с широким распространением IoT и большим числом незакрытых уязвимостей демонстрирует, что причин для снижения доли таких атак нет.

Предположительно, кибератаки, в которых используются методы социальной инженерии, останутся на втором месте. Организациям и частным лицам следует ожидать появления новых схем обмана, в том числе с использованием искусственного интеллекта — одного из ключевых технологических трендов. Использование генеративного искусственного интеллекта для реализации кибератак в целом характерно для Азиатско-Тихоокеанского региона. Только за 2022–2023 годы число случаев использования дипфейков в этом регионе выросло на 1530% — это второй показатель в мире после Северной Америки. При этом Вьетнам лидирует по числу использования дипфейков с целью мошенничества (в 23,5% случаев), а на Филиппинах зафиксирован самый высокий уровень роста числа использования дипфейков (на 4500%).

Ожидается, что преобладающей категорией последствий для стран — членов АСЕАН останутся утечки конфиденциальной информации. Об этом говорит продолжающаяся тенденция к использованию шифровальщиков, низкая устойчивость организаций и частных лиц региона к атакам с использованием методов социальной инженерии, а также преимущественное отсутствие в странах Юго-Восточной Азии методологии скоординированного обеспечения безопасности, направленной на защиту чувствительных данных.

Правительства большинства стран — членов АСЕАН намерены уделять больше внимания и ресурсов кибербезопасности; в частности, в Малайзии для обеспечения скоординированной защиты от киберугроз планируется создать комиссию по кибербезопасности и обновить законы о защите персональных данных. Однако принятие правительственных мер, как правило, требует временных затрат, так что тенденция к росту числа утечек, скорее всего, сохранится в течение следующего года. 

Страны Юго-Восточной Азии активно реализуют цифровую трансформацию своей экономики и ключевых отраслей деятельности, вполне успешно отвечая на технологические и инновационные вызовы. Барьером к достижению регионом цифрового лидерства являются проблемы кибербезопасности, противостоять которым необходимо на внутри- и межгосударственном уровне. В числе ключевых проблем — недостаточная защищенность цифровых услуг и низкая киберграмотность пользователей.

Для достижения цифрового лидерства и преодоления барьеров в регионе внедрены стратегии сотрудничества в области кибербезопасности АСЕАН на 2021–2025 годы, создана региональная группа реагирования на компьютерные чрезвычайные ситуации АСЕАН. Эти меры призваны нивелировать технологические различия между государствами: например, в Сингапуре применяются передовые средства защиты критической инфраструктуры, включая промышленные системы управления (ICS), в то время как многие менее развитые страны АСЕАН не имеют подобных средств защиты. Стратегии сотрудничества поощряют масштабируемые, экономически эффективные подходы, которые способствуют распространению передового опыта в части противостояния киберугрозам во всех странах региона.

Обновление правительственных инициатив в части кибербезопасности, межгосударственное сотрудничество и повышение цифровой грамотности населения, особенно занятого в организациях наиболее атакуемых отраслей, — ключевые направления, которые позволят странам Юго-Восточной Азии повысить уровень кибербезопасности региона и успешно преодолеть имеющиеся барьеры развития.

Для государств Юго-Восточной Азии характерен подход к локализации данных, состоящий в реализации законодательных мер, обязывающих цифровые сервисы хранить данные пользователей на серверах на территории этих государств.

Нормативно-правовая база в странах — членах АСЕАН значительно различается в зависимости от приоритетов каждой из них. Например, Вьетнам делает акцент на национальной безопасности, а Филиппины приоритизируют бизнес-процессы, минимально ограничивая трансграничную передачу данных. Эти различия осложняют процесс гармонизации цифровой политики и замедляют технологическое развитие всего региона. Совместные усилия государств в обеспечении безопасного трансграничного обмена данными в соответствии с согласованными стандартами позволит региону преодолеть вышеуказанные проблемы.

Необходимы эффективные механизмы сотрудничества между странами, особенно в части обеспечения кибербезопасности: обмен данными о киберугрозах, совместные киберучения, обмен опытом. Вместе с тем на уровне каждого отдельно взятого государства рекомендуется уделять внимание совершенствованию механизмов по взаимодействию с национальными и отраслевыми центрами по реагированию на киберинциденты.

Государства должны определить перечень недопустимых событий, сосредоточив внимание, во-первых, на критически важных отраслях деятельности, таких как энергетика, транспорт, телекоммуникации, а во-вторых — на наиболее часто атакуемых отраслях, имеющих существенные пробелы в защите. Например, в Брунее в настоящее время не существует законодательных требований в отношении безопасности финансовых организаций, в то время как отрасль финансов занимает второе место по атакуемости в регионе.

Активное проникновение интернета во всех странах Юго-Восточной Азии должно сопровождаться повышением уровня киберграмотности населения при государственной поддержке. Необходима реализация кампаний по информированию людей всех возрастов об актуальных киберугрозах и возможных действиях злоумышленников.

Для реализации таких рычагов управления безопасностью необходимо также наращивать кадровый потенциал в регионе: запускать и развивать образовательные программы в учебных заведениях, расширять штаб специалистов по ИБ.

В условиях непрекращающегося роста числа кибератак для организаций на первый план выходит необходимость в обеспечении киберустойчивости. Для достижения этой цели в первую очередь организации нужно определить критически важные активы, которые могут быть основной целью злоумышленников и повреждение которых может привести к реализации недопустимых для нее событий, систематизировать недопустимые события и выработать стратегию их предотвращения, включающую организационно-технические меры по защите.

Для своевременного обнаружения киберугроз и принятия ответных мер необходимо интегрировать современные средства обеспечения безопасности с информационной инфраструктурой организации. Для организаций крупного и среднего бизнеса рекомендуется использовать решения класса SIEM, обеспечивающие сбор и анализ событий безопасности из различных источников. Использование SIEM-систем в совокупности с решениями класса XDR, обеспечивающими централизованное обнаружение киберугроз и реагирование на них, и NTA-решений, выполняющих анализ сетевого трафика, позволит существенно повысить уровень защищенности организации от киберугроз за счет их обнаружения на ранней стадии и обеспечении оперативного реагирования на них.

Человек — уязвимое звено инфраструктуры, а с учетом усложнения методов социальной инженерии, используемых в кибератаках, риск стать жертвой злоумышленников повышается.

Для противодействия киберугрозам, направленным на эксплуатацию человеческого фактора, рекомендуется проводить регулярное обучение и тренинги по повышению уровня киберграмотности сотрудников, в том числе с использованием практических киберполигонов для отработки реальных сценариев киберугроз, максимально приближенных к специфике деятельности компании. Такие киберполигоны могут различаться в зависимости от целевой аудитории (студенты или представители бизнеса). Например, Азиатско-Тихоокеанский университет технологий и инноваций в Малайзии использует киберполигон для обучения студентов, как и Международный исламский университет. Инвестиции в цифровую грамотность сотрудников позволят укрепить защиту компании от киберугроз.

Данные и выводы, представленные в этом отчете, основаны на собственной экспертизе Positive Technologies, а также анализе общедоступных ресурсов, включая публикации правительственных и международных организаций, научно-исследовательские работы и отраслевые доклады.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В нашем отчете каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько атак. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.