Киберугрозы в государственном секторе

Государственный сектор играет ключевую роль в функционировании и развитии общества, обеспечивая гражданам доступ к важнейшим услугам, таким как здравоохранение, образование, безопасность и социальная защита, а также выполняя функции регулирования, инфраструктурного развития и поддержки бизнеса. В современном мире государственные учреждения также ответственны за управление огромными массивами данных, включая личную информацию граждан, финансовые записи и стратегическую информацию, важную для национальной безопасности.

Для адаптации в цифровой эре и использования ее преимуществ для максимального повышения эффективности работы государственный сектор многих стран проходит цифровую трансформацию. В 2022 году почти все страны (29 из 30 государств) Организации экономического сотрудничества и развития сообщали о том, что они ведут разработку и внедрение национальных стратегий цифрового правительства. В Европе, согласно стратегической программе цифрового десятилетия, к 2030 году стоит цель сделать доступными онлайн все основные государственные услуги и дать доступ к цифровому удостоверению личности всем гражданам. В России к 2030 году планируется, что 100% сотрудников органов исполнительной власти будут использовать государственные коммуникационные сервисы в своей работе, все государственные услуги будут предоставляться с возможностью получения результата онлайн, а 90% обязательных отчетных документов будет собираться и храниться в электронном виде.

Чем выше уровень цифрового развития, тем больше государство зависит от технологий. Не всегда высокий темп технологического прогресса сопровождается соответствующим темпом укрепления кибербезопасности. Такие киберугрозы, как кибершпионаж, хактивизм, а также кибератаки с целью вымогательства или нарушения функционирования, представляют серьезную угрозу для государственного сектора. Злоумышленники, будь то одиночки, организованные преступные группировки или хактивисты, стремятся получить доступ к конфиденциальной информации, нарушить работу государственных систем и извлечь из этого экономические, политические или стратегические выгоды.

Большой объем данных, аккумулируемых в государственных информационных системах, и критическая значимость государственных функций делают госсектор наиболее частой мишенью киберпреступников: наши данные показывают, что на протяжении последних шести лет госсектор — первый по доле успешных кибератак. Среди всех успешных атак на организации в 2023 году 15% пришлось именно на государственный сектор. В первом полугодии 2024 года тенденция сохраняется, и этот показатель составляет 14%.

В исследовании представлен ландшафт актуальных киберугроз для государственного сектора, основанный на данных об успешных кибератаках с 2022 года по первое полугодие 2024 года. В ходе исследования теневого рынка мы проанализировали 213 источников, среди которых телеграм-каналы и форумы в дарквебе с общим количеством пользователей более 38 млн и общим числом сообщений более 155 млн. В выборку попали крупнейшие площадки на разных языках с разнообразной тематической направленностью. Для анализа рынка доступов были рассмотрены объявления, опубликованные в 2023–2024 годах.

В исследовании мы рассмотрим, как действуют злоумышленники и с какими последствиями сталкиваются госучреждения, какую роль играет теневой рынок, почему государственный сектор остается лидером по числу инцидентов, какие события можно считать недопустимыми¹ для государственных организаций и как не допустить их реализации.

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников. В отчете каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как единичная, а не как несколько атак. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

Наиболее популярными объектами у атакующих за весь рассматриваемый период были компьютеры, серверы и сетевое оборудование: на них было направлено 80% успешных атак.

В государственных учреждениях работает многочисленный персонал, который также подвержен атакам злоумышленников: почти в половине инцидентов (47%) злоумышленники использовали слабости человеческого фактора и методы социальной инженерии. Причем люди все чаще становятся объектами атак: количество инцидентов выросло с 43% в первом полугодии 2023 года до 49% во втором полугодии и до 57% в первом полугодии 2024 года.

Веб-ресурсы становились объектами злоумышленников в 36% успешных атак. В условиях напряженной геополитической обстановки угроза атак со стороны хактивистов сильно выросла. Их излюбленными методами являются массированные DDoS-атаки, дефейс сайтов, которые мы подробнее рассмотрим далее.

Наиболее распространенный способ, которым пользуются злоумышленники, — это использование вредоносного ПО. Более половины успешных атак (56%) были осуществлены с его помощью, и популярность этого метода только растет (48% инцидентов с использованием ВПО в 2022 году, 57% — в 2023-м и 68% в первом полугодии 2024-го).

В атаках с использованием ВПО последствия разрушительны и приводят к серьезным нарушениям работы и утечкам. В апреле 2023 года атака вымогателей Royal на компьютерные серверы администрации города Даллас вызвала отказ систем полиции, судов, службы 911, онлайн-оплаты счетов и публичных библиотек. В результате утечки атакующие получили доступ к 1,2 ТБ конфиденциальных данных более 26 000 человек.

Одной из основных причин, почему ВПО так часто используется в атаках, является простота и эффективность его использования. Множество видов ВПО включает в себя автоматизированные инструменты для выполнения различных вредоносных действий, таких как удаленное выполнение кода, перемещение внутри периметра, шифрование и кража данных. Это позволяет злоумышленникам минимизировать свои усилия и сосредоточиться на планировании и координации атак, разработке целевых фишинговых кампаний и использовании украденных данных.

Вторым важным фактором является активный теневой рынок, который содержит как предложения о продаже и аренде готового ВПО, так и о его разработке под заказ. В нашем исследовании вредоносного ПО мы рассказали о том, что на теневых площадках цена на вредоносное ПО начинается с 50 долларов и доходит до 80 000 долларов за программу. В продаже имеются как простые стилеры, так и сложные многофункциональные загрузчики и шпионское ПО под заказ. Доступность и разнообразие позволяет каждому злоумышленнику найти инструмент, который наилучшим образом соответствует его целям и финансовым возможностям, а также дает низкий порог входа для начинающих атакующих.

Шифровальщики (или англ. ransomware) из года в год становятся наиболее популярным типом вредоносного ПО в атаках на госучреждения. Однако наблюдается положительный тренд на снижение этой популярности: доля успешных атак вымогателей в первом полугодии 2024 года составила 43%, что на 4 п. п. меньше показателя 2023 года и на 14 п. п. меньше показателя 2022 года. Кроме того, атаки вымогателей менее распространены в государственном секторе, чем в других отраслях. За весь рассматриваемый период шифровальщики использовались почти в половине случаев (49%) кибератак с использованием ВПО на государственный сектор, что меньше аналогичного показателя для медицинской, промышленной, финансовой и других отраслей. Основные факторы, повлиявшие на это — прекращение деятельности крупных преступных группировок и утечка исходного кода популярных инструментов. Также многие страны на законодательном уровне принимают решение не платить выкуп вымогателям, что делает госучреждения непривлекательной целью для злоумышленников, мотивированных финансовой выгодой. Эта практика показывает свою эффективность, поэтому рекомендуется на государственном уровне вводить запрет на выплату выкупа, чтобы снижать развитие атак шифровальщиков.

Несмотря на то что госучреждения с наименьшей вероятностью удовлетворят требования преступников о выкупе, они все равно остаются под прицелом злоумышленников, но не столько для получения финансовой выгоды, сколько для нарушения работы организации, уничтожения и кражи данных.

В 2022 году активная деятельность группировки Conti привела к масштабным разрушениям. Одним из самых значительных инцидентов, приписываемых шифровальщику Conti, стала атака на правительство Коста-Рики в апреле 2022 года. Злоумышленники взломали сети нескольких ведомств страны — Минфина, Министерства науки, инноваций и технологий и других. Хакеры потребовали от правительства страны выкуп в размере 20 миллионов долларов, но правительство объявило, что платить злоумышленникам не намерено. Президент Коста-Рики объявил о введении чрезвычайного положения. Это стало первым в мире прецедентом, когда чрезвычайное положение в стране ввели из-за кибератак. Другой известной жертвой шифровальщика Conti стало Шотландское агентство по охране окружающей среды (SEPA), у которого на восстановление после атаки ушло больше года. В 2022 году сообщалось о прекращении деятельности группировки.

Другой популярный шифровальщик Lockbit продолжает использоваться злоумышленниками, он привел к нарушениям работы и утечкам в государственных учреждениях и в 2024 году. В феврале этого года в результате кибератаки на профсоюз работников штата Калифорния была нарушена работа сети и украдено около 306 ГБ персональных данных, содержащих номера социального страхования и домашние адреса граждан.

В то время как популярность шифровальщиков постепенно снижается, злоумышленники все чаще используют вредоносное ПО для удаленного управления. В первом полугодии 2024 года доля успешных атак с использованием троянов удаленного доступа составила 37%, что на 4 п. п. больше показателя 2023 года и на 8 п. п. больше показателя 2022 года. Такие вредоносные программы могут использоваться для кражи, изменения или удаления информации на устройстве, а также служить точкой входа в сеть и использоваться для дальнейшего развития атаки. Большинство троянов удаленного доступа имеют функции шпионского ПО: такие программы умеют скрытно записывать экран пользователя и определять его местоположение, регистрировать ввод данных с клавиатуры.

В первом квартале 2024 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак, направленных на государственные структуры России и стран СНГ, основной целью которых была кража учетных записей различных сервисов работников государственных структур. В атаках использовался простой, но эффективный стилер LazyStealer, написанный на языке Python, который распространялся при помощи фишинга, а собранные на устройстве данные отправлял с помощью мессенджера Telegram.

Злоумышленники используют как простые вредоносы, такие как LazyStealer, так и инструменты, отличающиеся сложными методами уклонения от обнаружения и защитными механизмами. Например, в апреле 2024 года была обнаружена атака группировки BlackTech, действующей с 2007 года, на технологические, исследовательские и правительственные секторы в Азиатско-Тихоокеанском регионе. В ходе атак использовался обновленный модульный бэкдор Waterbear и его новая версия Deuterbear для скрытого доступа и слежки за целевыми системами. Атакующие модифицировали прошивки маршрутизаторов и использовали шифрование для скрытия своих действий и поддержания постоянного доступа к сетям жертв.

Оба вида вредоносного ПО, трояны удаленного доступа и шпионское ПО, используются в атаках на государственный сектор чаще, чем на большинство других отраслей. За весь рассматриваемый период трояны использовались в трети успешных атак на госучреждения — в полтора раза чаще, чем в атаках на финансовые организации, и почти в четыре раза чаще, чем в атаках на медицинские учреждения.

Такой тренд объясняется несколькими факторами:

• С ростом цифровизации и интеграции информационных систем в государственном секторе все больше данных и процессов переводится в электронный формат, что побуждает злоумышленников стремиться оставаться в сети как можно дольше. Длительное присутствие в сети позволяет злоумышленникам не только собирать и анализировать большие объемы данных, но и манипулировать ими в нужный момент, влияя на принятие решений и обеспечивая себе преимущества в информационном противостоянии. Финансово мотивированные преступники активно продают добытые данные и полученные доступы к инфраструктуре на теневых площадках. Деятельность злоумышленников на таких площадках мы рассмотрим подробно ниже.

• Такие вредоносные программы обладают высокой степенью маскировки и могут долгое время оставаться незамеченными, что делает их идеальными инструментами для шпионажа. Они могут записывать экраны пользователей, регистрировать ввод с клавиатуры и даже определять местоположение устройств, предоставляя злоумышленникам обширный спектр данных для анализа и использования в своих целях.

• Среди всех отраслей государственный сектор — самый атакуемый APT-группировками². За весь рассматриваемый период более четверти успешных целевых атак были направлены именно на госучреждения. Эти группы, часто спонсируемые другими государствами, нацелены на длительные и скрытные атаки, направленные на сбор информации и кибершпионаж. Трояны удаленного доступа и шпионское ПО предоставляют им широкие возможности для непрерывного мониторинга и контроля за зараженными системами, что позволяет им не только красть чувствительные данные, но и использовать скомпрометированные устройства как основу для дальнейших атак.

• Хотя активность APT-группировок в отношении госучреждений разнится от квартала к кварталу, можно выделить главные особенности их деятельности. В APT-атаках на государственный сектор преступники очень часто используют вредоносное ПО (в 83% инцидентов за весь рассматриваемый период), в особенности отмеченные выше трояны удаленного доступа (в 65% инцидентов) и шпионское ПО (в 35% инцидентов).

Для доставки вредоносов злоумышленники могут пользоваться различными методами: эксплуатировать уязвимости, публиковать трояны в официальных магазинах приложений, подбирать пароли и покупать доступы к учетным записям. Однако самый популярный метод для распространения ВПО — это рассылка фишинговых электронных писем, к нему злоумышленники прибегали в 64% успешных атак.

Второй по популярности способ доставки ВПО на устройства — это использование различных тактик компрометации компьютеров, серверов и сетевого оборудования. Его злоумышленники применяли почти в трети успешных атак за весь рассматриваемый период (28%). Для загрузки вредоносного ПО атакующие взламывают устройство через эксплуатацию уязвимостей и компрометацию учетных данных.

В 11% успешных атак на организации государственного сектора злоумышленники пользовались различными методами компрометации учетных данных для получения доступа в инфраструктуру, а именно подбирали или получали их в результате разведки по сети или по открытым данным в публичном доступе. В некоторых атаках для подбора злоумышленники пользуются специализированными платными и бесплатным инструментами. Один из известных случаев произошел в Эквадоре, где в результате применения автоматизированного инструмента для удаленного доступа TMChecker был скомпрометирован сервер государственной организации.

Для реализации атаки злоумышленникам не всегда нужно получать учетные данные администратора, в ряде атак преступникам достаточно было использования почтовых аккаунтов в доменной зоне госучреждения. Так, в 2023 году в результате мошенничества из системы оплаты грантов Министерства здравоохранения и социальных служб США было украдено около 7,5 миллионов долларов. Злоумышленники получили доступ к доменным учетным записям электронной почты грантополучателей и использовали целевой фишинг, чтобы обмануть платежных работников США и заставить их предоставить доступ к учетным записям грантополучателей.

Также злоумышленники покупают или обменивают учетные данные скомпрометированных устройств в дарквебе. В каждом шестом объявлении (15%) на теневых площадках речь идет о доступе к инфраструктуре скомпрометированных государственных организаций. В 62% этих объявлений злоумышленники пишут о продаже, в 25% — о бесплатной раздаче доступов, а в 13% объявляют о желании купить необходимый им доступ.

Цена продаваемого доступа может зависеть от многих факторов: величины скомпрометированной организации, уровня и способа доступа. Наиболее часто встречаются объявления о продаже данных электронной почты (17% объявлений о продаже) и доступов через веб-шелл³ (16%). Доступы к учетным записям с привилегиями администратора (они составляют 6% от всех продаваемых доступов) в основном стоят дороже: их сложнее получить и они дают больше возможностей для дальнейшего развития атаки.

Стоимость может варьироваться от 20 до нескольких тысяч долларов за доступы с высокими привилегиями. Более трети объявлений не содержат цены, и покупатель и продавец договариваются о ней между собой. Стоимость в большей части объявлений находится в диапазоне от 100 до 1000 долларов, а дорогостоящие доступы (от 10 000 долларов) составляют всего 4% от всех сообщений о продаже.

Иногда цена может определяться по принципу аукциона, как в объявлении ниже. В нем пользователь форума сообщает о продаже доступа через VPN к некому министерству Иордании, стоимость которого начинается от тысячи долларов и может достигнуть 50 000 долларов.

Занятость в органах государственного управления в разных странах достигает 30% от общей численности рабочей силы, а три крупнейших работодателя в мире — это государственные организации: первое место занимает Министерство обороны Индии, а на втором месте Министерство обороны США. Государственные учреждения, как правило, имеют большой штат сотрудников, многие из которых активно взаимодействуют с внешним миром через электронную почту и другие средства коммуникации. Это создает многочисленные точки входа для злоумышленников, которые стремятся получить доступ к конфиденциальной информации или нарушить работу государственных систем.

Обучение базовым навыкам ИБ и уровень осведомленности сотрудников госучреждений о фишинговых атаках часто оставляют желать лучшего. Исследователи Ivanti установили, что по крайней мере 5% опрошенных в 2023 году государственных служащих стали жертвами попытки фишинга — либо перейдя по ссылке, либо отправив деньги. При этом 36% госслужащих никому не сообщали о фишинговых электронных письмах, которые они получили на работе. Лишь 27% государственных служащих чувствуют себя «очень подготовленными» к тому, чтобы распознавать на работе такие угрозы, как вредоносное ПО и фишинг, и сообщать о них. Более трети всех руководителей в государственных организациях сообщали о том, что они переходили по фишинговой ссылке — это в четыре раза больше, чем среди рядовых офисных сотрудников.

Все это привело к тому, что в каждом квартале метод социальной инженерии применяли чаще всего именно в атаках на государственный сектор. А в первом полугодии 2024 года количество инцидентов, в которых злоумышленники применяли социальную инженерию, выросло до 57%, что на 11 п. п. больше этого показателя в 2023 году. По всему миру фишинговые кампании против государственных организаций проводятся чаще, чем против других отраслей.

Почти в каждой второй атаке (в 47% инцидентов) на государственные учреждения злоумышленники использовали методы социальной инженерии, наиболее популярным каналом (94% случаев) были электронные письма.

Массовые утечки персональных данных позволяют злоумышленникам составить подробный цифровой портрет жертвы. Злоумышленники используют хитрые и продуманные схемы, а благодаря собранной информации преступникам легче войти в доверие к жертве. Например, группировка Shedding Zmiy для атак на госструктуры создала в Telegram поддельный аккаунт специалиста по ИБ целевой компании и от его имени выманили у сотрудника учетные данные для доступа к внутренним узлам. В другом случае злоумышленники сыграли на доверии между компаниями-партнерами: взломав сеть телеком-провайдера, они разослали от его имени десятки вредоносных писем в другие организации. Последствиями этих атак стали утечки данных, которые преступники использовали в дальнейших атаках и выкладывали в мессенджер Telegram.

APT-группировки, использующие политическую конъюнктуру в своих целях, применяют методы социальной инженерии для кибершпионажа и сбора конфиденциальной информации из госучреждений. Например, группировка TransparentTribe активно атакует индийские правительственные организации, военнослужащих и оборонных подрядчиков с помощью сложных кибератак, направленных на нарушение безопасности и сбор конфиденциальной информации. Группа использует различные тактики, такие как создание поддельных веб-сайтов и документов, имитирующих законные государственные структуры, чтобы обманом заставить целевых пользователей раскрывать свои учетные данные или загружать вредоносное ПО. Кроме того, TransparentTribe использует такие платформы, как YouTube, где они создают поддельные профили и побуждают людей скачивать вредоносные приложения.

Пример фишингового письма, зафиксированного специалистами экспертного центра безопасности Positive Technologies (PT ESC), рассылаемого в 2024 году в различные организации, в том числе и государственные, можно увидеть на рисунке 11. Письмо выглядит как резюме с приложенным архивом фотографий. Вместо настоящего архива в теле письма содержится ссылка, ведущая на подконтрольный атакующим сайт, через который распространяется ВПО, предназначенное для кражи данных.

Исследователи информационной безопасности и злоумышленники регулярно находят новые уязвимости, а эксплойты по уже известным публикуются на теневых форумах, что позволяет даже низкоквалифицированным злоумышленникам использовать готовые скрипты. За весь рассматриваемый период почти в каждой третьей (31%) успешной атаке на государственные организации злоумышленники прибегали к эксплуатации уязвимостей. В 6 из 10 таких инцидентов атакующие использовали уязвимости программного обеспечения, а в остальных — веб-уязвимости.

Наиболее популярными уязвимостями среди злоумышленников за рассматриваемый период оказались:

• CVE-2023-34362, CVE-2023-35036 — уязвимости в программе для передачи данных MOVEit Transfer, которые активно использовались в атаках группировкой Cl0p;
•  CVE-2021-32648 — уязвимость в October CMS, эксплуатация которой привела к массовым дефейсам правительственных веб-сайтов Украины;
• CVE-2018-0798 — уязвимость редактора математических формул и уравнений в Microsoft Word.

Об эксплуатации уязвимости CVE-2018-0798 в атаках мы писали ранее, однако она до сих пор остается популярной среди атакующих. В 2023 году группировка Sharp Panda использовала ее в атаках на правительственные учреждения во Вьетнаме, Таиланде и Индонезии. Подобные атаки, эксплуатирующие давно известные уязвимости, свидетельствуют о том, что госучреждения нередко откладывают обновления своих систем, чем активно пользуются злоумышленники.

Проанализировав объявления за 2023–2024 годы на теневых площадках, мы выяснили, что наибольший интерес для злоумышленников представляют государственные организации Азии (33%), Африки (12%) и Северной Америки (12%). Причем в рейтинге отдельных стран лидерами стали США (на их долю приходится 10% всех объявлений), Индия (9%) и Бангладеш (8%).

В исследовании актуальных угроз для стран Азии мы уже писали о том, что Азиатско-Тихоокеанский регион стал самым атакуемым в 2022 году: на него пришелся 31% от общемирового числа атак, а в 2022–2023 годах жертвами атак чаще всего становились именно госучреждения (22% от всех атак на организации). Из всех отраслей в регионе главная цель злоумышленников — это государственный сектор. За весь рассматриваемый период успешные атаки в Азии в 21% случаев были направлены на госучреждения. Такой интерес злоумышленников к региону неслучаен, этому способствует несколько факторов.

Во-первых, в последние годы азиатские страны заняли лидирующие позиции в области технологических инноваций, цифровая трансформация затрагивает и государственный сектор. Согласно исследованию индекса цифрового развития государственного сектора, 22 ведущие страны Азии находятся в группе с очень высоким индексом. Республика Корея, Сингапур, Объединенные Арабские Эмираты и Япония находятся в самом высоком рейтинговом классе и входят в число мировых лидеров в области развития электронного правительства. Азия значительно увеличила свое среднее значение индекса с 2020 по 2022 год, оставаясь вторым регионом по уровню развития цифровых государственных технологий. А Республика Корея, Сингапур, Объединенные Арабские Эмираты и Япония являются мировыми лидерами в области развития электронного правительства.

Однако с развитием цифровых технологий и увеличивающихся объемов данных, которые агрегирует государственный сектор, также увеличивается потребность в создании и реализации эффективных стратегий кибербезопасности. Несмотря на быстрое развитие цифровой инфраструктуры и готовность инвестировать в кибербезопасность, законодательство в сфере кибербезопасности все еще требует совершенствования.

Во-вторых, на уровень киберпреступности в регионе напрямую влияют актуальные геополитические проблемы. Межгосударственная конкуренция неминуемо проявляется в киберпространстве, становясь причиной сложных, тщательно спланированных целенаправленных кибератак. В Юго-Восточной Азии активность киберпреступников во многом обусловлена территориальными спорами в Южно-Китайском море между странами АСЕАН и Китаем, а также противостоянием Китая и США за лидерство в регионе. В Южной Азии мотивированность преступников часто расовая и религиозная и по большей части затрагивает отношения Индии, Бангладеш и Пакистана.

В Азии основная часть объявлений на теневых площадках — это сообщения о проведенных дефейсах на государственных сайтах (44%) и объявления о продаже, раздаче или покупке баз данных, украденных из государственных организаций (32%). 

В целом анализ кибератак на госучреждения Азии показал, что чаще всего они приводят к утечкам конфиденциальной информации — в 62% успешных атак за весь рассматриваемый период. В первую очередь злоумышленникам удается украсть персональные данные (33%) и коммерческую тайну (30%). К примеру, в результате кибератаки в Южной Корее была взломана личная электронная почта администратора канцелярии президента. Злоумышленники получили доступ к переписке и информации о зарубежных поездках президента, в том числе к расписанию и подробностям официальных мероприятий. Эта информация могла понадобиться преступникам, чтобы вмешаться в предстоящие парламентские выборы, повлиять на их исход или для распространения дезинформации.

Госучреждения в регионе атакуют как хактивисты, так и высококвалифицированные APT-группировки: почти половина (48%) всех успешных атак на государственные организации Азии были целевыми. А наше исследование APT-группировок в Юго-Восточной Азии показало, что все они атакуют государственные организации. Их основная цель — шпионаж или дестабилизация политической обстановки в регионе. Так, в 2024 году была обнаружена деятельность группировки Earth Krahang, атакующей государственные организации по всему миру, однако целевыми жертвами были государственные организации Юго-Восточной Азии. Преступники использовали целевой фишинг для получения первоначального доступа к инфраструктуре: они рассылали электронные письма на геополитические темы. Затем они размещали вредоносные программы на скомпрометированных веб-серверах. После этого они отправляли фишинговые электронные письма с правительственных учетных записей электронной почты для дальнейшего заражения государственных структур и шпионажа.

Рост цифровой зависимости на государственном уровне по всему миру привел к тому, что последствия атак на государственные учреждения могут создавать серьезную угрозу для безопасности и стабильности государств. Реализация недопустимых событий в госсекторе может дестабилизировать социальные и экономические структуры, вызвать политическую нестабильность, а также подорвать доверие граждан к цифровым государственным услугам, вынуждая их отказываться от их использования, тем самым увеличивая расходы на государственное управление. Каждая государственная организация определяет недопустимые для нее события самостоятельно, общего универсального списка не существует. Рассмотрим, к каким последствиям приводят кибератаки, гипотезы недопустимых событий для различных госучреждений и как они реализовывались на примере реальных кейсов.

Успешные атаки чаще всего, а именно в 48% инцидентов, приводили к нарушениям основной деятельности организации: потере доступа к инфраструктуре и данным, сбоям в предоставлении сервиса гражданам, нарушению внутренних процессов.

Государственные службы предоставляют гражданам важные услуги, что делает их мишенями для злоумышленников, стремящихся вызвать сбои в работе и хаос. Атакующие знают, что даже кратковременное нарушение работы государственных служб может иметь серьезные последствия, что побуждает их совершать длительные атаки. Если госучреждение не выполняет свои функции в течение продолжительного периода, это может быть недопустимым событием для организации, если длительность недоступности превышает установленный порог. За весь рассматриваемый период более четверти успешных атак (27%) приводили к различным видам ущерба интересам государства — чаще всего к нарушениям деятельности госслужб и разглашению конфиденциальной информации.

Для правительства и министерств такие недопустимые события могут проявляться как нарушение работы коммуникационных систем и внутренних систем управления. Для местных органов власти и мэрии это может выражаться в нарушении работы городских и муниципальных ключевых инфраструктурных объектов. Злоумышленники могут реализовать такое недопустимое событие, нарушив, например, работу телефонов экстренных служб. Это уже случалось в результате кибератаки в Израиле, когда граждане не могли сообщить об экстренных происшествиях в пожарную службу, полицию и скорую помощь более часа.

Недопустимое событие может выражаться в виде перебоев в работе или недоступности информационных сервисов или государственных услуг для граждан. Например, такое недопустимое событие реализовалось в июле 2023 года. В результате кибератаки группы Anonymous Sudan был заблокирован портал eCitizen в Кении, более 5000 государственных услуг стали недоступны онлайн. Граждане не могли подать заявления на получение паспортов, гостевых виз, водительских прав, удостоверений личности и медицинских карт, также не работали мобильный банкинг и транспортные услуги.

Недоступность сервисов, вызванная кибератакой, может длиться несколько дней или даже недель. В феврале 2024 года кибератака на департамент иммиграции Малави привела к тому, что ведомство прекратило выдачу паспортов на три недели, что вызвало широкий общественный резонанс и беспокойство среди граждан. Инцидент значительно затруднил возможность малавийцев путешествовать и искать работу за границей и ударил по молодежи, стремящейся эмигрировать в поисках лучших возможностей.

Еще один вариант недопустимого события — перебои или недоступность систем оперативного оповещения населения о чрезвычайных ситуациях. Если в государстве произошло экстренное событие, а системы оповещения не сработали, это может привести к ужасающим последствиям, вплоть до угрозы здоровью и жизням людей. Обратная ситуация, когда звучит ложная тревога: это может вызвать страх, панику, напрасную трату ресурсов и потерю доверия к власти. Примером реализации такого недопустимого события может служить вероятная кибератака, в результате которой в Иерусалиме и Эйлате сработали ложные сигналы тревоги.

Другое возможное недопустимое событие — недоступность информационных систем или сервисов в значимый для госучреждения момент. Например, недоступность сервисов налоговой службы для уплаты налогов гражданами в период сбора этой отчетности может сократить доходы государственного бюджета. Нарушения работы в системе онлайн-голосования, недоступность официальных сайтов партий или кандидатов в период выборов могут вызвать общественное недовольство и даже повлиять на результаты избирательного процесса. Например, в результате вероятных кибератак во время национальных выборов в Эквадоре граждане, проживающие за рубежом, столкнулись с трудностями с онлайн-голосованием, и некоторые так и не смогли проголосовать в установленный срок. Проблемы с системой голосования за рубежом вызвали гнев и подозрения среди диаспоры и стали причиной демонстрации эквадорцев в Мадриде.

Для достижения своих целей злоумышленники, часто в целях хактивизма, организуют распределенные атаки, направленные на отказ в обслуживании, и выполняют атаки, направленные против целостности данных на сайтах, изменяя их внешний вид (проводят так называемый дефейс сайтов). Из всех отраслей экономики госучреждения подвергаются самым продолжительным и массированным DDoS-атакам, что связано с нарастающей напряженностью в киберпространстве. В первой половине 2023 года государственные учреждения подвергались самым продолжительным атакам со средним временем атаки — 4 часа 20 минут. Во второй половине года продолжительность атак увеличилась в среднем почти до 18 часов.

На теневом рынке более трети сообщений (35%) касаются проведенных злоумышленниками дефейс-атаках, что является главной отличительной особенностью атак на госсектор. В связи со сложной геополитической обстановкой и возросшим количеством конфликтов в разных частях мира хактивисты атакуют сайты, чтобы высказать свою политическую, религиозную или социальную позицию, испортить репутацию отдельных организаций и целых государств, вызвать волнения в обществе и привести к беспорядкам и протестам. Дефейсы приводят к нарушению работоспособности официальных сайтов, невозможности организации выполнить возложенные на нее функции, но больше всего ущерба наносится репутации организации и государства.

Атаки наиболее активных группировок team1722 и TurkHack Team направлены в основном на страны Ближнего Востока и обусловлены напряженной геополитической обстановкой в регионе. На Ближнем Востоке государственные учреждения являются наиболее привлекательными целями для киберпреступников: в 2022–2023 годах на их долю пришлось 22% от общего числа атак на организации. Основными последствиями таких атак были нарушение основной деятельности и утечки конфиденциальной информации. Отличительной особенностью атак на госучреждения в этом регионе является то, что в основном их совершают APT-группировки.

Искажение информации на официальных ресурсах государственных учреждений может быть недопустимым событием для государственной организации и даже страны. Оно может вызвать потерю доверия граждан к государственным структурам, ухудшить политические и дипломатические связи между странами. Реальный пример подобного инцидента — атака малайзийских хактивистов на индийские веб-сайты. Группа DragonForce Malaysia осуществила дефейс ряда правительственных и частных сайтов Индии, в результате чего на официальных веб-сайтах появились сообщения в поддержку хактивистов, что вызвало значительные операционные сбои и репутационные потери, поскольку сайты были отключены для устранения нарушений. Этот инцидент обострил политические и дипломатические отношения между Малайзией и Индией, демонстрируя геополитические риски, связанные с кибератаками, вызванными идеологическими разногласиями.

В результате кибератаки организация может понести финансовые потери. Начиная с некоторого порогового значения убытка денежных средств, такой ущерб может стать недопустимым для государственной организации и привести к необходимости восстановления бюджета за счет налогоплательщиков, юридическим и экономическим последствиям — сокращению инвестиций и экономическому спаду. Последствия особенно больших убытков могут повлиять на другие отрасли, региональную и национальную экономику.

Финансовые потери могут возникнуть в результате мошеннических переводов средств со счетов компании. К примеру, в 2023 году злоумышленники украли около 7,5 миллионов долларов из системы оплаты грантов Министерства здравоохранения и социальных служб в результате серии кибератак, которые включали целевые фишинговые инциденты. Сумма ущерба представляет собой небольшую часть общего бюджета HRSA (около 0,05% от общего бюджета), однако она примерно сопоставима с полным бюджетом некоторых программ, например бюджетом программы SPRANS, направленной на борьбу с серповидноклеточной анемией. Такая финансовая потеря могла привести к заметным изменениям в распределении и управлении средствами, особенно для конкретных программ или в ближайшее время после инцидента.

Недопустимое событие может реализоваться во время атаки вымогателей, если руководство организации примет решение выплатить выкуп. Также госучреждение может понести убытки в виде затрат на устранение последствий атаки, восстановление систем и утерянных данных. Например, серия кибератак группировки HomeLand Justice на цифровую инфраструктуру Албании привела к серьезным последствиям в виде значительной утечки данных, недоступности информационных интернет-порталов и ряда правительственных сайтов, нарушений работы пропускных пограничных пунктов. Среди прочего были зафиксированы и финансовые потери, оцениваемые в несколько миллиардов долларов. Последствия этого инцидента оказались настолько серьезны для государства, что власти Албании разорвали дипломатические отношения с Ираном, что позволяет назвать эту ситуацию недопустимым событием для государства.

Государственные организации располагают огромным количеством данных благодаря множеству услуг, предоставляемых предприятиям и гражданам. Даже одно успешное проникновение в систему государственного управления может привести к утечке разведданных государственного уровня, секретных активов и персональной информации, позволяющей установить личность. На теневых рынках украденные данные часто покупают для создания поддельных документов, получения первоначального доступа к организациям или захвата привилегированных учетных записей.

Мы уже писали о том, что наибольшее число утечек конфиденциальной информации среди всех отраслей за первое полугодие 2024 года пришлось именно на госучреждения. Успешные атаки приводят к компрометации конфиденциальной информации, хранящейся в организациях государственного сектора, в 41% инцидентов. Причем наблюдается непрерывный рост этого показателя. Еще в 2022 году он составлял 37%, в 2023 году — уже 41%, а в первом полугодии 2024 года — 48%. Картина в России отличается от общемировой, и за весь рассматриваемый период самое частое последствие успешных атак на государственные учреждения — это утечки.

Основной целью атакующих за рассматриваемый период были персональные данные (38%) и коммерческая тайна (24%). Причем наблюдается стремительный рост количества утечек, содержащих коммерческую тайну: в первом полугодии 2024 года эта доля составила 36%, что почти в полтора раза больше, чем в 2023 году, и почти в три раза больше, чем в 2022-м. Это связано с нарастающей геополитической напряженностью и увеличивающейся активностью APT-группировок. Как уже было отмечено, атакующие все чаще используют ВПО с функциями, предназначенными для кибершпионажа, и получают доступ к наиболее чувствительной информации.

Если в результате кибератаки были скопированы закрытые базы данных, это может стать недопустимым событием для государственной организации, поскольку такие данные могут содержать чувствительную информацию и секретные документы, раскрытие которой может нанести значительный ущерб национальной безопасности и международным отношениям. Пример такого инцидента — взлом серверов полиции в Синьцзяне, Китай. Хакерская атака раскрыла тысячи графических изображений и видеозаписей, демонстрирующих жестокое обращение с уйгурскими заключенными. Материалы включали изображения устройств для пыток, тяжеловооруженных охранников и подробные расписания работы полиции. Утечка также содержала высокопоставленные речи и документы, уличающие высшее руководство Китая в систематическом подавлении уйгуров. Эти документы вызвали международный резонанс, многие страны осудили действия Китая, а США ввели санкции против нескольких китайских чиновников из-за их участия в репрессиях против уйгуров.

Утечка базы данных, содержащей персональные данные граждан, может привести к реализации недопустимого события. В результате госучреждение может столкнуться с финансовыми последствиями. Во многих странах на организации накладывается штраф, если персональные данные утекли. Например, в странах Европейского союза, согласно регламенту GDPR, организации, допустившие утечку персональных данных, могут быть оштрафованы на сумму до 20 миллионов евро или до 4% от их годового оборота, в зависимости от того, какая сумма больше. В Японии, согласно закону о защите личной информации (APPI), за несоблюдение требований и утечку данных предусмотрены штрафы до 100 миллионов иен для компаний, а также публичное оглашение имен нарушителей. Особенно значимыми могут быть утечки биометрических персональных данных. Злоумышленники, получившие доступ к биометрии, смогут подменять цифровую личность и совершать мошенничество. Биометрические данные невозможно изменить, что усугубляет последствия. О реализации такого недопустимого события в Сальвадоре мы уже рассказывали. В результате предполагаемой компрометации государственного криптокошелька Chivo, используемого правительством Сальвадора, в дарквебе оказалась база данных, затронувшая 80% населения страны. В ней содержались фотографии жителей страны в высоком разрешении, каждая из которых помечена соответствующим номером документа, удостоверяющего личность сальвадорца. Кроме того, в базе данных содержались имена, фамилии, даты рождения граждан, номера телефонов, адреса электронной почты и адреса проживания.

Утечка конфиденциальных документов может стать недопустимым событием для госучреждения и вызвать необратимые последствия. Утечка сведений и документов судебного делопроизводства может повлиять на исходы судебных разбирательств. Раскрытие информации об особых категориях граждан может привести к нападению на этих лиц, общественный резонанс и волнения. Реальный пример реализации такого недопустимого события — утечка 100 000 записей об уголовных преступлениях и судимостях жителей России за период с 1993 по 2022 год, произошедшая в результате взлома веб-сайта Генеральной прокуратуры России группой хактивистов RGB-TEAM.

Утечка закрытых протоколов и документов может поставить под угрозу национальную безопасность и международные отношения. Такое недопустимое событие реализовывалось в результате кибератаки на Генеральный штаб вооруженных сил Португалии (EMGFA): там произошла утечка секретных документов НАТО. Утечка таких документов может привести к подрыву доверия между союзниками и ослаблению стратегической позиции государства на международной арене.

Анализ теневого рынка показал, что чаще всего (в 74% объявлений) злоумышленники выставляют украденные базы данных на теневых форумах бесплатно. Они могут преследовать различные цели и иметь различные мотивы: улучшить свою репутацию, сделать политические или социальные заявления, создать хаос, выложить данные после отказа от выплаты выкупа или отомстить за личные обиды. В 11% объявлений цена не указывается и является договорной между покупателем и продавцом.

Если в объявлении о продаже все же указана стоимость, в среднем она составляет чуть больше 8500 долларов. Цена зависит от объема и содержания украденных данных и величины организации, чьи данные были украдены. Так, одно из наиболее дорогих предложений (стоимостью в 5 биткоинов) — это база данных объемом почти 9 МБ c государственного сайта штата Флорида с персональными данными граждан и резидентов, включая их полные имена, профессии, адреса, номера лицензий на осуществление предпринимательской деятельности, а также контактные данные. Злоумышленник, купивший эти данные, мог бы использовать их для создания поддельных документов, мошенничества, а также для проведения фишинговых атак: он мог бы использовать контактные данные для обмана людей с целью получения дополнительной конфиденциальной информации или денег.

Кибератаки могут привести к совершенно разным последствиям. К сожалению, от абсолютно всех угроз защитить организацию невозможно. Однако при построении результативной кибербезопасности можно повысить киберустойчивость организации и добиться состояния, при котором злоумышленник, даже проникнув за периметр организации, не сможет нанести ей непоправимого ущерба и вызвать недопустимые события.

Последствия кибератаки на одно госучреждение могут повлиять не только на него, но и на другие организации и на все государство. Например, кража персональных данных в результате атаки на одно госучреждение может привести к незаконному доступу как к государственным ресурсам других организаций, так и к коммерческим сервисам. А полученный в результате атак репутационный ущерб не ограничивается одним госучреждением, а переносится на весь аппарат управления: если в результате кибератаки были недоступны сервисы одной государственной организации, граждане будут недовольны работой всего государства в целом. Поэтому при построении результативной кибербезопасности государственных учреждений нельзя ограничиваться контекстом одной конкретной организации: крайне важен комплексный подход в рамках всего государства.

Определение недопустимых событий

Первым шагом на пути к киберустойчивости является определение и утверждение списка недопустимых для организации событий. Например, для суда это может быть вмешательство в процесс судебного делопроизводства, утечка данных о судебных разбирательствах; для местных органов власти — недоступность телефонов экстренных служб в течение нескольких часов и финансовые потери существенной доли бюджета. Для формирования полного списка с конкретными порогами и критериями необходимо понимание, которое обычно есть у руководства, какой ущерб является действительно непоправимым для госучреждения. Далее с помощью экспертов по ИТ и ИБ нужно определить возможные сценарии реализации этих событий и целевые системы.

При оценке недопустимых событий в госучреждениях необходимо анализировать их дополнительные структурные факторы, например тип последствий, время их наступления или динамику возникновения последствий. Ущерб от некоторых недопустимых событий будет полностью реализован в момент атаки, например при вмешательстве в выборы, в случае дезинформации или ложного срабатывания систем оповещения.

Другие виды недопустимых событий могут иметь отложенные, растянутые во времени последствия, например украденными персональными данными граждан злоумышленники могут пользоваться долгие годы для кражи личности и мошеннических операций.

При этом ущерб от некоторых недопустимых событий будет нарастать при увеличении времени недоступности или при увеличении частоты их наступления. К примеру, долгая недоступность электронных порталов госуслуг приведет к снижению уровня использования государственных цифровых услуг, что, в свою очередь, ведет к увеличению затрат на обеспечение граждан офлайн-услугами, физическим очередям и недовольству — это финансовые и репутационные потери, восстановление после которых может иметь существенную для государства стоимость.

Понимание недопустимых событий с отложенными потерями необходимо для определения мер по снижению долговременных негативных воздействий. Зная, какие последствия могут быть на длинной дистанции, можно разработать различные алгоритмы действий и даже законодательные меры для уменьшения возможного отложенного ущерба. К примеру, если есть информация о том, что паспортные данные гражданина утекли, можно информировать его об этом и до их смены дать ему возможность в государственном сервисе запретить заключение от его имени договоров, подписание документов, взятие кредитов на его имя.

В полученном списке недопустимых событий должны быть определены их приоритеты, а сами события должны быть детализированы. К примеру, кража разного вида персональных данных может иметь разную значимость: одно дело, когда утекают номера телефонов, другое дело, когда биометрия.

«Приземление» недопустимых событий на IT-инфраструктуру

Вторым шагом необходимо провести инвентаризацию IT-активов госучреждений для выявления ключевых систем и точек проникновения, на которые в первую очередь нацелен злоумышленник. Полученную информацию нужно соотнести с бизнес-процессами, чтобы уменьшить поверхность атаки и снизить затраты на обеспечение защиты. После этого можно определить очередность шагов и сформировать программу кибертрансформации государства.

Кибертрансформацию необходимо проводить комплексно для всего государства, согласованно для всех государственных организаций. Если в одном госучреждении уязвимость не устранят и это приведет к последствиям для граждан, то будет не так важно, какая госструктура этому виной: ущерб понесет государство.

Харденинг IT-инфраструктуры

Для усиления защиты компонентов IT-инфраструктуры необходимо обеспечить безопасную и эффективную настройку целевых, ключевых систем и точек проникновения. Для этого нужно уделить внимание операционным системам и прикладным программам, веб-ресурсам, доменной инфраструктуре, средам виртуализации и облачным сервисам.

Обучение сотрудников

Регулярное обучение сотрудников и руководителей с проверкой знаний снижают количество успешных кибератак на организацию. Такие аспекты кибербезопасности, как надежные пароли, защита от фишинга, обновление ПО, конфиденциальность информации, безопасное использование общественных беспроводных сетей, защищенных каналов и мобильных устройств, должен знать каждый сотрудник государственной организации.

Мониторинг и реагирование на инциденты

Для предотвращения наступления недопустимых событий необходимо создать центр противодействия угрозам. Это может быть глобальный центр для автоматизированного сбора недопустимых для государства событий в одном месте. Такой центр будет осуществлять мониторинг событий и своевременно определять и реагировать на подозрительные активности или другие отклонения от нормы, которые могут являться индикаторами атак, и принимать меры по противодействию злоумышленникам.

Проверка защищенности

Для проверки выстроенных механизмов обеспечения защищенности необходимо выбрать способ с учетом целей и уровнем зрелости информационной безопасности в организации. Понять реализуемость недопустимых событий можно с помощью их верификации, а также путем киберучений.

Выстраивание процессов

Необходимо определить критически значимые государственные бизнес-процессы и модернизировать их для улучшения качества, производительности, защищенности и для снижения их стоимости. Также крайне важно грамотно выстроить работу и коммуникацию между подразделениями ИТ и ИБ.

Оценка эффективности

Для определения текущего состояния защищенности и понимания необходимости дальнейших шагов нужно определить метрики результативной кибербезопасности и проводить с их помощью регулярную оценку.

Поддержание киберустойчивости

Учитывая постоянное появление новых уязвимостей, совершенствование техник и тактик атакующих, а также цифровую трансформацию и расширение и усложнение IT-инфраструктуры, необходимо обеспечить поддержание достигнутого высокого уровня киберустойчивости каждой государственной организации по отдельности и всего государства в целом.

Запуск программ багбаунти

Финальный шаг выстраивания процессов киберустойчивости — проведение программ багбаунти для всех государственных организаций страны в формате реализации недопустимых событий. Непрерывная и разносторонняя оценка защищенности всех госучреждений существенно повышает уровень киберустойчивости организаций и всей страны.

Государственный сектор играет ключевую роль в экономике, выполняя жизненно важные функции и обеспечивая спокойствие и общественный порядок, и его важность только возрастает. Государственные учреждения регулируют рыночные отношения, обеспечивают выполнение законов, предоставляют общественные товары и услуги, а также поддерживают экономическую стабильность посредством фискальной и монетарной политики.

Кроме того, государственный сектор активно развивается и проходит цифровую трансформацию. Все больше данных и услуг становятся доступными для граждан в информационном пространстве, что накладывает больше ограничений и ответственности по защите этой информации. Цифровизация повышает эффективность и доступность государственных услуг, но одновременно увеличивает уязвимость перед кибератаками.

Государственные учреждения являются главной целью различных хакеров по ряду причин:

• Серьезные последствия нарушений работы

  Атаки на госучреждения могут привести к катастрофическим последствиям и недопустимым событиям, включая остановку критически важных инфраструктур и сервисов, что сразу же сказывается на жизни и безопасности граждан.

• Данные государственного сектора

  Государственные учреждения хранят огромные массивы чувствительной информации, включая личные данные граждан, данные, касающиеся государственной безопасности и другие важные сведения. Это делает их привлекательной целью для киберпреступников.

• Общественное внимание и публичное разоблачение

  Атаки на госучреждения получают большое внимание общественности и медиа, что способствует повышению мотивации хакеров, стремящихся к публичному признанию и демонстрации своих политических, религиозных и социальных позиций.

• Геополитическая ситуация, деятельность APT-группировок и хактивистов

  Государственные учреждения часто становятся целью APT-атак и хактивистов, мотивированных политическими и идеологическими причинами. Геополитические конфликты только усиливают эту угрозу.

• Устаревшие технологии и меры безопасности

  Многие государственные учреждения используют устаревшие технологии и системы безопасности, которые уязвимы перед современными киберугрозами. Обновление таких систем часто является долгим и затратным процессом.

В свете вышеописанных факторов можно предположить, что государственный сектор будет оставаться наиболее атакуемым еще как минимум в течение следующего года. Обеспечение его безопасности требует значительных усилий, инвестиций и стратегического и комплексного подхода для достижения результативной кибербезопасности.