ГОТОВ ЛИ УЗБЕКИСТАН К КИБЕРАТАКАМ?
Кибербезопасность - это широкое понятие, охватывающее технологии, процессы и политики, которые помогают предотвращать и/или уменьшать негативное влияние событий в киберпространстве, которые могут произойти в результате преднамеренных действий против информационных технологий со стороны враждебного или злонамеренного субъекта. Это включает физическую безопасность, а также кибербезопасность, такую как защита от внутренних угроз. Это влечет за собой все уровни Интернет и все многочисленные участники, участвующие в предоставлении и использовании сети, от тех, кто контролирует и создает эту инфраструктуру, до разнообразных конечных пользователей.
Учитывая это широкое определение, нужно ответит на вапрос кто тогда несет ответственность за кибербезопасность? Хотя ответственность чаще всего зависит от конкретной деятельности и контекста. В частности, всемирное внедрение Интернета позволило конечным пользователям не только получать доступ к информации со всего мира, но также создавать и иным образом получать свою собственную информацию для всего мира. Во многих отношениях это расширило возможности пользователей, о чем свидетельствуют многочисленные способы, с помощью которых пользователи могут бросить вызов влиятельным лицам, таким как пресса, с помощью компенсирующей информации. Однако это также означает, что ответственность за безопасность информационных ресурсов в Интернете перешла к пользователям по всему миру и учреждениям, в которых они участвуют, а не только к техническим экспертам, занимающимся кибербезопасностью. Это не означает, что конечные пользователи должны нести ответственность за свою собственную безопасность в Интернете, но ожидается, что они все чаще будут нести некоторую совместную ответственность с другими участниками.
В ходе мониторинга национального сегмента сети интернет выявлена подверженность к 132 003 угрозам кибербезопасности. Исследование угроз показало, что:
- 106 508 случаев относится к хостам ставшими участниками ботнет сетей;
- 13 882 связано с блокированием IP-адресов, попавших в чёрный список различных сервисов, по причине рассылки спам писем или перебора паролей;
- 8 457 связано с использованием TFTP-протокола (Trivial File Transfer Protocol) и связанных с ним портов, использование которых может привести к загрузки постороннего контента из-за отсутствия механизмов аутентификации;
- 2 114 относится к использованию уязвимого RDP протокола (Remote Desktop Protocol);
- 1 042 случая, связанных с использованием программного обеспечения и СУДБ, не имеющего механизма аутентификации.
Узбекистан не стал исключением, только в 2021 году выполнены многочисленные проекты по широкому внедрению информационно коммуникационных технологий в сферы деятельности органов государственного и хозяйственного управления, государственной власти на местах и иными организациями. Все используемые в Узбекистане и мире информационно коммуникационные технологии и оборудование в совокупности является киберпространством. Такое развитие имеет и оборотную сторону – киберпреступность, дающая злоумышленникам новые и изощренные способы вымогательства денежных средств, использования киберпространства в злонамеренных целях.
Сравнительный анализ количества инцидентов за 2018 и 2019 года показал положительную тенденцию, а именно снижение количества инцидентов на 44%. За 2019 год, в информационных системах и веб-сайтах национального сегмента сети интернет выявлено 268 инцидентов (из которых 222 относится к несанкционированной загрузке контента, 45 к уничтожению или изменению содержания сайта и 1 к скрытому майнингу. Из общего количества выявленных инцидентов, 27 приходится на вебсайты государственных органов), 816 уязвимостей и порядка 132 000 угроз по информационной безопасности.
В ходе проведения экспертизы (аудита) информационных систем и веб-сайтов на соответствие требованиям информационной безопасности выявлено 816 уязвимостей с различными уровнями критичности.
Использование данных уязвимостей позволит злоумышленнику получить удаленный доступ к информационной системе или веб-сайта, а также к файлам и информации, что в свою очередь может привести к утечке персональных данных 2 026 824 граждан Республики Узбекистан.
За 2020 год, по итогам мониторинга инцидентов кибербезопасности, совершенных в отношении веб-сайтов доменной зоны «UZ», зафиксировано 342 инцидента, из которых 306 относится к несанкционированной загрузке контента, остальные 36 связаны с несанкционированным изменением главной страницы[1].
Наряду с этим, при мониторинге информационных систем специалистами “Центр кибербезопасности” представили обзор “Кибербезопасность Республики Узбекистан. Итоги 2021 года” государственных органов, в котором выявлено 17 097 478 событий[2].
В Узбекистане по состоянию на 2021 год зарегистрировано 100 015 доменов национального сегмента сети Интернет «.uz», из которых порядка
38 000 являются активными. Из 38 000 активных доменов всего 14 014 являются защищенными, т.е. имеют SSL-сертификат безопасности. В остальных случаях, либо сертификат является просроченным – 613 случаев, либо отсутствует.
В 2021 году Центром выявлено 17 097 478 случаев вредоносной и подозрительной сетевой активности, исходящей из адресного пространства национального сегмента сети Интернет. Большая часть данной активности, а именно 76% составляют участники бот-сетей.
В частности, при сравнении с аналогичным периодом 2020 года (более 20 млн. киберугроз) количество киберугроз кибербезопасности уменьшилось на 20 %, за счёт скоординированных мер по реагированию на выявленные уязвимости кибербезопасности и сетевые аномалии.
Кроме этого, при помощи системы защиты веб-приложений Центра выявлено и отражено 1 354 106 кибератак совершенных в отношении веб-сайтов национального сегмента сети Интернет.
Наибольшее количество кибератак было совершено с территории Узбекистана, Российской Федерации, Германии и т.д.
В ходе мониторинга информационных систем государственных органов, подключенных к межведомственной сети передачи данных (МСПД), зафиксировано 33 317 648 событий безопасности, из которых 347 742 событий могли привести к несанкционированному получению доступа и утечке конфиденциальной информации.
По итогам мониторинга инцидентов кибербезопасности, совершенных в отношении веб-сайтов доменной зоны «UZ», зафиксировано 444 инцидента, из которых наибольшее количество приходится на несанкционированную загрузку контента – 341 и несанкционированное изменение главной страницы (Deface) – 89. Анализ инцидентов показал, что веб-сайты государственного сектора (134 инцидент) подвержены атакам в 3 раза реже, по сравнению с частным сектором (310 инцидент).
Детальный анализ инцидентов показал, что наиболее уязвимыми (часто атакуемые) являются веб-сайты разработанные на системах управления контентом «Wordpress», «Joomla», «Open Journal Systems» и «Drupal».
Основными причинами и способами успешной реализации хакерских атак являются: наличие уязвимостей в веб-приложениях, в частности из-за несвоевременного их обновления (72%), использование слабых паролей (25%) и другие. В частности, по итогам расследований выявлено 6 635 вредоносных файлов и скриптов, представляющих угрозы кибербезопасности для информационных систем и ресурсов, а также их пользователей.
Наряду с этим определено, что в 97% случаев источниками неправомерной активности являются адресные пространства зарубежных стран. В частности, наибольшее количество случаев неправомерной активности связано со следующими странами: США, Индонезия, Нидерланды, Румыния, Алжир и Тунис. При этом, необходимо помнить, что злоумышленники пользуются прокси-сервисами для скрытия своего истинного местонахождения и используют цепочки прокси-серверов для усложнения их поиска. Такое большое количество неправомерной активности в адресном пространстве Республики обусловлено пренебрежением большинства собственников и администраторов национальных информационных систем и ресурсов требованиями информационной и кибербезопасности, что существенно повышает риск несанкционированного вмешательства в их работу.
Среди выявленных событий, 245 891 могут привести к компрометации информационных систем (ИС). К числу основных факторов, определяющих уязвимость ИС от средств информационного воздействия и повышающих значимость проблемы защиты обрабатываемой информации от несанкционированного доступа (НСД), следует отнести:
- длительный период эксплуатации, присущий информационным и сетевым ресурсам, обусловленный появлением в компьютерных системах новых задач, средств и технологий обработки информации;
- возможность присутствия в программном обеспечении компьютерных систем ошибок и недекларированных возможностей в случае использования программных продуктов, исполненных на закрытых исходных кодах;
- значительная удаленность узлов компьютерных систем друг от друга и возможное взаимодействие их через сети общего пользования (Интернет), что приводит к необходимости организации защищенных компьютерных каналов связи по открытым каналам связи;
- разработка у вероятного противника высокоскоростных систем получения и обработки информации на базе молекулярных компьютеров и искусственного интеллекта.
Все вышесказанное свидетельствует об обострении киберугроз в Узбекистане. И не трудно сделать выводы, что на сегодняшний день стоит уделять особое внимание безопасности в киберпространстве, в частности повышение уровня защищенности и обеспечения кибербезопасности информационных систем и веб-сайтов, а также регулярно повышать уровень знаний пользователей в сфере информационно-коммуникационных технологий и информационной безопасности. Наряду с этим, специалистами рекомендуется: 1. Использовать лицензионные и сертифицированные операционные системы, и программное обеспечение. 2. Регулярно обновлять и следить за актуальностью версий используемых операционных систем, программного обеспечения и компонентов безопасности. Обновление производить из официальных источников. 3. Использовать плагины безопасности с функциями поиска, удаления и защиты в дальнейшем от вредоносных программ. 4. Регулярно проводить работы по резервному копированию баз данных, файлов, почты и прочее. 5. Удаление неиспользуемых плагинов – любой новый плагин или расширение увеличивает вероятность риска атаки со стороны злоумышленников. В этой связи, рекомендуется отключить и удалить неиспользуемые плагины и по возможности использовать встроенные механизмы вместо установки плагина на каждый частный случай. 6. Усилить парольную аутентификацию – для административного аккаунта, личного кабинета на сайте сервис-провайдера и учётной записи на сервере (например, для выделенного или «co-location» хостинга) настоятельно рекомендуется использовать сложный и неповторяющийся пароль. При изменении пароля рекомендуется использовать правила формирования паролей для учетных записей, предусматривающую генерацию паролей с использованием цифр, специальных символов, букв верхнего и нижнего регистра с минимальной длинной в 8 символов. Рекомендуется настроить двухфакторную аутентификацию (при наличии такой возможности). Также рекомендуется установить ограничение количества попыток входа (защита от атак методом перебора паролей, «brutеforce»). 7. Осуществлять доступ к информационной системе или веб-сайту осуществлять с устройств (компьютеры, планшеты), на которых установлены антивирусные программные средства с актуальными базами вирусных сигнатур. 8. Периодически проводить экспертизы на соответствие требованиям обеспечения кибербезопасности информационных систем и ресурсов. Своевременное устранять выявленные уязвимости на основании рекомендаций, направленных по итогам проведенных экспертиз. 9. Регулярно повышать квалификацию и уровень знаний в сфере информационно-коммуникационных технологий и информационной безопасности пользователей (сотрудников). 10.Оперативно реагировать и принимать соответствующие меры по устранению угроз и ликвидации последствий на инциденты кибербезопасности. Принятие вышеуказанных и других дополнительных мер защиты позволит существенно снизить риски возникновения угроз кибербезопасности, что в свою очередь даст возможность оградить себя от вероятных атак и последующей необходимости устранять причины и последствия инцидентов информационной безопасности.