Закажите пилотный проект
Phishman бесплатно
Phishman бесплатно
Заполните форму, чтобы получить
консультацию экспертов Phishman
консультацию экспертов Phishman
Я хочу получать рекламную информацию об услугах ООО «Фишман» по любым доступным каналам коммуникации, в том числе в виде смс-сообщений на указанный мной номер сотового телефона
Прозрачность экономики и новые виды кибератак: как злоумышленники могут добраться до компании через открытые данные в сети.
Дата публикации: 31.12.2023
Время на чтение: 5 мин.
Алексей Горелкин
Генеральный директор Phishman
Екатерина Автушенко
Копирайтер Phishman
Содержание статьи:
1. Открытая экономика: как законы регулируют закупки и упрощают жизнь злоумышленникам
2. Как сертификация ФСТЭК помогает злоумышленникам?
3. Типичный сценарий атаки
4. Что можно сделать?
2. Как сертификация ФСТЭК помогает злоумышленникам?
3. Типичный сценарий атаки
4. Что можно сделать?
Открытая экономика: как законы регулируют закупки и упрощают жизнь злоумышленникам
Сегодня поговорим о том, как довольно прозрачная экономика и открытая система информирования в сфере госзакупок позволяет не только минимизировать коррупцию, но и помогает злоумышленникам получить доступ к критически важной информации госорганов.
В 2019 году Международный валютный фонд (МВФ) опубликовал отчет исследования – «Russian Federation Fiscal Transparency Evaluation Update», по результатам которого Россия заняла высокое место в пятерке государств с самой открытой системой информирования о бюджете и налоговых поступлениях.
Где мы можем узнать информацию? Официальный сайт Единой информационной системы в сфере закупок (ЕИС) является, пожалуй, одной из самых популярных (но не единственной) платформ, где осуществляется проведение государственных торгов и закупочных процедур. В системе размещаются сведения в соответствии с Федеральными законами № 44-ФЗ (регулирует закупки компаний, которые полностью, на 100%, принадлежат государству) и № 223-ФЗ (регулирует закупки компаний, которыми государство владеет как минимум на 50%, и других организаций с госучастием).
Как главные по безопасности ваших данных, мы не можем не обратить внимание на следующее – вся информация, находящаяся в системе, доступна не только участникам закупок, но и всем посетителям портала, причем совершенно беспрепятственно.
Есть ли плюсы такой прозрачности? Конечно, да. Ну, во-первых, это просто удобно - заказчики предлагают свои контракты, формируют, обрабатывают и хранят сведения о закупках в одном месте. Во-вторых, мы минимизируем коррупцию посредством предоставления доступа к сведениям о закупках, тем самым увеличивая контроль со стороны общества и органов власти.
И здесь начинается самое интересное. Такая прозрачность создает большую дыру в безопасности организации. Теперь вся информация по вашей любой покупке: где вы это купили, у кого, за сколько, в каком количестве и даже какой версии – есть у злоумышленников, что значительно упрощает им задачу в поиске лазеек в вашей системе безопасности (и не только, но тут мы будем говорить больше именно о ней).
Где мы можем узнать информацию? Официальный сайт Единой информационной системы в сфере закупок (ЕИС) является, пожалуй, одной из самых популярных (но не единственной) платформ, где осуществляется проведение государственных торгов и закупочных процедур. В системе размещаются сведения в соответствии с Федеральными законами № 44-ФЗ (регулирует закупки компаний, которые полностью, на 100%, принадлежат государству) и № 223-ФЗ (регулирует закупки компаний, которыми государство владеет как минимум на 50%, и других организаций с госучастием).
Как главные по безопасности ваших данных, мы не можем не обратить внимание на следующее – вся информация, находящаяся в системе, доступна не только участникам закупок, но и всем посетителям портала, причем совершенно беспрепятственно.
Есть ли плюсы такой прозрачности? Конечно, да. Ну, во-первых, это просто удобно - заказчики предлагают свои контракты, формируют, обрабатывают и хранят сведения о закупках в одном месте. Во-вторых, мы минимизируем коррупцию посредством предоставления доступа к сведениям о закупках, тем самым увеличивая контроль со стороны общества и органов власти.
И здесь начинается самое интересное. Такая прозрачность создает большую дыру в безопасности организации. Теперь вся информация по вашей любой покупке: где вы это купили, у кого, за сколько, в каком количестве и даже какой версии – есть у злоумышленников, что значительно упрощает им задачу в поиске лазеек в вашей системе безопасности (и не только, но тут мы будем говорить больше именно о ней).
Стоит также отдельно сказать про особенности закупки ИТ и ИБ продуктов. У части, попадающей под регламентацию такого типа продукта, обязательно должен быть сертификат ФСТЭК - документ, подтверждающий прохождение представленным ИТ-продуктом (инструментом защиты данных) необходимых проверочных процедур и соответствие действующим стандартам и требованиям.
И, казалось бы, все круто – продукт прошел проверку, у него есть сертификат, но проблема здесь в другом – ФСТЭК выдается на конкретную версию ПО, систему безопасности или сетевое оборудование без возможности обновления. А получение сертификата для новой версии ПО занимает не менее 6 месяцев.
Как итог: злоумышленник зашел в ЕИС, увидел вашу закупку, например, сетевого оборудования, узнал из открытых источников информацию о том, что это за оборудование, его модель и версию, а это значит, и его уязвимости, и уже начал готовить атаку под эту конкретную версию. Еще раз напоминаем, по ФСТЭК-у вы не можете обновить систему моментально – поэтому вам остается только ждать, пока до вас «доберутся».
И, казалось бы, все круто – продукт прошел проверку, у него есть сертификат, но проблема здесь в другом – ФСТЭК выдается на конкретную версию ПО, систему безопасности или сетевое оборудование без возможности обновления. А получение сертификата для новой версии ПО занимает не менее 6 месяцев.
Как итог: злоумышленник зашел в ЕИС, увидел вашу закупку, например, сетевого оборудования, узнал из открытых источников информацию о том, что это за оборудование, его модель и версию, а это значит, и его уязвимости, и уже начал готовить атаку под эту конкретную версию. Еще раз напоминаем, по ФСТЭК-у вы не можете обновить систему моментально – поэтому вам остается только ждать, пока до вас «доберутся».
Типичный сценарий атаки
А доберутся ли? Сейчас расскажем про один из типичных сценариев того, как злоумышленники могут получить доступ к вашим данным, а затем использовать их для атаки на государственные структуры, используя при этом информацию только из открытых источников.
Давайте с самого начала. Госзаказчики заранее составляют планы закупок для собственных нужд и публикуют извещение или техническое задание о предстоящих торгах на сайте ЕИС. Это извещение содержит всю информацию о товаре, работе или услуге, которая будет закупаться.
Начинается конкурсная процедура, в которой принимают участие потенциальные поставщики и подрядчики. В 2023 году заявки на участие в торах подаются на электронной торговой площадке, которая указана в извещении. По итогам торгов выявляют победителя, который предложил самые выгодные условия. После заключения контракта победитель торгов становится поставщиком для той или иной госструктуры.
За всем этим наблюдает злоумышленник – информация-то открыта. Он видит какой продукт, кем и кому был продан. Дальше ему остается только подготовить план по тому, как «поломать» конкретно эту версию продукта и узнать больше о компании-поставщике, о его сотрудниках или генеральном директоре.
Сделать это совсем несложно – почти любую информацию о человеке можно «прогуглить» или сделать ресерч социальных сетей, где пользователи часто сами размещают всю информацию о себе.
Минутка забавных фактов: в конце 1950-х годов в ЦРУ узнали о схеме электрификации Урала и предприятий ядерной промышленности региона благодаря фотографии в журнале «Огонек». Это называется методикой OSINT — Open Source INTelligence. На инструментах OSINT базируется 90% современных журналистских расследований. Кстати, у девушек часто есть предрасположенность к подобному. Узнать группу крови и всю родословную парня, зная только его имя - неприлично легкая задача. Минутка закончилась.
Итак, злоумышленнику, располагая всей необходимой информацией, остается только разыграть небольшую сценку:
· Сотруднику компании, часто инженеру, приходит сообщение, например, в Telegram от лица генерального директора.
· Из сообщения он узнает о внеплановой проверке\ утечке данных \ поломке в системе \ другом ИБ инциденте, связанным с государственной тайной, госизменой или работой «зарубежный спецслужб». Все, разумеется, подкрепляется соответствующими «документами» и пометкой «не для распространения».
· Сотруднику предоставляют контакты лица из «спецслужб» или связывают с ним напрямую. И дальше, в зависимости от сценария обмана, запрашивают доступ к данным и конфиденциальной информации компании, включая информацию о заказчиках и особенностях работы с ними, их инфраструктуре, политике безопасности и, даже целых схемах сети.
Готово – сотрудник передал данные, и теперь компания-жертва становится своеобразным «трамплином» для развития атаки уже на государственные структуры.
Давайте с самого начала. Госзаказчики заранее составляют планы закупок для собственных нужд и публикуют извещение или техническое задание о предстоящих торгах на сайте ЕИС. Это извещение содержит всю информацию о товаре, работе или услуге, которая будет закупаться.
Начинается конкурсная процедура, в которой принимают участие потенциальные поставщики и подрядчики. В 2023 году заявки на участие в торах подаются на электронной торговой площадке, которая указана в извещении. По итогам торгов выявляют победителя, который предложил самые выгодные условия. После заключения контракта победитель торгов становится поставщиком для той или иной госструктуры.
За всем этим наблюдает злоумышленник – информация-то открыта. Он видит какой продукт, кем и кому был продан. Дальше ему остается только подготовить план по тому, как «поломать» конкретно эту версию продукта и узнать больше о компании-поставщике, о его сотрудниках или генеральном директоре.
Сделать это совсем несложно – почти любую информацию о человеке можно «прогуглить» или сделать ресерч социальных сетей, где пользователи часто сами размещают всю информацию о себе.
Минутка забавных фактов: в конце 1950-х годов в ЦРУ узнали о схеме электрификации Урала и предприятий ядерной промышленности региона благодаря фотографии в журнале «Огонек». Это называется методикой OSINT — Open Source INTelligence. На инструментах OSINT базируется 90% современных журналистских расследований. Кстати, у девушек часто есть предрасположенность к подобному. Узнать группу крови и всю родословную парня, зная только его имя - неприлично легкая задача. Минутка закончилась.
Итак, злоумышленнику, располагая всей необходимой информацией, остается только разыграть небольшую сценку:
· Сотруднику компании, часто инженеру, приходит сообщение, например, в Telegram от лица генерального директора.
· Из сообщения он узнает о внеплановой проверке\ утечке данных \ поломке в системе \ другом ИБ инциденте, связанным с государственной тайной, госизменой или работой «зарубежный спецслужб». Все, разумеется, подкрепляется соответствующими «документами» и пометкой «не для распространения».
· Сотруднику предоставляют контакты лица из «спецслужб» или связывают с ним напрямую. И дальше, в зависимости от сценария обмана, запрашивают доступ к данным и конфиденциальной информации компании, включая информацию о заказчиках и особенностях работы с ними, их инфраструктуре, политике безопасности и, даже целых схемах сети.
Готово – сотрудник передал данные, и теперь компания-жертва становится своеобразным «трамплином» для развития атаки уже на государственные структуры.
Что можно сделать?
Прозрачность экономики – круто. Но, стоит ли открывать абсолютно все детали торгов в общий доступ? Phishman давно выступает за то, чтобы сделать ту часть закупок, которая связана с безопасностью – закрытой.
А еще? Сейчас ФСТЭК сертифицирует версии продукта, а не процесс его разработки. По факту, он фиксирует уязвимости и слабые места. И это не тот, случай – «не баг, а фича, чувак». Поэтому ждем, когда ФСТЭК изменит свои правила.
А еще? Повышайте уровень киберграмотности – свой и сотрудников компании. ФСТЭК, может, и пофиксит сертификацию продукта, но, пока в вашей организации работают люди, до 80% киберинцидентов компании все еще будет происходит по их вине. Но не торопитесь никого увольнять.
Время для ненавязчивой рекламы. Phishman предлагает решение по выявлению потребности в обучении, обучению сотрудников и поддержанию уровня их киберграмотности на заданном уровне. Так, повышая их уровень киберосознанности, вы укрепляете свою систему безопасности и можете быть спокойны – никто из сотрудников не передаст «ФСБ-шнику» критические данные в Telegram.
Всем киберграмотность,
Phishman
А еще? Сейчас ФСТЭК сертифицирует версии продукта, а не процесс его разработки. По факту, он фиксирует уязвимости и слабые места. И это не тот, случай – «не баг, а фича, чувак». Поэтому ждем, когда ФСТЭК изменит свои правила.
А еще? Повышайте уровень киберграмотности – свой и сотрудников компании. ФСТЭК, может, и пофиксит сертификацию продукта, но, пока в вашей организации работают люди, до 80% киберинцидентов компании все еще будет происходит по их вине. Но не торопитесь никого увольнять.
Время для ненавязчивой рекламы. Phishman предлагает решение по выявлению потребности в обучении, обучению сотрудников и поддержанию уровня их киберграмотности на заданном уровне. Так, повышая их уровень киберосознанности, вы укрепляете свою систему безопасности и можете быть спокойны – никто из сотрудников не передаст «ФСБ-шнику» критические данные в Telegram.
Всем киберграмотность,
Phishman
Cтатья была для вас полезной?