Прозрачность экономики и новые виды кибератак: как связано и чем опасно

Открытая экономика: польза или вред для ИБ

Сегодня поговорим о том, как довольно прозрачная экономика и открытая система информирования в сфере госзакупок позволяет не только минимизировать коррупцию, но и помогает злоумышленникам получить доступ к критически важной информации госорганов.

В 2019 году Международный валютный фонд (МВФ) опубликовал отчет исследования — «Russian Federation Fiscal Transparency Evaluation Update», по результатам которого Россия заняла высокое место в пятерке государств с самой открытой системой информирования о бюджете и налоговых поступлениях.

Официальный сайт Единой информационной системы в сфере закупок (ЕИС) является, пожалуй, одной из самых популярных (но не единственной) платформ, где осуществляется проведение государственных торгов и закупочных процедур. В системе размещаются сведения в соответствии с Федеральными законами № 44-ФЗ (регулирует закупки компаний, которые полностью, на 100%, принадлежат государству) и № 223-ФЗ (регулирует закупки компаний, которыми государство владеет как минимум на 50%, и других организаций с госучастием).

Не можем не обратить внимание на следующее — вся информация, находящаяся в системе, доступна не только участникам закупок, но и всем посетителям портала, причем совершенно беспрепятственно.

Есть ли плюсы такой прозрачности? Конечно, да. Ну, во-первых, это просто удобно — заказчики предлагают свои контракты, формируют, обрабатывают и хранят сведения о закупках в одном месте. Во-вторых, мы минимизируется коррупция посредством предоставления доступа к сведениям о закупках, тем самым увеличивая контроль со стороны общества и органов власти.

И здесь начинается самое интересное. Такая прозрачность создает большую дыру в безопасности организации. Теперь вся информация по вашей любой покупке: где вы это купили, у кого, за сколько, в каком количестве и даже какой версии — есть у злоумышленников, что значительно упрощает им задачу в поиске лазеек в системе безопасности (и не только, но тут мы будем говорить больше именно о ней).

Особенности закупки ИТ и ИБ продуктов

Стоит также отдельно сказать про особенности закупки ИТ и ИБ продуктов. У части, попадающей под регламентацию такого типа продукта, обязательно должен быть сертификат ФСТЭК — документ, подтверждающий прохождение представленным ИТ-продуктом (инструментом защиты данных) необходимых проверочных процедур и соответствие действующим стандартам и требованиям.

И, казалось бы, все круто — продукт прошел проверку, у него есть сертификат, но проблема здесь в другом — ФСТЭК выдается на конкретную версию ПО, систему безопасности или сетевое оборудование без возможности обновления. А получение сертификата для новой версии ПО занимает не менее 6 месяцев.

Как итог: злоумышленник зашел в ЕИС, увидел вашу закупку, например, сетевого оборудования, узнал из открытых источников информацию о том, что это за оборудование, его модель и версию, а это значит, и его уязвимости, и уже начал готовить атаку под эту конкретную версию. Еще раз напоминаем, по ФСТЭК-у вы не можете обновить систему моментально — поэтому вам остается только ждать, пока до вас «доберутся».

Типичный сценарий атаки

А доберутся ли? Сейчас расскажем про один из типичных сценариев того, как злоумышленники могут получить доступ к вашим данным, а затем использовать их для атаки на государственные структуры, используя при этом информацию только из открытых источников.

Давайте с самого начала. Госзаказчики заранее составляют планы закупок для собственных нужд и публикуют извещение или техническое задание о предстоящих торгах на сайте ЕИС. Это извещение содержит всю информацию о товаре, работе или услуге, которая будет закупаться.

Начинается конкурсная процедура, в которой принимают участие потенциальные поставщики и подрядчики. В 2023 году заявки на участие в торах подаются на электронной торговой площадке, которая указана в извещении. По итогам торгов выявляют победителя, который предложил самые выгодные условия. После заключения контракта победитель торгов становится поставщиком.

За всем этим наблюдает злоумышленник — информация-то открыта. Он видит какой продукт, кем и кому был продан. Дальше ему остается только подготовить план по тому, как «поломать» конкретно эту версию продукта и узнать больше о компании-поставщике, о его сотрудниках или генеральном директоре.

Сделать это совсем несложно — почти любую информацию о человеке можно «прогуглить» или сделать ресерч социальных сетей, где пользователи часто сами размещают всю информацию о себе.

Итак, злоумышленнику, располагая всеми необходимыми данными, остается только разыграть небольшую сценку:

• Сотруднику компании, часто инженеру, приходит сообщение, например, в Telegram от лица генерального директора.
• Из сообщения он узнает о внеплановой проверке/ утечке данных / поломке в системе / другом ИБ инциденте, связанным с государственной тайной, госизменой или работой «зарубежный спецслужб». Все, разумеется, подкрепляется соответствующими «документами» и пометкой «не для распространения».
• Сотруднику предоставляют контакты лица из «спецслужб» или связывают с ним напрямую. И дальше, в зависимости от сценария обмана, запрашивают доступ к данным и конфиденциальной информации компании, включая информацию о заказчиках и особенностях работы с ними, их инфраструктуре, политике безопасности и, даже целых схемах сети.

Готово — сотрудник передал данные, и теперь компания-жертва становится своеобразным «трамплином» для развития атаки уже на государственные структуры.

Повышайте уровень киберграмотности — свой и сотрудников компании. Пока в вашей организации работают люди, до 80% киберинцидентов компании все еще будет происходит по их вине. Но, повышая их уровень киберосознанности, вы укрепляете свою систему безопасности и можете быть спокойны — никто из сотрудников не передаст «ФСБ-шнику» критические данные в Telegram.