Бизнесът е в повишена готовност след инвазията на Русия в Украйна през февруари. Когато конфликтът започна, много експерти прогнозираха, че Русия ще отприщи значителна кибератака срещу западния бизнес. Други предупредиха организации, че могат да станат съпътстващи жертви при опустошително руско кибер нападение, подобно на прословутата атака NotPetya от 2017г.

Руската дейност досега е била ограничена до дребни разпределени атаки за отказ на услуга (DDoS), но това не означава, че няма да има по-големи и целенасочени кибер атаки. През март президентът на САЩ Джо Байдън предупреди бизнеса в критичните сектори да бъдат нащрек на фона на нарастващата руска киберзаплаха. Националният център за киберсигурност (NCSC) също наскоро предупреди, че злонамерен софтуер, известен като HermeticWiper, се използва срещу украински организации. Това също има потенциал да засегне фирми извън страната.

Междувременно в доклад на Forrester се казва, че всяка организация трябва да се подготви за „нова ера на кибер заплахи“ в резултат на инвазията на Русия в Украйна. Всъщност CISO от всяка индустрия трябва да се подготвят за засилени кибератаки и кибер шпионаж, според аналитическата къща. И така, каква е реалната заплаха за киберсигурността за западните организации от Русия и как бизнесите могат да се подготвят на фона на несигурния пейзаж за икономическа и киберсигурност?

Заплахи за Запада

Руските кибератаки срещу Запада не са нищо ново, защото  страната е активна в кибер пейзажа от много години. Инцидентите, приписвани на спонсорирани от Русия противници, включват атаки, насочени към електрическия сектор в Украйна през 2015 и 2016г., инцидентът NotPetya през 2017г. и хакването на SolarWinds през 2020г.

Атаките, извършвани от Русия, обикновено са геополитически мотивирани, казва Киаран Мартин, професор по практика в управлението на обществени организации, Училище за управление Блаватник. Той цитира примери за руски оперативни служители, шпиониращи критична инфраструктура през 2018г., и намеса в изборите в САЩ през 2016г.

Руските кибератаки често включват DDoS и ransomware, но техните държавни кибервъзможности включват и  разузнавачи и военни, казва Мартин. „Те са строго контролирани и много способни. Част от тях се използват изключително за шпиониране и това е сложно. По-разрушителните неща също обикновено са много изтънчени, защото хакерите трябва да дебнат понякога с години, за да разработят плановете си. Престъпниците , които оперират с рансъмуер не работят за държавата, но се толерират от нея; иначе не биха могли да съществуват. Те са много по-малко сложни технически, но добре организирани.”

Въпреки че не е пряко свързан с конфликта, NCSC предупреди бизнеса за нов злонамерен софтуер, наречен Cyclops Blink, приписван на добре познатата заплаха от Sandworm, свързан с ГРУ, руската разузнавателна служба. „Това хвърля светлина върху еволюцията на руските кибервъзможности“, казва Даниел дос Сантос, ръководител на изследванията във Forescout, Vedere Labs.

Количествено определяне на киберриска

Това все още не се е случило, но един очевиден риск, докато конфликтът продължава, е западните мрежи да бъдат неволно засегнати като част от руските атаки срещу Украйна – както се вижда в атаката NotPetya.

Въпреки това, няма нужда да се паникьосвате, казва Иън Торнтън-Тръмп, CISO във фирмата за киберсигурност Cyjax, добавяйки, че има минимален шанс за стартиране на „масово възпроизвеждане, на 0-day  експлойт с разрушителен полезен товар“. „Мисля, че има сдържаност от страна на Русия, защото НАТО даде да се разбере много ясно, че ще се позове на член 5, ако има значителна кибератака, приписвана на Русия. Путин не иска да се бори с НАТО в кибернетична или кинетична война.

Това беше очевидно досега: руските кибератаки бяха базови и се справяха много бързо. „Доколкото кибератаки са се случили, повечето от тях са били неусложнени DDoS и не е имало нищо, което да се вписва в определението за  кибер война“, казва Филип Инграм, MBE, бивш полковник от британското военно разузнаване.

От началото на конфликта пейзажът на киберзаплахата е „подозрително тих“, казва Джамал Емелас, главен оперативен директор във Focus-On-Security. „Единствените атаки са били DDoS – които са елементарни и не са сложни. В миналото смятахме, че Русия ще използва кибернетичното пространство като омекотител във физическата война – например да осакати мрежата на Украйна и след това да влезе с танкове.

Въпреки липсата на големи кибер действия досега, някои индустрии са изложени на по-голям риск от атака от други, особено тези, които работят в критична национална инфраструктура (CNI), като енергийни фирми или финансови услуги. Секторите, засегнати от западните санкции, могат да бъдат изложени на повишен риск да бъдат обект на ответни кибератаки, казва Крис Морган, старши анализатор на разузнаването на киберзаплахите в Digital Shadows.

Елмелас смята, че Русия може да се насочи към организации, помагащи на украинската армия, като например отбранителни или свързани с военни фирми. „Тези бизнеси биха били по-застрашени от преди. Русия може да се опита да осакати определени ключови системи.“

По-нататък руските киберпрестъпници биха могли да вдигнат нивото и да извършват финансови атаки срещу криптовалута, за да се „опитат да поддържат икономиката и да заобиколят тежките финансови санкции“, казва Торнтън-Тръмп. „Прогнозата ми изглежда отговаря на това как увеличените финансови санкции и търговски ограничения насочиха отговора на иранските и севернокорейските заплахи.“

Как бизнесът може да се защити?

В резултат на конфликта NCSC казва, че всички организации трябва да укрепят онлайн защитата си и да следват техните насоки за стъпките, които да предприемат, когато киберзаплахата се засили. Това включва основни стъпки като корекция, въвеждане на планове за реакция при инциденти и осигуряване на резервни копия.

Като цяло е важно да не се паникьосвате, като в същото време сте наясно, че руската заплаха е там, но това не е единствената страна, активна в киберпространството. Основните кибер сили, които трябва да знаете, са Китай, Русия, Иран и Северна Корея, всяка от които има свои собствени цели и дневен ред.

Като се има предвид това, трябва ли фирмите да обръщат повече внимание на заплахите от руски източници от другите? В краткосрочен план някои фирми трябва, казва Мартин. „Критичната инфраструктура, например, трябва да бъде в по-висока степен на готовност“, съветва той. В дългосрочен план обаче той казва, че това не е необходимо. „Има много заплахи.“

Торнтън-Тръмп се съгласява. „Мисля, че е много недалновидно да се обръща внимание само на руските заплахи, тъй като престъпността и престъпните хакери не са изключителни за Русия. Както повечето неща в киберзащитата, е необходим подход, основан на разузнаване, базиран на риска.“

Ако фирмите се занимават с военни или CNI, те трябва да инвестират в предотвратяване на DDoS, казва Елмелас. В същото време той съветва: „Всички компании трябва да се уверят, че инвестират в своята инфраструктура. Проверете дали всичко е актуално и дали са приложени най-новите пачове.“