Быстрее, выше, сильнее: готовим план киберзащиты крупного спортивного турнира

Любое спортивное событие национального или международного уровня требует серьёзной и заблаговременной подготовки с точки зрения кибербезопасности. Если её провести должным образом, удастся свести киберриски к минимуму. Вместе с Александром Лискиным, руководителем управления исследования угроз в «Лаборатории Касперского», разбираемся, на что обратить внимание во время подготовки.

В качестве примера можно привести недавние Игры Будущего — первый в истории международный турнир на стыке спорта и киберспорта, в котором принимали участие две тысячи спортсменов из более чем 275 команд. «Лаборатория Касперского» приняла участие в обеспечении защиты мероприятия. В результате во время Игр Будущего удалось избежать серьёзных киберинцидентов.

История знает массу примеров киберинцидентов в рамках крупных спортивных мероприятий. Например, в 2018 году во время церемонии открытия хакеры атаковали серверы зимней Олимпиады, которая проходила в Южной Корее. Другой пример: в своё время атакующие прервали матч на League of Legends European Challenger Series. Игрок из одной команды подвергся DDoS-атаке прямо во время матча, что вынудило команду запросить паузу. Он попытался пересесть за другой компьютер, однако DDoS-атака продолжилась и там, и в итоге команда была вынуждена сдаться.

При непрерывно расширяющемся и усложняющемся ландшафте киберугроз (к слову, «Лаборатория Касперского» ежедневно обнаруживает порядка 411 тысяч новых уникальных вредоносных файлов) инфраструктуре крупного спортивного события необходима по-настоящему комплексная защита. Сложная и разветвлённая техническая инфраструктура требует широкого спектра продуктов и сервисов для обеспечения информационной безопасности, а также детального анализа ИТ- и ИБ-концепций турниров. Видов киберугроз, которые могут угрожать ИТ-инфраструктуре масштабного мероприятия, очень много, назовём лишь основные.

DDoS

Это наиболее распространённый вид кибератак на ресурсы, задействованные для проведения крупных мероприятий. Инфраструктура любого масштабного события подвергается атакам типа отказ в обслуживании. Они проводятся с целью нарушить работу онлайн-ресурсов и могут использоваться как отвлекающий манёвр для проведения более сложных атак. Злоумышленники стремятся помешать стабильной работе информационных ресурсов, «сорвать» их работоспособность и доступность.

Программы-вымогатели

В рамках атак с использованием таких программ злоумышленники шифруют файлы и крадут конфиденциальные данные. Причём в некоторых случаях они шифруют файлы необратимо, даже не с целью получить выкуп, а с целью нарушить работу объекта атаки. Это серьёзная угроза для любого крупного мероприятия (и не только). По данным «Лаборатории Касперского», за 2023 год по сравнению с 2022-м количество кибергрупп, проводящих целевые атаки с использованием программ-вымогателей, увеличилось по всему миру на 30%, а число их жертв — на 70%.

Утечки данных

Такие инциденты могут происходить в результате кибератак либо быть следствием ошибок сотрудников или действий инсайдеров. В числе последствий — репутационные, регуляторные и финансовые риски. Кроме того, пользователи, чьи права были нарушены, могут подать коллективные иски против компании, в которой произошла утечка, и потребовать возмещения вреда, который был им причинен по её вине. Проблема утечек сегодня крайне актуальна. По статистике команды сервиса Kaspersky Digital Footprint Intelligence, в 2023 году зафиксировано 155 случаев публикаций значимых баз данных российских компаний. По сравнению с 2022 годом самих объявлений об утечках стало меньше (на 8%). Однако при этом в 2023 году было опубликовано 342 млн строк пользовательских данных, что на 24% больше чем в 2022 году.

Кибершпионаж

Злоумышленники внедряются в ИТ-инфраструктуру, или следят за сотрудниками, чтобы обнаружить ценные данные и использовать их в своих целях либо затем заработать на вымогательстве или продать украденную информацию на теневом рынке. Для этого могут применяться продвинутые, дорогостоящие программы — шпионское ПО. В прошлом году «Лаборатория Касперского» представила детали обнаруженной кампании кибершпионажа «Операция Триангуляция» (Operation Triangulation). Кампания представляет собой таргетированные атаки с использованием ранее неизвестного вредоносного ПО и уязвимостей нулевого дня в iOS. Зловред проникал на устройства жертв с помощью эксплойта, доставляемого в скрытом сообщении iMessage, после этого он запускался и получал полный контроль над устройством и пользовательскими данными. Установленное шпионское ПО незаметно передавало информацию с устройства жертвы на удалённые серверы, злоумышленников интересовали записи с микрофонов, фотографии из мессенджеров, геолокация и данные о других действиях владельца.

Организация крупного мероприятия требует предварительного плана, а эксперты по информационной безопасности должны быть подключены на самых ранних этапах подготовки, чтобы учитывать требования к киберзащите уже в процессе проектирования инфраструктуры турнира.

Пройдёмся по основным пунктам:

● Защитными решениями должны быть покрыты как отдельные конечные устройства, так и ИТ-инфраструктура мероприятия.

● Исключительно важно использовать сервисы по управлению внешней поверхностью атаки, поскольку в процессе подготовки мероприятия ИТ-инфраструктура часто меняется. Речь идёт о сервисе для мониторинга цифровых угроз, который помогает компаниям отслеживать их цифровой след и выявлять потенциальные риски и уязвимости, связанные с ним, путём мониторинга открытых интернет-источников и даркнета и предоставления подробной информации о возможной вредоносной активности.

● Необходимо использовать сервисы, которые позволяют отслеживать утечки учётных данных для входа на корпоративные ресурсы организаций, имеющих отношение к мероприятию.

● Стоит внедрить зрелые ИБ-сервисы и платформы (решения класса XDR). Решения класса XDR — это наиболее высокий уровень защиты, актуальный для организаций, которые обладают разветвлённой ИТ-инфраструктурой и часто становятся целями сложных таргетированных атак. Такая платформа позволяет предоставить всеобъемлющую кибербезопасность: полностью выстроить систему противодействия киберинцидентам, обеспечить надёжную защиту рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности.

Чтобы специалисты по информационной безопасности действительно эффективно отработали на мероприятии, обязательно нужно предоставить им доступ к свежей аналитике киберугроз в режиме реального времени, а также возможность сопоставлять данные разных вендоров, изолировать и анализировать инциденты и тестировать разные сценарии реагирования до их применения.

Ещё лучше, если у них будет возможность задать вопрос внешним экспертам по кибербезопасности. Для этого также существуют специальные сервисы.

Уровень защищённости инфраструктуры мероприятия необходимо проверить с помощью сторонней экспертной организации, чтобы убедиться, что существенных брешей не осталось. Чтобы качественно осуществить такую проверку, необходимо заранее заложить время на проведение этих работ, причём так, чтобы в случае обнаружения проблем успеть их закрыть.

Заранее необходимо обеспечить наличие подрядчиков, которые будут оперативно реагировать на киберинциденты, ведь в рамках крупных спортивных событий мониторинг и реагирование должны осуществляться непрерывно и при этом не влиять на проведение турнира. Для эффективного реагирования важно обеспечить круглосуточное наличие и доступность ответственных за участвующие в мероприятии объекты ИТ-инфраструктуры, которые могут решить всевозможные возникающие вопросы.

Поскольку в процессе, как правило, времени на разбор полётов нет, после мероприятия необходимо обязательно подвести итоги, зафиксировать выученные в процессе уроки по информационной безопасности, чтобы использовать полученный опыт в будущем.

Для компаний, организующих крупные спортивные события, важно разработать стратегию кибербезопасности, чтобы защитить себя от потенциальных киберугроз. В современном мире цифровые атаки могут нанести серьёзный ущерб репутации компании, нарушить работу системы билетного обслуживания, скомпрометировать конфиденциальные данные участников и зрителей. Поэтому необходимо уделить 9внимание обновлению программного обеспечения, установке многоуровневых систем защиты, обучению сотрудников правилам кибергигиены и реагированию на инциденты. Только так компания сможет обеспечить безопасность данных организаторов, спортсменов и зрителей от киберугроз.