Журнал для руководителей компаний и специалистов ИБ
Выпуск №10: октябрь
Друзья, на связи команда АйЭсТи! Мы рады представить вам октябрьский выпуск нашего ежемесячного дайджеста для руководителей и специалистов в области информационной безопасности.
Сегодня информационный поток огромен. Мы часто зацикливаемся на одном, пропуская важные аспекты и нюансы, которые на самом деле могут оказать решающее влияние на безопасность бизнеса.
В этом выпуске:
Денис Лихуто
История «Орион Телеком» — это не просто кейс о взломе. Это зеркало всей отрасли, где инвестиции в оборудование растут быстрее, чем зрелость процедур.
Любая компания может оказаться на месте «Орион Телеком», если не умеет управлять своими доступами, людьми и знаниями.
История с инцидентом, описанным в заявлении компании «Орион Телеком» в правоохранительные органы, показывает, что даже при развитой сетевой инфраструктуре главный риск для бизнеса кроется не в вирусах и ботнетах, а в людях и процессах.
В ходе расследования выяснилось, что произошло внешнее воздействие. Злоумышленники сбросили конфигурации, удалили операционные системы с серверов и очистили хранилища данных.
Хакерская группа BO_Team_UA заявила о своей причастности к атаке. Однако, по данным технического расследования специалистами BI.ZONE, первичная компрометация системы произошла ещё в январе 2025 года, задолго до начала публичной фазы. Злоумышленники активизировались в конце мая, используя старую учётную запись бывшего сотрудника компании.
Человеческий фактор — старейшая уязвимость
Из описания видно, что для авторизации использовались скомпрометированные учётные записи. Среди них — логины уволенных ещё в 2022 году работников. Значит, после их ухода учётки не были своевременно заблокированы, а процедуры управления доступом (Identity Management) не выполнялись.
Более того, BI.ZONE отмечают, что злоумышленники имели детальное знание внутренней архитектуры сети, включая схемы маршрутизации и расположение серверов. Это указывает на инсайдерскую осведомлённость — кто-то из бывших сотрудников мог передать информацию посторонним.
Масштаб утечки
Параллельно в телеграм-канале той же хакерской группы были опубликованы файлы с персональными данными абонентов:
Так инцидент приобрёл не только технический, но и правовой масштаб — нарушение требований Федерального закона № 152-ФЗ «О персональных данных».
Почему технически устойчивая сеть оказалась беззащитной
Разрушительная сила этой атаки не в изощрённости вредоносного кода, а в сочетании организационных пробелов и отсутствия контроля.
Три ключевых просчёта:
Неуправляемый доступ
Учётные записи бывших сотрудников оставались активными, а права не были отозваны. Это открыло путь к несанкционированным подключениям без привлечения внимания службы безопасности.
Отсутствие сегментации
Компрометация одной учётки позволила злоумышленникам уничтожить конфигурации на множестве устройств и серверов. При правильной сегментации ущерб ограничился бы одной подсетью.
Слабый мониторинг и реакция
Нелегитимная активность фиксировалась ещё за несколько месяцев до атаки, но оставалась незамеченной. События были, но не было аналитики.
Учимся на чужих ошибках: 4 принципа защиты
Инцидент «Орион Телеком» — сигнал не только для операторов связи и компаний с распределённой ИТ-инфраструктурой. Это вызов всем.
Принцип Zero Trust
Никому не доверять по умолчанию. Каждое подключение должно проходить проверку устройства и личности.
Системное управление доступами
Деактивация учётных записей при увольнении, ротация ключей, MFA и минимально необходимые права.
Мониторинг и анализ аномалий
SIEM и EDR должны выявлять нетипичные сценарии: массовое удаление, резкие изменения политик.
Бэкап 3-2-1
3 копии, 2 типа носителей, 1 вне площадки.
Осень — традиционное время для новых знаний. Альтернатива длинным лекциям — мини-марафон.
Урок №1: ЗАКОНОДАТЕЛЬСТВО
Что от нас хотят регуляторы
Урок №2: БАЗА
Основы, которые закрывают 90% угроз
Урок №3: ИМПОРТОЗАМЕЩЕНИЕ
Выбираем решения без потери защищённости
Урок №4: УЯЗВИМОСТИ
Которые можно закрыть заранее
Ежедневно в компаниях работают с десятками резюме, личных дел, медицинских справок и трудовых договоров. Каждый из этих документов — «мина» с точки зрения законодательства о персональных данных.
Хорошая новость: соблюдать требования законодательства несложно, если знать правила игры.
В подкасте АйЭсТи раскрывается план:
- 1. Что считается персональными данными
- 2. На какие документы опираться и что изменилось в 2025 году
- 3. Топ-5 ошибок HR-специалистов
Обязательно к просмотру:
- HR-специалистам и директорам по персоналу
- Руководителям компаний
- ИБ-специалистам
- Юристам
Проверьте свои знания
Ситуация:
Клиент онлайн-сервиса доставки еды отправил запрос на прекращение обработки его персональных данных и удаление его аккаунта.
Вопрос:
В какой срок компания обязана исполнить требование клиента и что нужно сделать помимо удаления аккаунта?
Правильный ответ
В течение 30 дней. Удалить аккаунт и все персональные данные, включая данные о заказах, так как они больше не нужны для целей обработки.
Объяснение:
Пункт 5 статьи 21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» устанавливает срок исполнения требований субъекта ПДн — 30 дней.
Почему нельзя тянуть:
- Цель исчезла. Нет цели — нет обработки.
- Обезличивание — не выход без оснований. Если не предусмотрено политиками и согласием, хранить обезличенные остатки нельзя.