Информационная безопасность является важным аспектом работы финансовых организаций. Конфиденциальная информация, связанная с финансовой деятельностью, а также непосредственно денежные средства физических и юридических лиц неизбежно привлекают внимание киберпреступников.
Редакция SecureNews решила подробно остановиться на специфике информационной безопасности финансовых учреждений. В данном вопросе нам помогут разобраться эксперты в сфере информационной безопасности.
Первый вопрос, который мы задали экспертам: какие данные прежде всего нуждаются в защите и какие инструменты используются для обеспечения должного уровня информационной безопасности?
Павел Луцик, руководитель проектов по информационной безопасности компании КРОК:
«Для своих информационных систем финансовые организации, как правило, используют различные системы защиты от фрода (как внешнего, так и внутреннего), системы многофакторной аутентификации при доступе клиентов к системам интернет-банкинга, так называемые центры обеспечения безопасности и реагирования на инциденты (Security Operation Center, SOC), позволяющие собирать данные со всех критичных информационных систем, анализировать их, коррелировать и реагировать, а также проводить необходимые расследования.
Для защиты банкоматов используются специализированные средства защиты, позволяющие предотвратить нелегитимный доступ как на физическом, так и на информационном уровне. Кроме того, практически все банки используют классические средства защиты, такие как антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа и так далее. При этом применение банками соответствующих средств защиты диктуется как реальными потребностями и здравым смыслом, так и требованиями регуляторов (ЦБ, ФСТЭК, ФСБ)».
Антон Соловей, руководитель экспертного направления Falcongaze:
«В первую очередь для финансовых организаций критичным является обеспечение безопасности данных, защиту которых требует от них регулятор. В России – это Центробанк, Роскомнадзор, ФСТЭК, ФСБ и другие государственные организации, которые направляют требование к обеспечению защиты персональных и платежных данных, а также сведений, являющихся банковской тайной. Помимо этого, в каждом банке существует массив критичной информации, к способу защиты которой не имеются требований от регуляторов, однако она обеспечивается в связи с нуждами организации. Естественно, каждый банк не ограничивает себя в выборе средств безопасности исключительно требованиями регуляторов, а ориентируется на собственные реальные потребности, – нормативы нередко отстают от актуальных угроз, а стать жертвой не хочется никому».
Оксана Лосевская, почетный член АССА, партнер SL Partners:
«Что касается инструментов защиты, то в данном случае можно выделить следующие меры: организационные и технические.
Под организационными мерами подразумевают: тщательный отбор и контроль персонала, обучение сотрудников вопросам информационной безопасности, проверка внешним и внутренним аудитом соблюдения правил и норм информационной безопасности сотрудниками.
Технические меры направлены на обеспечение безопасности на персональных компьютерах сотрудников и серверах организации. Необходимо отслеживать актуальность антивирусных баз и сигнатур хостовых систем обнаружения вторжений, устанавливать запреты на управление средствами антивирусной защиты сотрудниками (для этих целей на персональных компьютерах отключается доступ к USB-портам и отключается доступ к Интернету), внедрять строгую парольную политику, ограничивать доступ к информации в соответствии со служебными обязанностями, а также доступ к рассылке информации с личной почты и прочее. ИТ-сотрудники и службы внутреннего аудита должны проверять, тестировать и подтверждать эффективность технических мер для поддержания необходимого уровня информационной безопасности финансовой организации».
Отдельно стоит отметить комментарий представителя финансовой организации – управляющего директора Инвестиционной группы "Норд-Капитал" Михаила Ханова:
«У нас особенная финансовая организация; главная интеллектуальная собственность, для которой необходима защита, – это идеи и логика работы алгоритмов. Для защиты используем инструменты от одного из ведущих российских разработчиков средств информационной безопасности. К сожалению, все идеи рождаются в головах и их «защитить» невозможно. Все угрозы «традиционные», но масштаб бедствия увеличен, поскольку компания серьезная. Главная проблема – мобильные устройства и слияние личного и рабочего пространств на разных устройствах (рабочий компьютер, рабочий ноутбук, домашний компьютер/ноутбук, мобильный телефон, планшет). Всё объединяется в одно большое облако, контролировать всё сложнее. Сотрудники могут работать 24/7 с разных устройств и для максимально эффективной работы нужен доступ ко всем рабочим ресурсам со всех устройств. Любая защита – это ограничение доступа и снижение эффективности, так что приходится искать компромисс».
Кроме того, мы попросили экспертов рассказать о новых угрозах информационной безопасности, с которыми финансовые организации столкнулись в 2016 году.
Михаил Кондрашин, технический директор Trend Micro в России:
«Мы видим два новых вида угроз, с которыми организации сталкивались в течение прошлого года и полагаем, что в этом году злоумышленники будут все чаще и чаще использовать эти приемы для похищения денег. Опишем Business Email Compromise (BEC) — атаки, которые, посредством филигранно составленных писем, провоцируют сотрудников организации с соответствующими полномочиями на совершение действий, которые в итоге приводят к похищению денег. Подобные письма составляются злоумышленниками с хорошим пониманием, кто должен быть отправителем подобного письма, и как оно должно быть написано, чтобы не вызвать подозрения у получателя. Количество жертв таких атак не так уж велико: счет идет на тысячи, но суммарный ущерб огромен, и, по оценкам, подбирается к 1 миллиарду долларов. Причина в том, что, в среднем, каждая успешная акция приносит ее авторам порядка 100000 долларов, что существенно больше, чем выкуп за зашифрованные вымогательской программой файлы и, тем более, продажа лекарств-дженериков через спам-рассылки.
Кроме BEC, набирает обороты другой вид атаки — Business Process Compromise (BPC). Такие атаки ставят своей целью модификацию информационных систем организации-жертвы с тем, чтобы в рамках стандартных бизнес-процессов определенную выгоду получал злоумышленник. Особенно актуальнее такой сценарий угрозы для финансовых организаций, где ключевые бизнес-процессы связаны с деньгами. На текущий момент объем ущерба оценивается в несколько миллиардов долларов, ведь такие атаки позволяют похитить огромные суммы денег. Достаточно вспомнить пример с атакой на Банк Бангладеш, где успешно похитили 80 миллионов долларов, а ведь сумма могла быть существенно больше. Только благодаря бдительности сотрудников банка, не все платежи были переведены злоумышленникам, а ведь общая сумма подложных поручений приближалась к миллиарду долларов».
Никита Дуров, руководитель группы консультантов Check Point Software Technologies:
«Принципиально новых ИБ-угроз для финансовых организаций зафиксировано не было, но можно выделить наиболее яркие тренды. Это, в первую очередь, двукратный рост активности атак при помощи вредоносного программного обеспечения, предназначенного для вымогательства или шифровальщиков. По данным исследований Check Point ThreatIndex, из всех зарегистрированных инцидентов с применением вредоносного ПО по всему миру доля ransomware-атак с июля по декабрь 2016 выросла с 5,5% до 10,5%.
Помимо классического воровства данных карт пользователей, которое приводит к последующей краже средств, злоумышленники теперь используют банки и другие организации в качестве трамплина на устройства клиентов, а затем «высаживают» на них вредоносную программу, которая блокирует все данные пользователя и требует выкуп для их дешифровки.
Также хакеры используют вредоносное ПО для проникновения в сеть самих финансовых организаций и шифровки важных для бизнеса данных. Если сотрудник откроет вредоносный файл на рабочем компьютере, все устройства сети могут оказаться под угрозой».
Андрей Соколов, руководитель направления информационной безопасности компании «Сервионика» (ГК «Ай-Теко»):
«По данным Qrator Labs и Wallarm, основные угрозы, с которым пришлось столкнуться российским банкам в последние месяцы, это DDoS-атаки (каждый четвертый банк), фишинг (21%), взлом систем (17%), еще 20% приходится на все прочие инциденты. Всё новое — это хорошо забытое старое. Поэтому ничего такого, чего никогда не существовало ранее, киберпреступники придумать пока не смогли.
Обычно большинство взломов и утечек данных происходят во front-end-системах, то есть в тех, с которыми работают клиенты банков. Прежде всего это системы мобильного и интернет-банкинга: все данные, которые передаются по незащищенному интернет-каналу, находятся под угрозой. В 2016 году Россия, по данным «Лаборатории Касперского», оказалась лидером по количеству мобильных банковских троянов. Есть также статистика, что приложения мобильного банкинга 50 из 100 крупнейших мировых банков содержат уязвимости, которые потенциально могут привести к хакерским атакам».
Алексей Пастоев, начальник управления информационной безопасности Росэнергобанка:
«В 2015-2016 годах банки активно развивали системы дистанционного банковского обслуживания, а злоумышленники, как следствие, выпускали новые виды вредоносного ПО для хищения средств из систем ДБО на стороне клиента. После того, как существенная часть банков внедрила антифрод-модули в системы ДБО, мошенники переключились с клиентов на сами банки».
Олег Губка, директор по развитию бизнеса компании Аванпост:
«По-прежнему серьезную угрозу для банков представляют преступные сообщества, целью которых являются атаки систем ДБО для воровства финансовых средств со счетов клиентов. Но при этом вектор атаки все больше смещается с уязвимой инфраструктуры клиента в сторону периметра банка, где возможности кибермошенничества намного шире. Целью таких атак являются уже не только системы ДБО, а все чаще ядро информационной системы банка – это его АБС».
Также мы попросили экспертов дать свои прогнозы относительно вызовов, с которыми могут финансовые организации столкнуться в сфере информационной безопасности в 2017 году.
Рустэм Хайретдинов, генеральный директор компании "Атак Киллер", заместитель генерального директора ГК InfoWatch:
«Всё большее распространение получает интернет-банкинг и мобильный банкинг, поэтому можно ожидать атак на банковские интернет-системы и мобильные приложения. По мере того, как использовать такие приложения начинают не только «продвинутые» технически пользователи, но и не очень искушенные в технологиях люди, то можно ожидать роста числа атак с использованием социальной инженерии. Поэтому перед банками сейчас стоит не только задача разработки передовых технологических систем, но и не менее важная задача по информированию клиентов о правильном поведении в киберпространстве».
Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:
«Инфобезопасность – это плацдарм, на котором идет непрекращающаяся война умов киберпреступников и специалистов по защите информации, с каждым годом атаки становятся сложнее и незаметнее. Только созданы системы для защиты от таргетированных атак, как хакеры думают над тем, как обойти «песочницу» и сделать так, чтобы трафик пошел напрямую к требуемому получателю, без его предварительной верификации. В ответ на это вендоры дорабатывают свои решения, с тем чтобы они позволяли распознать подобную хитрость, вводят технологии поведенческого анализа и другие средства защиты. В ближайшее время можно прогнозировать увеличение использования в атаках на банки наиболее уязвимых элементов глобальной ИТ-инфраструктуры – мобильных устройств и интернета вещей».
Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв»:
«Я думаю, что новые угрозы нужно ждать со стороны интернета вещей. Сейчас в мире используется порядка миллиарда устройств, подключенных к интернету вещей, а к 2020 году количество таких устройств по прогнозам увеличится до 6-7 миллиардов, при этом количество типов таких устройств будет увеличиваться в геометрической прогрессии. В 2016 году была представлена технология платежей с использованием мобильного телефона. На мой взгляд, в скором времени мы столкнемся с атаками и хищениями денежных средств именно за счет использования возможности осуществления платежей подобным способом. Другая угроза со стороны интернета вещей – это возрастающее количество DDoS-атак с этих устройств и общий объем паразитного трафика. Так, в 2016 году была зарегистрирована атака в более чем 1 терабит в секунду из бот-сети Mirai!»
Владимир Лебедев, директор по развитию бизнеса Stack Group:
«Основные вызовы 2017 года – это атаки на мобильные устройства и финансовые мобильные приложения как части инфраструктуры дистанционного банковского обслуживания. С 1 января 2017 года действует новый стандарт Банка России СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств», который устанавливает требования по информационной безопасности именно в финансовых организациях и операторах платежных систем. Особое внимание в стандарте уделено методикам расследования инцидентов, вопросам защиты ДБО. Также все большее внимание должно быть обращено на развитие антифрод-систем из-за возрастающего с каждым годом объема безналичных переводов и огромного количества провайдеров и пользователей платежных систем и сервисов».
Евгений Лифшиц, руководитель Агентства кибербезопасности:
«В 2017 г. продолжится применение атакующими специализированного ПО для тестирования на проникновение, инструментов администрирования и утилит для автоматизации задач в Windows. Естественно, злоумышленники еще активнее будут работать с «умными вещами», которые у нас не защищены от взломов и атак не только законодательно, но и технически.
Стоит отметить, что некоторые аналитики прогнозируют в следующем году и скачок атак на смарт-контракты. Так, эксперты Digital Security уверены, что в 2018 году возрастет количество атак на организации и компании, которые не напрямую взаимодействуют с деньгами (как банки), но находятся рядом, и через которые можно получить доступ к большим суммам. Не оставят без внимания киберпреступники и клиентскую часть сервисов дистанционного банковского обслуживания (ДБО), пользуясь информационной безграмотностью населения. Так или иначе, хакеры будут использовать всевозможные средства увода денег, улучшая и развивая свои преступные приемы».
Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет»:
«В 2017 году мы ожидаем развитие количества атак, направленных на бизнес-процессы кредитно-финансовых организаций. Защита отдельных компонент и ИТ-систем становится все более развитой, но при этом современные процессы протекают в нескольких системах, средах обработки данных и в сегментах, имеющих различные стандарты уровня защищенности. Как показывает практика последних атак, в том числе, именно на стыке защищаемых систем возникают наиболее уязвимые компоненты, которые с успехом и будут эксплуатироваться злоумышленниками».
Игорь Прокопенко, Консультант по предпродажной подготовке, Experian в России и странах СНГ:
«B 2017 году продолжится рост угроз, связанных с кибербезопасностью. В B2C сегменте – в ракурсе мошенничества с персональными данными и онлайн-платежами. В B2B секторе – в аспекте развития систем информационной безопасности компаний и защиты их данных.
Ведущие финансовые организации перейдут к активным шагам по внедрению нового поколения инструментов, позволяющих адаптивно определять степень рисков на уровне отдельных действий клиентов в части онлайн-сервисов и применения дифференцированного подхода в зависимости от степени риска. Также начнет возрастать важность решения задач обеспечения кроссканальной защиты, которая позволяет отслеживать действия клиента в различных каналах и сервисах (например, действия в онлайн-кабинете и транзакции по карте) для определения интегрального риска с учетом всех релевантных данных».
