Кибербезопасность: процессы важнее технологий / О банке / Глобэкс банк
Глобэкс банк

Пресс-центр

Публикации


Кибербезопасность: процессы важнее технологий

20 августа 2017 | Национальный банковский журнал

Человеческий фактор по-прежнему несет наибольшие угрозы

Проблемы кибербезопасности, особенно в свете недавних масштабных  атак на компьютеры предприятий, банков, государственных учреждений, приобрели чрезвычайную актуальность. В нашей стране в последнее время вопросам информационной безопасности в разных секторах экономики, в том числе в финансово-банковском секторе, уделяется особое внимание.

Информационная безопасность складывается из целого комплекса различных мер и действий. Это, прежде всего, контроль действий различного рода субъектов – рядовых сотрудников компании, привилегированных пользователей, ИТ-аутсорсеров, контрагентов. Кроме того, это четкое разграничение прав доступа внутри компании, использование резервного копирования данных, а также наличие простой, понятной и доведенной до сведения работников политики безопасности. В текущих реалиях защита должна быть достаточно гибкой, чтобы обеспечить и достаточный уровень защищенности, и выполнение бизнес-целей.

В Банке России считают, что в целом уровень киберустойчивости в нашей стране находится на соответствующем уровне. Также регулятор ожидает снижения количества успешных кибератак и соответственно ущерба от них. По итогам первой половины 2017 года количество успешных атак составило порядка 30% от уровня прошлого года по физическим лицам и порядка 25% – по юридическим лицам. Например, атака вирусов-шифровальщиков WannaCry и NotPetya практически не коснулась российской финансовой системы. Были единичные случаи заражения информационной инфраструктуры, но это не вызвало негативных последствий – финансово-кредитные организации продолжили свою работу, не было отмечено случаев каких-либо финансовых потерь их клиентов.

Гипотетические сценарии, которые могут стать реальностью

Согласно информации, которая содержится в совместном исследовании Lloyd’s of London и Cyence, финансовые потери от масштабной кибератаки может стоить мировой экономике от 15,6 млрд до 121 млрд долларов. Если рассматривать наиболее пессимистический сценарий развития событий, то потери от кибератак могут превысить экономический ущерб от урагана «Катрина», который стал самым разрушительным в истории Соединенных Штатов. Потери от него составили 108 млрд долларов. В докладе указываются два потенциальных сценария развития глобальной кибератаки: взлом провайдеров облачных хранилищ или использование возможных уязвимостей в операционных системах.

В первом сценарии хакеры модифицируют «гипервизор», управляющую систему облачных хранилищ, в результате чего все хранящиеся файлы оказываются утерянными для пользователя. Во втором варианте рассматривается гипотетический случай, когда кибераналитик случайно забывает в поезде сумку, в которой хранится доклад об уязвимостях всех версий операционной системы, установленной на 45% всех мировых устройств. Этот доклад впоследствии продается в «даркнете» неизвестным криминальным группам.

Минимальный ущерб при первом сценарии составит от 4,6 млрд до 53,1 млрд долларов, в зависимости от продолжительности недоступности облачных сервисов, а также того, какие организации подверглись атаке, эта сумма может увеличиться до 121,4 млрд долларов. При втором сценарии потери составят от 9,7 млрд до 28,7 млрд долларов.

Безопасность должна закладываться в процессах

На многочисленных конференциях, семинарах, круглых столах поднимается тема противодействия современным киберугрозам. Так, недавно в рамках XXVI Международного финансового конгресса (МФК-2017), прошедшего с 12 по 14 июля 2017 года в Санкт-Петербурге, была организована сессия «Информационная безопасность. Современные вызовы и методы обеспечения».

Участники этой сессии обсудили тему информационной безопасности в финансово-банковском секторе и способы противодействия современным киберугрозами, требования к кадрам, в том числе необходимость повышения общего уровня киберграмотности сотрудников компаний и госслужащих.

Президент группы компаний (ГК) InfoWatch Наталья Касперская, выступившая в качестве модератора дискуссии, в своем вводном слове напомнила, что по результатам исследования Аналитического центра InfoWatch в России в 2016 году был зафиксирован рост количества утечек информации на 80% по сравнению с 2015 годом. При этом в девяти из десяти случаев утекали персональные данные (ПДн) и платежная информация.

В ходе сессии заместитель председателя правления Банка ВТБ Ольга Дергунова обратила внимание на неготовность российской судебной системы к работе с цифровыми доказательствами. Она отметила, что судебная система фундаментально не готова рассматривать цифровые доказательства киберпреступлений в качестве аргументов ни в арбитражном, ни в уголовном процессе.

Заместитель председателя правления Сбербанка Станислав Кузнецов, выступивший в ходе дискуссии, отметил, что «российское общество до сих пор не осознало в полной мере значимость кибербезопасности. К 2025 году технологии изменят парадигму нашей жизни, и кибербезопасность будет играть ключевую роль в развитии экономики».

«России необходимы законодательная основа, которая позволит применять более жесткие меры в отношении киберпреступников, и экосистема кибербезопасности, подключение к которой обеспечит защищенность от киберугроз», – подчеркнул Станислав Кузнецов. «80% успеха при обеспечении кибербезопасности зависит от того, насколько правильно выстроены процессы, и только 20% – от технологий», – заявил эксперт Сбербанка.

Начальник отдела информационной безопасности банка «Глобэкс» Валерий Естехин соглашается с последним тезисом, он считает, что безопасность должна, прежде всего, закладываться в процессах и только потом начинают эффективно работать технологии, инструменты и ИБ-команда.

Руководитель отдела информационной безопасности ипотечного банка «ДельтаКредит» Всеслав Соленик также полагает, что кибербезопасность в большей степени зависит от правильно выстроенных процессов: «По большому счету, большинство игроков на рынке используют одинаковые или схожие технологии безопасности, но даже с одинаковыми технологиями одна компания может пострадать от кибератаки, а другая – нет. И не пострадает та компания, которая корректно произвела настройки, поставила обновления на ПО, вовремя обнаружила атаку и среагировала на нее, а это уже операционная составляющая». Однако Всеслав Соленик делает оговорку, что все вышесказанное справедливо только при условии наличия ресурсов. Если же присутствует значительная недофинансированность или нехватка ресурсов для обеспечения ИБ компании – тогда без должного технологического инструментария процессы будут очень громоздкими и трудоемкими, а значит, неэффективными. Директор департамента нефинансовых рисков и финансового мониторинга РосЕвроБанка Марина Бурдонова считает, что именно отлаженность процессов является главным компонентом кибербезопасности: «Если система изначально настроена правильно, алгоритм работы понятен всем участникам, то уровень защиты может быть очень высоким. Безусловно, новые технологические решения также существенно помогают повысить уровень эффективности работы, но это инструмент, который  должен быть в надежных руках».

Человеческий фактор

Именно проблема «надежных рук» или, говоря иными словами, квалифицированных кадров по-прежнему является одной из самых насущных. Она имеет особую актуальность на протяжении всех последних лет, потому что на сегодняшний день человек остается самым уязвимым звеном в ИT-инфраструктуре.

Самое слабое звено в информационной безопасности банка – это сотрудник компании, уверен Валерий Естехин (Банк «Глобэкс»): «Иногда невнимательный, иногда неосторожный, иногда доверчивый, иногда скучающий на работе, иногда корыстный».

Марина Бурдонова также главным фактором риска считает человеческий: «Если сотрудники не соблюдают правила безопасности, то технологии не смогут помочь защититься».

Всеслав Соленик (Банк «ДельтаКредит») солидарен с коллегами, самой большой угрозой он называет человеческий фактор. Так, при использовании социальной инженерии злоумышленники могут заставить сотрудника организации совершить какое-то действие, которое упростит проведение атаки, объясняет эксперт. «Часто, чтобы подобрать пароль к аккаунту, злоумышленнику не обязательно его «взламывать» – вся информация о пароле есть в профиле социальных сетей или рядом с рабочим столом. Даже сотрудники на руководящих позициях производят манипуляции, спровоцированные злоумышленниками, чего уж говорить о сотрудниках на рядовых позициях. Отдельной строкой можно привести нежелание работников следовать политикам и требованиям по ИБ ради упрощения своей работы, игнорируя или не зная риски, которые таким образом появляются». По мнению Всеслава Соленика, чтобы минимизировать влияние человеческого фактора, нужно постоянно повышать осведомленность сотрудников в области информационной безопасности, а также внедрять систему контролей и мониторинга соблюдения политик и требований в области ИБ. Среди основных способов минимизации угрозы ИБ Валерий Естехин называет повышение осведомленности персонала в вопросах информационной безопасности, проведение тестов, деловых игр, киберучений. Наряду с человеческим фактором, конечно, серьезную угрозу для информационной безопасности компании представляют также, по мнению Валерия Естехина, устаревший парк оборудования и неподдерживаемое производителем ПО, отсутствие решений для мониторинга корпоративной сети, утечка баз данных через сотрудников, ИТ-аутсорсеров, разработчиков ПО.

Недооцененные риски

В связи с проблемой рисков, которые несет человеческий фактор, любопытно вспомнить исследование антивирусной компании ESET, опубликованное в июле 2017 года. Четыре компании из пяти недооценивают риски информационной безопасности, связанные с человеческим фактором. Такой вывод сделали сотрудники  ESET после опроса интернет-пользователей из России и СНГ. Респондентам предложили выбрать ответ на вопрос «Проходили ли вы на работе тренинг по информационной безопасности?». Отрицательный ответ лидирует с большим отрывом. 69% респондентов никогда не проходили обучение основам кибербезопасности в своих компаниях. Еще 15% участников опроса сообщили, что их работодатели ограничились минимальным объемом информации. Обучение не выходило за рамки «в случае неполадок перезагрузите компьютер», правила кибербезопасности не затрагивались.

Только 16% респондентов прошли качественные тренинги с подробным рассказом об информационной безопасности и актуальных угрозах. Для сравнения: больше 60% участников аналогичного опроса в США сообщили, что их работодатели организовали для них обучение по кибербезопасности. Далее участникам опроса ESET предложили перечислить аспекты компьютерной безопасности, информации о которых им не хватает для обеспечения защиты. Респонденты честно признали наличие пробелов в своих познаниях. 70% участников сообщили, что недостаточно знакомы с темой безопасности беспроводных сетей, в частности, угрозами для Wi-Fi. Вторую строку рейтинга «пробелов» занимают программы-вымогатели. 63% респондентов считают, что им недостает знаний для защиты от шифраторов. Другие категории вредоносного ПО – банковские трояны и вредоносные программы для мобильных устройств – получили по 56% голосов. 57% участников опроса хотели бы знать больше о безопасности паролей, 51% – о защите от «классических» инструментов интернет-мошенников – фишинга и спама. «Большая часть нарушений информационной безопасности в компаниях связана с ошибками персонала, – комментирует Виталий Земских, руководитель ESET Consulting. – На человеческом факторе – социальной инженерии и старых уязвимостях ПО – построены целевые атаки на организации. Снизить риски и найти слабое звено в компании раньше, чем это сделают злоумышленники, позволяет обучение сотрудников, а также разного рода тесты, определяющие внутренние угрозы безопасности».

Кадровый голод ИБ

Эксперты отмечают, что скорость изменения и появления новых технологий стала причиной кадрового голода, а в среде специалистов по ИБ по всему миру наблюдается «нулевая безработица».

Заместитель начальника ГУБЗИ ЦБ РФ Артем Сычев в ходе сессии «Информационная безопасность. Современные вызовы и методы обеспечения» в рамках МФК-2017 подтвердил проблему нехватки кадров в сфере информационной безопасности для финансовой индустрии. Поскольку работа современной финансовой системы невозможна без применения принципа security by design (разработка информационных систем, изначально защищенных от различного рода угроз), для чего нужны квалифицированные специалисты. Говоря о кадровой проблеме, Артем Сычев также отметил необходимость появления новых профессий на стыке ИТ и других дисциплин. Например, требуется совмещение профессии специалиста по безопасности и юриста. Такие специалисты могли бы помочь правоохранительным органам в борьбе с киберпреступниками.

Кибербезопасность – одна из самых динамично развивающихся отраслей, поэтому спрос на кадры очень высокий, подчеркивает Марина Бурдонова. А образовательный рынок
отреагировать на эту тенденцию успел не в полной мере, именно с этим связана данная проблема. Но через 3-5 лет с кадрами будет значительно лучше, считает эксперт РосЕвроБанка.

«Самые талантливые хотят работать на самые успешные компании, – говорит Валерий Естехин. – Приходиться довольно долго искать нужных людей, как правило, с опытом, с необходимой квалификацией. Хочется нанимать людей, заряженных на результат, а не нытиков. Требования к квалификации, опыту и компетенциям специалистов диктуются сложностью и многообразием применяемого оборудования и ПО для защиты информации». Ведь, несмотря на помощь интегратора или вендора при внедрении средств защиты, дальнейшая эксплуатация решения лежит на плечах ИБ-команды компании.

Самые опасные кибератаки

Отчет Cisco по информационной безопасности за первое полугодие 2017 года

указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. С появлением Интернета вещей (Internet of Things, IoT) все больше операций в ключевых отраслях переводится в режим online, что расширяет горизонт атак, увеличивает их масштабы и усугубляет последствия.

Недавние атаки WannaCry и Nyetya продемонстрировали скорость распространения и широту охвата вредоносного ПО, которое выглядит как программы-вымогатели, но на самом деле способно вызвать куда более существенные разрушения. Это предвещает появление угроз, которые Cisco назвала атаками типа «прерывание обслуживания» и которые могут наносить значительно больший, по сравнению с традиционными атаками, ущерб, не оставляя при этом бизнесу возможности восстановления.

Существует множество различных типов кибератак. Возникает вопрос, какие из них по мнению экспертов наиболее опасны для банков?

Самыми опасными являются «тихие» атаки, которые могут долгое время оставаться незамеченными, считает Всеслав Соленик. Цель атак может быть различной – похищение данных, финансовые хищения, проникновение к партнерам, эксплуатация ресурсов или все эти цели сразу. Существуют случаи, когда злоумышленники годами использовали инфраструктуру банковской организации. 

Марина Бурдонова полагает, что наиболее опасны те атаки, которые организованы профессионалами с опытом в индустрии. Например, если речь идет о каких-то спланированных атаках в интересах крупных групп влияния. «В этом случае, уровень опасности очень высокий», – подчеркивает эксперт.

«Любая нештатная ситуация – это проверка на профпригодность безопасников, айшников, – говорит Валерий Естехин. – Последние события с атаками WannaCry, Petya и др. это наглядно показали. Самыми эффективными атаками для средних и малых компаний являются, как не странно, довольно примитивные и понятные в реализации способы атаки, такие как попытки вторжения через уязвимости в ПО, обман или злоупотребление доверием, заражение вредоносным ПО через фишинговые рассылки по каналам электронной почты, целевые атаки на персонал с необходимым уровнем доступа». Большинство из таких атак можно было бы предотвратить, применяя базовые принципы защиты информации. Среди главных принципов эксперт банка «Глобэкс» называет следующие: использование спам фильтров в электронной почте, сегментирование корпоративной сети, проверка наличия сертификатов устанавливаемых программ, фильтрация подозрительных URL, использование патчей и обновлений безопасности для эксплуатируемого ПО, отслеживание запущенных процессов в корпоративной сети, повышение осведомленности персонала. Наряду с этим важно осуществлять сканирование антивирусными решениями (обновление антивирусных баз), настройку поведенческого анализа в антивирусных решениях, использовать Firewall, межсетевые экраны. Конечно, работники компании не должны открывать ссылки в письмах, пришедших из непроверенных источников. Наконец, необходима организация обмена информацией об инцидентах между участниками информационного взаимодействия в рамках Центров реагирования на компьютерные преступления.

Наиболее актуальные угрозы информационной безопасности банков в последнее время связаны с целенаправленными атаками: на адреса сотрудников рассылаются почтовые сообщения, содержащие вредоносное ПО, прокомментировали ситуацию в пресс-службе банка ВТБ24. Также актуальными остаются угрозы, связанные с DDOS атаками и атаками на клиентов систем ДБО (дистанционного банковского обслуживания).
Минимизировать такие риски можно путем внедрения современных систем защиты и эффективных процедур реагирования, выполнения требований информационной безопасности, повышения осведомленности персонала в области информационной безопасности. Например, «при разработке своих мобильных приложений мы анализируем и пресекаем уязвимости и угрозы в области безопасности, – подчеркивают в пресс-службе банка. – На регулярной основе проводим проверка уязвимости приложений с привлечением внешних специализированных компаний. На наш взгляд, внешний подрядчик с надежной репутацией и опытом работы на рынке априори будет обладать большей компетенцией,  в т.ч. компетенцией по части безопасной разработки. Также в ВТБ24 внедрена система антифрод, которая выявляет аномальное поведение клиентов в ДБО и останавливает мошеннические операции. В приложениях ВТБ24 многофакторная аутентификация работает во всех системах ДБО. В мобильном приложении ВТБ24 не зафиксировано ни одного случая взлома».

Биометрическая идентификация

В последнее время крупные банки запустили у себя пилотные проекты по использованию средств биометрической идентификации. Конечно, пока еще остается слишком много вопросов в этой сфере. Например, какой из видов биометрии наиболее эффективен и применим на практике, как подойти к внедрению биометрии с точки зрения технологии, правового и методологического обеспечения? Ведь перспективы использования биометрических технологий до сих пор сдерживаются законодательными прорехами, высокой стоимостью и несовершенством решений. Однако при всем при этом крупные финансово-кредитные институты уже сегодня используют биометрические технологии в целях информационной безопасности, противодействия внешнему и внутреннему мошенничеству. Например, банку ВТБ24 интересна возможность применения биометрических технологий, прокомментировали в пресс-службе организации. «Преимущество биометрии – удобство клиента. Пароли могут быть потеряны или украдены, а биометрические данные – уникальны, поэтому можно говорить о надежности метода». В начале 2017 года ВТБ24 завершил пилотный проект по голосовой идентификации клиентов при обращении в контактный центр, что позволяет создать удобный для клиента и достоверный для банка процесс подтверждения операций. Это может в разы увеличить как объем проверяемых операций, так и минимизировать риски клиентов и банка, считают в финансово-кредитной организации. Также ВТБ24 запустил проект биометрической аутентификации клиентов по внешности в новом типе офисов с безбумажным обслуживанием. При посещении таких отделений клиенты подписывают только электронные версии документов. При этом помимо традиционной идентификации по паспорту банк предлагает пройти аутентификацию на планшете, которая дополнительно подтверждает, что именно этот человек в определенный день и время подписал документы. В розничном бизнесе банка ВТБ и ВТБ24 уже внедрен сервис использования отпечатка пальца в мобильном банке на вход, а в розничном бизнесе банка ВТБ – еще и на подтверждение операций.





Другие публикации