Проблемы кибербезопасности, особенно в свете недавних масштабных атак на компьютеры предприятий, банков и государственных учреждений, приобрели чрезвычайную актуальность. В нашей стране в последнее время вопросам информационной безопасности (ИБ) в разных секторах экономики, в том числе в финансово-банковском секторе, уделяется особое внимание. 

Информационная безопасность складывается из целого комплекса различных мер и действий. Это, прежде всего, контроль действий различных субъектов бизнес-процессов – рядовых сотрудников компании, привилегированных пользователей, ИТ-аутсорсеров, контрагентов. Кроме того, это четкое разграничение прав доступа внутри компании, использование резервного копирования данных, а также наличие простой, понятной и доведенной до сведения работников политики безопасности. В текущих реалиях защита должна быть гибкой, чтобы обеспечить и достаточный уровень защищенности, и выполнение бизнес-целей.

В Банке России считают, что в целом уровень киберустойчивости в нашей стране находится на соответствующем уровне. Также регулятор ожидает снижения количества успешных кибератак и, соответственно, ущерба от них. По итогам первой половины 2017 года количество успешных атак составило порядка 30 % от уровня прошлого года по физическим лицам и порядка 25 % – по юридическим лицам. Например, атака вирусов-шифровальщиков WannaCry и NotPetya практически не коснулась российской финансовой системы. Были единичные случаи заражения информационной инфраструктуры, но это не вызвало негативных последствий – финансово-кредитные организации продолжили свою работу, не было отмечено случаев каких-либо финансовых потерь их клиентов.

Гипотетические сценарии, которые могут стать реальностью

Согласно информации, которая содержится в совместном исследовании Lloyd’s of London и Cyence, финансовые потери от масштабной кибератаки могут стоить мировой экономике от 15,6 до 121 млрд долларов. Если рассматривать наиболее пессимистический сценарий развития событий, то потери от кибератак могут превысить экономический ущерб от урагана «Катрина», который стал самым разрушительным в истории Соединенных Штатов. Потери от него составили 108 млрд долларов. 

В докладе указываются два потенциальных сценария развития глобальной кибератаки: взлом провайдеров облачных хранилищ или использование возможных уязвимостей в операционных системах.
В первом сценарии хакеры модифицируют «гипервизор», управляющую систему облачных хранилищ, в результате чего все хранящиеся файлы оказываются утерянными для пользователя. Во втором варианте рассматривается гипотетический случай, когда кибераналитик случайно забывает в поезде сумку, в которой хранится доклад об уязвимостях всех версий операционной системы, установленной на 45 % всех мировых устройств. Этот доклад впоследствии продается в «даркнете» неизвестным криминальным группам. 

Минимальный ущерб при первом сценарии составит от 4,6 до 53,1 млрд долларов в зависимости от продолжительности периода недоступности облачных сервисов, а также от того, какие организации подверглись атаке. Эта сумма при определенном, наиболее негативном раскладе может увеличиться до 121,4 млрд долларов, считают эксперты. При втором сценарии потери составят от 9,7 до 28,7 млрд долларов. 

Безопасность должна закладываться в процессах

На многочисленных конференциях, семинарах, круглых столах поднимается тема противодействия современным киберугрозам. Так, недавно в рамках XXVI Международного финансового конгресса (МФК-2017), прошедшего с 12 по 14 июля 2017 года в Санкт-Петербурге, была организована сессия «Информационная безопасность. Современные вызовы и методы обеспечения».

Участники этой сессии обсудили тему информационной безопасности в финансово-банковском секторе и способы противодействия современным киберугрозам, требования к кадрам, в том числе необходимость повышения общего уровня киберграмотности сотрудников компаний и госслужащих.

Президент группы компаний (ГК) InfoWatch Наталья Касперская, выступившая в качестве модератора дискуссии, в своем вступительном слове напомнила, что по результатам исследования Аналитического центра InfoWatch в России в 2016 году был зафиксирован рост количества утечек информации на 80 % по сравнению с 2015 годом. При этом в девяти из десяти случаев утекали персональные данные (ПДн) и платежная информация.

В ходе сессии заместитель председателя правления Банка ВТБ Ольга Дергунова обратила внимание на неготовность российской судебной системы к работе с цифровыми доказательствами. Она отметила, что судебная система фундаментально не готова рассматривать цифровые доказательства киберпреступлений в качестве аргументов ни в арбитражном, ни в уголовном процессе.
Заместитель председателя правления Сбербанка России Станислав Кузнецов, выступивший в ходе дискуссии, отметил, что необходима законодательная основа, которая позволит применять более жесткие меры в отношении киберпреступников, и экосистема кибербезопасности, подключение к которой обеспечит защищенность от киберугроз. «80% успеха при обеспечении кибербезопасности зависит от того, насколько правильно выстроены процессы, и только 20% – от технологий», – заявил эксперт.

Начальник отдела информационной безопасности банка «Глобэкс» Валерий Естехин согласен с последним тезисом. Он считает, что безопасность должна прежде всего закладываться в процессах и только потом начинают эффективно работать технологии, инструменты и ИБ-команда.

Руководитель отдела информационной безопасности ипотечного банка «ДельтаКредит» Всеслав Соленик также полагает, что кибербезопасность в большей степени зависит от правильно выстроенных процессов. «Большинство игроков на рынке используют одинаковые или схожие технологии безопасности, но даже с одинаковыми технологиями одна компания может пострадать от кибератаки, а другая – нет. И не пострадает та компания, которая корректно произвела настройки, поставила обновления на ПО, вовремя обнаружила атаку и среагировала на нее, а это уже операционная составляющая», – отмечает эксперт. Однако Всеслав Соленик делает оговорку, что все вышесказанное справедливо только при условии наличия ресурсов. Если же присутствует значительная недофинансированность или не хватает иных, нефинансовых ресурсов для обеспечения ИБ компании, тогда без должного технологического инструментария процессы будут очень громоздкими и трудоемкими, а значит, неэффективными.

Директор департамента нефинансовых рисков и финансового мониторинга РосЕвроБанка Марина Бурдонова считает, что именно отлаженность процессов является главным компонентом кибербезопасности. «Если система изначально настроена правильно, алгоритм работы понятен всем участникам, то уровень защиты может быть очень высоким. Безусловно, новые технологические решения также существенно помогают повысить уровень эффективности работы, но это инструмент, который должен быть в надежных руках», – предупреждает специалист.

Человеческий фактор

Именно проблема «надежных рук» или, говоря иными словами, квалифицированных кадров по-прежнему является одной из самых насущных. Она имеет особую актуальность на протяжении всех последних лет, потому что на сегодняшний день человек остается самым уязвимым звеном в ИT-инфраструктуре.

«Самое слабое звено в информационной безопасности банка – это сотрудник компании, – уверен Валерий Естехин (банк «Глобэкс»). – Иногда невнимательный, иногда неосторожный, иногда доверчивый, иногда скучающий на работе, иногда корыстный», – перечисляет эксперт возможные варианты возникновения проблем. Во всех перечисленных случаях последствия могут оказаться весьма плачевными не только для сотрудника, но и для организации, в которой он работает.

Марина Бурдонова (РосЕвроБанк) также главным фактором риска считает человеческий. «Если сотрудники не соблюдают правила безопасности, то технологии не смогут помочь защититься», – поясняет она свою точку зрения. Всеслав Соленик (банк «ДельтаКредит») указывает, что при использовании социальной инженерии злоумышленники могут заставить сотрудника организации совершить какое-то действие, которое упростит проведение атаки. «Часто, чтобы подобрать пароль к аккаунту, злоумышленнику не обязательно его взламывать – вся информация о пароле есть в профилях социальных сетей или рядом с рабочим столом. Даже сотрудники на руководящих позициях производят манипуляции, спровоцированные злоумышленниками, что уж говорить о сотрудниках на рядовых позициях. Отдельной строкой можно привести нежелание сотрудников следовать политикам и требованиям по ИБ, потому что это может усложнить их работу. В результате они игнорируют риски, которые таким образом появляются», – подчеркивает эксперт.

По мнению Всеслава Соленика, чтобы минимизировать влияние человеческого фактора, нужно постоянно повышать осведомленность сотрудников в области информационной бе­зопасности, а также внедрять систему контроля и мониторинга соблюдения политик и требований в области ИБ. 

Среди основных способов минимизации угрозы ИБ Валерий Естехин называет повышение осведомленности персонала в вопросах информационной безопасности, проведение тестов, деловых игр, киберучений. Наряду с человеческим фактором серьезную угрозу для информационной безопасности компании представляют, по мнению Валерия Естехина, устаревший парк оборудования и не поддерживаемое производителем ПО, отсутствие решений для мониторинга корпоративной сети, утечка баз данных через сотрудников, ИТ-аутсорсеров, разработчиков ПО.

Недооцененные риски

В связи с проблемой рисков, которые несет человеческий фактор, любопытно вспомнить исследование антивирусной компании ESET, опубликованное в июле 2017 года. Четыре компании из пяти недооценивают риски информационной безопасности, связанные с человеческим фактором. Такой вывод сделали сотрудники ESET после опроса интернет-пользователей из России и СНГ. 
Респондентам предложили выбрать ответ на вопрос: «Проходили ли вы на работе тренинг по информационной безопасности?». Поразительный для нашего времени факт, но результат был следующим: отрицательный ответ лидирует с большим отрывом. 69 % респондентов никогда не проходили обучение основам кибербезопасности в своих компаниях. Еще 15 % участников опроса сообщили, что их работодатели ограничились минимальным объемом информации. Обучение не выходило за рамки «в случае неполадок перезагрузите компьютер», правила кибербезопасности не затрагивались.

Только 16% респондентов прошли качественные тренинги с подробным рассказом об информационной бе­зопасности и актуальных угрозах.

Для сравнения: больше 60% участников аналогичного опроса в США сообщили, что их работодатели организовали для них обучение по кибербезопасности.

Далее участникам опроса ESET предложили перечислить аспекты компьютерной безопасности, информации о которых им не хватает для обеспечения защиты. Респонденты честно признали наличие пробелов в своих познаниях.

70 % участников сообщили, что недостаточно знакомы с темой безопасности беспроводных сетей, в частности угрозами для Wi-Fi.

Вторую строку рейтинга пробелов в знаниях занимают программы-вымогатели. 63% респондентов считают, что им недостает знаний для защиты от шифраторов.

Другие категории вредоносного ПО – банковские трояны и вредоносные программы для мобильных устройств – получили по 56% голосов. 57% участников опроса хотели бы знать больше о безопасности паролей, 51% – о защите от «классических» инструментов интернет-мошенников (фишинга и спама).

«Большая часть нарушений информационной безопасности в компаниях связана с ошибками персонала, – комментирует результаты опроса руководитель ESET Consulting Виталий Земских. – На человеческом факторе – социальной инженерии – и старых уязвимостях ПО построены целевые атаки на организации. Снизить риски и найти слабое звено в компании раньше, чем это сделают злоумышленники, позволяет обучение сотрудников, а также разного рода тесты, определяющие внутренние угрозы безопасности».

Кадровый голод ИБ

Эксперты отмечают, что скорость изменения и появления новых технологий стала причиной кадрового голода, а в среде специалистов по ИБ по всему миру наблюдается нулевая безработица. 
Заместитель начальника главного управления безопасности и защиты информации (ГУБЗИ) ЦБ РФ Артем Сычев в ходе сессии «Информационная безопасность. Совре­­менные вызовы и методы обеспечения» в рамках МФК-2017 подтвердил проблему нехватки кадров в сфере информационной безопасности для финансовой индустрии. Работа современной финансовой системы невозможна без применения принципа security by design (разработка информационных систем, изначально защищенных от различного рода угроз), для чего нужны квалифицированные специалисты. 
Говоря о кадровой проблеме, Артем Сычев также отметил необходимость появления новых профессий на стыке ИТ и других дисциплин. Например, требуется совмещение профессии специалиста по безопасности и юриста. Такие специалисты могли бы помочь правоохранительным органам в борьбе с киберпреступниками.

Кибербезопасность – одна из самых динамично развивающихся отраслей, поэтому спрос на кадры очень высокий, подчеркивает Марина Бурдонова (РосЕвроБанк). А образовательный рынок отреагировать на эту тенденцию успел не в полной мере, именно с этим связана данная проблема. Но через 3-5 лет ситуация с кадрами будет значительно лучше, считает эксперт РосЕвроБанка.
«Самые талантливые хотят работать на самые успешные компании, – говорит Валерий Естехин (банк «Глобэкс»). – Приходится довольно долго искать нужных людей, как правило, с опытом, с необходимой квалификацией. Хочется нанимать людей, заряженных на результат, а не нытиков. Требования к квалификации, опыту и компетенциям специалистов диктуются сложностью и многообразием применяемого для защиты информации оборудования и ПО». Ведь, несмотря на помощь интегратора или вендора при внедрении средств защиты, дальнейшая эксплуатация решения лежит на плечах ИБ-команды компании, подчеркивает специалист.

Самые опасные кибератаки

Отчет Cisco по информационной безопасности за первое полугодие 2017 года указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. С появлением интернета вещей (Internet of Things, IoT) все больше операций в ключевых отраслях переводится в онлайн-режим, что расширяет горизонт атак, увеличивает их масштабы и усугубляет последствия.

Недавние атаки WannaCry и NotPetya продемонстрировали скорость распространения вредоносного ПО, которое выглядит как программа-вымогатель, но на самом деле способно вызвать куда более существенные разрушения в информационно-технологической сфере. Это предвещает появление угроз, которые Cisco назвала атаками типа «прерывание обслуживания»: они чрезвычайно опасны потому, что в случае успешного их проведения пострадавший бизнес фактически полностью лишается возможности восстановиться. 

Впрочем, есть и другие очень опасные явления в сфере ИБ. Так, Всеслав Соленик из ДельтаКредит самыми опасными считает «тихие» атаки, которые могут долгое время оставаться незамеченными. Цель атак может быть различной – похищение данных, финансовые хищения, проникновение к партнерам, эксплуатация ресурсов или все эти цели сразу. По словам специалиста, уже были зафиксированы прецеденты, когда злоумышленники годами использовали инфраструктуру банковской организации, и сотрудники, отвечающие за обеспечение информационной защиты компаний, даже не догадывались об этом – естественно, до того момента, когда ущерб бизнесу становился реальным и очевидным. 

Марина Бурдонова (РосЕвроБанк) полагает, что наиболее опасны те атаки, которые организованы профессионалами, имеющими опыт работы в индустрии ИБ. Например, если речь идет о каких-то спланированных атаках в интересах крупных групп влияния. «В этом случае уровень опасности очень высокий», – подчеркивает эксперт.

«Любая нештатная ситуация – это проверка на профпригодность безопасников, айшников, – говорит Валерий Естехин (банк «Глобэкс»). – Последние события с атаками WannaCry, NotPetya и др. это наглядно показали. Самыми эффективными атаками для средних и малых компаний являются, как ни странно, довольно примитивные и понятные в реализации виды атак, такие как попытки вторжения через уязвимости в ПО, обман или злоупотребление доверием, заражение вредоносным ПО через фишинговые рассылки по каналам электронной почты, целевые атаки на персонал с необходимым уровнем доступа». 

Большинство из таких атак можно было бы предотвратить, применяя базовые принципы защиты информации. Среди главных принципов эксперт банка «Глобэкс» называет следующие: использование спам-фильтров в электронной почте, сегментирование корпоративной сети, проверка наличия сертификатов устанавливаемых программ, фильтрация подозрительных URL, исполь­зование патчей и обновлений безопасности для эксплуатируемого ПО, отслеживание запущенных процессов в корпоративной сети, повышение осведомленности персонала. Наряду с этим важно осуществлять сканирование антивирусными решениями (обновление антивирусных баз), настройку поведенческого анализа в антивирусных решениях, использовать файрвол, межсетевые экраны. Конечно, работники компании не должны открывать ссылки в письмах, пришедших из непроверенных источников. Наконец, необходима организация обмена информацией об инцидентах между участниками информационного взаимодействия в рамках центров реагирования на компьютерные преступления.

Наиболее актуальные угрозы

инфор­мационной безопасности банков в последнее время связаны с целенаправленными атаками: на адреса сотрудников рассылаются почтовые сообщения, содержащие вредоносное ПО, прокомментировали ситуацию в пресс-службе банка ВТБ 24. Также актуальными остаются угрозы, связанные с DDoS-атаками и атаками на клиентов систем дистанционного банковского обслуживания (ДБО).

Минимизировать такие риски можно путем внедрения современных систем защиты и эффективных процедур реагирования, выполнения требований информационной безопасности, повышения осведомленности персонала в области информационной безопасности. «При разработке мобильных приложений мы анализируем и пресекаем уязвимости и угрозы в области безопасности, – подчеркивают в пресс-службе банка. – На регулярной основе проводится проверка уязвимости приложений с привлечением внешних специализированных компаний. На наш взгляд, внешний подрядчик с надежной репутацией и опытом работы на рынке априори будет обладать большей компетенцией, в том числе компетенцией по части безопасной разработки. Также в ВТБ 24 внедрена антифрод-система, которая выявляет аномальное поведение клиентов в дистанционном банковском обслуживании (ДБО) и останавливает мошеннические операции. В приложениях ВТБ 24 многофакторная аутентификация работает во всех системах ДБО. В мобильном приложении ВТБ 24 не зафиксировано ни одного случая взлома».

Биометрическая идентификация

В последнее время крупные банки запустили у себя пилотные проекты по использованию средств биометрической идентификации. Конечно, пока еще остается слишком много вопросов в этой сфере. Например, какой из видов биометрии наиболее эффективен и применим на практике, как подойти к внедрению биометрии с технологической точки зрения, а также с точки зрения правового и методологического обеспечения самого процесса идентификации клиентов по биометрическим данным? Ведь перспективы использования биометрических технологий до сих пор сдерживаются пробелами в действующем законодательстве, высокой стоимостью и несовершенством решений. Однако при всем при этом крупные финансово-кредитные институты уже сегодня используют биометрические технологии в целях обеспечения информационной безопасности, противодействия внешнему и внутреннему мошенничеству. Например, банку ВТБ 24 интересна возможность применения биометрических технологий, прокомментировали в пресс-службе организации. «Преимущество биометрии – удобство клиента. Пароли могут быть потеряны или украдены, а биометрические данные уникальны, поэтому можно говорить о надежности метода», – считают специалисты ВТБ 24.

В начале 2017 года ВТБ 24 завершил пилотный проект по голосовой идентификации клиентов при обращении в контактный центр, что позволяет создать удобный для клиента и достоверный для банка процесс подтверждения операций. Это может в разы увеличить объем проверяемых операций и минимизировать риски клиентов и банка, считают в финансово-кредитной организации.
Также ВТБ 24 запустил проект биометрической аутентификации клиентов по внешности в новом типе офисов с безбумажным обслуживанием. При посещении таких отделений клиенты подписывают только электронные версии документов. При этом, помимо традиционной идентификации по паспорту, банк предлагает пройти аутентификацию на планшете, которая дополнительно подтверждает, что именно этот человек в определенный день и время подписал документы. 

В розничном бизнесе банка ВТБ и ВТБ 24 уже внедрен сервис использования отпечатка пальца в мобильном банке на вход, а в розничном бизнесе банка ВТБ – еще и на подтверждение операций.
Очевидно, что по мере развития финансовых технологий и их инкорпорирования в банковский бизнес будут возрастать и риски в сфере ИБ, и требования к профильным управлениям и департаментам. Банковские эксперты уверены, что дорогу осилит идущий. С другой стороны, общая их позиция такова: поскольку речь идет о комплексной многосоставной проблеме, то для ее решения необходим и комплексный подход. В деле обеспечения надежной «крепостной стены» для банков не может быть одного-единственного решения или действия, способного раз и навсегда устранить риски ИБ.