Количество кибератак на финансовые организации растет, появляются новые разновидности киберугроз. Банковская отрасль вынуждена работать в условиях постоянных DDoS-атак, APT-атак, рассылки вредоносных программ, кодов, писем, сообщений через СМС-каналы. И если результативность DDoS-атак, по данным регулятора, не так уж велика, то использование для атак «интернета вещей» – это новая и очень опасная тенденция. 

Киберугрозы бьют рекорды

«В 2017 году в связи с недавно прошедшей серией мощных DDoS-атак на финансовые и государственные институты и использованием для них «интернета вещей» (что многократно увеличивает угрозу) мы видим основным направлением в области кибербезопасности усиление защиты от DDoS, – прокомментировал проблему ИT-директор ипотечного банка «ДельтаКредит» Тимур Самедов. – Кроме того, мы продолжим работу над текущими направлениями по защите от APT-угроз и целевых атак, а также над усилением мониторинга внутренней ИТ-инфра­структуры и осведомленности сотрудников и клиентов в области информационной ­безопасности».

Новый вид атак показал, что пользователи в большинстве случаев лишены возможности самостоятельно контролировать безопасность устройств. Для уменьшения рисков необходимо, чтобы сами вендоры или провайдеры услуг «интернета вещей» проводили специальные тестирования защищенности устройств.

Атаки класса APT (Advanced Persistent Threat), которые непрерывно ведутся по нескольким направлениям, относят к сложным угрозам. Они проникают в сеть, незаметно собирают конфиденциальные данные и могут оставаться незамеченными на протяжении нескольких лет.

Масштаб последствий APT-атак может быть очень велик. Например, в 2014 году банда Carbanak провела комплексную атаку, которая позволила международной преступной группе похитить 1 млрд долларов из различных финансовых учреждений. Заразив сеть банка, группа получила доступ к информации, отображавшейся на экранах сотрудников, и смогла подробно изучить процедуру перевода денег, оставаясь при этом полностью ­незамеченной.

По данным статистики, 62% кибератак года были целевыми. Главный метод проникновения – таргетированный фишинг. Среднее время присутствия атакующих в системе составляет до трех лет. Лишь 10% атак выявляются самими жертвами. 

Компания Trend Micro охарактеризовала 2016 год как год онлайн-вымогательств – количество киберугроз достигло максимальной отметки за всю историю наблюдений, а убытки компаний по всему миру составили 1 млрд долларов.

Trend Micro опубликовала ежегодный отчет по кибербезопасности за 2016 год – «Рекордный год для киберугроз в корпоративном секторе». Согласно этому документу, программы-вымогатели и мошенничество с использованием корпоративной почты стали популярными механизмами киберпреступлений, направленных на осуществление корпоративного онлайн-вымогательства. Количество семейств программ-вымогателей выросло на 752%.

Сложный пароль не панацея

В области защиты данных и контроля доступа к информационным системам банков существует немало нерешенных проблем. Среди наиболее актуальных на сегодняшний день вопросов начальник отдела информационной безопасности банка «Глобэкс» Валерий Естехин выделил следующие. Во-первых, атаки на персонал с помощью фишинговых (поддельных) писем, содержащих вредоносное ПО. Во-вторых, неэффективность антивирусного ПО, поскольку большинство современных технологий позволяет целенаправленным атакам обходить антивирусную защиту. В-третьих, неэффективность парольной защиты. Пароль может быть скомпрометирован или похищен как с помощью фишинга или перебора, так и посредством взлома пользовательских баз данных – например, используемых организациями и поставщиками облачных сервисов. В-четвертых, неосведомленность компаний о технических недостатках на своем сетевом периметре. Большинство компаний не имеют средств анализа входящего и исходящего трафика и не могут обнаружить аномалии внутри корпоративной сети. По данным организаций, занимающихся кибербезопасностью, среднее время обнаружения взлома современной компании составляет 200 дней. 

Помимо прочего, отсутствие уверенности в безопасности программного кода тех приложений, которые используются в компании, хронические проблемы интернета и незащищенность аппаратных устройств (IP-камер, маршрутизаторов, видеорегистраторов и др.) также вызывают большие опасения. Наряду с этим происходит взрывной рост мощности кибератак, с которыми многие организации справиться не в силах. 

По мнению заместителя председателя правления, директора департамента информационных технологий СДМ-Банка Олега Илюхина, одной из актуальных проблем является слабая стойкость паролей. «Даже пароль, удовлетворяющий требованиям безопасности – например, длиной более 12 символов, набранный в разных раскладках клавиатуры и включающий цифры, – с вероятностью 95% может быть взломан в течение одного дня. Тем более что в банке имеется, как правило, несколько систем, в которых работает пользователь, и, как следствие, ему приходится помнить (или записывать на бумажке) все свои пароли, что приводит к их упрощению», – подчеркивает эксперт СДМ-банка.

«Также проблемой является контроль за действиями администраторов информационных систем, то есть пользователями, имеющими неограниченный доступ. Этот неограниченный доступ может использоваться умышленно или привести к случайной аварии, следствием которой может стать потеря данных», – считает Олег Илюхин.

Действительно, проблема контроля и распределения прав актуальна уже несколько лет. Сложность здесь заключается в том, что часто пользователи получают набор прав, который избыточен для выполнения их служебных обязанностей. Они переходят из одного подразделения в другое, им предоставляются новые права, при этом старые не изымаются. Данная проблема усугубляется еще и тем, что в каждой системе для пользователя создается отдельная учетная запись, что значительно усложняет процесс управления доступом.

Как построить защиту

Конечно, банки не так уж беззащитны перед киберугрозами, как это может показаться на первый взгляд. Существует много путей и способов решения проблем информационной безопасности, и каждая компания выбирает для себя наиболее эффективные и приемлемые методы и инструменты защиты.

«Например, решением проблемы с паролями является организация доступа в компьютерную сеть по смарт-карте или другому носителю электронного ключа,  – отмечает Олег Илюхин (СДМ-Банк). – Пользователь при этом однократно вводит пароль от карты при входе в сеть и далее получает необходимый доступ во все банковские приложения в соответствии со своей ролью. Ключ, записанный на карте, явля­ется квалифицированной электронной ­подписью».

По словам эксперта, действия привилегированных пользователей (администраторов) также можно контролировать с помощью специальных систем.

«Идея работы таких систем в том, что изначально для каждого администратора указывается, к каким серверам какой доступ он имеет, и далее, авторизуясь по смарт-карте, он именно с этими серверами и работает, – объясняет Олег Илюхин. – При этом отпадает проблема знания сотни администраторских паролей к серверам, которые надо постоянно держать в голове. Также подобные системы позволяют выполнять особенно критичные действия (например, удаление документов) с подтверждением вторым сотрудником, что исключает возможность несанкционированных действий с данными».

Безусловно, нельзя забывать о мерах, которые уже стали своеобразным корпоративным стандартом в банковской отрасли. Это ограничение доступа к флеш-накопителям, запрет (частичный или полный) доступа в интернет, разграничение доступа к сетевым информационным ресурсам, антивирусная защита. 

Оптимальным с точки зрения обес­печения безопасности со стороны клиентов является сочетание нескольких инструментов контроля доступа: в частности, клиент может использовать постоянные логин и пароль, но при этом подтверждать свой доступ к базе данных для совершения каждой платежной операции путем ввода одноразового пароля, например, высылаемого на зарегистрированный в системе мобильный телефон.

А при совершении платежей по банковским картам необходимо обеспечить их соответствие актуальным протоколам безопасности, реализуемым платежными системами. При использовании интернета это технология 3D-Secure, а при базовых транзакциях – встроенный в карту чип.

Безусловно, внедрение и сопровождение указанного функционала удорожает процесс обслуживания, зато в максимальной степени обеспечивает защиту финансовых интересов как самого банка, так и его клиентов.

Шифрование, проверенное опытом

Несанкционированный доступ к данным осуществляется по двум основным направлениям, отличие которых заключается в конечной цели мошенников. Нарушение конфиденциальности данных может происходить с целью извлечения какой-либо ценной и полезной для злоумышленников информации из общего объема данных компании. Другая, не менее популярная у киберпреступников задача – удаление данных из базы с целью выведения ИТ-сервисов компании из строя. 

В первом случае при нарушении конфиденциальности данных одной из эффективных мер защиты является шифрование. В отличие от других программных или программно-аппаратных средств защиты, при использовании шифрования вероятность присутствия уязвимостей и ошибок гораздо меньше, ему свойственна относительная простота реализации, а стойкость ко взлому фактически зависит только от длины ключа шифрования. Даже если злоумышленник украдет зашифрованные данные, то без ключа шифрования он не сможет получить какие-либо полезные сведения из этих данных. Надежность и эффективность шифрования проверена временем и опытом и, кроме того, имеет строгие математические обоснования. 

Ликбезы по ИБ

С каждым днем все больше финансово-кредитных организаций признают необходимость регулярного проведения ликбезов по информационной безопасности среди персонала банка.

«Сотрудники банка должны постоянно помнить, что служба информационной безопасности следит за ними, – отмечает Олег Илюхин (СДМ-Банк). – Этим достигается выполнение всех требований ИБ и в конечном счете снижение рисков потери или хищения данных. Комплексное применение всех описанных мер позволит надежно защитить сеть банка от рисков инцидентов с данными».

В первую очередь необходимо понимать, что безопасность не является самоцелью для банка. Безопасность является вспомогательным процессом или сервисом, который позволяет банку достичь поставленных целей. Поэтому главная проблема при построении систем управления информационной безопасностью заключается в пренебрежении безопасностью со стороны сотрудников банка или отношении к безопасности как к процессу, который только «мешает жить». 

Все эти вопросы эффективно решаются простым информированием сотрудников о важности безопасности, приведением примеров из практики, повышением осведомленности, введением личной ответственности каждого подчиненного, а также при помощи административного ресурса.

Пережить кибератаку  

Сегодня для компаний особое значение приобретает наличие подробного плана действий для всех этапов жизненного цикла атаки в случае ее возникновения, а именно: что делать до, во время и после атаки на компанию. «До атаки необходимо внедрять политики информационной безопасности, разграничивать доступ к системам, – говорит Валерий Естехин (банк «Глобэкс»). – Во время атаки служба ИБ при помощи соответствующих средств информационной безопасности должна контролировать утечки, сканировать входящий трафик, обнаруживать, блокировать и защищать систему. После атаки необходимо локализировать, изолировать, восстанавливать, сканировать исходящий трафик». 

«Так как кибератаки, как правило, автоматизированы, защита вручную не способна противостоять таким атакам, – считает Валерий Естехин. – Поэтому необходимо внедрять системы защиты, использующие технологии машинного обучения, а также сотрудничать с провайдерами услуг типа анти-DDoS». По прогнозу начальника отдела информационной безопасности банка «Глобэкс», в будущем эффективно противостоять кибератакам смогут только физически распределенные облачные ­сервис-провайдеры.

Мобильные устройства – серьезная опасность

В настоящее время одной из актуальных проблем защиты банковских данных является значительный рост использования мобильных устройств для удаленного доступа к информационным системам банка. Современные мобильные телефоны и планшеты на базе операционных систем Android и iOS позволяют удаленно работать с банковской почтой, системами интернет-банкинга, рабочими календарями и планировщиками дел, а также с самым широким спектром банковских документов – от приказов и распоряжений до таблиц с финансовыми данными. И этот процесс не остановить, поскольку мобильность – это требование современного бизнеса. 

К сожалению, как это часто бывает при стремительном развитии, безопасность в устройствах на базе Android и iOS немного запаздывает: сначала предлагается функционал в виде приложений для устройств, а уже в обновленных версиях приложений появляется их защита. Иными словами, не всегда принципы безопасности учитываются при первоначальной разработке приложений. Это приводит к тому, что зачастую удаленный доступ к информационным системам банка недостаточно защищен или защита отсутствует в принципе. 

В отличие от традиционных операционных систем на базе Windows или Unix, мобильные операционные системы пока не имеют сравнимых по уровню защиты механизмов разграничения доступа, управления правами, систем аутентификации и т.п. С другой стороны, те механизмы защиты, которые все же присутствуют, обычно отключаются пользователями, чтобы облегчить работу с мобильным устройством. Сейчас наблюдается такая ситуация, что во многих случаях достаточно просто украсть мобильное устройство, чтобы без паролей и систем идентификации и аутентификации получить доступ к ценной банковской информации. 

Нередко мобильное устройство, используемое для удаленного доступа к банковской информации, не является собственностью банка, а значит, банк не всегда вправе требовать от сотрудника контроля его мобильного устройства на соответствие требова­ниям ­безопасности. 

Поэтому в настоящее время использование удаленного доступа при помощи мобильных устройств является для финансово-кредитных организаций дос­та­точно сложной задачей в плане обеспечения информационной безопасности и несет в себе существенные риски неправомерного доступа к важным банковским документам. 

Согласно исследованиям RateWatch, 81% финансовых учреждений предлагает услуги мобильного банкинга, что является явным показателем его популярности. Однако в этом же исследовании говорится, что 36% потребителей все еще не используют мобильный банкинг из-за угрозы безопасности.

«Лаборатория Касперского» зафиксировала значительный рост числа мобильных зловредов – по итогам 2016 года вредоносных установочных пакетов для смартфонов и планшетов стало почти в три раза больше, чем в 2015 году. Более всего – в 8,5 раз – выросло количество мобильных вымогателей, что коррелирует с общей тенденцией увеличения числа этих вредоносных программ. Кроме того, более чем в полтора раза увеличилось количество мобильных банковских троянцев, и российские пользователи оказались наиболее подвержены этой угрозе.

Результаты исследования, связанного с постоянно расширяющимся спектром киберугроз, показывают, что работа над безопасностью мобильного банкинга имеет решающее значение для его дальнейшего развития.