Казань,19 Октября, Четверг $ 57.27 € 67.36
Годовая подписка на журнал за 3600 руб
Оформить подписку

Банки в киберопасности

Банки в киберопасности
Фото: https://www.yandex.ru/

Какими были основные мотивы хакеров при захвате ими персональных компьютеров в 2016 году? Деньги и еще раз деньги…

Фактография угроз и инцидентов с компьютерной безопасностью в банковской сфере показала в 2016 году, что рост активности различного рода злоумышленников происходит за счет атак на серверы предприятий и организаций кредитно-финансовой сферы. При этом растет изощренность компьютерных атак, учащается использование схем шифрования для маскировки злонамеренной деятельности. Как отмечают эксперты, по итогам прошлого года программы-вымогатели стали самым доходным типом вредоносного ПО в истории. Скорее всего, эта тенденция сохранится и в текущем году, причем появятся еще более разрушительные программы-вымогатели.

Проблемы кибербезопасности банков обсуждались в рамках форума «B+S:технологичный банкинг», прошедшего в апреле в ГРК «Ривьера». Организатором масштабного мероприятия выступило агентство бизнес-событий «Экспо-Линк». Для разбора кейсов, связанных с успешным использованием IT-технологий в кредитно-финансовой сфере, на одной площадке собрались представители региональных и федеральных банков. Работа форума была разбита на тематические блоки. Модератором секции «Обеспечиваем безопасность» выступил научный эксперт Совета Безопасности РФ, руководитель Центра информационной безопасности Университета Иннополис, доктор технических наук, профессор Сергей Петренко.По завершении дискуссии авторитетный ученый ответил на вопросы издания «ЭТ».

Хакеры «фонтанируют» идеями

- Сергей Анатольевич, какие наиболее актуальные и критичные угрозы кибербезопасности в банковском секторе вы могли бы назвать?

- Как и в предыдущие годы, целью разработчиков вредоносного ПО в 2016 году стало расширение сферы влияния. Как и раньше, злоумышленники концентрировали свои усилия в двух направлениях: техническом и социальном. Следует отметить, что оба эти направления были «честно отработаны» киберпреступниками и принесли, по-видимому, немалые доходы хакерскому сообществу.

В качестве объектов атак из области офисного ПО лидирующее место по-прежнему с большим отрывом занимают продукты компаний Microsoft и Adobe, что объясняется их распространенностью.

Все больший интерес проявляют разработчики вредоносного кода к объектам сетевой инфраструктуры - маршрутизаторам. Сразу для нескольких семейств маршрутизаторов и модемов, функционирующих под управлением одного из клонов Linux, была разработана удаленная атака, позволяющая получить полный контроль над устройством и использовать его для дальнейшего распространения этого же кода.

Не обошелся 2016 год и без принципиально новых идей и методик в техническом плане. Наибольший прирост «новинок» пришелся на методики внедрения вредоносного кода на все более и более низких уровнях (таргетированные атаки, внедрение в микрокод процессора и т.д.). Цель разработчиков подобных методик состоит в получении контроля над компьютером до загрузки антивирусного ПО для пассивного (скрытие своего кода от анализатора) или активного (нейтрализация подсистем антивируса, в том числе, например, службы обновления вирусных баз) противодействия ему.

В целом, обстановку в области поиска и эксплуатации новых уязвимостей и подходов к заражению компьютеров можно охарактеризовать как довольно сложную. Объемы открыто публикуемой информации о новых и новых ошибках в широко распространенном ПО нисколько не уменьшаются. А это, помимо прочего, позволяет формировать и неутешительные прогнозы о масштабах скрытой части айсберга – «черного рынка» уязвимостей, доступного только участникам закрытых хакерских групп.

Пешки в чужой игре

- Вы упомянули о таком оружии в арсенале киберпреступников, как «социальная инженерия». Расскажите, пожалуйста, о том, как преступники использовали его в 2016 году.

- В тех случаях, когда технические уязвимости не помогали злоумышленнику добраться до цели, почти всегда оставался путь социальной инженерии. Последние годы характеризовались снижением среднего уровня компьютерной грамотности у новых пользователей сети, поэтому социальная инженерия превратилась в индустрию, сопоставимую по масштабам с индустрией поиска уязвимостей.

Основными направлениями социальной инженерии в 2016 году стали:

  • рассылки в адрес "друзей" с взломанных аккаунтов социальных сетей и мессенджеров;
  • фишинг по электронной почте с ложными уведомлениями о новых сообщениях в социальных сетях и мессенджерах;
  • подделка интерфейсов популярных развлекательных, новостных и медийных сайтов с предложением установки фальшивых кодеков или плагинов для просмотра;
  • фальшивые сообщения о якобы имеющихся на компьютере жертвы угрозах безопасности с предложением установки фальшивых антивирусных продуктов;
  • фальшивые сообщения о бесплатных обновлениях программных продуктов.

Социальные сети и мессенджеры, как и прогнозировали эксперты по информационной безопасности, оказались «раем» для методов социальной инженерии. Запоминающийся на подсознательном уровне интерфейс, WWW-технология, очень большой процент пользователей со средним и откровенно низким уровнем компьютерной грамотности – все это привело к расцвету кибермошенничества в социальных сетях. Как выяснилось, доля перехода даже по явно подозрительным ссылкам и загрузкам, пришедшим по каналам социальных сетей от хорошо знакомого человека, в разы превышает показатели, характерные для обычного web-серфинга. Уровень угроз со стороны социальных сетей вырос за прошедший год настолько сильно, что даже лояльные к web-серфингу своих сотрудников работодатели стали адекватно относится к требованиям служб ИБ полностью блокировать социальные сети на офисных компьютерах.

Ситуация с фальшивыми кодеками и плагинами для web-просмотра медийного контента также характеризуется многими ведущими экспертами как первоочередная проблема прошедшего года. Причем проблема эта скорее объективная, чем субъективная. Современные программные продукты, использующие web-технологии, планомерно приучают пользователей к необходимости время от времени получать постоянные обновления для корректного отображения все новых и новых спецификаций медийного контента. На этом фоне злоумышленники, обнаружившие нишу фальшивых кодеков и плагинов, сделали беспроигрышный шаг. Даже опытному пользователю ПК не всегда под силу распознать поддельный сервер-источник предложения об обновлении. Негативным моментом является то, что в настоящее время решительных мер по снижению подобных рисков со стороны ни одного из заинтересованных участников не наблюдается.

К подобному же классу уловок социальной инженерии относятся WWW-сообщения о якобы обнаруженных на персональном компьютере серфера вирусных программах, заполонившие "серые" сайты. Следующими рекомендациями доверчивому пользователю будут предложения загрузить и установить уникальное современное антивирусное ПО, вслед за чем и произойдет инсталляция вредоносного кода. Уровень риска по данному классу угроз может эффективно снижаться своевременной и качественной образовательной программой "Минимум знаний по ИБ», которую может освоить пользователь ПК. К сожалению, на текущий момент масштабы заражений по описанной выше схеме огромны.

Подход к фишингу, доведенный в 2016 году до работоспособных инцидентов, был продемонстрирован симбиозом разработчиков вредоносного кода и специалистов по «раскрутке» сайтов (SEO). Суть его заключается в искусственном поднятии рейтинга качественно сделанных фальшивых промо-сайтов в результатах поисковых систем по тому или иному ключевому слову. Не секрет, что поисковые системы являются одним из основных путеводителей пользователей к впервые посещаемым сайтам, а высокий рейтинг фальшивого сайта дает дополнительную подсознательную уверенность в том, что сайт является безопасным. Итогом чаще всего является уже описанное выше предложение установки инфицированных плагинов или кодеков.

Изложенные факты и схемы позволяют сделать вывод о том, что за последнее время социальная инженерия превратилась в мощнейший инструмент разработчиков вредоносного кода и на текущий момент находится на этапе своего активного развития.

Банки хранят молчание

- Многие ли российские (и татарстанские) банки публично признают факт кражи и сумму ущерба от действий хакеров?

- Нет, обычно эти данные не афишируются из-за риска потери репутации надежного и безопасного банка. Статистика по кражам и суммам ущерба от действий хакеров скупа и противоречива. Однако отрывочные сведения имеются. Так, например, в ноябре 2016 года компания «Лаборатория Касперского» зафиксировала атаки на сайты как минимум пяти российских банков из ТОП-10. В дальнейшем пресс-службы Сбербанка России и Альфа-Банка эти факты DDoS-атак подтвердили. Упомянутые атаки были организованы с ботнетов - десятков тысяч машин. При этом более половины устройств находились на территории США, Индии, Тайваня и Израиля. Всего в атаках участвовали машины из 30 стран. Средняя продолжительность каждой атаки составила около часа, самая долгая длилась почти 12 часов, при этом мощность достигала 660 тыс. запросов в секунду. Банки подвергались атакам неоднократно — серии от двух до четырех атак с небольшим интервалом. Отметим, что последняя масштабная серия DDoS-атак на российские банки была зафиксирована в октябре 2015 года, когда были атакованы восемь крупных российских банков. Всего за второе полугодие 2016 года было зафиксировано более 20 кибератак на платежные системы российских финансовых организаций. Мошенники пытались похитить со счетов кредитных организаций более 2,87 млрд рублей. ЦБ и банкам удалось предотвратить хищения на общую сумму примерно 1,7 млрд рублей.

Преступление и наказание
- Есть ли у вас информация о том, какое количество кибератак на татарстанские банки было зафиксировано в прошлом году? Удалось ли привлечь к ответственности виновников этих инцидентов?

- В 2016 году, по данным CERT (центра круглосуточного реагирования на инциденты информационной безопасности) Университета Иннополис, ежемесячно фиксировалось более 50 массовых и групповых кибертак на банки Республики Татарстан. Имелись факты хищения крупных сумм денег из банкоматов ряда крупных коммерческих банков. Было возбуждено более 100 уголовных дел.

2 марта 2017 на базе Казанского юридического института МВД России состоялся семинар-совещание по вопросам эффективности работы по выявлению, пресечению, расследованию и предупреждению преступлений, совершаемых с использованием современных информационно-коммуникационных технологий. В мероприятии приняли участие руководители МВД республики, профессорско-преподавательский состав КЮИ и гражданских вузов.

С основным докладом выступил заместитель начальника Главного следственного управления МВД по Республике Татарстан Максим Машин, который также является руководителем аналитической специализированной следственно-оперативной группы по противодействию преступлениям, совершаемым с использованием современных информационных технологий. Татарстан - единственный в стране регион, где на базе профильного министерства в апреле 2015 года была создана такая группа. В ее состав вошли сотрудники оперативных и следственных подразделений.

Подполковник юстиции Машин, как практик, остановился на основных проблемах правоприменительной практики при расследовании уголовных дел в сфере современных информационно-коммуникационных технологий. Как отметил в своем выступлении Максим Юрьевич, зачастую предпосылками для совершения таких преступлений являются крайне низкий уровень компьютерной грамотности граждан и беспечное отношение собственников организаций к защите своих информационных баз. Также офицер указал на недостаточность нормативно-правовой базы для оперативного реагирования на преступления и предложил внести ряд инициатив по изменению законодательной базы, направленных на более эффективное противодействие киберпреступлениям.

Мое выступление на этом семинаре было посвящено возможностям противодействия преступным инцидентам в компьютерной среде на современном этапе, а также прогнозам развития ситуации.

В рамках мероприятия участники затронули ряд важнейших тем, таких как проблемы производства следственных и процессуальных действий при расследовании преступлений, совершаемых с использованием компьютерных технологий; вопросы квалификации этого вида мошенничества, возможности проведения компьютерных экспертиз на базе экспертно-криминалистического центра министерства. Кроме этого, обсуждались роль образовательных организаций МВД России в подготовке специалистов по раскрытию и расследованию преступлений, совершаемых с использованием высоких технологий, а также криминологический портрет киберпреступника.

Квалифицированные кадры

- Сегодня после каждой атаки на банки, принесшей масштабный урон, принято сетовать на некомпетентность сотрудников департамента ИБ. Насколько в действительности сложным является вопрос кадров в этой сфере?

- По мере развития организации кредитно-финансовой сферы и роста стоимости ее информационных активов в той же степени развивается и служба информационной безопасности. Стратегия и тактика работы службы информационной безопасности становится одной из основных функций топ-менеджмента компании. При этом неизбежно встает вопрос: «Какие изменения в организационной структуре компании нужно предусмотреть?».

В настоящее время успех реализации политики информационной безопасности компании зависит не только от организационных и технических решений в области защиты информации, но и от квалификации и компетенции соответствующих кадров. Вспомним известный тезис: кадры решают все!

Согласно российской практике, в наиболее благополучных с точки зрения ИБ коммерческих банках функцией обеспечения информационной безопасности занимается отдельное подразделение, обладающее полномочиями и поддержкой высшего руководства компании. При этом почти в половине «успешных» компаний ответственность за ИБ закреплена за советом директоров, что наиболее характерно для финансового сектора. Действительно, непосредственное участие топ-менеджмента организации необходимо для корректного определения и постановки «правильных» целей и задач в области ИБ, позволяющих без ущерба для бизнеса осуществлять обеспечение информационной безопасности. Как правило, только руководство коммерческого банка способно поддержать обеспечение безопасности надлежащим уровнем инвестирования и другими необходимыми ресурсами.

Ранее (а зачастую и в настоящее время) в большинстве российских компаний обеспечением информационной безопасности организации занимались отделы и службы автоматизации. Сегодня ведущие отечественные компании идут путем выделения подразделения информационной безопасности в отдельную службу с соответствующими организационными, кадровыми и финансовыми изменениями. При этом создаются две ключевые позиции специалистов, отвечающие за информационную безопасность. CISO (Chief Information Security Officer) – директор службы информационной безопасности, который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной целям и задачам бизнеса компании. BISO (Business Information Security Officer) – менеджер службы информационной безопасности, который занимается практической реализацией политики ИБ на уровне подразделения, например, планово-экономического отдела, службы маркетинга или автоматизации.

В некоторых компаниях наблюдается слияние служб информационной и физической безопасности в единую службу для обеспечения безопасности в целом, включая защиту перспективных планов развития компании, решения задач контроля и управления доступом, защиту активов компании и т.д.

Статус CISO становится равным статусу ведущих топ-менеджеров компании, отвечающих за стратегическое развитие.

Давайте теперь посмотрим, каким квалификационным требованиям должен отвечать руководитель современной службы информационной безопасности (CISO).

Основная задача CISO – это оценка и управление технологическими, производственными и информационными рисками компании. Это предполагает, что данный специалист должен быть способен идентифицировать риски и управлять ими в соответствии с целями и задачами компании и текущим уровнем ее развития. При этом свою специфику вносит сфера деятельности компании, а также ее размер и стоимость информационных активов.

По-видимому, руководитель службы информационной безопасности (CISO) должен входить в верхний эшелон управления компанией и уметь связать воедино потребности бизнеса и требования безопасности с учетом развития информационных технологий, возросшей активности разного рода злоумышленников, изменяющихся требований законодательства, а также ожиданий партнеров по бизнесу. При этом отметим, что потребности бизнеса могут «входить в противоречие» с обеспечением информационной безопасности. В этом случае CISO должен уметь «переводить» технические вопросы и проблемы на язык, который может быть понятен представителям отечественного бизнеса. В свою очередь это означает, что в дополнение к солидному основному и дополнительному образованию, а также опыту работы в области защиты информации (не менее трех-пяти лет) CISO, несомненно, должен обладать и определенными личными качествами. Например, аналитическим складом ума, способностями в области стратегического и операционного менеджмента, лояльностью к организации. Понятно, что для этого недостаточно иметь только специальное техническое образование, также как и только экономическое или управленческое. Поэтому позиция CISO практически всегда востребована, здесь требуются зрелые специалисты, обладающие достаточным опытом работы в области защиты информации.

 

Час ожидания кибератаки

Павел Александров, архитектор решений по информационной безопасности ГК «Умные решения»

- Нельзя сказать, что одна угроза более критична, чем другая. Нужно разделять их типы. Существуют так называемые случайные атаки, которые происходят в форме массовой рассылки вредоносного кода. В этом случае конкретный объект не является исходной целью злоумышленников.

Таргетированные атаки – когда жертва является конечной целью. Проводится тщательная подготовка, собирается детальная информация об объекте и наносится удар. Но случайная атака также может перерасти в таргетированную: злоумышленники проводят массовое распространение вредоносного ПО, изучают список зараженных, выбирают наиболее подходящие цели и производят последующие действия.

В некоторых случаях банк может стать «жертвой», когда злоумышленники хотят скрыть следы атаки на одного из его клиентов. Также присутствуют атаки на системы банкоматов.

Если говорить более конкретно и расставлять приоритеты, то на первом месте идут таргетированные атаки, ярким примером которых является троянская программа «Carbanak». Далее – DDoS атаки на банки и на систему банкоматов.

В каждом из случаев «жертва» получает большой ущерб, как финансовый, так и репутационный.

Автор - Борис Кудряшев 

 

 

Подписывайтесь на наш Telegrambot @expertrtbot, чтобы быть в курсе самых важных новостей. Для этого достаточно иметь Telegram на любом устройстве, пройти по ссылке и нажать Start.
Подписаться Распечатать
Нашли ошибку? Выделите ее и нажмите Ctrl + Enter
Читать также
13:48 - В Нижнем Новгороде задержаны «черные банкиры», чей доход оценивается в 20 млн рублей 13:30 - iPhone 8 вошел в тройку самых популярных смартфонов в России 11:51 - Пенсии в России проиндексируют на уровень выше инфляции 2017 года 11:33 - В Казахстане одобрили соглашение о перемещении оружия внутри ЕврАзЭС 09:35 - ЦБ внесет в черный список более ста сотрудников «Открытия» 08:26 - 32,1 млн рублей выделил исполком Казани на новогодние подарки детям 07:44 - Forbes: состояние Трампа за год уменьшилось на $600 млн 07:10 - Рустам Минниханов примет участие в церемонии награждения победителей и закрытия WorldSkills Abu Dhabi 2017 17 Октября - Республике Татарстан реструктуризируют 12,2 млрд рублей долга 17 Октября - Медведев: Россия не будет строить цифровой "колхоз" 17 Октября - Теплом обеспечены все жилые дома и социальные объекты Татарстана 17 Октября - Медведев отметил риски на рынке криптовалют 17 Октября - Резидентом ТОСЭР «Челны» планирует стать Китайский поставщик Haier 17 Октября - Шувалов: Татарстан - лидер в выстраивании отношений с Сингапуром 17 Октября - Минкомсвязь предложило уменьшить срок хранения данных по «пакету Яровой» 17 Октября - Минкомсвязь разработало постановление по выпуску крипторубля 17 Октября - Татспиртпром планирует вложить 2,8 млрд рублей в строительство пивоваренного завода 17 Октября - Татарстан занял 3 место в рейтинге развития науки и технологий 17 Октября - Трамп в рамках своего первого азиатского турне посетит Японию 17 Октября - Mercedes по всему миру отзовет более миллиона автомобилей
Все события

Мероприятия

Все мероприятия

Корпоративные Блоги

Все блоги

Опрос

Как Вы считаете, станет ли Казань местом проведения юношеских Олимпийских игр в 2023 году?

Экономика и финансы

  1. Morgan Stanley повысил прогноз роста ВВП России в 2017–2018 годах
    Инвестиционный банк Morgan Stanley повысил оценку роста ВВП России в 2017 году до 2% с 1,5% и до 2,2% с 1,8% в 2018 году. Среди причин роста — увеличение потребления, которому поспособствовало замедле
  2. «Райффайзенбанк» приостановил работу отделений из-за сообщения о взрывном устройстве
    «Райффайзенбанк» сообщил о временной приостановке работы отделений и call-центра из-за сообщения о взрывном устройстве.
  3. В России запретят снимать наличные по анонимным банковским картам
    Премьер-министр Дмитрий Медведев заявил, что снятие наличных по неименным банковским картам будет запрещено. На этой неделе в правительстве одобрили законопроект о запрете снимать наличные с анонимных
Подписаться

Топ

  1. ДЕЛОВОЙ ФОРУМ ALFA BUSINESS WEEK «ТОЧКИ РОСТА ВАШЕГО БИЗНЕСА»
    ...
  2. Рустам Минниханов: Между Татарстаном и Ираном развивается многоплановое сотрудничество
    С Чрезвычайным и Полномочным послом Исламской Республики Иран в Российской Федерации Мехди Санаи вст...
  3. Как выглядят новые купюры номиналом в 200 и 2000 рублей (ФОТО)
    Купюры поступят в обращение уже с сегодняшнего дня...
  4. Прямая трансляция VI расширенного заседания Совета по предпринимательству при Президенте РТ пройдет на сайте Правительства РТ
    Сегодня, 11 октября 2017 года на сайте Правительства Республики Татарстан будет организована прямая ...
  5. Мухаметшин: «Мы не можем запретить изучать родной язык»
    Глава Госсовета РТ Фарид Мухаметшин заявил, что власти не могут запретить изучение родного языка в ш...

Интервью

«Цензуры в прямом смысле этого слова у нас нет»

«Цензуры в прямом смысле этого слова у нас нет»

С 30 мая по 3 июня в ТГАТ имени Камала играла труппа одного из старейших и лучших российских театров – Александринского. Вниманию казанской публики театр представил спектакли-лауреаты премии «Золотая маска» «Ревизор» и «Женитьба».

10.4883 Mb