Вынужденное импортозамещение повышает риски
Статистика — вещь упрямая: так называемых инцидентов в безопасности белорусских банков становится меньше, но за восемь месяцев их все равно зафиксировали больше 4 тыс. В прошлом году за этот же период попыток пробить брешь в безопасности было вдвое больше. Такие данные приводит Сергей Майсейшин, начальник отдела реагирования на компьютерные угрозы управления защиты информации Национального банка. Но есть и другая тенденция: эксперт отмечает, что традиционно подъем количества инцидентов в банковском секторе фиксировали в первые месяцы года, сейчас же ситуация изменилась — угрозы равномерно возникают на протяжении всего года.
А вот по сути угроз не наблюдают ничего нового — лидирует мошенничество, связанное с использованием методов социальной инженерии, причем в последнее время оно нацелено не на похищение личных данных, а на самопереводы. Клиент выполняет операции под давлением, но делает это сам, что для банковской инфраструктуры может выглядеть как совершенно легитимное действие. Меньше всего в этом году зафиксировали инцидентов, связанных с вредоносным программным обеспечением.
Сергей Майсейшин подчеркивает: чтобы упорядочить все действия с получением, обработкой и передачей информации, весной был принят закон «О платежных системах и платежных услугах». Затем в конце августа принято постановление Нацбанка № 316, где в том числе определены типы инцидентов и способы передачи информации в центр кибербезопасности Нацбанка FinCERTby. Документ вступит в силу 15 ноября.
Как отмечают представители компаний по кибербезопасности, мошенники сегодня выбирают своей целью бизнесы любого масштаба. В «Лаборатории Касперского» заметили, что все действия злоумышленников сейчас носят деструктивный характер, то есть их цель — уничтожить, а не получить финансовую выгоду. Да и сами по себе атаки стали дешевле. При этом средний чек потери в мире в результате одного инцидента достиг $1 млн. В нашем регионе на фоне вынужденного импортозамещения рисков становится больше, так как ряд продуктов не обновляется, а предприятиям приходится менять инфраструктуру.
Подход нулевого доверия при защите данных
В вопросах безопасности банки и сами нередко упускают важные детали, которые впоследствии дорого обходятся. Первая ошибка — недостаточная подготовка кадров по кибербезопасности. Владислав Ременчик из компании «МультиТек Инжиниринг», которая специализируется на системе информационной безопасности банков и предприятий, говорит, что в основе здесь должна быть триада «люди — процессы — технологии». Причем безопасность начинается именно с людей, а технологии нужны лишь для того, чтобы эти процессы автоматизировать. А чтобы технические средства были эффективными и приносили пользу, необходимы грамотные специалисты, в том числе в команде заказчика. С этим-то нередко и возникает проблема: попробуй найди таких.
Второй ошибкой можно назвать недооценку ситуации. Владислав приводит такой пример: зачастую организации не знают о половине своих баз данных. Например, более 65% утечек конфиденциальной информации происходит не из продуктивных баз, а из их теневых копий. Рабочая ситуация: администратор проверяет обновления как раз на копии и, если все прошло успешно, обновляет продуктивные базы. Но в некоторых случаях о копиях забывают или просто их не учитывают, а те могут содержать критичную информацию.
«Многие организации также не понимают, что активы — это все, что имеет ценность, то есть не только оборудование, но и сотрудники, а также информация, с которой они работают. В итоге треть активов при построении информационной безопасности просто не учитывают», — говорит эксперт.
Отсюда вытекает третья ошибка — отсутствие кибергигиены сотрудников. Дмитрий Кудревич, представитель «Лаборатории Касперского» в Беларуси, напоминает о так называемой кибериммунности. Ситуация, при которой злоумышленники жестко ограничены в передвижении внутри инфраструктуры, так как несанкционированные действия просто-напросто запрещены. То есть речь идет о подходе нулевого доверия, когда никто ничему не доверяет по умолчанию, а доступ к каждому ресурсу полностью контролируется и разрешается или запрещается в соответствии с политикой компании.
К слову, все большее погружение сотрудников в удаленную работу усложняет контроль за коллективом, что чревато ростом утечек важной информации. Специалисты отмечают: при работе с чувствительными данными для аутентификации персонала не стоит пренебрегать камерами и микрофонами.
Еще одна серьезная ошибка — незнание своего клиента. По словам Сергея Парфенова, представителя «Фаззи Лоджик Лабс», банкам нужно тщательно изучать клиента, понимать его платежную активность и даже владеть информацией о его устройствах. Кроме того, есть и точечные виды контроля — например, активный звонок в момент выполнения платежной операции, чтобы фиксировать факт нахождения клиента не под давлением. Благодаря полному профилю клиента уже можно использовать алгоритмы машинного обучения для выявления подозрительных операций. К слову, это ключевой момент при онлайн-кредитовании. Еще один важный инструмент — расширение протокола 3-D Secure, особенно в электронной коммерции.
Для чего все это нужно?
Сергей Парфенов выделяет четыре ключевые задачи, которые преследует банк, делая ставку на качественную кибербезопасность. Первая — сокращение убытков. Вторая — репутационные риски: для клиента важно понимать, что финансовый институт надежный, а деньги в нем под защитой. Задача номер три — сокращение расходов, но чтобы при этом инструменты были быстрыми и эффективными. А четвертая — выполнение требований регулятора.
Итак, вы поняли, что проблемы с безопасностью действительно есть. С чего теперь начать? Роман Душков из компании Security Vision, которая работает в том числе со СБЕРом, советует в решении задач по кибербезопасности банков выбирать между двумя стратегиями — автоматизацией или оркестрацией.
Первый подход актуален, когда алгоритмы продуманы заранее и накопились рутинные задачи. В таком случае снижается нагрузка на персонал, ускоряется работа и снимается рутина, что уж точно делает работу специалистов по безопасности интереснее.
Второй подход, то есть оркестрация, нужен в том случае, когда не видна вся картина или слишком много интерфейсов, каждому из которых нужен свой безопасник. Тут не обойтись без работы аналитика и сбора полной картины. В итоге компания получит возможность выстроить свою единую экосистему, то есть настраивать системы без дополнительных подключений, работать большой командой в одном продукте и без раздувания портфеля.
