Rambler's Top100
Статьи
Анна УШАКОВА  20 февраля 2019

Защитная реакция

Самые дешевые и эффективные кибератаки – это атаки с использованием инструментов социальной инженерии. Но их предотвращением занимаются недостаточно тщательно даже в самых защищенных отраслях.

Около половины всех компаний в России ежегодно сталкиваются с различными информационными угрозами, каждая пятая из них несет финансовые потери. В 2017 году, по данным НАФИ, потери российских предприятий от киберпреступлений составили 116 млрд руб. Из них чуть больше 1% приходится на банковскую сферу. При этом объем успешных «нападений» на банки снижается. Отчет ФинЦЕРТ фиксирует падение ущерба на 25% (76,5 млн руб. хищений за девять месяцев 2018 года против 1,08 млрд руб. за аналогичный период 2017-го).

С одной стороны, эта статистика говорит о том, что финансовые структуры, хотя и являются одной из трех самых желанных целей цифровых мошенников (наряду с госструктурами и телекомом), действительно хорошо защищены технически. Высокие стандарты безопасности (например, PA-DSS и PCI DSS), внедряемые как государством в лице Банка России, так и крупными участниками финансового рынка, вкупе с современными техническими средствами защиты показывают свою эффективность.

С другой стороны, эта же статистика свидетельствует, что даже самая передовая в отношении информационной безопасности отрасль ежегодно терпит весьма существенные убытки. И хотя почтовые системы научились фильтровать часть фишинговых писем, а автоматические пентест-системы позволяют более эффективно, чем раньше, выявлять новые уязвимости в системе информационной безопасности, свести эту цифру к нулю невозможно.

Вместе с развитием систем инфобезопасности банков меняются и хакеры, которые их атакуют. Совершенствование средств защиты делает нападение на банк все более дорогой и неэффективной процедурой, что заставляет злоумышленников искать новые точки входа в системы финансовых организаций. И этими точками часто становятся рядовые сотрудники.

По моему мнению, внимание, которое уделяют банки обучению киберграмотности рядовых сотрудников, недостаточное. Сейчас именно на уровне самого простого персонала совершаются самые удивительные хакерские атаки.
 
Недавно компания Group-IB сообщила о выявлении 11 тыс. разосланных по банкам и предприятиям писем, которые содержали троян RTM, позволяющий совершать кражи из сервисов дистанционного банковского обслуживания. Отправитель выглядел как государственное учреждение (Россельхознадзор, Ростехнадзор, Министерство труда и соцразвития, различные суды и т.п.). Фальшивые письма, не имеющие к деятельности реальных государственных и муниципальных организаций никакого отношения, были замаскированы под служебные документы, например «Оплата август-сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг». Замаскирован был и сам троян. В распакованном виде он представлял собой иконку, внешне не отличимую от простого PDF-документа. Однако каждый его успешный запуск приносил злоумышленнику около 1 млн руб. прибыли.

Другой недавний пример таргетированной атаки: директор крупнейшей международной консалтинговой компании получил письмо якобы от партнера. В теме письма значилась просьба оплатить счет. Директор, не изучив письмо, переслал его в бухгалтерию, там открыли вложенный файл, оказавшийся не счетом, а вирусом. Результатом заражения стала потеря компанией около $1 млн.

Подобные истории достаточно часто попадают в заголовки газет. Такая схема мошенничества станет еще популярнее в предстоящие несколько лет.

Вместе с ростом стоимости атаки снижается уровень технических способностей самих хакеров, отмечает ФинЦЕРТ. Одна из причин в том, что для совершения атаки средствами социальной инженерии не нужны глубокие знания и навыки программирования. Атаки становятся тем проще, чем сложнее средства безопасности на уровне инфраструктуры.

Поэтому, например, крупнейший банк Израиля Hapoalim ежемесячно проводит симулятивные тренинги, которые развивают практические навыки реагирования на атаки с применением инструментов социальной инженерии. По оценкам израильских коллег, такая периодичность позволяет добиться максимальной эффективности. Встречаются и другие расчеты, по которым можно ограничиться меньшим количеством тренингов. Однако их должно быть никак не меньше шести в год. Регулярные тренинги проводят и российские банки. И каждый раз они выявляют сотрудников, которые все же открывают подозрительные письма, что при реальной хакерской атаке приведет к потерям для компании. Но недостаточно знать, что рядовые сотрудники являются слабым звеном -- следует превентивно обучать и разъяснять, к чему может привести отсутствие бдительности.

Подобные тренинги не дают специальных знаний о криптографической защите или работе файервола. Их задача -- привить самые необходимые навыки жизни в цифровом мире. Они рассказывают о необходимости периодической смены своих паролей. О том, что такое двухфакторная аутентификация и зачем она нужна. О том, какие новые киберугрозы появляются.

К таким тренингам предъявляются два главных требования. Во-первых, они не должны представлять собой заучивание инструкций – в таком формате новые знания, как известно, усваиваются плохо. Во-вторых, участники должны проходить проверку – симуляцию хакерской атаки. Успешное прохождение такой симуляции должно стать одним из KPI. За нарушение же политик безопасности, неудачное прохождение симулятивных тестов должны налагаться соответствующие штрафы, чтобы у рядовых сотрудников была мотивация следовать правилам безопасности и не подвергать свою организацию рискам. Как показывает практика, именно такой подход дает максимальные результаты.

Повторюсь, к сожалению, средний и крупный бизнес относятся к вопросу киберграмотности своих сотрудников по-прежнему недостаточно пристально. Даже простой тест на базовые навыки поведения в сети при приеме на работу может решить массу проблем с этим сотрудником в будущем. И как минимум дать понять работодателю, чего ему стоит ждать от подчиненного: пароля password на рабочем компьютере и всех используемых сервисах или установки специальной программы, в которой он будет хранить все свои сложные пароли.

На рынке представлено несколько решений, которые могут помочь решить эту проблему. В среднем они стоят около $50 тыс. для штата в 10--25 тыс. сотрудников и включают в себя составление тестов при приеме на работу, политик безопасности для рядовых сотрудников, составление и проведение курсов, установку программного обеспечения, которое автоматически генерирует и рассылает симулятивные фишинговые письма. Если вернуться к примеру с массовой рассылкой фишинговых писем от якобы лица госорганов, то эти траты сопоставимы с тремя (!) открытыми зараженными письмами. То есть они существенно ниже того ущерба, который мог понести банк, не обучивший своих сотрудников элементарным правилам безопасности.

Банковская отрасль в России опережает другие отрасли по практикам в области информационной безопасности. Рядовые сотрудники – наиболее уязвимое место любой организации – тем более повышают риски нарушения ИБ, если речь заходит о промышленной компании или о госструктуре. Сегодня ежегодно каждый седьмой житель Земли страдает от киберпреступлений. Эту цифру можно значительно уменьшить, повысив общий уровень цифровой грамотности как на уровне частных пользователей, так и на уровне бизнеса.

Анна Ушакова, директор по работе с корпоративными клиентами, школа IT и информационной безопасности HackerU
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!