Rambler's Top100
Реклама
 
Все новости Новости отрасли

Российские банки стали ответственнее относиться к безопасности

17 июня 2016

Российские банки и платежные системыстали внимательнее обноситься к вопрпосам кибербезопасности и адекватно оценивают риски, которые несут инциденты инфобезопасности и утечки данных. Но в технологическом плане пока заметно некоторое отставание от нужд времени.

42Future провела по заказу  Qrator Labs и Wallarm исследование, призванное изучить актуальность проблематики и масштаб угрозы DDoS-атак и атак на уязвимости приложений в российском финансовом секторе (банки и платежные системы), а также оценить уровень защищенности внешнего сетевого периметра организаций. Аналитики опросили 150 представителей разных компаний финансового сектора. В опросе участвовали руководители ИТ-подразделений, их заместители, а также руководители департаментов, отвечающих за вопросы информационной безопасности 138 банков.

Понимание рисков

Информационная безопасность – один из основных приоритетов банковского бизнеса, который должен обеспечивать бесперебойность расчетов и конфиденциальность данных. Сбои в работе отдельных банков в результате инцидентов ИБ могут привести к системному кризису всей финансовой системы. Ущерб от киберпреступлений в российской банковской отрасли оценивается более 5 млрд руб. в 2015 году (данные ЦБ РФ и «Сбербанка»). Причем главной целью злоумышленников уже являются сами финансовые учреждения, а не их клиенты. Обеспечение информационной безопасности в финансовом секторе регулируется объемной нормативно-правовой базой, отраслевыми стандартами и внутренними регламентами. Для усиления противодействия киберпреступности ЦБ РФ разработал рекомендации по обеспечению информационной безопасности, которые вступили в силу с 1 мая 2016 года. Это первый подобный комплекс мер для банков по выстраиванию эффективности системы мониторинга для минимизации риска утечек информации.

В силу высокого приоритета данной задачи банки и платежные системы исторически уделяют много внимания вопросам ИБ и даже в кризисные периоды не сокращают свои затраты по этому направлению. Глобально расходы финансового сектора на ИБ растут на 3-4% в год (оценка PwC). По данным настоящего опроса около трети респондентов увеличили в 2015 году свой ИБ-бюджет, и еще 44% сохранили его в прежнем объеме.



На фоне постоянного увеличения количества инцидентов ИБ меры по противодействию киберпреступности также должны усиливаться. 100% опрошенных компаний подтверждают, что осуществляют контроль за сетевым периметром. Но, по мнению экспертов Wallarm, это не дает никакой гарантии защиты от взлома: плохо внедренные меры защиты позволяют атакующими использовать приложения, как самый простой способ для «пробоя» периметра и развития атаки внутри сети организации. Однако, полученный в ходе исследования результат, позволяет говорить о достижении российскими организациями определенного уровня зрелости в вопросах ИБ и управления рисками. В условиях цифровой экономики и формирования платформ промышленного интернета эта мера является минимально необходимой для выживания бизнеса.

В отрасли сформировалось четкое понимание, что киберпреступления — это серьезная угроза, которую нельзя сводить к рядовой технологической проблеме. 61% респондентов считают, что в случае инцидента ИБ (в зависимости от его масштаба и серьезности) повышается риск отзыва лицензии. Уже известно, что три банка, перенесших кибератаки, были лишены лицензий – в том числе, как отмечал регулятор, в связи с этими инцидентами.

Финансовые учреждения опасаются утечек персональных данных пользователей и других конфиденциальных данных в результате успешного взлома сервисов на сетевом периметре, что помимо прочего может грозить отзывом сертификации (PCI DSS).
Более трети опрошенных не рассматривают такой риск как первое и главное последствие киберпреступления, предполагая, что сначала идут репутационные и финансовые издержки. Однако абсолютно все респонденты уверены, что непредотвращенные инциденты ИБ сегодня означают серьезные потери для бизнеса.



В компаниях понимают, что подходы к обеспечению ИБ должны трансформироваться в соответствии с быстрыми изменения ситуации на рынке. Это соответствие определяет не только защищенность бизнеса, но и возможности его дальнейшего развития. 77% респондентов разделяют мнение, что устаревшие требования к безопасности мешают внедрению новых технологий и подходов к развитию ИТ-инфраструктуры.



Дополнительное подтверждение зрелости организаций финансового сектора в вопросах ИБ – привлечение внешнего аудита. Его проведение подтверждают более 80% респондентов.

Стандарт ЦБ РФ рекомендует проводить аудит ИБ ежегодно, с целью проверки выполнения требований регулирования, либо проверки надежности и защищенности используемых решений. При этом в планах Центробанка, заметно ужесточающего надзор в сфере ИБ – перевести стандарт СТО БР ИББС в формат ГОСТа, сделав его обязательным.



По результатам проведенного аудита 19% опрошенных говорят о выявлении недостаточной эффективности защиты. Формально это может означать повышение риска отзыва лицензий у данной группы респондентов. Выше отмеченное увеличение расходов на ИБ (на 27%) выглядит в этой ситуации закономерным шагом для решения обозначившейся проблемы.

Половина респондентов обнаруживали благодаря аудиту, что эксплуатация решений обходится слишком дорого. Это открывает возможности для оптимизации затрат, на которую ориентирован сегодня весь российский бизнес.

Кроме того, системы обеспечения безопасности дают слишком много событий. У служб ИБ часто ограничены ресурсы, в результате, события безопасности не обрабатываются или обрабатываются недостаточно эффективно и не полностью. По мнению Wallarm, даже в случаях внедрения центров реагирования – SOC (Security Operation Center) – на базе дорогостоящих продуктов класса SIEM проблема реагирования на большое число срабатываний не решается должным образом. Ключевая особенность, которую признает рынок: в сетях общего доступа, таких как Интернет, атакующие могут создавать столько событий безопасности, сколько захотят. При этом, защитные меры в виде блокировок по IP адресам или подсетям практически неэффективны против современных автоматизированных средств для атак.

Почти треть респондентов также ответила, что заявленные характеристики оборудования продуктов информационной безопасности не соответствуют реальности.

«Будучи ограниченными в возможностях масштабирования, компаниям приходится идти на компромисс и защищать только часть приложений или определенную часть трафика» — добавляет Иван Новиков, генеральный директор компании ОНСЕК, разрабатывающей Wallarm.



Типы угроз

Более трети респондентов отмечают, что не сталкивались в 2015 году с инцидентами ИБ. Тут нужно учитывать традиционную закрытость и чувствительность именно банковской отрасли к публичному признанию фактов киберпреступлений. Однако большинство уже готово подтвердить зафиксированные атаки. Игроки осознают важность реального отражения ситуации с тем, чтобы более эффективно развивать стратегии кибербезопасности и бороться с мошенниками общеотраслевыми усилиями. К открытому обсуждению проблемы, размеров потерь и конкретных схем атак активно призывает и Центробанк.

Наиболее часто компании финансового сектора сталкиваются сегодня с DDoS-атаками. Об этом говорит почти четверть респондентов. По-прежнему это средство недобросовестной конкурентной борьбы, которое можно применять результативно и со все меньшими затратами (от 5 долл. в час). В то же время DDoS-атаки часто используются для отвлечения внимания и проведения других типов атак – например, взлома сайта или веб-приложений.

Попытки взлома приложений и сервисов на сетевом периметре отметил 17% респондентов. В реальности цифра гораздо выше, считают специалисты Wallarm: практически каждый публичный ресурс хотя бы раз в месяц подвергается автоматизированным (часто не направленным на конкретную цель) атакам на публичные уязвимости.

В числе других инцидентов респонденты называли вирусы, инсайдеров, инциденты, связанные с работой ДБО.

В последние два года Qrator Labs в своих отчетах по исследованиям рыночных тенденций обращает внимание на новую угрозу – атаки на инфраструктуру сети, рассматривая их, как перспективный вектор. Более половины (58%) опрошенных экспертов подтверждают, что риски такого рода уже представляют собой опасность, и угроза будет расти. Однако 40% все еще находятся в неведении, отрицая критичность атак на инфраструктуру сети или протоколы маршрутизации. Впрочем, такая ситуация типична для восприятия новых угроз. Кроме того, среди респондентов высказывались оптимистичные предположения, что несмотря на серьезность угрозы, предпринимается достаточное количество мер для ее предотвращения – и соответственно, ее критичность снижается.



99% респондентов действительно подтверждают, что предпринимают контрмеры против атак такого типа. Можно предположить, что в ряде случаев они считают, что такие контрмеры предприняты. В том числе, рассчитывая на средства защиты, обеспечиваемые провайдером связи. Однако в отсутствие специальных и последовательных шагов самой организации для противодействия атакам на инфраструктуру уровень ее защищенности нельзя считать достаточным.

Типы используемых решений

Большинство респондентов (69%) считают самым эффективным средством противодействия операторское решение по защите от DDoS. Однако по мнению экспертов Qrator и Wallarm сегодня этот метод устаревает. «Решение на стороне оператора уже не может обеспечить защиту от целых классов атак. К тому же такие средства практически никогда не поставляются в комплекте с интегрированным WAF (Web Application Firewall), обеспечивающим защиту от хакерских атак. Аналогично устаревают с точки зрения реальной эффективности решения CPE», – говорит Александр Лямин, генеральный директор Qrator Labs.

Показательно, что лишь 9% опрошенных считают эффективными облачные решения. В то же время практика показывает прямо противоположный результат. Например, компания QiWi, владеющая крупнейшей в России платежной системой, опробовала все классы решений пока не остановилась на геораспределенной облачной сети фильтрации трафика. «Наш бизнес – это высокотехнологичная система интернет-платежей. Сетевая безопасность – один из самых главных аспектов, который влияет на работу всей компании. Мы используем целый комплекс для защиты от угроз извне, и постоянно его совершенствуем. На мой взгляд, облачное решение для фильтрации трафика на сегодняшний день является самым оптимальным способам противодействия одной из наиболее опасных угроз – DDoS-атакам. Правильнее всего использовать такой инструмент в комплексе с решениями для защиты от хакерских атак, которые часто производятся одновременно с DDoS-атаками», – говорит Кирилл Ермаков, руководитель департамента информационной безопасности группы QiWi.



54% опрошенных уверены, что не пропускают трафик через внешнее решение. На самом деле зеркальная копия трафика отправляется в ЦОД оператора практически всегда. Это делается для анализа и обнаружения атак самим оператором. Кроме того, «выжимки» из мета-данных об этом трафике зачастую направляются оператором вендору того решения, которое он использует. Для оператора это критически важная активность, т.к. атака на отдельного клиента может задеть других клиентов или вовсе «забить» весь канал оператора на определенном участке сети. «В связи с развитием сетевых технологий и технологий виртуализации сетей, становится все сложнее обозначить периметр сетевой безопасности корпоративной сети. Это несет дополнительные риски и требует переосмысления политик безопасности. Корпоративная сеть перестает быть четко очерчена границами физических устройств, и превращается в совокупность сервисных макросегментов, каждый из которых обозначается собственным периметром безопасности», – говорит Александр Лямин, генеральный директор Qrator Labs.



Исследование показало, что на рынке сформировалось понимание того, как работают фильтры трафика. 55% сталкивались с ложными срабатываниями подобных решений, но осознают неизбежность таких событий. В итоге этот фактор не особенно влияет на принятие решения о покупке инструмента для фильтрации. Скорее на этот выбор влияет SLA – число false positive (ложных срабатываний), но эта гипотеза пока ждет подтверждения.

По мнению экспертов Qrator Labs, действительно, ложные срабатывания неизбежны при использовании любых решений фильтрации трафика. Но при выборе решения показатель количества таких ситуаций не стоит недооценивать. Для бизнеса отфильтрованный клиент может означать потенциальные финансовые потери. Соответственно, при выборе решения рекомендуется учитывать процент false positive характерный для конкретного продукта наряду с остальными важными характеристиками: скорость реакции на атаку (время обнаружения и нейтрализации атаки), качество техобслуживания, способность противостоять сложным комплексным атакам.



Выводы
  • Информационная безопасность – важный приоритет для организаций финансового сектора. Серьезность киберугроз здесь в достаточной мере осознают, что указывает на достижение определенной зрелости в вопросах ИБ.
  • В отрасли понимают основные риски и последствия инцидентов ИБ: 61% опрошенных говорят, что проблемы с безопасностью могут привести к отзыву банковской лицензии.
  • Наиболее частый тип инцидентов ИБ, с которым сталкиваются банки и платежные организации – DDoS-атаки. Об этом сообщает 24% опрошенных.
  • При этом, для противодействия наиболее распространенной угрозе (DDoS-атакам) используются по большей части устаревающие и недостаточно эффективные средства, в том числе решения от оператора, которые в большинстве случаев не предоставляют никакой защиты от атак на уязвимости приложения (услуга WAF).
  • Попытки взлома приложений были зафиксированы 17% опрошенных. Поэтому компании уделяют все больше внимание защите своего периметра. Регулярно проводят аудит безопасности более 80% компаний.
  • Современные реалии требуют пересмотра подходов к ИБ, опирающихся на понятие периметра безопасности корпоративной сети. Сетевая виртуализация и другие современные сетевые технологии размыли границы сетевого периметра.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

На выставке Россия прошел День Рунета

Большинство респондентов считают свои организации недостаточно защищенными от сложных и целевых атак

ГК «Солар» и ОАЦ при Президенте Республики Беларусь договорились о сотрудничестве в области кибербезопасности

Объем «слитых» персональных данных в РФ вырос на 60%

R-Vision и ЦИТ Татарстана объединяют усилия для повышения кибербезопасности региона

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.