Российские банки: от бумажной безопасности – к реальной

Сегодня основным последствием кибератак, как показало исследование «Защита от DDoS-атак в банках», недавно опубликованное Qrator Labs, большая часть (82% опрошенных) финансовых организаций считает собственно ущерб от действий злоумышленников. Однако еще шесть лет назад ситуация была иной. Тогда в фокусе внимания банков находилось выполнение зачастую формальных требований регулятора, и главную опасность кибератак они видели в повышении риска отзыва лицензии (61%) и риске отзыва сертификата PCI DSS (37%). 

В то время многие российские банки недооценивали киберугрозы, инвестировали в ИБ из-под палки, опасаясь санкций со стороны ЦБ РФ за невыполнение требований обеспечения информационной безопасности. Вместе с тем проверки регулятор проводил по бумагам, что вызвало расцвет «бумажной» безопасности: основные усилия направлялись на разработку политик информационной безопасности, должностных инструкций, ведение бумажных журналов инцидентов. Да и успешными оказывались в основном атаки на клиентов. Сами же банки довольно уверенно чувствовали себя внутри периметра, защищающего внешний вход в информационную систему, а внутренние угрозы купировались разграничением доступа, сегментированием сети и антивирусными программами.

Конечно, хакеры и тогда постоянно атаковали внешний периметр. Но даже если удавалось внутрь него проникнуть, то возникала проблема получения денег. Недостаточно было нанять дропперов для снятия денег и перепрятывания добычи. Чтобы вывести деньги из банка, надо было разобраться в хитросплетении банковских технологий, взломать АБС или внутренние системы, обеспечивающие денежные переводы и снятие средств с его корсчетов, прежде всего с корсчета в отделении ГУ ЦБ РФ.

Массовое закрытие банков выбросило на рынок труда большое количество потерявших работу банковских специалистов, в том числе хорошо знающих технологические процессы в банках, работу АБС и специализированных банковских программ. У злоумышленников появилась возможность усилить свое слабое звено – технологическое. В результате в 2015 году были проведены первые успешные полномасштабные атаки на российские банки со снятием денег с их корсчетов.

Пандемия и массовый переход на удаленную работу окончательно размыли периметр безопасности банков. Причем, согласно исследованию Qrator Labs, только треть банков по окончании пандемии вернется к обычному режиму, остальные сохранят или будут развивать удаленную работу.

Изменилась и архитектура информационных систем. Если в 2015 году переход в облака только начался, то сейчас процесс захватил и самых консервативных клиентов. Основатель и генеральный директор Qrator Labs Александр Ляпин сообщил, что недавно один из банков первой десятки целиком перенес свою инфраструктуру в облако «Яндекса». Появились риски, связанные с использованием новых архитектур, например микросервисных. Массово применяются мобильные устройства, в том числе для работы с банковскими программами.

Обеспечивать безопасность стало намного сложнее, и руководители финансовых организаций осознали риски. «Индустрия повзрослела, начала осознавать стоящие перед ней вызовы и понимать последствия. Если 2015 году только 27% планировали увеличивать расходы на ИБ, то в этом году – уже 49%. Рынок стал прагматичным, люди считают деньги, которые могут потерять, и инвестируют средства, чтобы эти потери предотвратить», – подчеркнул Александр Лямин.

Тем не менее одними бюджетами решить проблему невозможно. Нужны экспертиза, опыт применения, выстроенные бизнес-процессы. Банки вкладывают в безопасность больше средств, чем другие отрасли, но и этого недостаточно.

Утечки происходят – с последствиями столкнулись многие. Сам каждую неделю получаю  звонки от мошенников, представляющихся представителями служб безопасности банка, предлагающих срочно «спасти» мои деньги. И кого-то удается обмануть, иначе такой способ атаки не распространился так широко. Особенно тревожно за старшее поколение, зачастую в силу возраста излишне доверчивое и не понимающее опасности кибермошенничества. 

В октябре 2019 года глава Сбербанка Герман Греф признал утечку данных клиентов. По его словам, произошедшая утечка – единственная за всю историю банка – была вызвана предательством сотрудника.

Обнадеживает, что среди основных рисков последствий киберугроз банковская индустрия стала выделять репутационные риски (51%) и утечки пользовательских данных (71%). Во всяком случае, банки понимают проблему и можно надеяться, что примут меры для ее решения.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!