Кибербезопасность в финансовой индустрии. Прогноз на 2024 года
В целом все атаки в финансовой индустрии можно разделить на три больших категории:
· атаки с использованием в первую очередь социальной инженерии;
· атаки с использованием в первую очередь вредоносного ПО и уязвимостей;
· DDOS атаки
Мы осознанно пишем «в первую очередь», так как в ряде случаев может иметь место комбинированный и достаточно сложный вектор атаки, в котором будут применены одновременно и социальная инженерия, и технические средства атаки.
Риски мошеннических действий
Например, в Банке России начали выделять массовое появление таких комбинированных атак еще в 2020 году, в период пандемии COVID-19. Основными жертвами «чистой» социальной инженерии являются клиенты банков, и мы не ожидаем здесь какого-либо улучшения в будущем. Более того, стремление ЦБ переложить риски мошеннических действий с клиентов на банки может стимулировать клиентов к более легкомысленному поведению первых в отношении соблюдения очевидных правил безопасности.
На наш взгляд, в 2024 году можно ожидать более совершенных атак с использованием как современных технологий (анализ речи, голосовые нейронные сети и т. д.), так и более эффективных схем (атаки на цепочки поставок, таргетированные атаки на подрядчиков/партнеров/хостинги). В целом именно социальная инженерия представляется наибольшей угрозой в ближайшем будущем.
Уязвимость ДБО
Кроме того, целью кибератак стали различные средства ДБО, предоставляемые банками. В первую очередь речь идет о мобильных приложениях, уязвимости которых целенаправленно исследуются и эксплуатируются, ведь этот вектор гарантирует атакующим прогнозируемый успех.
Так, в свое время специалисты из ЦБ РФ сообщали:
«В известном ФинЦЕРТ случае итогом исследования злоумышленниками мобильного приложения поднадзорной организации и системы ДБО стало хищение денежных средств клиентов путем совершения операций без согласия с использованием в качестве транспорта платежной системы. Переводы были осуществлены двумя авторизованными клиентами поднадзорной организации через подмену номера счета отправителя на номер счета другого клиента банка (жертвы). Подмена произведена в сообщении, направленном из мобильного приложения в поднадзорную организацию после подтверждения платежа авторизованным клиентом. Указанные авторизованные клиенты организации в предыдущие дни провели успешную атаку по использованию недокументированной возможности API-интерфейса ДБО, в процессе которой смогли перебором получить номера счетов жертв».
Также следует сказать несколько слов и о санкционной политике. Кстати, влияние массового ухода западных вендоров, а также ИБ-компаний с российского рынка сейчас уже не столь велико. За прошедший год компании адаптировались к новым реалиям и начали процесс трансформации. Стоит отметить, что в России именно финансовая индустрия традиционно является наиболее защищенной в сравнении с остальными.
Что касается DDOS-атак, то принципиально нового мы здесь ничего увидеть не должны, кроме еще большей интенсивности. С другой стороны, защита от DDOS выглядит как наиболее технически простой способ защиты.
Прогноз 2024
Что касается будущего, но в отличие от угроз (они старые) в том, что касается средств защиты, в ближайшие несколько лет мы можем увидеть и по-настоящему революционные тенденции. Причем они касаются не столько технических средств защиты, сколько организационных мер противодействия злоумышленникам. Здесь важно выделить три основных направления, каждое из которых будет важно.
1) Финансовая киберграмотность — продолжение обучения сотрудников финансовых структур противодействию мошенническим действиям.
2) Развитие регулирования, в том числе через создание цифровых профилей компании и разработки стандартов защиты. Отдельная история — стандарты ИБ для платежных систем,
3) RegTech|SupTech, совершенствование внешних систем аудита, появление новых стандартов аудита, массовое проведение киберучений (по сути, стресс-тестов по аналогии с финансовыми стресс-тестами), возможное появление новых стандартов управления операционными рисками.
Вероятно, в ближайшее время мы увидим понимание и принятие киберрисков как части операционных рисков и появление в России одних из первых стандартов управления рисками ИБ. Кроме того, в рамках киберучений мы почти наверняка увидим некоторое подобие red team в финансовой сфере. Таким образом, проведение учебных атак и их отражение поможет справиться с потенциальными угрозами как настоящего, так и будущего.