Журнал ПЛАС » Архив » 2021 » Журнал ПЛАС №10 »

Кибербезопасность в России и в «Мире». Что стоит за «пятью девятками»?

Защита ИТ-периметра банка и операций клиентов от киберугроз — одна из самых актуальных задач, стоящих сегодня перед финансовыми организациями. О том, какие подходы и решения в области обеспечения кибер- и информационной безопасности сегодня используются на рынке платежных услуг, в том числе Национальной системой платежных карт, мы беседуем с Артемом Гутником, руководителем направления кибербезопасности НСПК.

ПЛАС: Какие актуальные направления противодействия киберкриминалу в банковской сфере вы можете сегодня выделить?

А. Гутник: Я выделил бы здесь два направления: атаки, нацеленные непосредственно на организацию, на учреждение, на банк, и атаки, направленные на клиента банка.

Если говорить про атаки на банки, к сожалению, то, что мы сегодня видим, соответствует общемировым трендам. Выделю три основных киберриска при атаке на банковский ИТ-периметр. На текущий момент угроза номер один — это криптовымогатели, использующие вирусы- шифровальщики. Злоумышленники с помощью тех или иных приемов внедряют в программное обеспечение компании или банка вирусный код, который, в свою очередь, шифрует различные элементы инфраструктуры, базы данных и т. п. Для восстановления полноценной работы ИТ-систем есть два варианта. Первый — заплатить вымогателям огромную сумму в криптовалюте, чтобы они расшифровали поврежденные данные, после чего компания или банк смогли бы продолжить свою деятельность. Помимо дороговизны он также отличается серьезным риском быть обманутыми преступниками. Другой вариант — попытаться каким-либо образом восстановить утерянные данные из бэкапов, которые были ранее созданы. В любом случае придется столкнуться с потерей огромного количества финансовых и интеллектуальных ресурсов, которые необходимо потратить либо на выкуп, либо на восстановление работы программного обеспечения и необходимой для деятельности компании актуальной базы данных.

Второй тип атак связан с тем, что злоумышленники могут находить уязвимости и «дыры» в программном обеспечении банков. Благодаря им они могут проникнуть либо в инфраструктуру банка, либо каким-то образом повлиять на легитимность транзакций, например, получить доступ к системам ДБО и к критичным данным клиентов банка.

Ну и, наконец, третий тренд, который начал явно выделяться на фоне других с августа 2021 года, — мощные массовые DDOS-атаки на финтех- сектор России в целом, которые ощутили на себе многие организации. Информация о такого рода атаках активно циркулирует в инфопространстве. Аналогичные масштабные DDOS-атаки мы испытывали и на структуре НСПК. Например, мы зафиксировали на себе атаку, которая длилась около 9 часов — для сравнения, продолжительность аналогичных атак на других участников рынка в большинстве случаев исчислялась минутами. При этом мы эти 9 часов не просто противостояли атаке — все наши системы функционировали штатно, и пользователи не ощутили каких-либо неудобств. Возвращаясь к данному инциденту, необходимо подчеркнуть, что мы имеем дело с реальным негативным трендом. В то же время в целом мы видим снижение активности киберпреступников по кредитно- финансовому сектору России, хотя атаки продолжаются, пусть и в меньшем объеме.





Если же говорить про атаки, направленные на клиентов банков, то в первую очередь это так называемая социнженерия. К сожалению, ничего не меняется: самое слабое звено — это люди. И целые мошеннические группировки как раз нацелены на использование социальной инженерии, вводя в заблуждение клиентов из числа физлиц и за счет этого получая доступ к их аккаунтам в системах ДБО либо вынуждая их самостоятельно переводить собственные средства на счета злоумышленников под предлогом якобы грозящей счету опасности, возможности значительно увеличить имеющиеся средства и т. п. Успешным атакам на клиентов способствуют и всевозможные уязвимости в ДБО клиентов банков. Такие вещи, к сожалению, по-прежнему встречаются.

Мы видим, что банки сегодня уделяют много внимания вопросам безопасности и активно работают над предотвращением вышеперечисленных угроз.

ПЛАС: Какую роль и какое место вы отводите НСПК как оператору ПС «Мир» в этом процессе?

А. Гутник: Конечно, мы не стоим в стороне. Если говорить про те же DDOS-атаки, то мы активно помогаем участникам рынка справиться с ними, если им требуется наша помощь. У нас разработаны весьма жесткие требования к участникам ПС «Мир» в части организации работ по противодействию киберугрозам, четкое выполнение которых позволяет защитить себя от этих рисков.

Если говорить про конкретные уязвимости в ДБО, то все они носят единичный характер.

ПЛАС: Какие стратегические задачи стоят перед управлением безопасностью НСПК? И как оно изменилось под влиянием внешних факторов?

А. Гутник: Самая главная наша задача — это возможность противостоять современным угрозам. Очень важно выделять для себя наиболее важные риски и в полной мере активно им противодействовать. По сути, первая задача является сугубо технологической и сводится к возможности находить лучшие решения из имеющихся и оперативно внедрять их, чтобы противодействие действительно носило превентивный характер. Так, у нас создана собственная лаборатория кибербезопасности. Это некий полигон, «песочница», в которой мы очень быстро можем развертывать различные современные решения в области кибербезопасности, тестировать их, сравнивать, проводить какие-то синтетические атаки, для того чтобы понять, насколько эффективно работает наша система защиты.





Второе, не менее важное направление, это Threat Intelligence (TI) — знания об угрозах, полученные в результате анализа и интерпретации данных. Иными словами, фактически TI является сервисом информирования об угрозах и предназначен для оперативного реагирования на инциденты и их эффективного расследования. Речь идет как раз об анализе практически всего глобального инфопотока, для того чтобы осуществлять выявление наиболее существенных интеллектуальных угроз и далее проецировать их «на себя» с целью понимания — актуальны они для нас, нашей инфраструктуры, или нет. И, соответственно, в случае признания актуальными возникает понимание необходимости бороться с ними.

Третье направление — это люди. Сейчас в сфере кибербезопасности очень мало высококвалифицированных специалистов.

Если у вас есть подписка, нажмите
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных