Главная » Архив журнала » 2022 год » Журнал ПЛАС №6 (292) » Новая картина мира информационной безопасности и финансовая организация
1 августа 2022, 09:00
Количество просмотров 1012

Новая картина мира информационной безопасности и финансовая организация

Андрей Курило, к. т. н., доцент, советник вице-президента ООО «ФБК» по безопасности информационных систем, ищет ответы на ключевые вопросы современной сферы ИБ — чего ожидать, к чему и как готовиться.
Новая картина мира информационной безопасности и финансовая организация
Фото: Предоставлено автором

Картина мира информационной безопасности в последнее время претерпела существенные изменения, которые затронули все без исключения отрасли и направления информатизации и информационной деятельности. Не стали исключением и финансовые организации. Сегодня важно понять, как все эти изменения могут повлиять на деятельность самих финансовых организаций и на работы в области обеспечения информационной безопасности, проводимые в них.

И конечно же, сразу возникает как минимум три вопроса:

  • чего следует ожидать;
  • к чему готовиться;
  • как готовиться.

Повышение уровня киберсанкционного давления

Как выглядит современный ландшафт угроз вокруг финансовой организации после 24 февраля? Вся информационная инфраструктура страны оказалась в новой реальности, в которой особо выделяются два аспекта: кибератаки (или хакерские атаки) и санкционное давление. Итак, обо всем по порядку.

Кибератаки

Как недавно образно отметил вице-президент Сбербанка Станислав Кузнецов, «хакеры ломают все, что взламывается, используют любую уязвимость». Это относится ко всем без исключения информационным системам и организациям, а также к любым ИС, используемым физическими лицами.

Практика отражения атак показала, что ведутся они с применением известного инструментария, что позволило быстро организовать достаточно эффективную защиту информационных систем и отражение атак. На ПМЭФ, прошедшем в начале июня 2022 года, было отмечено, что атакующей стороне удалось взломать защиту информационных систем 87 не самых критически важных организаций. В то же время всем нам очевидно, что это не окончательный список, и, к сожалению, он будет пополняться.

С другой стороны, представленные результаты можно расценивать как достаточно неплохие показатели работы государственной системы обеспечения информационной безопасности. Тем важнее помнить, что арсенал средств нападения далеко не исчерпан и против российских информационных систем могут и будут применяться все более сложные и опасные атаки, например, длительные целенаправленные атаки (АРТ), а также атаки на аппаратном уровне, что может быть весьма и весьма опасным.

А пока, судя по доступной, зачастую весьма скудной открытой статистике, положение дел обстоит следующим образом.

В атаках на информационные системы РФ принимают участие до 300 тыс. человек из ряда стран. С начала специальной военной операции (СВО) число атак по сравнению с четвертым кварталом прошлого года выросло в 15 раз [Станислав Кузнецов. ПМЭФ. Выступление на панельной сессии Сбербанка «Милитаризация киберпространства: как пройти идеальный шторм»]. Под ударом оказались информационные системы госорганов, финансового сектора, транспортных, логистических, энергетических и нефтегазовых компаний, интернет- ритейла, СМИ. Относительно финансового сектора отметим, что в целом, особенно в первые дни после начала СВО, совместными усилиями регулятора и банков в нем удалось удержать достаточный уровень защищенности.

Наиболее распространенными оказались, как и ожидалось, DDoS-атаки, направленные на нарушение доступности сервисов информационных систем, и они не прекращаются. Плотность атак сейчас на порядки выше, чем до начала СВО. Расслабляться не следует, например, недавно в глобальной сети выявлена рекордная по мощности атака вида HTTPS-флуд, показавшая плотность 26 млн запросов в секунду. При этом были использованы «угнанные» виртуальные машины и мощные серверы, а также ботнет из 5067 хостов в сетях облачных провайдеров 120 стран.

В 2021 году для аналогичной атаки была достигнута мощность 17,2 млн запросов в секунду (рост — 66 %).

На данный момент атаки практически хаотичны, это не позволяет достигнуть высокой мощности, но нельзя исключать перспективу их централизации.

На втором месте находятся атаки на веб-инфраструктуру, доля которых возросла в два раза по сравнению с аналогичным периодом 2021 года.

На третьем — распространение шпионского и вредоносного ПО.

На четвертом — вирусные киберинфекции.

В качестве объектов атак выделяются госучреждения, медицинские учреждения, организации промышленности, науки, образования и СМИ. И конечно, финансовые учреждения, а также частные лица. Целевой характер носит до 67 % выявленных атак.

Методы атак предусматривали:

  • использование вредоносного ПО;
  • социальную инженерию;
  • эксплуатацию уязвимостей;
  • компрометацию учетных данных.

В целом все эти действия преследуют цель максимального нанесения ущерба государству, юридическим и физическим лицам путем:

  • хищения данных;
  • нарушения основной деятельности путем нарушения доступности сервисов информационных систем;
  • нанесения ущерба инфраструктуре и информационным активам;
  • искажения, с целью нанесения ущерба информационной политике России, информационной составляющей, формируемой электронными СМИ и национальными интернет- ресурсами;
  • захвата ресурсов и использования их для проведения атак.

Следует отметить, что факты взлома российских финансовых организаций мало представлены в информационных сообщениях. Это означает, что в основной массе с ними более- менее успешно справляются, но ситуация может измениться в любой момент — как в численных, так и в качественных показателях атак.

Мошенничество с использованием ЭСП. Новые схемы на смену старым

Отдельно следует рассмотреть положение дел в сфере мошенничества с использованием электронных средств платежа. Тут необходимо отметить, что основой всей деятельности по совершению атак на граждан нашей страны является тщательно и целенаправленно собираемая информация об их персональных данных, финансовом состоянии, собственности, банковских реквизитах, данных банковских карт, адресах проживания, номерах телефонов, их геопозиционировании и т. д. К сожалению, слишком много информации персонального характера и сопутствующих данных уже попало и продолжает попадать в руки мошенникам. Особенно критично в данной ситуации, что эта информация валидна очень долгое время, ведь собственность, семейное положение, банки, места проживания и даже номера телефонов россияне изменяют очень редко. Почему? Ну, например, перепривязать на новый номер телефона все сервисы со старого номера задача не простая, и не каждый предпочтет с ней связываться. И квартиры россияне меняют далеко не каждую неделю, месяц или год.

21206509269_9b43d7a4de_o_0_kur-e1659087335934.jpg
Фото: Christiaan Colen / Flickr

Таким образом, информация, украденная даже более 10 лет назад и агрегированная в единую базу данных, продолжает оставаться актуальной и используется против наших граждан.

Дальше дело техники: организовать call-центр и научить сотрудников методам мошенничества: каждый сотый звонок статистически успешен.

Известно, что к началу 2022 года уровень кибермошенничества достиг достаточно высокого уровня. При этом в среднем объем возвращенных средств не превышает 7 % от похищенного. И число этих преступлений продолжало расти.

Наше государство принимало определенные меры. Например, действия, предпринятые против мошеннических call-центров, работавших в местах лишения свободы, оказались достаточно эффективными, и теперь такие центры оказались в значительной степени подавлены.

К марту 2022 года телефонное мошенничество упало практически до нуля. Прогноз такой: мошеннические call-центры восстановятся до прежних объемов к концу года, если не предпринимать соответствующих мер.

В то же время никто не отрицает того, что у преступных элементов возникли определенные сложности. Например, очевидны неожиданные позитивные эффекты наложенных на Россию санкций: с блокированием карточных платежных систем мошенникам стало сложнее осуществлять снятие денежных средств с карт, выпущенных в России. С другой стороны, абсолютно незатронутыми санкциями остались мошеннические действия на территории РФ и схемы с использованием интернет- покупок, но эти направления и в лучшие времена не превышали 15 % от общего объема мошеннических операций.

Тем не менее одновременно с атаками на граждан России наметилась новая тенденция: в фокусе преступников уже находятся иностранные подданные и беженцы.

Появились также новые схемы, которые практически невозможно организовать без сговора сотрудников различных организаций — мошенничество с телефонными номерами и онлайн- кабинетами умерших людей, в результате чего наследники порой лишаются наследства с крайне низкой вероятностью возврата средств.

Отрабатываются атаки, направленные на изменение настроек SIM-карт, позволяющие в итоге осуществлять переадресацию вызовов и SMS на номера мошеннических телефонов.

Таким образом, эту угрозу никто не снимал, и она остается актуальной, особенно в перспективе. Базы данных персонального характера, необходимые для организации таких мошенничеств, только улучшаются с каждой новой утечкой.

Это специфическая реальная угроза для граждан и финансовых организаций, которую крайне сложно снять без помощи государства, но можно минимизировать путем реализации мер защиты. Сейчас государство начало решать проблему повышения грамотности в этой сфере (или как минимум стало декларировать свое участие в ее решении). Правда, одновременно появились сомнения в эффективности мер, направленных на повышение уровня знаний клиентов финансовых организаций в области защиты от мошенничества с использованием методов социальной инженерии.

Опыт показывает, что наиболее эффективным является обучение людей методам определения мошеннических звонков и последующего категорического отказа от продолжения общения с ними или выполнения любых действий, лежащих в русле манипуляций социальных инженеров. Признаем, что противостоять психологической атаке сложно любому человеку, независимо от его уровня образования и квалификации. При этом грамотных граждан обманывают даже чаще, чем неграмотных, о чем свидетельствует и статистика.

ukraine-cyber-attacks_3_kur-e1659087475911.jpg
Фото: Jacobs School of Engineering, UC San Diego

Санкционное воздействие и его последствия

Вторая сторона текущей реальности — санкционные меры, применяющиеся враждебными странами в отношении России:

  • уход с российского рынка практически всех зарубежных вендоров со своими продуктами, что в итоге привело к тому, что ФСТЭК приостановило действие 42 сертификатов на средства защиты информации;
  • прекращение поставок оборудования, программных продуктов, процессоров и микроэлементной базы;
  • отзыв лицензий на ПО, приводящий либо к невозможности или бессмысленности его дальнейшего использования, либо к ослаблению его защитных функций;
  • усиливающиеся затруднения в использовании распространенного общего программного обеспечения, например, операционных систем Microsoft новых версий;
  • затруднения или просто невозможность скачивания приложений из наиболее распространенных источников, например, магазинов Google.

Некоторые последствия этих мер возникли мгновенно, после того как отозванные лицензии сделали невозможной дальнейшую эксплуатацию средств защиты. Уже к середине марта 2022 года часть иностранных решений просто перестали работать. И это давление продолжает нарастать.

Наблюдаются и долговременные последствия. Импортные средства защиты информации, включенные в систему обеспечения информационной безопасности (СОИБ), сразу заменить невозможно. Это длительный процесс, требующий в том или ином виде перепроектирования самой СОИБ со всеми вытекающими последствиями, сроками и расходами. Иначе реального выполнения задачи системной интеграции (или, как сейчас говорят, «импортозамещения») не получится. Этот процесс может растянуться на годы.

При этом есть «сигналы» о готовности некоторых зарубежных поставщиков вернуться на наш рынок. И если это так, следует сформировать свое отношение к данному явлению, отчетливо понимая зыбкость позиции продолжения стратегического сотрудничества с вернувшимися структурами, если даже не рассматривать возможную провокационность такого рода действий. Именно поэтому Президент РФ 1 мая 2022 года издал Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». В этом документе устанавливается, что с 1 января 2025 года органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними. Нужно отчетливо понимать, что у нас есть всего три года на решение этой задачи. А пока необходимо использовать те средства, которые есть в нашем арсенале. При этом весь риск использования импортных несертифицированных продуктов переходит на саму организацию, эксплуатирующую эти средства.

Отдельно стоит вопрос получения обновлений на эксплуатируемое ПО на период этих трех лет. Желательно вообще отказаться от идеи использования т. н. «серого импорта» программного обеспечения, так как при таком подходе резко растет вероятность получения вместе с этими обновлениями и вредоносного ПО. Такие примеры фиксировались как в годы существования СССР, так уже и в недавнее время. Наличие подобного канала распространения враждебного ПО следует учитывать при организации работ по обеспечению информационной безопасности информационных систем финансовых организаций.

picryl.com_2_kur-e1659091973531.jpg
Фото: pikryl.com

Что делать?

Практически любая финансовая организация находится в настоящее время в зоне риска и может подвергнуться атаке в любой момент. При этом необходимо здраво оценивать готовность организации к противодействию тщательно спланированным и более длительным хакерским кампаниям.

Что касается кибермошенничества, то атаки подобного типа направлены, конечно, на физических лиц, но они будут продолжаться, как уже сказано, и задача борьбы с ними — дело не только финансовых организаций. Это системная проблема, требующая участия в ее решении не только отраслевого регулятора (что он, собственно, и делает), но и государственных структур и органов.

Общий вывод напрашивается один: необходимо содержать СОИБ в актуальной готовности отразить атаку на нее. Ну и, наконец, в свете рассмотренных обстоятельств возникает классический вопрос: как и что нужно сделать для этого?

Успех в этом направлении достигается в первую очередь при выполнении следующих условий:

  1. Наличие адекватного сложности атак оборудования и ПО, обеспечивающего безопасность.
  2. Поддержание системы защиты в состоянии, актуальном и адекватном уровню угроз.
  3. Правильная организация работы сил, задействованных для поддержания безопасности и отражения атак, координации их действий.
  4. Выполнение требований нормативных документов.
  5. Наличие соответствующих умения и навыков у команды, что достигается реальными тренировками.

Определяющим фактором успеха является качественная модель угроз и нарушителя (МУН), разработанная или доработанная по результатам анализа актуальных для текущего времени угроз и атак. Такая модель, служащая основой для формирования политики безопасности организации, должна быть разработана и применена обязательно. В настоящее время ФСТЭК, в помощь разработчикам, разработала документ «Методика оценки угроз безопасности информации», который используется в качестве основы для создания модели совместно с банком данных угроз и уязвимостей.

Следует также обновить политики информационной безопасности, разработка которых предусмотрена ГОСТ Р ИСО/МЭК 27002–2021.

Отметим, что к настоящему времени органами стандартизации и регуляторами разработаны практически исчерпывающие требования по защите, выполнение которых практически гарантирует отражение всех возможных атак.

image-from-rawpixel-id-5906639-original_5_kur-e1659095927537.jpg
Фото: rawpixel.com

В кредитно- финансовой сфере действуют нормативные правовые акты Банка России, в соответствии с которыми установлены требования по защите и выполняется регулярная проверка состояния СОИБ путем проведения оценки соответствия требованиям ГОСТ Р 57580.1–2017. Такие мероприятия необходимо планировать и проводить в соответствии с определенным порядком. В результате, как любят говорить некоторые практикующие специалисты, требования «бумажной безопасности» будут соблюдены, и это правильно. И вот тут просто необходимо, учитывая то, в какой ситуации мы сейчас находимся, задать себе вопрос: а достаточно ли сегодня всего этого?

На практике мы видим противоречие: с одной стороны, выполнение требований по безопасности гарантирует защиту от атак, и разработаны специальные процедуры проверки выполнения этих требований, предусмотренные нормативно- правовыми актами регуляторов, в частности, Банка России. А с другой стороны — проблемы все-таки случаются и после прохождения аудита информационной безопасности (оценки соответствия).

Это очень важный вопрос, требующий отдельного анализа, последующих действий и рекомендаций. Тем более что в условиях постоянного риска результативных атак крайне важно добиться реальной безопасности, а не некоего формального соответствия требованиям стандартов и НПА.

Проблема кроется в том, что такая форма контроля, как аудит (оценка соответствия), качественно описывая общее (статическое) состояние системы защиты и уровень соответствия требованиям по безопасности, не в состоянии дать ответ на вопрос о текущем (динамическом) уровне ее защищенности. Проблема тут кроется в том, что этот показатель существенным образом зависит от качества администрирования уязвимостей системы, а это динамическая задача, решаемая ежедневно персоналом службы безопасности.

Причин возникновения уязвимостей, через которые реализуются атаки, несколько, среди которых можно назвать следующие:

  • выявление новых уязвимостей программного обеспечения, происходящее, как правило, спонтанно и независимо от качества работы службы безопасности. Над этим работает весь мир. Следует помнить, что база уязвимостей, которую ведет ФСТЭК, пополняется практически ежедневно;
  • появление новых вредоносных программ (вирусов), на которые не настроены соответствующие средства обнаружения, — просто их нет в антивирусных базах. Это тоже объективная реальность, особенно для нашей огромной страны, имеющей 11 часовых поясов. Из этого следует, что если обновления антивирусных баз выпускаются по московскому времени, то организации, расположенные на востоке страны, получают эти обновления только вечером, а в течение всего рабочего дня они находятся в группе риска, имея уязвимость в виде не совсем актуальной защиты;
  • наконец, уязвимости, возникающие в результате некачественного администрирования систем безопасности со стороны работников служб безопасности и ИТ-подразделений, например, несвоевременного блокирования доступа уволившихся сотрудников, что и произошло на видеопортале RUTUBE. Последствия всем хорошо известны [Атака проявилась ранним утром 9 мая и имела явный политический подтекст. Анализ позволил сделать вывод о том, что Rutube подвергся классической АРТ-атаке. Доступ к ресурсам, вероятнее всего, был получен путем использования административных прав, предоставленных уволившемуся несколько ранее программисту из Украины, и своевременно не блокированных. Следует отметить, что Group-IB, проводившая аудит компании, предупреждала о том, что атака возможна именно через офисные ресурсы Rutube, как впоследствии и оказалось. В результате было поражено более 75 % баз и инфраструктуры основной версии и 90 % резервных копий и кластеров для восстановления баз данных. Кроме того, как оказалось, в различных сегментах инфраструктуры были установлены закладки типа back door, что говорит о том, что атака носила долговременный характер
    и начала реализовываться задолго до 9 мая.]. Эти причины снижают качество контроля методами аудита, делая их неабсолютными, и, что самое главное, — повышают риски возникновения инцидентов.
pngwing-e1659092037332.jpg
Фото: pngwing.com

Дополнительные механизмы контроля ИБ

Осознание этого «практикующими безопасниками» и специалистами ведущих структур, предоставляющих услуги в области обеспечения информационной безопасности, постепенно вызвало к жизни и фактически статуировало дополнительные механизмы контроля безопасности, которые пока не зафиксированы в требованиях по безопасности, хотя некоторые из них уже находят отражение в нормативных правовых актах регуляторов, а конкретнее — Банка России. Прежде всего это следующие механизмы:

  1. Мониторинг (непрерывное наблюдение) ключевых параметров системы, выявление событий безопасности и инцидентов. Задача реализуется на базе специального центра оперативного контроля — SOC. На центр возлагается достаточно ограниченная функциональность, однако именно от качества его работы зависит реальная способность системы защиты своевременно выявлять атаки и бороться с ними. Особо следует отметить, что SOC, если он правильно выстроен, выступает единственным механизмом в системе защиты, который способен выявлять аномальные активности и обнаруживать вторжения, а также выявлять нарушения внутренних регламентов работы, т. е. противодействовать инсайдерам на уровне технического персонала. Следующая необходимая компонента, взаимодействующая с SOC, — группа разбора инцидентов защиты информации (ГРИЗИ).
  2. Экспресс- оценка защищенности от атак, имеющих целью нанести организации неприемлемый ущерб. Эта задача возникла уже после начала спецоперации как оперативный инструмент контроля качества защиты по наиболее угрожаемым направлениям. Подход, реализуемый в экспресс- оценке, предполагает выборочную проверку реализации наиболее важных требований по защите. Методически этот подход базируется на существенном сужении набора требований за счет сужения набора возможных инцидентов до некоторого небольшого числа неприемлемых для организации событий, количество которых по определению не может быть большим, но значение которых исключительно важно. После этого определяются активы, на которых события такого рода могут реализоваться, а также сценарии возможных атак. Соответственно, меры защиты будут направлены на предотвращение развития атак по этим сценариям. Такой подход существенно сокращает объем необходимых работ и учитывает все рекомендации, выпущенные регуляторами (НКЦКИ, МИНЦИФРА, ФСТЭК) по результатам анализа предполагаемых атак. Этот подход не исключает необходимости проводить классический аудит (оценку соответствия), но в совокупности с нижеперечисленными мерами он существенно повышает защищенность организаций от атак.Методология этой работы сейчас отрабатывается в соответствии с Указом Президента РФ от 01.05 2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и постановлением Правительства РФ от 13.05 2022 № 860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».
  3. Инструментальная проверка уязвимостей (внутреннее и внешнее PEN-тестирование). Нельзя сказать, что это совсем новая процедура, она уже успела попасть в нормативные правовые акты Банка России как обязательное требование, однако ее роль резко возросла в последнее время. Инструментальное тестирование уязвимостей — это, пожалуй, наиболее эффективный инструмент контроля защищенности информационной системы от атак через внешние и внутренние уязвимости.
  4. И наконец, киберучения — как практическая проверка умения коллектива слаженно и эффективно работать в сложных условиях чрезвычайной ситуации. Это заключительная фаза контроля, реально подтверждающая готовность организации в целом к отражению атак.

Оргвыводы

В качестве заключения необходимо отметить следующее. Вопрос обеспечения защиты собственных информационных систем стоит сейчас гораздо более серьезно, чем ранее, когда, по статистике, вероятность атаки на объект, включая финансовую организацию, была не столь высока. Не будем скрывать, этим пользовались многие, не выполняя или формально выполняя требования по безопасности.

Известно также и иное. Не знаю по каким причинам, но некоторые кредитные организации задолго до февральских событий находились под регулярным прессингом атак. И сейчас уже имеющие ценнейший опыт специалисты по ИБ этих организаций с честью выходят из тех ситуаций, в которые их пытается поставить атакующая сторона. Но в настоящее время поверхность этих атак существенно расширилась, и под такие удары с высокой вероятностью может попасть практически любая финансовая организация.

Тут уж нужно делать выводы и серьезно относиться к решению задачи защиты.

Итак, что же нужно сделать?

Прежде всего — это организация мониторинга состояния системы, обнаружения и предотвращения вторжений, менеджмент инцидентов. Это именно то, на что не может ответить или отреагировать аудит информационной безопасности. Подключение к SOC, имеющему эту функциональность, решает проблему и существенно повышает уровень реальной (динамической) защищенности. Это не означает, что не нужно проводить аудит и оценку защищенности. Нужно — но в плановом порядке.

Далее необходим анализ системы с целью определения ее защищенности от атак, приводящих к реализации неприемлемых для организации событий. Но сначала такие события нужно идентифицировать и описать соответствующие сценарии атак, а также выполнить рекомендации НКЦКИ и ФСТЭК.

Обязательно нужен PEN-тест. При экспресс- анализе — внешний, а при аудите (оценке соответствия) — внутренний.

Читайте также:
Слово читателям!
Слово читателям!

И наконец — киберучения, как практическая проверка готовности персонала и системы к отражению атак.

Набор этих мероприятий практически может обеспечить достижение высокого уровня защищенности системы и позволит противодействовать актуальным векторам кибератак.

Рубрика:
{}Безопасность
Теги:
#АНДРЕЙ КУРИЛО
#ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

PLUSworld в соцсетях:
telegram
vk
dzen
youtube

ТАКЖЕ ПО ТЕМЕ

НБ Казахстана предупреждает о новой схеме телефонного мошенничества с использованием ИИ
Появилась новая мошенническая схема по «заработку» на криптовалюте TON в Telegram
F.A.C.C.T. оценила рынок теневых расчетов нелегальных казино и букмекеров через счета дропов
Депутаты планируют закрыть лазейку для дропперов
НБ Казахстана предупреждает о новой схеме телефонного мошенничества с использованием ИИ
Появилась новая мошенническая схема по «заработку» на криптовалюте TON в Telegram
F.A.C.C.T. оценила рынок теневых расчетов нелегальных казино и букмекеров через счета дропов
Депутаты планируют закрыть лазейку для дропперов