Журнал ПЛАС » Архив » 2022 » Журнал ПЛАС №6 »

Новая картина мира информационной безопасности и финансовая организация

Андрей Курило, к. т. н., доцент, советник вице-президента ООО «ФБК» по безопасности информационных систем, ищет ответы на ключевые вопросы современной сферы ИБ — чего ожидать, к чему и как готовиться.

Картина мира информационной безопасности в последнее время претерпела существенные изменения, которые затронули все без исключения отрасли и направления информатизации и информационной деятельности. Не стали исключением и финансовые организации. Сегодня важно понять, как все эти изменения могут повлиять на деятельность самих финансовых организаций и на работы в области обеспечения информационной безопасности, проводимые в них.

И конечно же, сразу возникает как минимум три вопроса:

  • чего следует ожидать;
  • к чему готовиться;
  • как готовиться.

Повышение уровня киберсанкционного давления

Как выглядит современный ландшафт угроз вокруг финансовой организации после 24 февраля? Вся информационная инфраструктура страны оказалась в новой реальности, в которой особо выделяются два аспекта: кибератаки (или хакерские атаки) и санкционное давление. Итак, обо всем по порядку.

Кибератаки

Как недавно образно отметил вице-президент Сбербанка Станислав Кузнецов, «хакеры ломают все, что взламывается, используют любую уязвимость». Это относится ко всем без исключения информационным системам и организациям, а также к любым ИС, используемым физическими лицами.

Практика отражения атак показала, что ведутся они с применением известного инструментария, что позволило быстро организовать достаточно эффективную защиту информационных систем и отражение атак. На ПМЭФ, прошедшем в начале июня 2022 года, было отмечено, что атакующей стороне удалось взломать защиту информационных систем 87 не самых критически важных организаций. В то же время всем нам очевидно, что это не окончательный список, и, к сожалению, он будет пополняться.

С другой стороны, представленные результаты можно расценивать как достаточно неплохие показатели работы государственной системы обеспечения информационной безопасности. Тем важнее помнить, что арсенал средств нападения далеко не исчерпан и против российских информационных систем могут и будут применяться все более сложные и опасные атаки, например, длительные целенаправленные атаки (АРТ), а также атаки на аппаратном уровне, что может быть весьма и весьма опасным.

А пока, судя по доступной, зачастую весьма скудной открытой статистике, положение дел обстоит следующим образом.

В атаках на информационные системы РФ принимают участие до 300 тыс. человек из ряда стран. С начала специальной военной операции (СВО) число атак по сравнению с четвертым кварталом прошлого года выросло в 15 раз [Станислав Кузнецов. ПМЭФ. Выступление на панельной сессии Сбербанка «Милитаризация киберпространства: как пройти идеальный шторм»]. Под ударом оказались информационные системы госорганов, финансового сектора, транспортных, логистических, энергетических и нефтегазовых компаний, интернет- ритейла, СМИ. Относительно финансового сектора отметим, что в целом, особенно в первые дни после начала СВО, совместными усилиями регулятора и банков в нем удалось удержать достаточный уровень защищенности.

Наиболее распространенными оказались, как и ожидалось, DDoS-атаки, направленные на нарушение доступности сервисов информационных систем, и они не прекращаются. Плотность атак сейчас на порядки выше, чем до начала СВО. Расслабляться не следует, например, недавно в глобальной сети выявлена рекордная по мощности атака вида HTTPS-флуд, показавшая плотность 26 млн запросов в секунду. При этом были использованы «угнанные» виртуальные машины и мощные серверы, а также ботнет из 5067 хостов в сетях облачных провайдеров 120 стран.

В 2021 году для аналогичной атаки была достигнута мощность 17,2 млн запросов в секунду (рост — 66 %).

На данный момент атаки практически хаотичны, это не позволяет достигнуть высокой мощности, но нельзя исключать перспективу их централизации.

На втором месте находятся атаки на веб-инфраструктуру, доля которых возросла в два раза по сравнению с аналогичным периодом 2021 года.

На третьем — распространение шпионского и вредоносного ПО.

На четвертом — вирусные киберинфекции.

В качестве объектов атак выделяются госучреждения, медицинские учреждения, организации промышленности, науки, образования и СМИ. И конечно, финансовые учреждения, а также частные лица. Целевой характер носит до 67 % выявленных атак.

Методы атак предусматривали:

  • использование вредоносного ПО;
  • социальную инженерию;
  • эксплуатацию уязвимостей;
  • компрометацию учетных данных.

В целом все эти действия преследуют цель максимального нанесения ущерба государству, юридическим и физическим лицам путем:

  • хищения данных;
  • нарушения основной деятельности путем нарушения доступности сервисов информационных систем;
  • нанесения ущерба инфраструктуре и информационным активам;
  • искажения, с целью нанесения ущерба информационной политике России, информационной составляющей, формируемой электронными СМИ и национальными интернет- ресурсами;
  • захвата ресурсов и использования их для проведения атак.

Следует отметить, что факты взлома российских финансовых организаций мало представлены в информационных сообщениях. Это означает, что в основной массе с ними более- менее успешно справляются, но ситуация может измениться в любой момент — как в численных, так и в качественных показателях атак.

Мошенничество с использованием ЭСП. Новые схемы на смену старым

Отдельно следует рассмотреть положение дел в сфере мошенничества с использованием электронных средств платежа. Тут необходимо отметить, что основой всей деятельности по совершению атак на граждан нашей страны является тщательно и целенаправленно собираемая информация об их персональных данных, финансовом состоянии, собственности, банковских реквизитах, данных банковских карт, адресах проживания, номерах телефонов, их геопозиционировании и т. д. К сожалению, слишком много информации персонального характера и сопутствующих данных уже попало и продолжает попадать в руки мошенникам. Особенно критично в данной ситуации, что эта информация валидна очень долгое время, ведь собственность, семейное положение, банки, места проживания и даже номера телефонов россияне изменяют очень редко. Почему? Ну, например, перепривязать на новый номер телефона все сервисы со старого номера задача не простая, и не каждый предпочтет с ней связываться. И квартиры россияне меняют далеко не каждую неделю, месяц или год.

Фото: Christiaan Colen / Flickr

Таким образом, информация, украденная даже более 10 лет назад и агрегированная в единую базу данных, продолжает оставаться актуальной и используется против наших граждан.

Дальше дело техники: организовать call-центр и научить сотрудников методам мошенничества: каждый сотый звонок статистически успешен.

Известно, что к началу 2022 года уровень кибермошенничества достиг достаточно высокого уровня. При этом в среднем объем возвращенных средств не превышает 7 % от похищенного. И число этих преступлений продолжало расти.

Наше государство принимало определенные меры. Например, действия, предпринятые против мошеннических call-центров, работавших в местах лишения свободы, оказались достаточно эффективными, и теперь такие центры оказались в значительной степени подавлены.

К марту 2022 года телефонное мошенничество упало практически до нуля. Прогноз такой: мошеннические call-центры восстановятся до прежних объемов к концу года, если не предпринимать соответствующих мер.

В то же время никто не отрицает того, что у преступных элементов возникли определенные сложности. Например, очевидны неожиданные позитивные эффекты наложенных на Россию санкций: с блокированием карточных платежных систем мошенникам стало сложнее осуществлять снятие денежных средств с карт, выпущенных в России. С другой стороны, абсолютно незатронутыми санкциями остались мошеннические действия на территории РФ и схемы с использованием интернет- покупок, но эти направления и в лучшие времена не превышали 15 % от общего объема мошеннических операций.

Тем не менее одновременно с атаками на граждан России наметилась новая тенденция: в фокусе преступников уже находятся иностранные подданные и беженцы.

Появились также новые схемы, которые практически невозможно организовать без сговора сотрудников различных организаций — мошенничество с телефонными номерами и онлайн- кабинетами умерших людей, в результате чего наследники порой лишаются наследства с крайне низкой вероятностью возврата средств.

Отрабатываются атаки, направленные на изменение настроек SIM-карт, позволяющие в итоге осуществлять переадресацию вызовов и SMS на номера мошеннических телефонов.

Таким образом, эту угрозу никто не снимал, и она остается актуальной, особенно в перспективе. Базы данных персонального характера, необходимые для организации таких мошенничеств, только улучшаются с каждой новой утечкой.

Это специфическая реальная угроза для граждан и финансовых организаций, которую крайне сложно снять без помощи государства, но можно минимизировать путем реализации мер защиты. Сейчас государство начало решать проблему повышения грамотности в этой сфере (или как минимум стало декларировать свое участие в ее решении). Правда, одновременно появились сомнения в эффективности мер, направленных на повышение уровня знаний клиентов финансовых организаций в области защиты от мошенничества с использованием методов социальной инженерии.

Опыт показывает, что наиболее эффективным является обучение людей методам определения мошеннических звонков и последующего категорического отказа от продолжения общения с ними или выполнения любых действий, лежащих в русле манипуляций социальных инженеров. Признаем, что противостоять психологической атаке сложно любому человеку, независимо от его уровня образования и квалификации. При этом грамотных граждан обманывают даже чаще, чем неграмотных, о чем свидетельствует и статистика.

Фото: Jacobs School of Engineering, UC San Diego

Санкционное воздействие и его последствия

Вторая сторона текущей реальности — санкционные меры, применяющиеся враждебными странами в отношении России:

  • уход с российского рынка практически всех зарубежных вендоров со своими продуктами, что в итоге привело к тому, что ФСТЭК приостановило действие 42 сертификатов на средства защиты информации;
  • прекращение поставок оборудования, программных продуктов, процессоров и микроэлементной базы;
  • отзыв лицензий на ПО, приводящий либо к невозможности или бессмысленности его дальнейшего использования, либо к ослаблению его защитных функций;
  • усиливающиеся затруднения в использовании распространенного общего программного обеспечения, например, операционных систем Microsoft новых версий;
  • затруднения или просто невозможность скачивания приложений из наиболее распространенных источников, например, магазинов Google.

Некоторые последствия этих мер возникли мгновенно, после того как отозванные лицензии сделали невозможной дальнейшую эксплуатацию средств защиты. Уже к середине марта 2022 года часть иностранных решений просто перестали работать. И это давление продолжает нарастать.

Наблюдаются и долговременные последствия. Импортные средства защиты информации, включенные в систему обеспечения информационной безопасности (СОИБ), сразу заменить невозможно. Это длительный процесс, требующий в том или ином виде перепроектирования самой СОИБ со всеми вытекающими последствиями, сроками и расходами. Иначе реального выполнения задачи системной интеграции (или, как сейчас говорят, «импортозамещения») не получится. Этот процесс может растянуться на годы.

Если у вас есть подписка, нажмите
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:

Добавить комментарий


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных