27 марта 2017, 16:13
Количество просмотров 198

Аванпост: преступники сделают ставку на инсайдеров

Как могут измениться ключевые тренды банковской информационной безопасности в 2017 году? Насколько серьезны угрозы, связанные с развитием Интернета вещей? Какие корректировки вносит перевод бизнес-процессов на Agile-принципы? Эти и другие вопросы мы задали Андрею Конусову, генеральному директору компании «Аванпост», одного из  ведущих российских разработчиков систем идентификации и управления доступом к информационным ресурсам предприятия.
Аванпост: преступники сделают ставку на инсайдеров

ПЛАС: Ваша оценка общемировой ситуации с информационной безопасностью в банковском секторе. Как прогнозирует Герман Греф, к 2020 году этот показатель во всем мире может достигнуть 1 трлн долларов. Чем, на ваш взгляд, обусловлено резкое увеличение крупномасштабных хакерских атак на дистанционные банковские сервисы и услуги, наблюдаемое во всем мире в 2015–2016 гг.? Насколько стойкой окажется данная тенденция в наступившем 2017 году?

А. Конусов: В последние годы банки и другие финансовые организации, безусловно, стали самыми привлекательными целями для хакерских атак, поскольку в них аккумулируются и циркулируют в электронном виде наиболее крупные и привлекательные для злоумышленников суммы. По данным отчета компании Group IB, средняя сумма хищения при одной хакерской атаке на банк составляет 140 млн руб. Только вдумайтесь, о суммах какого порядка идет речь! А ответственность за эти преступления минимальна. Да и умение их раскрывать, а главное – проводить четкую доказательную линию в суде пока является очень сложной задачей, как с точки зрения совершенства законодательной базы, так и с точки зрения уровня подготовки лиц, проводящих расследования.

Так что сейчас мы имеем идеальную почву для дальнейшего роста киберпреступности: максимальная прибыльность при минимальных рисках! И конечно же, эта ситуация с высокой вероятностью приведет к тому, что рост количества атак продолжится и в 2017 году.

Справедливости ради надо заметить, что работа по улучшению законодательной базы в вопросах противодействия киберпреступлениям ведется. И очень большую роль в этом процессе занимает Банк России как ключевой регулятор банковской отрасли. Приведу лишь один пример. Сейчас активно обсуждается вопрос серьезного ужесточения ответственности за проведение мошеннических операций по банковским картам и даже готовится соответствующий законопроект. Чтобы вы понимали масштаб происходящего и что планируют ввести в будущем, приведу реальные цифры. Сейчас ответственность за подобные преступления составляет до 2 лет условно, а в готовящемся законопроекте планируется ужесточить наказание до 8 лет реального заключения. И вот такие изменения действительно могут серьезно повлиять на сокращение подобных преступлений.

Аванпост: преступники сделают ставку на инсайдеров - рис.1

Но поскольку 2017 год уже наступил, а данный законопроект пока находится в стадии обсуждения, то ожидать, что эти изменения окажут серьезное влияние на уровень киберпреступлений в 2017 году, наверное, не стоит.

ПЛАС: Чем объясняются участившиеся атаки на банк «изнутри», когда целью преступников являются уже не клиентские счета, а центральная АБС банка, АРМ КБР, интерфейс системы SWIFT и т. п.? Насколько объективно мнение, что это связано в том числе с потерей работы большого количества банковских специалистов, знания которых попали в распоряжение злоумышленников? Или основной причиной является нарушение мер информационной безопасности, включая низкий уровень защищенности компьютеров, ограничение доступа к ним и т. д.?

А. Конусов: Не думаю, что на эту тенденцию оказала какое-то влияние потеря работы банковскими специалистами. Систем класса АБС на рынке совсем немного, и для их изучения злоумышленники, обладающие действительно огромными финансовыми возможностями, могли найти профессиональных экспертов в любое время – и до кризиса, и сейчас. Тем более что уровень востребованности специалистов по информационной безопасности в банках только возрос. А ведь именно эти специалисты нужны злоумышленникам в первую очередь. Рядовые операционисты и банковские аналитики, ряды которых подверглись наибольшему сокращению, работали с АБС и другими банковскими системами лишь как пользователи. А следовательно, не обладали сакраментальными знаниями об их внутреннем устройстве и тем более о возможных уязвимостях.

Уровень востребованности специалистов по информационной безопасности в российских банках только возрос

Лично я вижу причины увеличения атак на банк «изнутри» не столько в нарушениях мер ИБ, сколько именно в повышении уровня информационной безопасности в банковском секторе и уровня осведомленности сотрудников кредитных организаций о базовых принципах безопасности. И если раньше для проникновения вредоносного кода в сеть банка было достаточно просто разослать зараженные письма или осуществить незаметный взлом, то теперь эти внешние атаки чаще всего качественно блокируются и пресекаются ИБ системами банков. Таким образом, эффективным остается только самый сложный и опасный путь поиска или внедрения инсайдера. При этом использовать инсайдеров преступники будут для получения необходимой для организации атаки информации и первичного заражения троянами сетей банков.

ПЛАС: Интересы бизнеса, диктующие максимально быстрый запуск на рынок нового сервиса и необходимость обеспечить при этом максимально возможный уровень безопасности, часто конфликтуют, причем зачастую правила игры здесь диктует именно бизнес. Сегодня для запуска эффективного информационного сервиса может потребоваться не более нескольких недель, в то время как на то, чтобы сделать этот сервис действительно защищенным, действующие документы регуляторов заставляют тратить годы. По мнению отдельных экспертов, на этом фоне нужно как можно скорее адаптировать требования регуляторов к реалиям современного рынка. Насколько справедливо подобное мнение?

А. Конусов: Я бы не проводил параллели между необходимостью обеспечения реальной безопасности некоего нового сервиса и сроками выхода документов регуляторов. Само собой, выпуск любого регулирующего документа – очень долгий и сложный процесс. Поскольку этот документ должен учитывать специфику очень большого числа организаций, а также особенности уже существующей нормативной базы и мнения смежных министерств и ведомств. В итоге нередко обсуждения сложных моментов растягиваются на многие месяцы, а иногда и на годы. И реальных инструментов ускорить эту работу, к сожалению, очень мало.

Но для обеспечения безопасности отдельно взятого сервиса в отдельно взятой организации, да еще и в сфере, не описанной регулирующими документами, решить вопросы защиты можно относительно оперативно. Другое дело, что бизнес зачастую не хочет инвестировать в это деньги или не хочет усложнять процесс предоставления этой услуги для клиентов в угоду требованиям безопасности. Но это уже вопрос управления рисками в конкретном банке, а также профессионализма сотрудников ИБ – насколько качественные и бизнес-ориентированные средства защиты они смогут предложить и насколько убедительно смогут их обосновать перед руководством своей организации.

ПЛАС: Если говорить о технологической стороне вопроса, то, по мнению экспертов, использование Agile-метода для гибкого управления проектами и разработкой ПО, которые требуют темпы современного бизнеса наряду с не менее гибким подходом к проектированию и внедрению бизнес-процессов, зачастую подразумевает отказ от построения бизнес-системы на основе планирования и постепенной реализации всех ее слоев, в том числе и «слоя» информационной безопасности. Таким образом, сегодня не остается места для «навесной» безопасности: когда по всем правилам проектирования выстраивается бизнес-система, а затем на нее «навешиваются» системы ИБ. С результатами нам приходится сталкиваться каждый день, особенно критичны последствия в финансовой сфере, включая банковский сектор. Что можно (и нужно) предпринять, чтобы выйти из этого замкнутого круга – как на уровне разработки, так и на уровне реализации бизнес-стратегии?

А. Конусов: Ответ на этот вопрос очевиден. Если вся организация переводит развитие своих информационных систем и бизнес-процессов на Agile-принципы, то и подразделения ИБ не имеют права остаться в стороне. Им необходимо перестать быть некой таинственной и обособленной структурой, делающей что-то и где-то на благо компании, и становиться более открытыми и бизнес-ориентированными. Физически это должно выливаться в то, что представители ИБ станут входить в рабочие группы, планирующие и создающие те самые мини-изменения, чтобы их мнение влияло на учет требований не только бизнеса, но и безопасности.

Аванпост: преступники сделают ставку на инсайдеров - рис.2

Но, конечно, и самим специалистам по безопасности, оказавшимся в такой непривычной для них среде, потребуется серьезно изменить свое мировоззрение, чтобы совместно с командой видеть возможности и их ценность, а не только выявлять угрозы и на этом основании тормозить развитие продуктов и сервисов.

Другими словами, вместо упомянутой вами «навесной» безопасности компании должны будут переходить к безопасности, встроенной в свои процессы развития.

ПЛАС: Буквально пять лет назад изменения информационных систем проходили раз в месяц, а чаще – раз в квартал. Было время провести тестирование в лабораторных условиях и заказать сторонний аудит безопасности. Сегодня в условиях Agile изменения идут уже раз в 2–3 дня, и каждое изменение бизнес-системы несет в себе угрозы ИБ. Что смогут сделать защитники информации, если изменения будут идти чаще: каждый час, каждую минуту? Кому будет нужен penetration-тест, если он длится неделю, а изменения идут ежедневно? Какой вы видите выход из создавшейся ситуации?

А. Конусов: Давайте честно признаемся: информационные банковские системы, и особенно

АБС, – это огромные комплексные продукты. Конечно, постоянные требования регуляторов и новые бизнес-идеи заставляют достаточно часто вносить в их работу небольшие изменения.

Но ключевой термин здесь «небольшие». Поэтому необходимо прямо на уровне разработки этих изменений дорабатывать и систему автоматического тестирования этого функционала – как на корректность работы в общей большой системе, так и на появление новых уязвимостей в связи с введением той или иной новинки в промышленную эксплуатацию.

Ну а относительно penetration-тестов я абсолютно уверен, что эта услуга будет востребована еще долгие годы. Поскольку позволяет реально проверить на прочность всю текущую ИТ-инфраструктуру и ИБ-системы банка в условиях, максимально приближенных к боевым, а не тестировать отдельно взятые «фичи».

ПЛАС: Как вы оцениваете имеющийся опыт и перспективы использования банками схемы аутсорсинга безопасности информации? Какие преимущества обеспечивает такой подход? Какие риски существуют на этом пути? Какие ключевые требования стоит предъявлять к партнерам?

А. Конусов: Тема аутсорсинга является в настоящее время одной из самых популярных на рынке ИБ. Хотя, как обычно бывает с популярными темами, уровень разговоров о них значительно опережает реальную готовность поставщиков этих услуг их оказывать, а потребителей – их приобретать. Но перспективность этой темы сомнений не вызывает.

Для эффективного противостояния современному уровню киберпреступников необходимо использовать самые современные средства защиты, содержать штат высококвалифицированных специалистов, да еще и быть готовыми отразить атаку в любое время дня и ночи. Очевидно, что подобная оборона стоит очень недешево и по карману далеко не всем кредитно-финансовым организациям. Да и вероятность и частота атак на отдельно взятый банк, к счастью, не настолько велика, чтобы бизнес с легкостью рвался инвестировать в это крупные суммы, достаточные для создания «непреступной крепости» в масштабах отдельно взятого банка. А вот возможность регулярно оплачивать некую разумную сумму за то, что вашу безопасность будет обеспечивать специализированная компания, выглядит вполне логично. Тем более что такая компания за счет обслуживания многих аналогичных клиентов имеет экономически обоснованную возможность содержать и самые современные технические средства, и достаточное количество действительно высококлассных специалистов. Кроме того, за счет посменной работы она способна оказывать услуги круглосуточно, в режиме 24х7х365.

Инсайдеры станут источником информации для организации атаки и первичного заражения троянами сетей банков

Конечно, у классического руководителя службы ИБ, да еще и в такой консервативной отрасли как банковская, наверняка будет куча психологических сомнений о том, не опасно ли отдавать такие важные функции внешней компании. И здесь мне очень импонирует позиция Банка России, который уже приступил к процессу разработки рекомендаций по «Аутсорсингу информационной безопасности». Есть основания полагать, что до конца 2017 года этот документ будет согласован и утвержден. А поскольку его разработка идет в тесном сотрудничестве с экспертами отрасли ИБ, то можно быть уверенным, что качество проработки будет очень достойным.

А дальше вполне легко предположить, что появление подобного документа от уважаемого регулятора снимет психологические опасения перед представителями банковской безопасности и тем самым заметно простимулирует спрос на услуги аутсорсинга в области ИБ, который в свою очередь спровоцирует рост предложения.

ПЛАС: Какие наиболее актуальные и критичные угрозы информационной безопасности в банковском секторе вы могли бы назвать – сегодня и на ближайшее будущее? Насколько уязвимы в этом отношении мобильные устройства, POS-терминалы и mPOS? Как вы оцениваете риски, обусловленные развитием Интернета вещей?

А. Конусов: Работа по противодействию хакерским атакам очень напоминает игру в «догонялки». Злоумышленники постоянно находятся в поисках новых способов кражи и взлома, а лица, осуществляющие защиту, должны оперативно выявлять и мгновенно реагировать на все новые вызовы. Поэтому я не стал бы сейчас гадать о том, что еще смогут придумать криминальные умы в 2017 году. Пока заметны следующие тенденции: возросло число успешных хищений с использованием Android-троянов. Все чаще стали предприниматься попытки атаки на SWIFT. Продолжают активно совершенствоваться технологии для организации целевых атак. Как уже было сказано выше, все чаще хакеры пытаются использовать в своей деятельности инсайдеров.

Будет увеличиваться и число DDoS-атак с целью последующего вымогательства. Здесь обращает на себя внимание следующий факт: 2016 год стал знаменателен тем, что именно в нем для проведения DDoS-атак стал активно использоваться Интернет вещей. Так, в ноябре были атакованы сайты восьми кредитных организаций, включая и сайт Банка России. И в этой атаке были активно задействованы бытовые роутеры и интернет-видеокамеры.

Так что уверенно можно говорить, что в наступившем 2017 году скучать нам не придется!

В 2016 году впервые наблюдались DDoS-атаки с массовым использованием подключенных устройств Интернета вещей

Однако в завершение нашей беседы хочу отметить и очень значимое событие для информационной безопасности всей банковской отрасли. С 2017 года Банк России впервые начал проводить проверки систем дистанционного банковского обслуживания (ДБО) на предмет их защищенности от киберугроз и последующих мошеннических действий. В этом году планируется провести более ста подобных проверок. И важно, что по итогам выявления проблем с безопасностью систем ДБО планируется введение дополнительной ответственности для банков. Пока ЦБ рассматривает два варианта: либо требования к увеличению капитала банка, либо начисление дополнительных резервов на величину выявленного риска. В любом случае любая из этих мер будет стимулировать банки принять меры по минимизации выявленных рисков, т. к. их игнорирование станет экономически невыгодным.

На мой взгляд, это нововведение даст очень серьезный толчок к дальнейшему развитию отрасли банковской информационной безопасности.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube