В 2018 году злоумышленники будут сильно обгонять IT-специалистов финансовых организаций, а их доходы будут расти вместе с количеством атак на банки, банкоматы и криптобиржи. Уровень развития информационной безопасности в российском финансовом секторе оставляет желать лучшего. И этот тренд сохранится еще как минимум в течение трех лет.
Старые методы будут работать
Злодеи стали дерзкими и начали атаковать банки. Почему им это удается? До сих пор банкиры, да и бизнесмены в целом, не любят вкладываться в информационную безопасность (ИБ). Хорошо, когда у банка есть хотя бы один толковый специалист в области информационной безопасности. Однако в небольших финансовых организациях ответственным за всю информбезопасность часто является специалист IT-отдела, совмещающий функции IT-администратора и офицера ИБ.
Впрочем, если отдел ИБ является выделенной организационной единицей, это не означает, что беспокоиться не о чем. Если у безопасников нет поддержки на С-уровне, они быстро охладевают к своей работе, у них пропадает интерес к самосовершенствованию. В итоге ситуация с ИБ в организации либо стагнирует, либо ухудшается. Конечно, у крупных банков из топ-10 дела обстоят совсем по-другому: здесь бизнес считает риски и свои деньги.
Новых методов почти не появляется, поскольку старые по-прежнему работают.
Злоумышленники, конечно, в курсе положения вещей. И знают, что происходит за пограничным файерволом банка. А потому с конца 2015 года и до сегодняшнего дня мы все чаще слышим истории громких киберограблений. Нападающие постоянно совершенствуют методы сокрытия своих следов в системах. Интересно, что новых методов почти не появляется, поскольку старые по-прежнему работают. В 2018 году нападения на банки со стороны кибер-ОПГ продолжатся, их число вырастет.
В конце 2017 года в СМИ просочилась информация о первой краже денег из российского банка через SWIFT. Значит, технология по выводу денег у злоумышленников есть, они ее обкатали на этом банке. В перечне клиентов РОССВИФТа – более 200 финансовых организаций, и им стоит проявлять бдительность.
Самый популярный и действенный вектор атак на банки – это рассылка вредоносного программного обеспечения (ПО) по электронной почте сотрудникам. Обычно более 10% от числа получателей запускают вредоносное вложение. После чего злоумышленники получают доступ к компьютеру жертвы и продвигаются дальше в сеть банка. Примерно 15% подобных атак на банки заканчиваются неудачей: сотрудник, который получил письмо, не подключен к Интернету, поэтому вредоносное ПО не может «выйти в свет» и живет локально своей жизнью, не причиняя вреда. Тем не менее под угрозой атаки остается порядка 170 организаций. Понятно, что на всех разом не нападут. Но примерно пятой части от этого количества стоит ожидать атак.
Хакеры продолжат любить банкоматы
В 2016–2017 годах значительно вырос интерес злоумышленников к банкоматам. После того как некоторые банки оказались закрыты, им пришлось распродавать свое имущество, следовательно, приобрести банкоматы стало гораздо проще. Между тем кибер-ОПГ – это своего рода IT-компании, у которых появилась возможность купить банкомат за скромные 2–5 тыс. долларов и изучить аппаратную и программную части. В результате появился новый софт, были выработаны новые методы точечного воздействия на корпус банкомата для быстрого доступа к нужным портам и проводам.
В основном российские банки пользуются банкоматами трех производителей. А потому, исследовав даже одну определенную модель одного вендора, с большой долей вероятности можно атаковать десятки таких же устройств в разных банках. Отметим, что в 2017 году злоумышленники применяли набор довольно известных технологий и методов. К примеру, вирус, написанный в 2016 году под Windows XP, который «живет» только в оперативной памяти и классифицируется как «нерезидентный вирус». Ничего нового, но работает!
Важно понимать, что банкоматы – достаточно дорогие устройства, а потому не каждый банк захочет обновлять свой парк. Новая такая машина стоит от 15 тыс. долларов. Если у банка парк в тысячу устройств, то полная замена обойдется минимум в 900 млн рублей. В одном банкомате помещается до 5 млн рублей. Поэтому, даже учитывая риски возникновения инцидентов, банкам дешевле оставить все как есть, нежели менять устройства на более современные или тратиться на средства защиты. Естественно, стоит ожидать роста атак на банкоматы в 2018 году.
Кибер-ОПГ – это своего рода IT-компании, у которых появилась возможность купить банкомат за скромные 2–5 тыс. долларов.
Еще одним трендом 2017 года стали вирусные эпидемии, о которых не говорил только ленивый. WannaCry, Petya и их производные стали настоящей головной болью для финансовых организаций. Расслабляться не стоит и в 2018-м. Исследователи не сидят на месте, а многие системы как не патчились в 2017 году, так не будут патчиться и в 2018-м. Конечно, обновления для борьбы с вышеуказанными зловредами были установлены летом 2017 года. Но в дальнейшем системы вряд ли будут обновляться, пока не начнется новая эпидемия, а это непременно случится.
Интернет-банки будут надежнее
Позитивная тенденция наметилась в интернет-банкинге. Количество технологических атак на физических лиц уменьшилось. В те времена, когда хакерам были интереснее обычные пользователи, чем организации, банки активно работали над улучшением ситуации, проводили анализ уязвимостей, закрывали проблемы. И сейчас без преувеличения можно сказать, что более-менее защищенной с технической точки зрения системой является интернет-банк.
Очень популярной стала атака, когда человеку звонят и под разными предлогами просят назвать реквизиты карты.
Стоит оговориться, что позитивный сдвиг произошел лишь в сфере защищенности ПО, а многие проблемы фрода остаются нерешенными. В частности, мы ожидаем роста телефонного фрода. Очень популярной стала атака, использующая методы социальной инженерии, когда человеку звонят и под разными предлогами просят назвать реквизиты карты. После чего злоумышленники крадут деньги с этих карт. 50% карточного фрода реализуется благодаря таким схемам.
Когда жертва сама называет реквизиты карты или коды, пришедшие по СМС (неважно, относятся они к операциям по карте или операциям в интернет-банке), суд принимает сторону банка. Согласно отчету RTM Group «Анализ судебной практики за 2016 год по спорам в результате хищений через каналы ДБО», суд отказал примерно 80% людей, подававших иски. Люди сами называли свои пароли, и, получается, винить им нужно только себя. Человек остается самым слабым звеном в защите. Необразованность и «розовые очки» клиентов финансовых институтов – лучшее оружие для злоумышленников, которое им дарит общество.
Хакеры будут «добывать» криптовалюту
В 2017 году одновременно с ростом рынка криптовалют сформировался тренд на взлом криптобирж и смарт-контрактов, хотя это пока не относится к банкам и финансовым организациям в России. У хакеров есть хорошо заметный интерес в этой сфере: взламывают биржи и смарт-контракты, уводят криптовалюту.
Тема криптоэкономики сейчас активно «греется», а вопросами безопасности энтузиасты пока заниматься не спешат.
Меж тем, по нашим данным, в этой сфере все очень плохо. И мы настаиваем на том, что любые смарт-контракты стоит подвергать анализу защищенности прежде, чем выводить в свет. Количество блокчейн-проектов с каждым годом растет. Поэтому тренд по атакам на технологии криптоэкономики будет расти и в 2018 году. Интерес исследователей и хакеров к данному направлению будет расти, а значит, стоит ждать новых взломов.
Банк России – главный ньюсмейкер
Коснемся трендов со стороны защиты. На поле информационной безопасности финансового рынка, несомненно, главный трендмейкер – Банк России. В 2017 году был выпущен ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», который доступен к применению с 1 января 2018 года. Он требует от банков внедрения конкретных защитных мер на конкретных системах.
Данный документ ознаменовал собой новую эпоху – технической безопасности. Если посмотреть на предыдущие документы ЦБ РФ в области ИБ (СТО БР ИББС, Положение 382-П), они в основном требовали от финансовых организаций генерации большого количества документов. В итоге и безопасность зачастую оставалась лишь на бумаге. Есть политика – зачет. Нет политики – пиши. Проверяющие не лезли в «технику».
Остается открытым вопрос области действия ГОСТ Р.
С появлением ГОСТ Р ситуация должна поменяться. Самооценки по ГОСТ Р 57580.1-2017 не будет – будут только независимые аудиты сторонней компанией. Остается открытым вопрос области действия ГОСТ Р. По замыслу ЦБ РФ, требования к применимости стандарта будут выпущены отдельно или включены в Положение 382-П. В дополнение к этому ГОСТ Р уже разработан и будет передан на утверждение в Росстандарт стандарт, описывающий методику оценки соответствия. Таким образом, у нас есть требования и методика для проверки их выполнения. При правильной имплементации новые порядки позволят задать правильный вектор развития ИБ в финансовых организациях.
Нельзя забывать и о новом стандарте безопасности от SWIFT, который стал обязательным для всех его клиентов. До конца 2017 года все организации, имеющие восьмизначный BIC, должны были пройти самооценку. И неважно, какой будет результат. В наступившем году организациям необходимо полностью выполнять обязательные требования стандарта. Документ также имеет практический характер и позволяет защититься от основных векторов атак, которые используются злоумышленниками в настоящее время.
Уровень развития информационной безопасности в российском финансовом секторе оставляет желать лучшего, и этот тренд сохранится.
Если смотреть на будущий год в целом в контексте кибербезопасности финансовых организаций, то злоумышленники останутся далеко впереди IT-специалистов финансовой отрасли. Уровень доходов злоумышленников будет расти. Количество атак по описанным выше направлениям – тоже. К сожалению, уровень развития информационной безопасности в российском финансовом секторе оставляет желать лучшего, и этот тренд сохранится еще как минимум в течение трех лет.
Для того чтобы произошли существенные изменения, в первую очередь должны быть отменены самооценки по стандартам безопасности. В планах Банка России мы видим тенденции к отмене самооценок. Во вторую очередь от финансовых организаций необходимо требовать не «бумажного» выполнения требований, а технического. И это тоже происходит. Следующим шагом станет повышение квалификации сотрудников, отвечающих за ИБ, до адекватного уровня. Только после этого можно говорить о положительных сдвигах в сфере кибербезопасности финансовых организаций.
Начать дискуссию