Федеральный совет по надзору за финансовыми учреждениями США (Federal Financial Institutions Examination Council, FFIEC) выпустил два заявления о мерах по защите от вредоносного программного обеспечения для уменьшения последствий кибератак, о способах предупреждения киберугроз и о взломанных сертификатах.
Совместные заявления FFIEC о разрушительном действии вредоносного программного обеспечения и угрозах, которые представляют манипуляции хакеров, предназначены, в первую очередь, для мелких банков и кредитных союзов. Федеральный совет призывает финансовые организации привести в готовность системы компьютерной безопасности и получить сертификаты соответствия требованиям регуляторов по информационной защите компаний. Эти меры охватят компании, общая стоимость активов которых составляет менее $1 млрд и которые контролируются Федеральной корпорацией страхования вкладов (FDIC).
По мнению экспертов, опрошенных порталом банковской безопасности bankinfosecurity.com эти меры, в первую очередь, разработаны для мелких финансовых организаций, чтобы смягчить последствия участившихся кибератак. Однако это не главное. Как полагает Ширли Инско, эксперт по финансовому мошенничеству и консультант-аналитик компании Aite, тревога регуляторов может быть связана с закрытой для широкой публики информацией о новых угрозах. «Федеральное правительство контролирует много слухов, что заставляет меня думать о готовящихся нападениях на банки, потому они должны действовать быстро для предотвращения угроз», – отмечает она. – «После нападения хакеров на Sony Pictures установлено, что большинство банков не готовы к подобным атакам и не способны оперативно противостоять действиям хакеров. Атаки на финансовые организации могут иметь неблагоприятные последствия в случае, если будут затронуты данные платежных систем, произойдет кража клиентских данных, и, в зависимости от того, сколько банков одновременно пострадает, последствия для экономики США могут быть катастрофическими». Управление контроля денежного обращения, одного из агентств FFIEC, не ответило на запрос портала bankinfosecurity.com, чем вызваны такие действия регуляторов и что стало причиной заявлений об усилении мер защиты.
Портал банковской информационной безопасности отмечает, что последние заявления FFIEC предназначены, прежде всего, для того чтобы напомнить банкам о необходимости киберзащиты компьютерных систем организаций. Отчасти предлагаемые меры дублируют ранее изданные рекомендации FFIEC. Финансовый эксперт по фроду Авива Литэн, аналитик, консультирующий Gartner, считает, что большинство ведущих банков страны установили качественные системы безопасности и могут вовремя распознать основные типы кибератак на свои серверы. В то же время мелкие банки и финансовые компании, из-за ограниченности бюджета и штата сотрудников, такой защиты не имеют. Потому FFIEC должен продолжить работу по выпуску требований к киберзащите финансовых организаций, чтобы охватить учреждения всех типов и размеров. «Число нападений на банки выросло в прошлом году, увеличился и размер финансового ущерба», – говорит Литэн. – «Среда хакеров разнородна – это и преступники, и кибершпионы, и террористы, и государства, ведущие тайные кибервойны. С годами ситуация становится только хуже, и только самый прилежный и осведомленный о безопасности финансовый институт выйдет из этой ситуации невредимым». Литэн отмечает, что финансовый сектор закрыт от общественности и не сообщает о большинстве продолжающихся нападений. И, даже если большинство мелких хакерских атак не приводят к значительной потере данных, а попытки проникновения замечены готовыми к отражениям атак банками, в связи с чем их можно считать относительно защищенными, «неустанная природа нападений – повод для беспокойства для регуляторов», – говорит эксперт.
Массовые кражи персональных данных клиентов, которые были совершены хакерами в организациях из делового сектора экономики, ставят потребителей под угрозу, говорит Литэн. «Украденные данные не лежат без дела. Информация активно продается и используется спросом у покупателей, которые готовы совершить мошеннические или другие злонамеренные действия». Федеральные банковские регуляторы озабочены тем, что хакеры могут скомпрометировать даже банки, получившие сертификаты о соответствии систем защиты информации», – считает Литэн. – «Некоторые нападения – оружие «массового производства», киберпреступники проверяют различные учреждения в поисках сертификатов защиты», – говорит она. – «Другие нападения – целевые. Они начинают с рассылки фишинговых электронных писем сотрудникам компании и заканчиваются получением доступа к очень чувствительным системам банка, через которые доступны привилегированные счета».
Ещё одна угроза для банков, которая неоднократно выходила на первый план, – риски со стороны третьих лиц, например, поставщиков услуг, с которыми работает финансовая организация. Ее партнеры также должны принять все меры защиты для обеспечения собственной киберзащиты, в противном случае это должен сделать банк. Крадя сторонние сертификаты, хакеры могут получить доступ к внутренним системам финансового учреждения, отмечает FFIEC. В результате банки ответственны за тестирование и эффективность работы систем безопасности всех третьих лиц, заявляет Федеральный регулятор. Том Келлерман, вице-президент антивирусной компании Trend Micro, считает, что регуляторы сосредоточены на сторонних рисках из-за известных уязвимостей, о которых и говорят потребителю и банковским организациям. Он считает, что это лишь видимая часть значительных нарушений, которая усиливается действиями потребителей и поставщиков услуг», – говорит Келлерман. – «Хакерские группировки, специализирующиеся на банковском секторе, давно нашли, исследовали и эксплуатируют сложные финансовые экосистемы. Они провели длительную разведку, данными которой успешно пользуются».
Требования FFIEC таковы. В течение последних двух лет кибератаки увеличились по частоте и тяжести последствий. Нападения часто связаны с кражей учетных данных, используемых клиентами, сотрудниками и третьими лицами для аутентификации при доступе к бизнес-приложениям и системам. Киберпреступники могут использовать украденные учетные данные для совершения мошенничества или кражи личных данных, для изменений и нарушений в информационной системе, чтобы получить, уничтожить или повредить данные. Кроме того, киберпреступники часто внедряют вредоносное ПО в компьютерные сети через вложения электронной почты, подключение зараженных внешних устройств (например, USB накопителей) к компьютерам либо путем внедрения вредоносов непосредственно на сети организации с использованием взломанных учетных записей.
В соответствии с требованиями FFIEC руководства учреждения должны:
- защитить компьютерные сети, системы и услуги;
- обеспечить непрерывную работу систем реагирования на компьютерные инциденты, проводить ее регулярное тестирование и обновление;
- провести текущие оценки рисков информационной безопасности;
- осуществлять мониторинг безопасности, предотвращения и смягчения рисков киберугроз;
- установить защиту от несанкционированного доступа;
- создать и регулярно испытывать периметр вокруг критически важных систем;
- повышать осведомленность, прослушать учебные программы по информационной безопасности;
- участвовать в отраслевых системах обмена информацией, таких как Financial Services Information Sharing and Analysis Center.
FFIEC также выделил ресурсы, которые дают практическую информацию по повышению уровня ИБ организации и повышают осведомленность пользователей о безопасности в Интернете.
.jpg)
.jpg)