В такую сумму оценивают потери 30% российских кредитных организаций, опрошенных Positive Technologies в ходе исследования «Сколько стоит безопасность»[1]. Остальные банки, участвовавшие в опросе, оценили возможный ущерб от отказа в работе корпоративной инфраструктуры в течение одного дня в сумму от 10 до 50 млн руб. (7% опрошенных), 25% — от 2 до 10 млн руб., а 38% — от 0,5 до 2 млн руб. Работа инфраструктуры компании может быть нарушена, например, вследствие получения злоумышленником полного контроля над доменом и сетевым оборудованием. Для этого внешнему нарушителю потребуется эксплуатация в среднем пяти уязвимостей, а при участии в мошеннической схеме внутреннего нарушителя (например, подкупленного сотрудника) достаточно найти и использовать всего две-три уязвимости, для чего не потребуется глубоких технических знаний или дорогостоящих устройств.
Помимо прямых финансовых потерь от киберинцидента, в документе приводятся оценки затрат на восстановление корпоративной инфраструктуры после вывода из строя всех ресурсов домена. 12% банков оценивают восстановление в сумму от 10 до 50 млн руб, а каждый третий банк (33%) готов потратить на эти мероприятия от 2 до 10 млн рублей.
Веб-приложения играют важнейшую роль для современных финансовых организаций. Невозможность совершить перевод или платеж через онлайн-банк даже в течение одного дня вызовет недовольство среди клиентов. Большинство банков (52%) считают, что недоступность ключевого веб-приложения в течение одного дня может нанести ущерб в размере 2‒10 млн рублей. При этом злоумышленник потратит на такую атаку значительно меньше средств. Как отмечают авторы исследования, стоимость атаки на веб-ресурсы в течение часа в даркнете[2] оценивается приблизительно в 5 долл. США, в течение суток — 300 долл. США.
Не меньшее беспокойство у банков вызывает угроза кражи базы данных. Более половины участников опроса (53%) оценили предполагаемые потери от кражи базы данных клиентов конкурентом в сумму более 50 млн руб.
Бюджет и средства защиты
Некоторые банки, принявшие участие в исследовании существенно выделялись на фоне остальных компаний по объему бюджета на обеспечение ИБ, их бюджет в среднем составил 80‒150 млн. Однако большинство финансовых учреждений ограничиваются суммами в 20‒40 млн рублей. В документе перечислены меры, которые может применять финансовый сектор для защиты от киберугроз.
К примеру, банковская отрасль — единственная, в которой 100% компаний обучают сотрудников основам ИБ, что не удивительно после атак группировок Carbanak и Cobalt, которые использовали фишинговую рассылку для нападения на сотни финансовых организаций. Кроме того, работу по повышению осведомленности в вопросах ИБ необходимо проводить согласно рекомендациям Банка России и требованиям международного стандарта PCI DSS. В финансовых организациях из топ-10 (по выделяемому бюджету на ИБ) используют современные подходы к защите, но в остальных банках ситуация не столь радужная. Межсетевые экраны прикладного уровня (WebApplication Firewall) для защиты веб-приложений применяют только 70% из топ-10 по ИБ-бюджету и лишь 13% среди остальных. При этом собственные ситуационные центры информационной безопасности (Secutiry Operation Center) имеют все банки из нашего топ-10 и только 40% — среди остальных. 37% всех финансовых учреждений, принявших участие в исследовании, иногда привлекают экспертов сторонних компаний для расследования инцидентов, причем большинство из них при этом имеют внутреннее подразделение SOC.SIEM-системы применяют 65% финансовых компаний (среди банков из топ-10 по бюджету на ИБ этот показатель 100%). У 25% банков-респондентов отсутствует контроль установки обновлений ПО, 8% не отслеживают появление информации о новых уязвимостях (0-day). Кроме того, 10% финансовых учреждений никогда не проводили работ по тестированию на проникновение или комплексный аудит информационной безопасности, несмотря на требование стандарта PCI DSS 3.2 и рекомендации Банка России.
Авторы исследования выделили шесть компонентов защиты, которые в дополнение к стандартным средствам защиты позволят не только соответствовать требованиям регуляторов, но и уверенно противостоять киберпреступникам. Среди них регулярное проведение тестов на проникновение, готовность к реагированию на инциденты, контроль сетевого периметра, наличие WAF и SIEM, обучение сотрудников основам ИБ. Оказалось, что только 13% опрошенных банков применяют подобный комплексный подход к защите от киберугроз. Однако в других отраслях результат еще хуже — такие компании отсутствуют вовсе.
«В банковской отрасли лучше других понимают возможные потери от недостаточного уровня защищенности, — отмечает Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies. — Иначе и быть не может — каждый громкий инцидент, связанный с кражами баз данных клиентов или логическими атаками на банкоматы и процессинг, это ущерб в десятки и сотни миллионов рублей. Оперативно реагировать на угрозы помогает работа ФинСЕРТ, благодаря которой, например, российские банки в массе своей избежали эпидемии вирусов-шифровальщиков. С другой стороны, число шагов в сторону реальной защищенности сильно коррелирует с бюджетом, выделяемым на информационную безопасность. Лишь банки с колоссальным бюджетом на ИБ сегодня следуют всем лучшим практикам обеспечения защиты своей ИТ-инфраструктуры. К сожалению множество финансовых организаций сегодня не готовы эффективно противостоять целевым атакам, поэтому в 2018 году можно прогнозировать очередные громкие инциденты, например связанные с группировкойCobalt».
[1] Опрос проводился в 2017 году. Всего в нем приняли участие 170 респондентов, 23% из которых представляют финансектор. Большинство участников входят в рейтинг 500 крупнейших компаний России по выручке за 2016 год или лидируют в своей отрасли, а также насчитывают более 1000 сотрудников.
[2] Даркнет — теневой сегмент интернета, обеспечивающий высокий уровень анонимности.
.jpg)