BIS Journal №1(36)/2020

7 апреля, 2020

Слабое звено

Когда употребляют словосочетание «отраслевая информационная безопасность», часто думают, что ИБ в разных отраслях – это совершенно разные сферы, регулируемые разными нормативно-правовыми актами, для этих сфер актуальны и характерны разные угрозы и атаки. До недавнего времени так и было.Однако в современном мире наблюдается тенденция к все большей цифровизации общества и, как следствие, понятие отраслевой безопасности начинает размываться. Покажем это на примере финансовой и телекоммуникационной сфер.

 

ОСОБЕННОСТИ ВОСПРИЯТИЯ ИБ В ТЕЛЕКОМЕ

Достаточно долгое время риски информационной безопасности в компаниях телеком-отрасли считались вторичными. Выполнялись только явно прописанные законодательством меры, например, по персональным данным. В тоже время считалось (и сейчас кое-где считается), что телеком выполняет роль некоего пересыльщика данных, предоставляя каналы связи, а уж задачи безопасности информации, передаваемой по этим каналам, лежат целиком на совести владельца информации.

Немалую роль играют также трудности донесения до бизнеса информации о ИБ-рисках и необходимости вкладываться в средства защиты. В настоящее время, благодаря тому что телеком стал предоставлять не только каналы связи, но и иные услуги, а также массовому распространению такого явления, как «интернет вещей», вероятность реализации рисков ИБ возросла, и бизнес начинает это учитывать.

 

…И КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ

В тоже время в кредитно-финансовой сфере изначально не было недооценки рисков ИБ, поскольку именно в этих организациях сосредоточен основной интерес для атакующих – деньги. Понимали это и издатели нормативно-правовых актов, что отразилось в большом количестве как законодательных инициатив, так и распоряжений регулятора (ЦБ РФ). В целом до недавнего времени кредитно-финансовые организации были достаточно обособлены и защищались «каждый сам за себя». Ситуация улучшилась с появлением ФинЦЕРТ, когда реализовался межбанковский обмен по технической составляющей атак.

 

С ТОЧКИ ЗРЕНИЯ «БУМАЖНОЙ БЕЗОПАСНОСТИ»

С регуляторной точки зрения возник парадокс: несмотря на кажущуюся жесткость регулирования телеком-отрасли (реестры Роскомнадзора, «пакет Яровой» и т.д.), возможностей для построения систем защиты информации тут больше, нежели в кредитно-финансовой сфере, где теоретически освещено достаточно много аспектов, связанных с защитой информации, но не поясняется, как построить систему защиты, удовлетворяющую регулятора (в данном случае – конкретных проверяющих, т.к. отсутствует методика проверки для них, что дает простор для толкования требований).

               

РАЗНЫЕ ОТРАСЛИ – ОДНО БУДУЩЕЕ

Но время не стоит на месте. Активно развивается финтех, используются «большие данные», ИИ, блокчейн, облачные технологии… Цифровизация банков приводит к отказу от офисов в пользу дистанционного обслуживания. Все большую ценность играет любая информация, начиная с данных о сотрудниках компаний и заканчивая персональными данными граждан. Понятие отраслевой безопасности стремительно расширяется, включая в себя и новые понятия, в том числе и «обеспечение информационной безопасности бизнес-процесса, затрагивающего несколько отраслей». В будущем число таких бизнес-процессов, объединяющих несколько отраслей, будет только расти.

В таком контексте телеком-компании трансформируются из «просто предоставляющих каналы связи» в полноценных участников процесса, обеспечивающих часть банковских функций, например, Единую биометрическую систему. Некоторые телеком-компании стали оказывать дополнительные услуги по обеспечению отдельных процессов кредитно-финансовых организаций. Внедряются новые стандарты телевещания (например, HBBTV – Hybrid Broadcast Broadband Television, предоставляющий телезрителям дополнительные интерактивные услуги), предполагающие взаимодействие с кредитно-финансовыми организациями при проведении платежей. Растет количество «умных устройств», которые также могут проводить платежи и, соответственно, хранят и используют платежную информацию. И т.д. и т.п. Все это в совокупности приводит к появлению новых возможных векторов атак на стыках границ ответственности двухотраслей.

В части случаев телеком-компании обеспечивают в той или иной степени аутсорс информационной безопасности для банков, например, через коммерциализацию своих SOC. Также и телеком пользуется услугами кредитно-финансовых организаций, предоставляя возможности оплаты своих услуг непосредственно через «личные кабинеты» и используя финансовые инструменты в своей работе (например, при расчетах с контрагентами).

Как следствие идет размывание четко очерченных границ ответственности между «банковскими безопасниками» и «телекомовскими безопасниками». Сотрудники компаний начинают искренне считать, что «это не их зона ответственности», а какие-либо договоренности, не говоря уж о совместно выстроенных процессах реагирования на инциденты ИБ, отсутствуют. Т.е. отсутствует как таковое осознание общности выполнения одной задачи – обеспечения безопасности конкретного бизнес-процесса, а не просто отраслевой безопасности.

 

А ЧТО ДЕЛАЮТ АТАКУЮЩИЕ?

Атакующим уже не обязательно «пробивать» хорошо защищенную кредитно-финансовую организацию или организацию телеком-отрасли. Чтобы попасть в сеть банка или телеком-организации им проще сосредоточиться на слабо защищенной цели, которую обе стороны «не считают своей».

Кроме того, не стоит забывать и о мотивации атакующих: при цифровизации общества возрастает роль доступности услуг, соответственно становятся выгодными утечки разных данных – ввиду возросших возможностей их монетизации.

 

Верхнеуровнево можно выделить следующие мотивации:

  • Личное обогащение. Тут цель традиционная – банки и хранящиеся в них деньги. Обычно такие злоумышленники не бьют в стык межотраслевых бизнес-процессов, поскольку берут количеством, а не качеством. Против таких вполне успешно работают обычные отраслевые меры безопасности.
  • Политические мотивы («State-Sponsored Hacktivism»). Целью может быть как банк, так и телеком: недоступность услуг автоматически поднимает раздражение населения, а в некоторых случаях может вызвать панику. Вопросы личного обогащения здесь отходят на второй план. Хотя, если целью атаки все же является получение денежных средств (пример – атаки группы Lazarus), то истинная её цель – именно кредитно-финансовая организация, просто атаку на нее осуществили через «слабое звено». Здесь риски целенаправленного выявления уязвимых мест очень высоки.
  • Хактивизм (выступают за свободу информации либо как «разоблачители»). Обычно цель атаки – любая информация, которая дает возможность понять структуру компании, сотрудников, ее внутренние процессы. В явном виде не преследуют цели личного обогащения, напротив, распространяют похищенную информацию любыми методами, добиваясь максимальной огласки. Пример – группа «Цифровое сопротивление» (Digital Resistance, DigiRev). Такие группы будут искать «слабые места» и с большой долей вероятности найдут их как раз в межотраслевых взаимодействиях. Основные риски для обеих сторон – репутационные, а также, впоследствии, и финансовые (при хищении ноу-хау компаний либо данных, дискредитирующих компанию).
  • Bounty Hunters или «охотники за наградами». Многие высокотехнологичные компании практикуют программу «Bug Bounty», т.е. вознаграждение за найденные уязвимости. Многие люди ищут уязвимости с целью получить награду за нее. Обычно они не ориентируются на какую-то конкретную компанию, а случайно или по стечению обстоятельств находят предпосылки для уязвимости, после чего «раскручивают» эту уязвимость. Несмотря на то, что они, как правило, исполнены благих намерений и обычно честно сообщают о найденной уязвимости владельцу, последний в силу разных причин либо игнорирует сообщение, либо отделывается общими фразами. Как результат, уязвимость получает массовую огласку на популярных тематических ресурсах («хабрахабр», «][акер» и т.д.), после чего ее начинают эксплуатировать хактивисты, преследующие свои цели.

 

ПРОБЛЕМА ПРОТИВОДЕЙСТВИЯ АТАКАМ

Несмотря на понятные мотивы и средства достижения целей злоумышленников, эффективно им противодействовать не получается. Почему? Потому что, несмотря на взаимное проникновение экосистем, в большинстве случаев отсутствует какое-либо масштабное взаимодействие между представителями отраслей – как при обмене индикаторами компрометаций (индикаторами атак), так и обмене опытом в построении систем защиты. Что и дает возможность атакующим найти то самое «слабое звено».

Тут кроется корень проблемы, из-за которой могут возникнуть глобальные инциденты: одна сторона видит проблему другой, но не считает нужным или не имеет возможности сообщить об этом, что впоследствии приводит к ненужным рискам (как финансовым, так и репутационным) для обеих сторон. Причем, в случае осознания того, что существуют общие бизнес-процессы, безопасность которых должны обеспечивать обе стороны, данных рисков можно было бы избежать.

В текущих реалиях эта проблема уже осознается отдельными специалистами по ИБ или CISO организаций, которые в порядке личной инициативы предпринимают попытки по своевременному оповещению или межорганизационному реагированию. Но без фиксации такого опыта на официальном уровне дело с места не сдвинется. В случае ухода такого инициатора с работы канал оповещения и реагирования, который может спасти деньги и репутацию компании, элементарно перестаёт существовать. Более того, такие взаимоотношения никак не защищены юридически, поэтому инициаторы рискуют как «разборками» внутри организации с последующими «оргвыводами», так и несением административной/уголовной ответственности за нарушение текущего законодательства.

Установлению же официальных отношений (на уровне договоров между организациями различных отраслей) зачастую мешают соображения как политического характера, так и опасения за возможную утечку данных, составляющих коммерческую тайну.

Свою роль тут играет и отсутствие нормативной базы, учитывающей современные тенденции межотраслевых взаимодействий.

Выход видится только один: создание независимого межотраслевого центра компетенции и наделение его соответствующими полномочиями по разработке как нормативной базы, так и организации и проверке технических мер защиты информационной безопасности. Возможно, таким драйвером смогла бы стать Ассоциация «ФинТех».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных