BIS Journal №1(44)/2022

5 марта, 2022

Масштаб кибератак выводит ИБ в банках на новый уровень 

Сразу несколько видов кибератак на частных пользователей и инфраструктур у финансовых организаций вышли в 2021 году на очередной виток развития. Стоит ожидать, что в 2022 году эти технологии сделают ещё больший скачок вперёд. 

Примечательно, что данные проблемы постепенно затрагивают всё больше подразделений финансовых организаций и перестают быть проблемами исключительно специалистов по ИБ. Для их решения банкам рано или поздно придётся пойти на усиление киберзащиты, внедрение многоканального антифрода и многофакторной аутентификации. 

При этом, защищаясь только лишь от избранных угроз, значительные потери можно понести именно там, где угроза казалась несущественной.  Поэтому защита сегодня должна быть комплексной, предполагающей предотвращение угроз, а не работу с инцидентами. Отталкиваться от постулата «убытков нет, значит, защита не нужна» сегодня очень опасно.  

 

Рост роли ИБ в бизнес-стратегии финансовой организации 

Говоря о противостоянии киберугрозам, нельзя не сказать о недавних изменениях в регуляторике, предписывающей соблюдение требований для обеспечения кибербезопасности в финансовой сфере. В 2021 году появился целый ряд новых Положений Банка России, часть ранее существовавших были заменены. Но одним из наиболее значимых для обеспечения информационной безопасности в финансовых организациях нормативных актов стало Положение Банка России 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Основной смысл этого Положения заключается в отнесении киберрисков к разряду операционных и необходимости резервирования под них определённых денежных средств. Большая часть требований документа вступает в силу в январе 2022-го. Однако многие участники рынка до сих пор не провели полноценную работу для их реализации. Проблема заключается в том, что сотрудникам, отвечающим за операционные риски в организации, необходимо разработать методику оценки рисков, создать математические и вероятностные модели их расчёта. Зачастую в финансовых организациях нет выделенных рисковиков, и вопрос выполнения требований Положения 716-П перекладывается на плечи специалистов по информационной безопасности, не обладающих компетенциями по оценке операционных рисков. И это, конечно, серьёзная проблема, которую сообществу профессионалов ИБ предстоит решать вместе. В то же время есть и другая сторона медали: 716-П обязывает резервировать средства и под киберриски, тем самым смещая фокус внимания бизнеса в сторону информационной безопасности. Это тот самый момент, когда регуляторика может помочь функции ИБ интегрировать себя в достижение бизнес-показателей организации, а значит, начать вести конструктивный диалог с руководством на одном языке. Таким образом, можно констатировать, что Положение 716-П — это новый виток развития не только в вопросах регулирования информационной безопасности в финансовых организациях, но и вообще начало смены парадигмы, где ИБ существует особняком.

 

Враг у ворот — укрепляем антифрод  

В 2021 году в финансовых организациях, как и во многих других отраслях, серьёзно укрепился тренд удалённой работы. В условиях пандемии многие кредитные организации сочли целесообразным организовать работу большинства сотрудников вне офиса. И открыли тем самым массу возможностей для злоумышленников. По различным оценкам ущерб от вирусов-вымогателей по итогам 2021 года в целом по рынку составляет 20 млрд долларов. Атаки подобного рода были таргетированными и хорошо подготовленными. Их причиной стала заниженная оценка рисков ИБ и, как следствие, недостаточные меры защиты финансовых организаций. Интересно, что сейчас появились решения, в той или иной мере защищающие от подобной проблемы: сервисы, которые не позволяют вирусу-шифровальщику шифровать данные. Они не избавляют от самого заражения, но способны хотя бы уберечь организации от потери данных.  

Ещё одной угрозой 2021 года в сфере кибербезопасности любой организации, в том числе и финансовой, стал рост числа атак на цепочки поставок. Атаки подобного рода абсолютно нетаргетированы. Ключевая цель атаки – компрометация сервисов обновления приложений, которые пользуются доверием корпоративных пользователей, однажды успешно установивших приложение. 

Зачастую сервисы обновления приложений находятся в доверенной зоне у специалистов по информационной безопасности, поэтому вирусы могут достаточно легко проникнуть в инфраструктуру финансовой организации с очередными обновлениями приложения.   

Мощность и длительность DDOS-атак побили в 2021 году все возможные рекорды. Атаки подобного рода чаще всего направлены на дестабилизацию работы инфраструктуры банка. Однако конечным результатом успешной атаки является получение доступа к данным финансовой организации или клиентов на атакуемом объекте. Развитие облачных технологий — одна из причин всё возрастающих размеров проблемы DDOS-атак.   

 

Так что же ждёт защитников киберпространства в 2022 году?  

С большой долей вероятности можно прогнозировать, что атаки шифровщиков и нападение на цепочки поставок сохранят свою актуальность. Данные направления кибератак являются высокодоходными для мошенников, а значит, рост масштабов и изощрённости подобного рода атак вполне предсказуем. Кроме того, в 2022 году нас ждёт новая большая проблема – дипфейк. Конечно, абсолютно новым назвать это явление сложно, однако его масштаб в наступившем году существенно вырастет. Одним из вероятных направлений развития этого вида мошенничества является социальная инженерия. Совершенствование технологий подделки голоса и видео вышло сегодня на совершенно новый уровень, и качественная подделка теперь доступна практически любому злоумышленнику. Звонки от мошенников в роли коллег и руководителей финансовой организации станут новой реальностью, к которой многие банковские структуры пока не готовы. Ведь в реальности действенной защиты от дипфейка пока не существует.    

Вообще, доходы мошенников, полученные путём социальной инженерии в 2021 году, опять побили все возможные рекорды. На текущий момент регуляторы проводят мероприятия, направленные на снижение проблемы социнженерии, но пока это скорее борьба с последствиями, а не с причиной. Пример — предотвращение звонков с подменных номеров. Эти номера добавляют в базы, предупреждая таким образом пользователей. Однако самой проблемы эта мера не решает, и рост числа звонков продолжается. Решением может стать регулирование IP-телефонии. Сейчас эта область очень слабо регулируется, что предоставляет мошенникам пространство для неправомерных действий.  

Как уже отмечалось, многие работодатели за пару последних лет вкусили удобство и экономическую выгоду от работы своих сотрудников в удалённом формате. Именно удалёнка останется ключевым трендом, определяющим развитие технологий в 2022 году. Сервисы видео-конференц-связи, облачные технологии, спрос на мобильность будут развиваться ещё большими темпами. Если говорить о финансовой отрасли, здесь стоит ожидать дальнейшего развития сервисов ДБО, а значит, через них — на инфраструктуру конечных финансовых организаций. Одним из элементов защиты видится развитие технологий многофакторной аутентификации: СМС, PUSH, дополнительные вопросы, капча, FaceID и отпечатки пальцев. Буквально — чем больше факторов, тем лучше. Но все мы понимаем, что зачастую организации боятся «перегрузить» клиента проверками. Действительно, усиление защиты должно сопровождаться облегчением способов подтверждения и обязательно повышением осведомлённости пользователей. Радует, что многие производители оборудования и ПО начинают всё шире использовать данные им возможности в части аутентификации пользователя.  

В заключение хочется отметить, что в нынешних условиях проблема развития информационной безопасности выходит на первый план. Только в РФ ожидается рост затрат на ИБ более чем на 50%, а по миру в некоторых случаях более чем в два раза. Отрадно, что информационная безопасность начинает наконец-то превращаться из «расходного» подразделения в подразделения со своей бизнес-задачей и становится такой же бизнес-функцией, как и многие другие.   

Смотрите также

15.08.2022
Agile-подход: «культура семьи» VS «культура армии»
15.08.2022
«Банки надо обязать предоставить клиенту возможности настройки профиля безопасности»
15.08.2022
Первая массовая волна кибератак немного стихает
15.08.2022
«Новый институт должен способствовать доверительной атмосфере на рынке»
12.08.2022
Dragos: Число кибератак на промсектор снизилось
12.08.2022
Корпоративные данные Lockheed Martin были опубликованы хакерами из Killnet
12.08.2022
VK Видео или Rutube — кто придёт на место YouTube?
12.08.2022
«Расширение возможностей телемедицинских технологий». «Сколково» и «Ростех» держат руку на пульсе
11.08.2022
«У нас есть рабочая группа по финансам между двумя государствами»
11.08.2022
Миллиард операций за полгода. СБП бьёт рекорды