BIS Journal №1(44)/2022

5 марта, 2022

Масштаб кибератак выводит ИБ в банках на новый уровень 

Сразу несколько видов кибератак на частных пользователей и инфраструктур у финансовых организаций вышли в 2021 году на очередной виток развития. Стоит ожидать, что в 2022 году эти технологии сделают ещё больший скачок вперёд. 

Примечательно, что данные проблемы постепенно затрагивают всё больше подразделений финансовых организаций и перестают быть проблемами исключительно специалистов по ИБ. Для их решения банкам рано или поздно придётся пойти на усиление киберзащиты, внедрение многоканального антифрода и многофакторной аутентификации. 

При этом, защищаясь только лишь от избранных угроз, значительные потери можно понести именно там, где угроза казалась несущественной.  Поэтому защита сегодня должна быть комплексной, предполагающей предотвращение угроз, а не работу с инцидентами. Отталкиваться от постулата «убытков нет, значит, защита не нужна» сегодня очень опасно.  

 

Рост роли ИБ в бизнес-стратегии финансовой организации 

Говоря о противостоянии киберугрозам, нельзя не сказать о недавних изменениях в регуляторике, предписывающей соблюдение требований для обеспечения кибербезопасности в финансовой сфере. В 2021 году появился целый ряд новых Положений Банка России, часть ранее существовавших были заменены. Но одним из наиболее значимых для обеспечения информационной безопасности в финансовых организациях нормативных актов стало Положение Банка России 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Основной смысл этого Положения заключается в отнесении киберрисков к разряду операционных и необходимости резервирования под них определённых денежных средств. Большая часть требований документа вступает в силу в январе 2022-го. Однако многие участники рынка до сих пор не провели полноценную работу для их реализации. Проблема заключается в том, что сотрудникам, отвечающим за операционные риски в организации, необходимо разработать методику оценки рисков, создать математические и вероятностные модели их расчёта. Зачастую в финансовых организациях нет выделенных рисковиков, и вопрос выполнения требований Положения 716-П перекладывается на плечи специалистов по информационной безопасности, не обладающих компетенциями по оценке операционных рисков. И это, конечно, серьёзная проблема, которую сообществу профессионалов ИБ предстоит решать вместе. В то же время есть и другая сторона медали: 716-П обязывает резервировать средства и под киберриски, тем самым смещая фокус внимания бизнеса в сторону информационной безопасности. Это тот самый момент, когда регуляторика может помочь функции ИБ интегрировать себя в достижение бизнес-показателей организации, а значит, начать вести конструктивный диалог с руководством на одном языке. Таким образом, можно констатировать, что Положение 716-П — это новый виток развития не только в вопросах регулирования информационной безопасности в финансовых организациях, но и вообще начало смены парадигмы, где ИБ существует особняком.

 

Враг у ворот — укрепляем антифрод  

В 2021 году в финансовых организациях, как и во многих других отраслях, серьёзно укрепился тренд удалённой работы. В условиях пандемии многие кредитные организации сочли целесообразным организовать работу большинства сотрудников вне офиса. И открыли тем самым массу возможностей для злоумышленников. По различным оценкам ущерб от вирусов-вымогателей по итогам 2021 года в целом по рынку составляет 20 млрд долларов. Атаки подобного рода были таргетированными и хорошо подготовленными. Их причиной стала заниженная оценка рисков ИБ и, как следствие, недостаточные меры защиты финансовых организаций. Интересно, что сейчас появились решения, в той или иной мере защищающие от подобной проблемы: сервисы, которые не позволяют вирусу-шифровальщику шифровать данные. Они не избавляют от самого заражения, но способны хотя бы уберечь организации от потери данных.  

Ещё одной угрозой 2021 года в сфере кибербезопасности любой организации, в том числе и финансовой, стал рост числа атак на цепочки поставок. Атаки подобного рода абсолютно нетаргетированы. Ключевая цель атаки – компрометация сервисов обновления приложений, которые пользуются доверием корпоративных пользователей, однажды успешно установивших приложение. 

Зачастую сервисы обновления приложений находятся в доверенной зоне у специалистов по информационной безопасности, поэтому вирусы могут достаточно легко проникнуть в инфраструктуру финансовой организации с очередными обновлениями приложения.   

Мощность и длительность DDOS-атак побили в 2021 году все возможные рекорды. Атаки подобного рода чаще всего направлены на дестабилизацию работы инфраструктуры банка. Однако конечным результатом успешной атаки является получение доступа к данным финансовой организации или клиентов на атакуемом объекте. Развитие облачных технологий — одна из причин всё возрастающих размеров проблемы DDOS-атак.   

 

Так что же ждёт защитников киберпространства в 2022 году?  

С большой долей вероятности можно прогнозировать, что атаки шифровщиков и нападение на цепочки поставок сохранят свою актуальность. Данные направления кибератак являются высокодоходными для мошенников, а значит, рост масштабов и изощрённости подобного рода атак вполне предсказуем. Кроме того, в 2022 году нас ждёт новая большая проблема – дипфейк. Конечно, абсолютно новым назвать это явление сложно, однако его масштаб в наступившем году существенно вырастет. Одним из вероятных направлений развития этого вида мошенничества является социальная инженерия. Совершенствование технологий подделки голоса и видео вышло сегодня на совершенно новый уровень, и качественная подделка теперь доступна практически любому злоумышленнику. Звонки от мошенников в роли коллег и руководителей финансовой организации станут новой реальностью, к которой многие банковские структуры пока не готовы. Ведь в реальности действенной защиты от дипфейка пока не существует.    

Вообще, доходы мошенников, полученные путём социальной инженерии в 2021 году, опять побили все возможные рекорды. На текущий момент регуляторы проводят мероприятия, направленные на снижение проблемы социнженерии, но пока это скорее борьба с последствиями, а не с причиной. Пример — предотвращение звонков с подменных номеров. Эти номера добавляют в базы, предупреждая таким образом пользователей. Однако самой проблемы эта мера не решает, и рост числа звонков продолжается. Решением может стать регулирование IP-телефонии. Сейчас эта область очень слабо регулируется, что предоставляет мошенникам пространство для неправомерных действий.  

Как уже отмечалось, многие работодатели за пару последних лет вкусили удобство и экономическую выгоду от работы своих сотрудников в удалённом формате. Именно удалёнка останется ключевым трендом, определяющим развитие технологий в 2022 году. Сервисы видео-конференц-связи, облачные технологии, спрос на мобильность будут развиваться ещё большими темпами. Если говорить о финансовой отрасли, здесь стоит ожидать дальнейшего развития сервисов ДБО, а значит, через них — на инфраструктуру конечных финансовых организаций. Одним из элементов защиты видится развитие технологий многофакторной аутентификации: СМС, PUSH, дополнительные вопросы, капча, FaceID и отпечатки пальцев. Буквально — чем больше факторов, тем лучше. Но все мы понимаем, что зачастую организации боятся «перегрузить» клиента проверками. Действительно, усиление защиты должно сопровождаться облегчением способов подтверждения и обязательно повышением осведомлённости пользователей. Радует, что многие производители оборудования и ПО начинают всё шире использовать данные им возможности в части аутентификации пользователя.  

В заключение хочется отметить, что в нынешних условиях проблема развития информационной безопасности выходит на первый план. Только в РФ ожидается рост затрат на ИБ более чем на 50%, а по миру в некоторых случаях более чем в два раза. Отрадно, что информационная безопасность начинает наконец-то превращаться из «расходного» подразделения в подразделения со своей бизнес-задачей и становится такой же бизнес-функцией, как и многие другие.   

Смотрите также