8 августа, 2019, BIS Journal №3(34)/2019

IT&Security Forum 2019


Воробьева Анна

корреспондент (BIS Journal)

Круглый стол ФинЦЕРТ: «Видеть на 360 градусов».

В конце мая в Казани прошёл традиционный форумов для безопасников – IT&Security Forum 2019. Для ИБ-специалистов финансовой сферы практическим напутствием стал круглый стол ФинЦЕРТ «Мониторинг инцидентов информационной безопасности в организациях финансовой сферы». В дискуссии приняли участие Александр Бабкин (Газпромбанк), Григорий Царёв (ФинЦЕРТ), Вячеслав Яшкин (Ак Барс Банк), Владимир Дмитриев (ICL Системные технологии), Дмитрий Бергер (Золотая Корона), Станислав Гонтаренко (Мандарин Банк). Модератором выступил руководитель ФинЦЕРТ Артём Калашников.

 

О ТРЕНДАХ. СМЕНА ВЕКТОРА АТАК

Согласно отчёту ФинЦЕРТа за 2018 год, тренды по основным направлениям кибератак следующие: целевые атаки, фишинг, атаки на устройства самообслуживания, DDos-атаки и др. Если раньше главную угрозу представляли атаки извне, то теперь вектор изменился в сторону внутренних атак.

По словам Александра Бабкина (Газпромбанк), внутренние атаки можно разделить на два вида:

  • атаки, связанные со злоупотреблением должностных полномочий (использование доступа для передачи информации);
  • атаки, предполагающие передачу технологии защиты банковского продукта внешнему злоумышленнику.

Крупные банки видят внутренние атаки лучше, поскольку быстрее совершенствуют систему внутреннего контроля, внедряют новые системы защиты. Достаточно активно используется профилирование пользователей, постоянно совершенствуется система контроля доступа. По мнению Александра Бабкина, тренд по росту числа внутренних атак нельзя назвать глобальным. Это связано, прежде всего, со сложностью ИТ-систем в крупных банках, что требует знания большого количества технологических цепочек. Таким знанием, как правило, обладают единицы.

Если говорить об атаках, связанных с внутренним DDos, то тут ситуация действительно усугубляется. Это связано в первую очередь с активной цифровизацией финансового сектора. Банки часто используют собственные IT-наработки, пренебрегая при этом элементарными принципами ИБ при проектировании и внедрении систем. В результате, IT-системы содержат множество дыр.

Сейчас банки неохотно сообщают о внутренних атаках и сбоях, поскольку формально это не является требованием регулятора. Однако, по утверждению специалиста Газпромбанка, имеет смысл информировать ФинЦЕРТ и о таких атаках. Это позволит регулятору видеть картину на 360 градусов и более эффективно помогать при инцидентах.

Вячеслав Яшкин (Ак Барс Банк) добавил, что вопрос предоставления данных регулятору – это вопрос зрелости и банка в целом и его службы ИБ. 

 

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ И ЧЕЛОВЕЧЕСКИЙ ФАКТОР

Владимир Дмитриев (ICL Системные технологии) обратил внимание на то, что основная проблема всегда исходит от человека. Поэтому не стоит забывать о гигиене ИБ. Нужно не только информировать друг друга, но и постоянно работать с персоналом и специалистами.  Тем более, что персонал часто становится причиной и других проблем.

Григорий Царёв (ФинЦЕРТ) рассказал, что сообщество мошенников переходит от атак на технические средства к прямым атакам на сотрудников и клиентов банка. Хищения совершаются через звонки в бухгалтерию или кассу. Злоумышленники представляются высокими руководителями или сотрудниками из технической поддержки, просят помочь в настройке терминалов. С начала 2019 года ФинЦЕРТ зафиксировал пять таких атак, завершившихся хищениями.

Артём Калашников (ФинЦЕРТ). Фото: itsecurityforum.ru

Не стоит забывать, что социальная инженерия до сих пор успешна только потому, что большинство людей продолжает верить мошенникам, не задумываясь, с какого телефона те звонят. Артем Калашников рассказал, что сейчас в банковском секторе принят ряд решений, например, договор с принятым банком, где прописано, что банк обязан работать со своими клиентами в части осведомленности всеми доступными каналами связи, указанными в договоре. Статистика показывает, что такие решения пока еще не эффективны. Соответственно бороться с социальной инженерией нужно комплексно. С одной стороны, повышать образованность клиентов, сотрудников и вообще граждан в вопросах ИБ. С другой стороны, начинать этот процесс нужно с детей. В школах отдельным предметом преподаются ОБЖ, а начиная с 8-9 класса – программирование. Однако в рамках данных программ нет ни слова об информационной безопасности. Этот вопрос нужно решать.

Александр Бабкин предложил максимально маркетизировать киберграмотность и направление ИБ в целом, т.к. той рекламы, которую банки размещают на банкоматах, явно недостаточно.

Александр Бабкин (Газпромбанк). Фото: itsecurityforum.ru

 

УВЕДОМЛЕНИЕ ФИНЦЕРТ: ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ ПРОБЛЕМЫ

Одна из основных проблем ФинЦЕРТа – организации не спешат уведомлять о кибератаках. Так, за последние 4-5 месяцев было направлено всего два уведомления об атаках на банкоматы и терминалы самообслуживания, хотя по данным МВД России их было в разы больше.

Обязанность информировать об инцидентах устанавлена ГОСТом (Стандарт Банка России СТО БР БФБО-1.5-2018), нормативными документами Банка России и Федеральным законом (167-ФЗ и 187-ФЗ). Для этого создан удобный инструмент – платформа Банка России по обработке инцидентов АСОИ ФинЦЕРТ. Возникает вопрос: почему так трудно, используя платформу и все доступные каналы связи, передавать информацию об инцидентах, возникающих в организациях?

Надо отдать должное, с сентября качество предоставляемой банками информации об инцидентах значительно улучшилось. Банки научились работать с платформой АСОИ, стали правильно заполнять карточки инцидентов. Тем не менее проблемы есть. По словам представителя регулятора, одна из них связана с заполнением операций без согласия. Есть непонимание того, что является соответствием как идентификатором платежа и получателем денежных средств. Зачастую организации предоставляют информацию о счетах тех организаций, которым непосредственно принадлежат некие внутренние счета, такие как МТС, Билайн и пр. Все эти данные попадают в фид. Таким образом, отображается некорректность и невозможность использования в полном объёме.

Многие организации относятся к этому формально. Зачастую информация либо замалчивается, либо поступает поздно, либо сама по себе малоинформативна. В результате она по сути бесполезна и никому не может помочь, добавил Артём Калашников.

По словам представителей банковского сектора, большинство проблем связаны с рабочими процессами, в частности, есть сложности в функциональности самого инструмента. Тем не менее, всё это оттачивается со временем, посредством плотной совместной работы.  

Владимир Дмитриев, как представитель внешнего SOCа и сервис-провайдера, сказал, что хотелось бы обмениваться информацией автоматизировано: максимально быстро, с возможностью дополнять данные своим контекстом.

Александр Бабкин выделил два типа проблем при взаимодействии: технические и организационные, причём обе на стороне кредитных организаций.

Технические проблемы. Чтобы выстроить процесс обработки инцидентов с точки зрения здравого смысла и самих процессов, нужен ряд автоматизированных систем, в том числе и систему учёта инцидентов. Во многих организациях банально нет таких платформ: инциденты фиксируются в Excel либо на бумаге, так как внедрение соответствующей платформы стоит денег, времени и неких человеческих ресурсов.

Вторая техническая проблема – это интеграция с АСОИ ФинЦЕРТ. Необходимо понять, как подружить две системы на уровне API.

Организационные проблемы связаны с неумением сотрудников выявлять инциденты, правильно их обрабатывать и вовремя информировать регулятора. К тому же многие считают, что, если об инциденте не было доложено сразу, то по прошествии пары дней он уже не актуален и потерял все необходимые фиды, поэтому и нет смысла о нём сообщать.

Так, помимо интеграции двух платформ, должна быть техническая возможность поставить признак-инцидент, что данная информация должна быть передана в соответствующую структуру.

Вторая организационная проблема: кредитные организации подчас замалчивают информацию об инцидентах, внутренних проблемах и сбоях по причине отсутствия выстроенного процесса. Когда при возникновении инцидента и успешного на него реагирования должен быть организован оперативный процесс, продумана эскалация до определённого уровня руководства, которое и принимает решение об информировании.

Платёжная система «Золотая корона» объединяет множество банков и организаций. По словам ее представителя Дмитрия Бербера, служба ИБ видит все операции, осуществляемые в системе, и им удалось достаточно логично встроить в этот процесс информирование ФинЦЕРТа. Сотрудник, отрабатывающий тот или иной инцидент, указывает в системе соответствующие поля, а система учёта инцидентов сама решает, какую информацию нужно отправить в запрос ФинЦЕРТу – всё происходит автоматически, быстро и не требует дополнительных ресурсов.

Отмечалось также, что среди причин нежелания включаться в процесс взаимодействия – порог вхождения.Даже для входа в тестовый режим платформы API требуется выполнить чек-лист, который программист, делающий интеграцию, не понимает. Не хватает простых рекомендаций именно для ИТ-специалистов: что отправлять, где отправлять и как защищать. Конечно, инструкция версии 1.01, которая еще не опубликована, немного улучшит ситуацию, но и этого мало.

 

ФИНЦЕРТ ПРОДОЛЖИТ РАЗЪЯСНЯТЬ

Сегодня ФинЦЕРТ в тестовом режиме прорабатывает улучшения взаимодействия для пользователей API, разрабатываются соответствующие рекомендации.Банки подключаются, пробуют отправлять уведомления в автоматизированном режиме.

В части мобильного мошенничества ФинЦЕРТ разослал письмо о предоставлении номеров, которые используются кредитно-финансовыми организациями.Данные меры были разработаны совместно с операторами связи. В ближайшее время планируется перенаправить эти номера в Минкомсвязь.

Артем Калашников напомнил, что недавно состоялась презентация, где был предложен ряд направлений, связанных с интеграцией в SIEM-систему, в частности, использование коннекторов. Средства автоматизации позволят, к примеру, сократить время принятия решения на стороне как банка, так и регулятора.

Главный посыл руководителя ФинЦЕРТа: в информировании об инцидентах важна смысловая нагрузка и качество предоставляемой информации, а не формальное выполнение законов и нормативов Банка России. Смысл в том, чтобы информацию принять, понять, что происходит, составить картину и помочь по сути уже всем кредитным организациям.

Участники дискуссии предложили регулятору разработать методические рекомендации, позволяющие понять важность SIEM системы, API платформы, АСОИ, а также как правильно организовать процесс подготовки и передачи информации.

 

Смотрите также

Critical Communications Russia 2019

6 августа, 2019

Подъем с глубины

30 апреля, 2019
Подпишись на новости!
Подписаться