Finversia-TV
×

Павел Крылов: «Без понимания, кто и как атакует, в банке невозможно построить защиту от киберугроз» A A= A+

19.11.2019

Банки находятся в фокусе общественного внимания. Любые их промахи в сфере киберзащиты могут стать фатальными для миллионов граждан. О том, как и от чего защищаются кредитные организации, и почему им это не всегда удаётся, портал Finversia.ru поговорил с Павлом Крыловым, руководителем направления Secure Bank/Secure Portal компании Group-IB.

- Банки вкладывают большое количество денег в кибербезопасность. Это правда или миф?

Это правда. Банки наиболее зарегулированы с точки зрения всех аспектов, включая и безопасность. В российской практике известны случаи, когда успешная кибератака приводила не только к финансовым убыткам и оттоку клиентов, но к отзыву лицензии у банка. Во многих странах мира банки являются стратегически важными объектами для экономики государства. Финансовый сектор традиционно уделяет пристальное внимание информационной безопасности: часто специалист, курирующий ИБ, непосредственно отчитывается перед Председателем Правления. Не стоит забывать и о том, что финотрасль по сравнению с другими индустриями, наиболее часто оказывается в фокусе киберкриминала и различного рода мошенников: именно поэтому «киберброня» банка должна быть максимально крепкой.

- В каком диапазоне колеблется годовой бюджет банка на кибербезопасность?

- От миллионов до десятков миллионов долларов. Объём вложений значительно зависит от размера банка, от тех угроз, которые он уже на себе испытал, от зрелости банка.

- На что конкретно расходуются средства, выделяемые на информационную безопасность?

- Первое – это фонд оплаты труда (ФОТ) и обучение, включая конференции; второе – различные сервисы – аудит мобильных приложений, сетевой безопасности (если у банка есть карточный процессинг); третье – конечно, информационные системы – системы выявления утечек, защиты от проникновения, защиты клиентов и т.д. Это основные статьи расходов.

- Можно предположить, что сотрудники – самая дорогая «статья расходов»?

- Думаю, нет. Перевес скорее в сторону аутсорсинга – услуг по выявлению и реагированию на различные инциденты, которые нередко оказывают сторонние компании. Это очень выгодно средним и малым банкам, у которых не хватает собственных компетенций. Крупный банк может тратить 50-60% бюджета ИБ на ФОТ и аутсорсинг, остальное – на различные системы. Но, как я и говорил, это зависит от зрелости банка. Ошибочно думать, что для всех финансовых учреждений релевантны одни и те же угрозы. Например, для крупных игроков, штат которых насчитывает тысячи сотрудников, важно контролировать потенциальные каналы утечек, а также мониторить даркнет-форумы для того, чтобы в случае возникновения проблем оперативно отреагировать на них. В банке поменьше, что называется, и так все на виду, но в отличие от своих крупных «соседей» он может быть не так хорошо защищен от целевых атак киберкриминальных хакерских групп, задачей которых является взлом банка, проникновение в его системы и вывод денег. Стоит учесть, что подобные группы, в основном, русскоязычные.

- А банки не боятся отдавать различные вопросы информационной безопасности на аутсорсинг?

Для средних и малых банков однозначно выгоднее выбирать аутсорсинг — с точки зрения не только денег, но и эффективности. Что касается «боятся-не боятся», у ЦБ выпущен отдельный документ, в котором прописаны риски, возникающие в ходе аутсорсинга, и моменты, на которые необходимо обратить внимание банку, если он выбрал этот путь. Если с умом подойти к вопросу создания внятного SLA и контролировать его исполнение, проблем быть не должно.

- Почему, если банки всё время наращивают защитный арсенал, хакеры всё равно оказываются на шаг впереди?

- В классической парадигме информационной безопасности ситуацию любят объяснять противостоянием брони и снаряда — «гонка вооружений». Мол хакеры атакуют, банки защищаются. Если банк успевает до кражи денег обнаружить «пробив» и закрыть «дыры» каким-либо способом — организационным, техническим, за счёт аутсорсинга или внедрения новой системы, злоумышленники начинают искать новые лазейки и векторы атак. И так до бесконечности. Ну, допустим.

Но, во-первых, всегда ли директор по безопасности знает от чего защищаться? Если знает, то точно ли понимает как? Вот эти два вопроса на самом деле являются основными. Именно они лежат в основе подхода Threat Hunting – охоты за киберугрозами. Специалисты такого уровня уже стали необходимыми членами команды служб ИБ в западных банках. Россия пока только идет к этому, но тенденция уже понятна. Бессмысленно «навешивать» дорогостоящее ПО на свою систему ИБ. Бессмысленно делать так же, как у «соседа». Изучайте, кто вас атакует, понимайте, как он это делает, какие инструменты для этого использует, какой тактики придерживается. Это понимание даст возможность спрогнозировать готовящуюся атаку, а, значит, у вас появится возможность предотвратить ее.

Тем не менее, замечу, что абсолютно безопасных систем нет. Приведу аналогию. В автомобиле есть подушки безопасности, ремни и т.д. И они в 80% случаев эффективны и позволяют человеку спасти жизнь, если водитель соблюдает скоростной режим и не нарушает ПДД. Но есть такие виды аварий, в которых чтобы спасти водителя и пассажира, машину нужно было бы обвесить бронированными листами или переделать ее в спасательную капсулу… Но тогда эта машина станет дорогой в обслуживании, на ней никто не будет ездить, её не продашь и т.д.

Часто риски компенсируются не технически, а организационно – допустим, банк готов выплачивать компенсации. Либо от определённых видов рисков оформляется страховка. Абсолютной безопасности не существует. Задача – сделать так, чтобы мошеннику становилось всё дороже и опаснее атаковать.

Это касается не только банков, но и их клиентов. Социальная инженерия эксплуатирует не уязвимость системы, а уязвимость человека – его незнание, некомпетентность, неосведомлённость. Сложность этой проблемы в том, что у самого банка сейчас мало возможностей технически что-то кардинально изменить. Если человек верит, что ему звонит сотрудник банка (а это на самом деле мошенник), и он добровольно отдаёт данные либо совершает действия, которые его просят, он сам способствует проведению мошеннической операции. Как банку в данном случае обезопасить клиента?

- И какой выход?

- Во-первых, необходимо защищать финансовые организации современными технологиями раннего обнаружения и предотвращения кибератак, системами, который выявляют кросс-канальное мошенничество и значительно усиливают безопасность любых операций через мобильный и Интернет- банкинг как физических, так и юридических лиц. Во-вторых, нужно обучать клиентов, постоянно проводить тренинги и мастер-классы, где нужно быть внимательными, чтобы не стать жертвой. Отчёты ЦБ, ФинЦЕРТа свидетельствуют, что определённые виды атак пошли на спад благодаря техническим и организационным усилиям. Несколько лет назад основной угрозой для банков были атаки на их клиентов — юридических лиц, потом хакеры переключились на сами финансовые организации — начались целенаправленные атаки. Сейчас они всё равно местами случаются, но сильно-сильно реже, совокупная сумма этих потерь кардинально упала. Фокус сместился — растет количество атак на клиентов — физических лиц, фишинг, телефонное мошенничество. Меняется и вектор атаки: если раньше злоумышленники, используя мобильные трояны, атаковали интернет-банк, мобильный банк, теперь они применяют социальную инженерию.

Интересно, хакерскими атаками на банки и социальной инженерией по отношению к клиентам занимаются одни и те же люди? Получается, мошенники перепрофилировались?

 Не совсем так. Группы, которые занимались целенаправленными атаками на банки, переключились на зарубежные финансовые организации.

- То есть это «классические» хакеры, технари, которые тестируют технические уязвимости…

Да. А вот мошенники, которые раньше обманывали своих жертв в интернете — в социальных сетях, в переписке, могли переключиться на вишинг (телефонное мошенничество), поскольку эти схемы показали свою эффективность и хорошо монетизируются. Вот этих «дозвонщиков» или «прозвонщиков» - их сильно больше, чем хакеров. Ниже порог входа. Им не нужно быть высокопрофессиональным взломщиком с какими-то специальными инструментами. Поэтому социальная инженерия как метод финансового мошенничества и приобрела такие масштабы.

Продолжение интервью с Павлом Крыловым читайте в ближайшее время на портале Finversia.ru.

  • Дарья Балабошина
  • Finversia.ru

Finversia-TV

Корпоративные новости

Все новости »