Банковское обозрение

Финансовая сфера

11.08.2017 Аналитика
Бросить все... и заняться ИБ

Алексей Плешков, независимый эксперт; Георгий Лагода, консультант ГК «Программный продукт»; Александр Виноградов, руководитель службы ИБ Руссобанка, а также Тимур Аитов, заместитель председателя подкомитета по платежам и информационной безопасности Торгово-промышленной палаты (ТПП) РФ, в перерыве между сессиями конференции «Информационная безопасность в финансах: регулирование, экспертиза, кейсы», организованной «Б.О», обсудили острые моменты в прозвучавших докладах


Алексей Плешков
Независимый эксперт
Георгий Лагода
Консультант ГК «Программный продукт»
Тимур Аитов
Заместитель генерального директора группы компаний «Программный Продукт», директор по международному развитию Ассоциации «Финансовые инновации», заместитель председателя Комиссии по цифровым финансовым технологиям Совета ТПП РФ по финансово-промышленной и
Александр Виноградов
Руководитель службы ИБ Руссобанка
Златкомбанк

Тимур Аитов: Сегодня все докладчики сетовали на то, что резко осложнилась обстановка на рынке ДБО, да и у всех компаний и банков, которые так или иначе связаны с цифровой экономикой. Причиной этих волнений является шквал кибератак. Возможно, СМИ, как это обычно бывает, немного преувеличивают масштабы, тем не менее рост хакерской активности налицо. Поэтому вопросы к экспертам: а так ли страшен черт, как его малюют? Обязаны ли банкиры резко увеличивать в связи с этим свои ИБ-бюджеты, а также активизировать сотрудничество с «белыми хакерами»?

Георгий Лагода: Все бросать, естественно, не нужно! Требуется продолжать заниматься операционной деятельностью, но при этом принимать во внимание то, что количество атак, а также подходы к этим атакам должны меняться с течением времени. Если ранее эти атаки могли происходить через веб-уязвимости, то сейчас их можно ожидать из «дыр», которые существуют в системе более 20 лет, а также в протоколах, например в SSL. Это требует учитывать новые риски, с которыми необходимо работать, например активизировать проведение тестов на проникновение в целях получения объективной оценки уровня информационной безопасности инфраструктуры банка. Стоит также проводить кластеризацию систем по их критичности, да и много чего еще.

Тимур Аитов: Это нам понятно. А вот зачем современному киберзлоумышленнику атаковать банк? Какие цели он перед собой ставит? Какие последствия могут быть?

Георгий Лагода: Последствия могут быть разных типов, потому что злоумышленники ставят перед собой разные задачи. Это могут быть и репутационные риски, когда хакеры понижают степень доступности дистанционных банковских сервисов. Обычно в таких случаях первыми проблему замечают СМИ, далее лавинообразно возрастает активность клиентов, которые, не получив не то что услугу, но и самого доступа в ДБО, раскручивают спираль негативной информации. Так банку можно легко потерять старых клиентов и не найти новых.

В других случаях происходит компрометация каких-то микросервисов. Тогда могут появиться финансовые потери из-за, к примеру, проведения нелегитимных платежных транзакций.

Зачастую многие недооценивают защиту бизнес-процессов и бизнес-логики организации, считая, что на сетевом уровне все защищено, а например, DDoS-атака с легкостью может нарушить существующий ход бизнес-процессов. Если злоумышленник скомпрометировал какую-то незначительную систему, проник внутрь сети и уже из нее осуществляет целенаправленные DDoS-атаки на какие-то внутренние компоненты сети, например на серверы ЭЦП, то это нарушает уже полный жизненный цикл многих бизнес-процессов.

 

Алексей Плешков, Тимур Аитов (ТПП), Георгий Лагода (ГК «Программный продукт») и Александр Виноградов (Руссобанк)

 

Тимур Аитов: А как насчет новых мер ЦБ, в частности, постановления № 382-П? Оно изменит ситуацию на рынке? Прекратятся ли DDoS-атаки, станут ли они менее опасными? Каковы прогнозы на осень?

Александр Виноградов: К осени, я полагаю, ситуация не успеет измениться в лучшую сторону. Что касается положения № 382-П, то это не новый документ, а уже, скажем так, нормативный акт с «многолетним стажем». Что же касается его новой редакции, которая вступит в силу с начала следующего года…

Тимур Аитов: Давайте напомним, чем будет отличаться новая редакция.

Александр Виноградов: Там будет три основных группы изменений, затрагивающих антифрод, внешний аудит и тесты на проникновение (включая банкоматы).

Тимур Аитов: А почему не стоит ждать немедленной отдачи от этих рекомендаций ЦБ?

Александр Виноградов: Это не рекомендации, а обязательные требования. Кроме того, надо отметить, что некоторые банки находятся на «зародышевой» стадии в плане обеспечения собственной информационной безопасности. Зачастую они «рисуют» регулятору мнимые цифры по самооценке. С этим надо как-то бороться, привлекать внешних аудиторов, которые покажут всем реальную картину ИБ в конкретном банке. На все это нужно время.

Кроме того, на защищенность от DDoS-атак внешний аудит повлиять никак не может. Ведь что представляет собой DDoS? Эта атака может практически проявляться как отсутствие отклика сайта банка в какое-то время вследствие перегрузки IT-инфраструктуры фейковыми запросами. Выявлять заранее аудитом на проникновение это бессмысленно. Защититься можно либо специальным оборудованием или ПО, установленным в финансовой организации, либо заключением контракта с внешним сервис-провайдером, обеспечивающим защиту канала связи. В положении № 382-П этого пока нет. Но, я думаю, ЦБ все-таки пойдет по пути обязательного или рекомендательного регулирования защиты от DDoS-атак вышеназванными способами.

Георгий Лагода: Для чего еще используются DDoS-атаки? Некоторые организации пытаются ослабить ущерб от внешних угроз при помощи WAF (Web Application Firewall). Однако уже существуют практики обхода WAF путем DDoS-атаки именно на него, а «положив» WAF, можно начинать целевую атаку уже на весь банк.

Александр Виноградов: Это еще раз подтверждает, что самый надежный способ защититься от DDoS-атак на сайт — защита на уровне хостинга. Это проверенный временем способ, и ряд компаний предоставляет подобный сервис для МСБ за вполне вменяемые деньги.

Тимур Аитов: Получается, что ситуация, несмотря на активную работу ЦБ и коммерческих банков, в ближайшее время не изменится. Может быть, есть какой-то рецепт, как переломить эту ситуацию с ИБ? И не только в банках, ведь недавно успешно атакованы такие мощные структуры, как Роснефть.

Алексей Плешков: На мой экспертный взгляд, ситуация с DDoS-атаками в ближайшей перспективе не изменится. Одна из причин в том, что стоимость их организации и проведения резко снижается. Они становятся доступным криминальным сервисом. Фактически любой школьник, имеющий электронный кошелек и небольшую сумму денег, в состоянии заказать подобную атаку на любой сайт. В итоге риск возникновения атаки существенно возрастает.

Тимур Аитов: Сколько примерно рублей понадобится школьнику, чтобы атаковать банк?

Алексей Плешков: В иностранном сегменте сети Интернет в darcknet юному хакеру на это нужно 20–80 долларов США. За эти деньги он получает вполне солидную атаку мощностью от 10 Гбит/с или больше в зависимости от продолжительности и степени вовлеченности ботов (зараженных ПК и серверов), являющихся инициаторами мусорного трафика. Чем шире географическое распределение этих ботов, тем атака дороже, но тем и эффективнее, от нее труднее защититься.

Тимур Аитов: Что же, совсем безнадежная картина? А как же Ростелеком? Он может помочь справиться? Ведь его представитель сегодня обещал это сделать в своем докладе.

Алексей Плешков: Здесь есть некое лукавство, поскольку, если злоумышленники зададутся целью кого-либо «задидосить», они сделают это в любом случае. Ростелеком может лишь затруднить им решение этой задачи либо снизить влияние этой атаки на банк или другой хост, находящийся у него на обслуживании. «Серебряной пули» от DDoS-атак, увы, не существует.

Беседа записана 29 июня 2017 года в Москве




Присоединяйся к нам в телеграмм