Финансовая сфера

Банковское обозрение


  • Бросить все... и заняться ИБ
11.08.2017 Аналитика

Бросить все... и заняться ИБ

Алексей Плешков, независимый эксперт; Георгий Лагода, консультант ГК «Программный продукт»; Александр Виноградов, руководитель службы ИБ Руссобанка, а также Тимур Аитов, заместитель председателя подкомитета по платежам и информационной безопасности Торгово-промышленной палаты (ТПП) РФ, в перерыве между сессиями конференции «Информационная безопасность в финансах: регулирование, экспертиза, кейсы», организованной «Б.О», обсудили острые моменты в прозвучавших докладах


Тимур Аитов: Сегодня все докладчики сетовали на то, что резко осложнилась обстановка на рынке ДБО, да и у всех компаний и банков, которые так или иначе связаны с цифровой экономикой. Причиной этих волнений является шквал кибератак. Возможно, СМИ, как это обычно бывает, немного преувеличивают масштабы, тем не менее рост хакерской активности налицо. Поэтому вопросы к экспертам: а так ли страшен черт, как его малюют? Обязаны ли банкиры резко увеличивать в связи с этим свои ИБ-бюджеты, а также активизировать сотрудничество с «белыми хакерами»?

Георгий Лагода: Все бросать, естественно, не нужно! Требуется продолжать заниматься операционной деятельностью, но при этом принимать во внимание то, что количество атак, а также подходы к этим атакам должны меняться с течением времени. Если ранее эти атаки могли происходить через веб-уязвимости, то сейчас их можно ожидать из «дыр», которые существуют в системе более 20 лет, а также в протоколах, например в SSL. Это требует учитывать новые риски, с которыми необходимо работать, например активизировать проведение тестов на проникновение в целях получения объективной оценки уровня информационной безопасности инфраструктуры банка. Стоит также проводить кластеризацию систем по их критичности, да и много чего еще.

Тимур Аитов: Это нам понятно. А вот зачем современному киберзлоумышленнику атаковать банк? Какие цели он перед собой ставит? Какие последствия могут быть?

Георгий Лагода: Последствия могут быть разных типов, потому что злоумышленники ставят перед собой разные задачи. Это могут быть и репутационные риски, когда хакеры понижают степень доступности дистанционных банковских сервисов. Обычно в таких случаях первыми проблему замечают СМИ, далее лавинообразно возрастает активность клиентов, которые, не получив не то что услугу, но и самого доступа в ДБО, раскручивают спираль негативной информации. Так банку можно легко потерять старых клиентов и не найти новых.

В других случаях происходит компрометация каких-то микросервисов. Тогда могут появиться финансовые потери из-за, к примеру, проведения нелегитимных платежных транзакций.

Зачастую многие недооценивают защиту бизнес-процессов и бизнес-логики организации, считая, что на сетевом уровне все защищено, а например, DDoS-атака с легкостью может нарушить существующий ход бизнес-процессов. Если злоумышленник скомпрометировал какую-то незначительную систему, проник внутрь сети и уже из нее осуществляет целенаправленные DDoS-атаки на какие-то внутренние компоненты сети, например на серверы ЭЦП, то это нарушает уже полный жизненный цикл многих бизнес-процессов.

 

Алексей Плешков, Тимур Аитов (ТПП), Георгий Лагода (ГК «Программный продукт») и Александр Виноградов (Руссобанк)

 

Тимур Аитов: А как насчет новых мер ЦБ, в частности, постановления № 382-П? Оно изменит ситуацию на рынке? Прекратятся ли DDoS-атаки, станут ли они менее опасными? Каковы прогнозы на осень?

Александр Виноградов: К осени, я полагаю, ситуация не успеет измениться в лучшую сторону. Что касается положения № 382-П, то это не новый документ, а уже, скажем так, нормативный акт с «многолетним стажем». Что же касается его новой редакции, которая вступит в силу с начала следующего года…

Тимур Аитов: Давайте напомним, чем будет отличаться новая редакция.

Александр Виноградов: Там будет три основных группы изменений, затрагивающих антифрод, внешний аудит и тесты на проникновение (включая банкоматы).

Тимур Аитов: А почему не стоит ждать немедленной отдачи от этих рекомендаций ЦБ?

Александр Виноградов: Это не рекомендации, а обязательные требования. Кроме того, надо отметить, что некоторые банки находятся на «зародышевой» стадии в плане обеспечения собственной информационной безопасности. Зачастую они «рисуют» регулятору мнимые цифры по самооценке. С этим надо как-то бороться, привлекать внешних аудиторов, которые покажут всем реальную картину ИБ в конкретном банке. На все это нужно время.

Кроме того, на защищенность от DDoS-атак внешний аудит повлиять никак не может. Ведь что представляет собой DDoS? Эта атака может практически проявляться как отсутствие отклика сайта банка в какое-то время вследствие перегрузки IT-инфраструктуры фейковыми запросами. Выявлять заранее аудитом на проникновение это бессмысленно. Защититься можно либо специальным оборудованием или ПО, установленным в финансовой организации, либо заключением контракта с внешним сервис-провайдером, обеспечивающим защиту канала связи. В положении № 382-П этого пока нет. Но, я думаю, ЦБ все-таки пойдет по пути обязательного или рекомендательного регулирования защиты от DDoS-атак вышеназванными способами.

Георгий Лагода: Для чего еще используются DDoS-атаки? Некоторые организации пытаются ослабить ущерб от внешних угроз при помощи WAF (Web Application Firewall). Однако уже существуют практики обхода WAF путем DDoS-атаки именно на него, а «положив» WAF, можно начинать целевую атаку уже на весь банк.

Александр Виноградов: Это еще раз подтверждает, что самый надежный способ защититься от DDoS-атак на сайт — защита на уровне хостинга. Это проверенный временем способ, и ряд компаний предоставляет подобный сервис для МСБ за вполне вменяемые деньги.

Тимур Аитов: Получается, что ситуация, несмотря на активную работу ЦБ и коммерческих банков, в ближайшее время не изменится. Может быть, есть какой-то рецепт, как переломить эту ситуацию с ИБ? И не только в банках, ведь недавно успешно атакованы такие мощные структуры, как Роснефть.

Алексей Плешков: На мой экспертный взгляд, ситуация с DDoS-атаками в ближайшей перспективе не изменится. Одна из причин в том, что стоимость их организации и проведения резко снижается. Они становятся доступным криминальным сервисом. Фактически любой школьник, имеющий электронный кошелек и небольшую сумму денег, в состоянии заказать подобную атаку на любой сайт. В итоге риск возникновения атаки существенно возрастает.

Тимур Аитов: Сколько примерно рублей понадобится школьнику, чтобы атаковать банк?

Алексей Плешков: В иностранном сегменте сети Интернет в darcknet юному хакеру на это нужно 20–80 долларов США. За эти деньги он получает вполне солидную атаку мощностью от 10 Гбит/с или больше в зависимости от продолжительности и степени вовлеченности ботов (зараженных ПК и серверов), являющихся инициаторами мусорного трафика. Чем шире географическое распределение этих ботов, тем атака дороже, но тем и эффективнее, от нее труднее защититься.

Тимур Аитов: Что же, совсем безнадежная картина? А как же Ростелеком? Он может помочь справиться? Ведь его представитель сегодня обещал это сделать в своем докладе.

Алексей Плешков: Здесь есть некое лукавство, поскольку, если злоумышленники зададутся целью кого-либо «задидосить», они сделают это в любом случае. Ростелеком может лишь затруднить им решение этой задачи либо снизить влияние этой атаки на банк или другой хост, находящийся у него на обслуживании. «Серебряной пули» от DDoS-атак, увы, не существует.

Беседа записана 29 июня 2017 года в Москве






Новости Новости Релизы