Финансовая сфера

Банковское обозрение


28.01.2021 FinSecurityFinTechАналитика
Как защитить банковские системы от хакеров

На что обратить внимание при обеспечении кибербезопасности банка в 2021 году


Среди обывателей бытует мнение, что кредитные организации перекладывают все риски на клиентов, но это далеко не так. Банки вынуждены отвечать за инциденты со счетами. Иначе они безнадежно испортят свою репутацию и потеряют самое важное, что сегодня определяет их позиции в конкурентном поле, — доверие клиентов. К тому же нарушение законодательных норм, требований регулятора и правил международных платежных систем чревато серьезными последствиями, вплоть до крупных штрафов, проблем с прохождением аудита и даже отзыва лицензии. 

Как обстоят дела с кибербезопасностью в банках?

К концу 2020 года банковская индустрия стала одной из наиболее защищенных отраслей мировой экономики. Банковские IT-инфраструктуры имеют высокий уровень зрелости. Кроме того, именно финансовые организации быстро реагируют на инциденты ИБ.

В то же время складывается парадоксальная ситуация: несмотря на относительно сильную защиту информационных систем, в «обороне» банков образуются трещины. В частности, почти во всех банках есть «фантомные пользователи» — бывшие сотрудники или подрядчики, учетные записи которых по каким-то причинам не деактивировали. 

Серьезную проблему составляет и доступ к конфиденциальной информации. Глобальное исследование Varonis, проведенное в конце 2020 года, показало: в каждом банке в среднем есть около 1 тыс. конфиденциальных документов, доступных любому сотруднику. При этом учетные записи также недостаточно защищены: у более чем 60% финансовых организаций эксперты Varonis обнаружили минимум 500 паролей без истечения срока действия, т.е. один и тот же пароль может использоваться десятилетиями. В небольших банках уровень кибергигиены еще ниже. 

При этом именно в банковской отрасли особенно высоки риски кражи данных: по оценкам экспертов, в среднем одна утечка стоит финансовой организации около 5,85 млн долларов. Поэтому банки так привлекательны для злоумышленников. 

Действия хакеров часто нарушают работу информационных систем и непрерывность бизнес-процессов в организации. Финансовый ущерб из-за простоя оказывается огромным, страдает репутация банка. Это неизбежно сказывается на стоимости его акций, приводит к оттоку клиентов и в итоге — к новым финансовым потерям. 

Сюда же добавляются утечки конфиденциальных данных, используемые мошенниками, например, для звонков от имени службы безопасности, — это тоже ведет к репутационным потерям и измеримому в деньгах ущербу. 

Угрозы и уязвимости

Опасность для банковского бизнеса исходит от внешних злоумышленников и инсайдеров, которые могут действовать в сговоре с ними. Вне зависимости от того, кто является атакующей стороной, работают хакеры всегда одинаково. Они незаметно проникают в информационные системы, берут их под контроль, а потом быстро проводят массированную акцию, пока служба безопасности не успела опомниться. Часто для этого используется продвинутое вредоносное ПО, вроде трояна Qbot. 

Нацеленные на финансовые данные вирусы-шифровальщики и прочие зловреды давно стали для отрасли угрозой первого порядка. Реализовать ее хакерам помогают угрозы второго порядка — уязвимости в информационных системах, а также избыточные права доступа.

По нашим данным, среднестатистический сотрудник финансовых служб имеет доступ к почти 11 млн файлов, а для крупных компаний этот показатель удваивается. Любому внутреннему пользователю открыто 20% всех папок в локальной сети, а около 39% организаций имеют более 10 тыс. устаревших, но активных учетных записей. Добавьте сюда множество доступных всем сотрудникам конфиденциальных файлов (их счет может идти на тысячи), а также сотни и тысячи паролей, срок действия которых никогда не истекает. 

Антифрода недостаточно

На первый взгляд, ситуация с безопасностью не так плоха. В банках внедрены чрезвычайно развитые системы фрод-мониторинга, покрывающие существенную часть рисков. Проходит постоянное обучение сотрудников, чтобы те не кликали по подозрительным ссылкам и не вставляли найденные возле офиса флешки в рабочие компьютеры. Внедряются продвинутые технические решения, вроде тех же ханипотов — привлекательных для злодеев ловушек-имитаторов. Однако приводящие к финансовым потерям косвенные риски остаются незакрытыми. 

Служба безопасности сосредоточена в основном на защите АБС (CBS или core banking system) и уделяет мало внимания окружающей их оболочке — тут и возникают уязвимости, а также присутствуют данные, позволяющие спланировать успешную атаку. 

Логика безопасников понятна: если вся ценная информация хранится в базах данных, их и нужно защищать. Тем временем в файловые хранилища регулярно делаются выгрузки, получить доступ к которым могут многие пользователи локальной сети или скомпрометировавший их учетные записи хакер. В среднем банке установлены сотни взаимосвязанных систем, обменивающихся в том числе конфиденциальной информацией. 

Эти взаимосвязи — самые уязвимые с точки зрения защищенности места. В банках часто отсутствует мониторинг межсистемного обмена и не внедряется поведенческий анализ для выявления аномальных действий пользователей. Практика показывает, что злоумышленники успешно проникают в сети, обходя все существующие системы защиты, включая продвинутый антифрод. Итог — крупные утечки конфиденциальных данных и даже вывод средств со счетов клиентов.

Методы защиты

Чтобы топ-менеджерам не пришлось объяснять акционерам причины резкого падения рыночной капитализации банка, необходимо построить комплексную систему безопасности. Она должна организационными и техническими методами защищать не только отдельные системы, но и всевозможные их взаимосвязи с учетом существующих сценариев перемещения данных. 

Продвинутый фрод-мониторинг есть у всех, но комплексный подход не используется практически ни в одном банке. Главная его часть — мониторинг обращений к конфиденциальным данным, вне зависимости от места их хранения и путей перемещения. Для этого придется отслеживать аномалии: попытки доступа к большому количеству данных или авторизации на сервисах, к которым пользователь раньше не обращался. Средства для реализации поведенческого анализа созданы уже давно, остается только дополнить ими существующие системы безопасности. Если это сделать, любую атаку можно будет остановить еще на стадии разведки, предотвратив серьезный ущерб.