Современные банки — это экосистемы, которые предоставляют своим клиентам множество услуг, от покупки товаров до развлечений. Однако именно основной профиль деятельности — финансовые операции — делает их особенно привлекательными для хакеров. Здесь сосредоточены основные угрозы и задачи киберзащиты.

Конкретные угрозы и неприемлемые сценарии должны лечь в основу системы ИБ каждого банка. Среди угроз можно выделить несколько массовых и популярных:

• DDoS-атаки, попытка остановить или замедлить работу сервисов, вызвать сбои в работе IT-систем и бизнес-процессов; 
• уничтожение либо обнуление компонентов IT-инфраструктуры и конфиденциальных данных;
• утечки конфиденциальных данных, в том числе и персональных данных сотрудников и клиентов;
• распространение ложной, искаженной информации через фишинговые рассылки либо подмена содержимого на общедоступных информационных ресурсах. 

Строим безопасность по-новому

Сегодня недостаточно соответствовать требованиям регулятора. Здание ИБ приходится буквально выстраивать с фундамента (сценариев угроз). Построение системы в рамках концепции «реальной безопасности» призвано сделать недопустимые сценарии попросту невозможными, а для этого необходимо провести сценарный анализ, выявить ключевые риски и проверить их возможность на практике.

Ключевые риски банка можно разделить на несколько групп:

• финансовые — наиболее значимые, так как речь идет о «живых» деньгах, которые могут быть похищены;
• репутационные, напрямую влияющие на возможности привлечения клиентов в случае утечки персональных данных. Причем, чем масштабнее утечка, тем выше риск. Критерии недопустимых объемов утечек определяет топ-менеджмент;
• регуляторные или юридические. Несоблюдение нормативных требований ЦБ напрямую влияет на возникновение негативных последствий для банка. Речь идет о приостановке либо отзыве лицензий на осуществление банковских операций.

Банку необходимо, опираясь на ключевые риски, выполнить классификацию информационных систем, реализующих основные бизнес функции, такие как:

• Mission critical (MC);
• Business critical (BC);
• Business operational (BO);
• Office productivity (OP).

Классификация критичности напрямую демонстрирует влияние сбоя либо остановки информационной системы на возникновение ключевых рисков, а также зависит от скорости наступления риска.

Для классификации информационных систем можно использовать модель анализа влияния на бизнес, в которой анализ и оценка выполняются по следующим критериям: 

• влияние на возникновение ключевых рисков; 
• скорость восстановления; 
• показатель доступности системы за месяц.

Для каждого критерия выставляется объективная оценка в баллах. При оценке обязательно нужно учитывать наличие альтернативных систем, средств резервного копирования и восстановления и другие компенсирующие методики и средства, позволяющие снизить влияние сбоев информационных систем.

Пример методики экспертной оценки для нескольких систем

После оценки рисков банку необходимо переходить к формированию программы трансформации системы ИБ. IT-инфраструктура каждого банка уникальна: она зависит от истории развития, навыков и опыта IT-директора. Цель трансформации — обеспечить безопасность для каждой критичной системы банка.

Разбираем на примере

Рассмотрим регулярный процесс обмена с Банком России информацией о проведенных платежах в целях сверки. В финансовой организации есть информационная система, подключенная к Банку России, которая позволяет выполнять сверку. В системе в автоматическом или автоматизированном режиме формируется отчет, а за взаимодействие отвечает финансовый директор или главный бухгалтер. Процесс должен работать непрерывно — это и есть задача кибербезопасности.

Первая задача — определить, кто имеет право взаимодействовать с этой информационной системой и вносить изменения. Также необходимо понять, какие другие системы с ней взаимодействуют и кто наделен правом доступа к ним.

Суть трансформации — отбросить все избыточные доступы. Невозможно контролировать вообще все в инфраструктуре: она постоянно меняется, поэтому нужно концентрировать внимание лишь на важных аспектах.

Таким образом, у нас появляется окружение, на котором можно реализовать модель угроз. Предполагаем, что каждый пользователь из этого окружения может быть взломан и через него злоумышленники могут попасть в систему. Для каждого узла, пользователя или учетной записи формируется свое окружение. В результате мы видим цепочку реализации рисков — своим видом она напоминает диаграмму связей. 

Далее нужно продлить это окружение до сетевого периметра: увеличить количество шагов злоумышленника до системы, ограничить число узлов, обеспечить дополнительные средства защиты по всей цепочке и мониторинг для выявления атак на ранних стадиях.

Несколько простых советов для банков

Построение новой системы кибербезопасности — целостный и долгий процесс. Однако есть несколько простых советов, которые помогут укрепить периметр и сократить количество рисков.

• Обратите внимание на внешний сетевой периметр. Необходимо провести инвентаризацию: убрать избыточные сервисы и открытые порты. Обратите внимание на контрагентов: мы видели случаи, когда атака происходила не напрямую, а через компании-подрядчики. Анализируйте существующие функциональные связи: с какими контрагентами и службами они работают. 
• Оцените, насколько защищена форма удаленного доступа для дистанционных сотрудников. Защищать доступ только логином и паролем недопустимо: они подбираются достаточно быстро. Нужны дополнительные сервисы: двухфакторная аутентификация и ограничение количества возможных соединений от одного IP-адреса (так злоумышленникам сложнее осуществить брутфорс). 
• Перенесите данные из зарубежных облачных сервисов в российские. Всегда есть риск, что данные с этих сервисов будут переданы в третьи руки или уничтожены, особенно в условиях санкционной политики. 
• Обеспечьте резервное копирование всех критичных данных: часто злоумышленники не только похищают данные, но и шифруют их. Не храните резервные копии в той же инфраструктуре — используйте внешние хранилища. 
• Будьте осторожны со средствами защиты информации зарубежных вендоров. Очень аккуратно получайте обновления подобных систем, желательно с тестированием на небольшой группе.
• Осторожнее с Open Source. Часто такой код пишется группами энтузиастов, которые могут быть аффилированы либо иметь личные причины для нанесения вреда.

Эти меры не заменят полноценного перепроектирования системы кибербезопасности банка. Только построение системы реальной кибербезопасности защитит бизнес финансовой организации: усложнит путь злоумышленника до информационных систем и данных, уменьшит поверхность негативных воздействий и обеспечит мониторинг и контроль для стабильной работы банка.