Банковское обозрение

Финансовая сфера

  • Симуляция киберугроз для проверки устойчивости финансового сектора
26.07.2019 Best-practice
Симуляция киберугроз для проверки устойчивости финансового сектора

Ущерб от киберугроз — реальный и репутационный — растет с каждым годом. Банки должны соблюдать строгие требования при тестировании кибербезопасности. Вызовы и трудности, возникающие у банков при участии в программе симуляции киберугроз TIBER-EU, разбираются в данной статье


Гюнтер Бринкман
Старший менеджер zeb
Томас Хартманн
Менеджер zeb
Роберт Зонненшайн
Старший консультант zeb

Тенденции развития финансового сектора, цифровизация, омниканальность, развитие мобильного банкинга, безналичные платежи и другие финансовые технологии говорят о том, что параллельно стремительно растут сложность процессов и скорость обработки данных. Данные все чаще подвергаются изощренным кибератакам, риски, связанные с безопасностью данных, увеличиваются. Это особенно важно для банков, поскольку они хранят персональные данные своих клиентов, а также платежную информацию.

Европейская программа по противодействию киберугрозам с использованием так называемых красных команд Red Teams (European Framework for Threat Intelligence-based Ethical Red Teaming — TIBER-EU) дает банкам возможность проверить свою кибербезопасность с помощью тестов на проникновение угроз. Тесты проводятся «красными командами» — группами высококвалифицированных специалистов в области кибербезопасности. У таких тестов есть преимущество перед стандартным анализом угроз. Группа внешних специалистов в реальных условиях проверяет кибербезопасность банка: они используют полный спектр приемов хакеров, моделируют попытки взлома. В ходе тестирования специалисты находят уязвимости инфраструктуры и оценивают ущерб, который может быть нанесен банку.

Добровольное участие в TIBER-EU

В мае 2018 года ЕЦБ опубликовал методические рекомендации по проверке устойчивости финансового сектора к кибератакам (TIBER-EU). Для проверки устойчивости финансовых организаций ЕС к кибератакам предлагается использовать стандартизированную процедуру тестирования. Решение о проведении тестов в соответствии с TIBER-EU может исходить как от регулятора, так и от самих банков.

Знание — сила

Тестирование, проводимое «красными командами», включает в себя реальные методы киберпреступников и затрагивает критически важные системы банка. Это делается для имитации реальной атаки.

Тест проходит в три этапа:

1) подготовка к тестированию: составление документации, подбор персонала и планирование ресурсов;

2) анализ угроз безопасности, на основе которого «красная команда» определяет индивидуальные тестовые сценарии для систем и процессов и последующее тестирование;

3) завершение тестирования, составление отчета о проведенном тестировании с результатами по каждому сценарию.

Конечная цель программы заключается не в том, чтобы банк успешно отразил все атаки, а чтобы определить его сильные и слабые стороны и в итоге повысить его кибербезопасность.

Задачи на разных этапах тестирования

Каждый этап тестирования включает несколько задач (см. рис. 1).

Эффективное управление рисками

Процесс тестирования в рамках TIBER-EU сам по себе может нарушить работу банка, поскольку затрагивает производственные системы, ключевых сотрудников и критически важные процессы. Кроме того, тесты проводит внешняя компания, которая не знает всех процессов тестируемой компании. Это может привести к ухудшению работы систем и сервисов, сбоям, изменению или утечке персональных данных.

Поэтому для тестирования очень важно эффективное управление рисками и определенные заранее роли и зоны ответственности (включая критерии квалификации и отбора внешних сотрудников «красной команды»).

Подготовка: соответствие требованиям нормативных актов

При проведении «красной командой» тестирований, имитирующих настоящие кибератаки, возможны нарушения требований нормативных актов в области безопасности данных. Так, в Германии строго следят за соблюдением §42 Федерального закона о защите персональных данных и §202c Уголовного кодекса «Подготовка шпионажа и перехвата данных». Именно поэтому все действия в рамках TIBER-EU должны быть задокументированы и согласованы как с банком, так и с надзорным органом. Кроме того, необходимо предусмотреть меры по сохранности данных в случае успешной кибератаки.

Подготовка: договор с поставщиком услуг

Официальный список сертифицированных аутсорсинговых поставщиков услуг по анализу угроз кибербезопасности и проведению тестирования еще не опубликован, поэтому банки должны самостоятельно проводить отбор и сертификацию.

При отборе оцениваются надежность поставщика и опыт его сотрудников, что также прописывается в договоре. Ранее заключенные договоры с поставщиками услуг по тестированию кибербезопасности должны быть проверены на соответствие новым требованиям.

Подготовка: план работ и организация процесса

На этапе подготовки важно оценить объем работ и разработать сценарии тестирования «красной командой». Планирование и оценка рисков при реализации сценариев атак совместно с банком представляют собой еще одну сложность. Участники тестирования соглашаются с тем, что роли и обязанности установлены для выполнения требований к тестированию, но не препятствуют запланированной атаке, чтобы ее результаты были достоверными.

Тестирование: проверка работы сервисов

Риск успешной кибератаки — такой, что нарушит работу банка — сохраняется и после устранения уязвимостей, обнаруженных в рамках TIBER-ЕU. Поэтому банк должен предпринять дополнительные меры для своей безопасности, например провести симуляцию атак в нерабочее время, разработать механизмы резервного восстановления данных или даже создать резервные сервисы и каналы связи.

Завершение тестирования: отчет о результатах

Итоговый отчет включает в себя описание процесса и результатов тестирования и основан на документах тестирования. В документах слишком много деталей, которые неважны для отчета. К тому же как документы, так и отчет будут использоваться банком повторно, поэтому важно определить строгие критерии к содержанию всех документов.

Завершение тестирования: интерпретация результатов

Цель программы — помочь банкам понять свои сильные и слабые стороны, чтобы повысить кибербезопасность. Для этого важно обмениваться результатами проверок и обсуждать их на уровне банковского сообщества. Но обмен результатами может повысить уровень киберпреступности. Кроме того, повышенное внимание общественности не должно приводить к тому, что будут публиковаться только положительные результаты тестирования.

Заключение

Банкам рекомендуется использовать TIBER-EU, хотя подход сложный и его внедрение требует больших затрат. Это обеспечит основу для кибербезопасности на национальном уровне и на уровне ЕС. Тестирование выявляет уязвимости и угрозы для функционирования банков, а принятые по итогам меры усиливают кибербезопасность. При этом элементы кибербезопасности включаются в стратегию компании, ее корпоративную культуру, организационную структуру, процессы и информационные технологии. В результате банк может предотвратить проблемы, что проще, чем бороться с их последствиями.

СПРАВКА
zeb — немецкая консалтинговая компания, которая специализируется на консультировании банков, страховых компаний, национальных регуляторов и других финансовых институтов. Компания предоставляет консультационные услуги по стратегии и операциям, финансам и рискам, а также по IT и управлению персоналом. Офисы компании находятся в Германии, Австрии, Швейцарии, Голландии, Англии, Италии, Швеции, Дании, Лихтенштейне, Польше, Украине и России.




Присоединяйся к нам в телеграмм
Сейчас на главной