74% банков оказались не готовы к нападению кибермошенников. К такому выводу пришли эксперты-киберкриминалисты компании Group-IB (занимается реагированием на инциденты информационной безопасности, является партнером Interpol и Europol). Выводы приводятся в сообщении Group-IB, поступившем в РБК. У 29% финорганизаций были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом.
Почему банки оказались, по мнению экспертов, наиболее уязвимой мишенью для хакеров и как они борются с атаками, разбирался РБК.
Порядка 70% хакерской активности в 2018 году пришлось на банковский сектор. Остальные 30% — в основном на компании топливно-энергетического комплекса и промышленные предприятия, отметил представитель Group-IB, но показатели для каждой отрасли не уточнил.
По словам руководителя лаборатории компьютерной криминалистики Group-IB Валерия Баулина, атакованными оказались финансовые организации разных категорий. «Однако по нашему опыту банки из топ-10 гораздо лучше защищены, чем мелкие банки, в том числе потому, что они чаще встречались с киберинцидентами», — отметил Баулин.
Более уязвимыми считает небольшие банки и директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Владимир Дрюков. «Инфраструктура небольших банков при всей своей компактности достаточно редко управляется централизованно, поэтому длительность устранения сбоя существенно выше, чем при схожем охвате в крупном банке», — отметил он, добавив, что небольшой состав подразделения информационной безопасности также не позволяет оперативно реагировать на атаки.
В октябре прошлого года Group-IB оценила ущерб российской финансовой сфере от атак киберпреступников за второе полугодие 2017-го и первое полугодие 2018 года в 2,96 млрд руб. ЦБ приводил более скромные цифры: за восемь месяцев 2018 года (последний доступный период) ущерб составил 76,49 млн руб. Хотя годом ранее сумма хищений превышала 1 млрд руб. В течение прошлого года эксперты зафиксировали несколько масштабных атак на банки. В конце 2018 года злоумышленники атаковали более 50 российских банков, разослав фишинговые письма, замаскированные под официальные сообщения ЦБ. При попытке распаковать приложенный к письму файл пользователь загружал на свой компьютер вредоносное программное обеспечение.
Ключевыми способами проникновения злоумышленников в инфраструктуру остаются фишинг и социальная инженерия, то есть человеческий фактор, считает Владимир Дрюков. «Устойчивость к таким атакам никак не связана с размерами банка, а напрямую зависит от культуры повышения осведомленности в организации. Хотя стоит отметить, что большая техническая оснащенность крупных банков позволяет эффективнее выявлять атаки на более поздних стадиях и противодействовать им», — пояснил он.
По мнению Group-IB, большинство финансовых организаций, ставших жертвами хакерских атак, не имело плана реагирования на них, не могло в сжатые сроки мобилизовать работу профильных подразделений, организационно и технически противостоять действиям атакующих. Эксперты отметили низкий уровень подготовки персонала: в 70% организаций профильные навыки по поиску следов заражения и несанкционированной активности в Сети отсутствуют или недостаточны. Столько же не имеют четких процедур по самостоятельному выявлению вредоносного ПО, а в 60% пострадавших банков не способны централизованно и оперативно сменить пароли.
Халатность сотрудников — еще одна причина уязвимости банков. Не менее 17% компаний, которые среагировали на инцидент, подверглись повторной атаке в течение года после последнего заражения. «В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций по устранению последствий киберинцидента, — отмечается в сообщении Group-IB. — Кроме того, в течение 2018 года у 29% организаций финансового сектора были обнаружены активные заражения, о существовании которых внутренняя служба информационной безопасности ранее не подозревала».
Впрочем, ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов считает, что российские банки «довольно хорошо» защищены от кибератак. «Исследование 2018 года показало, что в 84% финансовых организаций описаны политики безопасности и 69% уверены в компетенции своих ИТ-специалистов», — отметил он. По его словам, большое количество банков, участвующих в опросе (42%), видят опасность в атаках не на них самих, а на их клиентов, например с помощью фишинга и социальной инженерии.
В Сбербанке считают, что банковская отрасль «лучше готова к кибератакам по сравнению с большинством других российских отраслей», сообщил представитель этого банка. Он напомнил, что крупнейшие игроки российского рынка активно инвестируют в кибербезопасность. «Наибольший риск для клиентов банков мы видим в появлении новых способов социальной инженерии. SOC Сбербанка (центр реагирования на киберинциденты. — РБК) ежедневно фиксирует вредоносные и фишинговые рассылки. За 2018 год зафиксировано более 600 тыс. электронных писем, содержащих фишинг и вредоносные вложения. В среднем в 2018 году Сбербанк фиксировал 1-2 DDoS-атаки на свои системы каждую неделю. Всего за 2018 год отражено 96 DDoS-атак, около 20 из них — это атаки высокой мощности», — отметил он.
Представитель Промсвязьбанка также считает, что крупные и средние банки достаточно хорошо подготовлены к отражению кибератак и имеют хорошо организованную систему обеспечения информбезопасности. Активность кибермошенников остается стабильно высокой, уверен директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. По его словам, основная цель хакеров — это платежные системы и шлюзы, в которых обрабатываются платежи. «Достаточно создания одной нелегитимной транзакции, чтобы обеспечить огромные потери для кредитной организации, именно поэтому мы тратим большое количество усилий, чтобы сохранять деньги как клиентов, так и наши», — добавил Касимов.
Директор департамента информационной безопасности банка «Открытие» Владимир Журавлев отметил, что чаще всего киберпреступники проводят целевые атаки с использованием рассылок вредоносного программного обеспечения.
Начальник управления по обеспечению информационной безопасности банка ВТБ Серей Пазизин сообщил, что наибольшую угрозу для банков представляют целевые атаки, при проведении которых злоумышленники собирают информацию о системах защиты банка, создают специальные инструменты для их взлома и ищут сообщников внутри персонала. «В этих условиях риски взлома имеются даже при наличии высокоорганизованной и технически оснащенной системы защиты», — подчеркнул он.
Аналитик группы компаний InfoWatch Сергей Хайрук указал, что банковская сфера в России традиционно считается лидером в части применения технологий информационной безопасности. «Банки, как никто другой, понимают ценность хранимой и обрабатываемой информации, готовы инвестировать в технические средства защиты и внедрение лучших организационных практик», — сказал он. Хайрук не согласен с тезисом, что банки слабо защищены, однако отметил, что «вектор угроз и атаки постоянно эволюционируют, поэтому эффективность существующих систем надо повышать постоянно».
Александра Посыпкина, Евгения Чернышова