Финансовые организации являются частыми мишенями как для кибер-мошенников, ищущих наживы, так и для прогосударственных хакерских групп, специализирующихся на диверсиях и шпионаже. Ущерб от успешно проведенных кибератак грозит значительными денежными и репутационными потерями. Сегодня компании сталкиваются с новыми вызовами, связанными с переходом к облачной ИТ-инфраструктуре и обеспечением кибербезопасности сотрудников, работающих на дому из-за карантина. О том, как следовать современным трендам в сфере кибербезопасности изданию Вести.Ru рассказала Екатерина Пухарева, руководитель отдела информационной безопасности QIWI.
– Какие киберугрозы для компаний актуальны в текущем году?
– В этом году популярным у хакеров остается фишинг – при минимальных затратах у кибер-мошенников он крайне эффективен. Активно используется даже тема пандемии коронавируса. В конце марта была выявлена фишинговая рассылка от имени Всемирной организации здравоохранения про способы излечения от коронавируса. Популярны и другие темы – отмена или перенос мероприятий, информация о возврате денежных средств за покупку авиабилетов и бронирование отелей. Злоумышленники весьма изобретательны.
Например, фишинговые атаки используют такие известные хакерские группировки, как Cobalt Group и Silence. После реализации фишинговой рассылки и как следствие заражения системы, хакер пытается закрепиться, поднять себе привилегии, а также получить как можно больше информации об инфраструктуре.
Основная его цель – компрометация тех или иных финансовых систем, например, автоматизированного рабочего места клиента Банка России (АРМ КБР) или международной межбанковской системы финансовых каналов связи (SWIFT), которые являются самыми распространенными в банках.
По известному сценарию идут APT-группировки, с атаками которых мы уже сталкивались. А вот алгоритм действий новой группировки мы не узнаем до первого инцидента.
– В Сети можно найти всевозможные хакерские инструменты – порой те, кто их создает, предлагают даже настройку вируса под конкретного «клиента». Можно ли говорить о том, что вирусы стали доступнее для злоумышленников без специальных навыков? Насколько серьезна угроза от таких хакеров-новичков для поставщиков финансовых услуг?
– Основные инструменты хакерских атак за последние пять лет если и эволюционировали, то незначительно. Поэтому масштаб угрозы для бизнеса определяется не степенью сложности атаки, а уровнем защищенности компании. Основной принцип такой: атака будет успешной, если объем инвестиций в нее окажется меньше, чем выгода от ее реализации.
Поэтому, если компания не фокусируется на информационной безопасности, успешно ее атаковать может и хакер-новичок. Если защита бизнеса на приемлемом уровне, опасными будут уже более сложные атаки, но с типовыми инструментами. Именно с типовыми – которые можно купить или скачать в готовом виде, но не создать самостоятельно. А когда компания вкладывает достаточно ресурсов в безопасность, большинства атак от хакеров-новичков ей можно не бояться.
– Каким уровнем грамотности в сфере кибербезопасности должны обладать сотрудники компаний и ИБ-специалисты? В QIWI ведется кадровая подготовка?
– Чтобы защищать те или иные ИТ-продукты, нужно понимать, как они создаются и работают. Именно поэтому наш основной подход в QIWI — растить внутренние кадры из других отделов ИТ. Две трети нашего отдела ИБ изначально были программистами, системными администраторами, или специалистами технической поддержки.
Это подход, типичный для любой крупной корпорации. У нас это выглядит как внутренний институт обучения и карьерного продвижения, где из младшего инженера дежурной смены можно стать ведущим специалистом ИБ. Такой путь занимает в среднем три года.
Мы практикуем также обмен опытом между специалистами ИБ в нашей группе компаний, постоянно обмениваемся экспертизой и объединены общей политикой, которую формирует платежный сервис QIWI.
– Из чего складываются и как снизить финансовые риски, связанные с нарушениями кибербезопасности?
– Финансовые риски в области информационной безопасности складываются из прямых, косвенных и репутационных потерь, штрафов и потенциальной потери лицензии.
Несмотря на то, что опасаются обычно прямых потерь, на деле они несут наименьшую угрозу – в отличие от косвенных и репутационных рисков. Последние страшны по-настоящему – потерей доверия к бизнесу и оттоком клиентов.
Снижаются риски комплексной работой в разных направлениях по единому принципу: экстраполяции выводов по случившимся инцидентам в отрасли на текущую ситуацию и оценки материального веса рисков. А на основе этого уже строится план инвестиций в дальнейшую защиту от аналогичных кибератак.
Основная сложность в оценке рисков ИБ в невозможности объединить их разные категории в единый рисковый потенциал. Поэтому приходится прогнозировать уровень каждого типа риска отдельно и строить многофакторную гибкую стратегию дальнейшего усиления безопасности бизнеса.
– Как обеспечивается необходимый уровень безопасности сотрудников, работающих удаленно?
– Для большинства крупных IT- и финансовых компаний удаленный режим работы не стал ни новинкой, ни серьезной угрозой безопасности – так произошло и в нашем случае. К переходу на удаленную работу мы были готовы, потому что исповедуем принципы мобильных рабочих мест, практиковали такой формат работы раньше и уделяем большое внимание защищенности клиентских устройств.
Основным нашим принципом организации удаленной работы стало обеспечение уровня защищенности home office, идентичного офисному. Для этого мы придерживаемся модели Zero Trust: доверяй, но проверяй. После проверки аутентификационных данных пользователя, включая двухфакторную аутентификацию, производится верификация устройства пользователя. Мы получаем информацию об устройстве, проверяем его на соответствие политикам и, если все в порядке, предоставляем доступ во внутреннюю сеть QIWI.
– Какие преимущества дает MDATP, которой вы пользуетесь?
– Microsoft Defender помог нам объединить несколько endpoint-решений. Он заменил нам антивирус и решение класса EDR (Endpoint Detection and Response). Defender решает целый комплекс задач: защищает рабочие станции и серверы от угроз ежедневно, выявляет и предотвращает атаки. В ряде случаев позволяет митигировать 0-day уязвимости (уязвимости, для которых нет исправлений), например, недавно помог нам закрыть уязвимость RCE в SMB-протоколе на рабочих станциях.
И так как это технология Microsoft, то мы легко можем настроить интеграцию с другими решениями Microsoft, которые используем в работе, а также не бояться проблем совместимости агента и операционной системы.
– Чем грозит неверное реагирование при наступлении кризисной ситуации?
– Основная опасность неверного реагирования – потеря времени. Чем дольше поиск и реализация верных шагов, тем больше шансов у злоумышленника развить или завершить атаку, а у бизнеса – получить материальный и репутационный ущерб.
Поэтому точные и оперативные действия при обнаружении атаки позволяют, во-первых, максимально быстро изолировать хакера от систем бизнеса и не дать ему завершить атаку, а во-вторых, получить максимальное количество улик, которые позволят расследовать инцидент.
– Как оценить направления, по которым необходимо укреплять защиту финансовым организациям?
– Информационная безопасность – это совокупность направлений защиты бизнеса, куда входит обеспечение безопасности продуктов, инфраструктуры и комплаенс. К оценке направлений киберзащиты стоит подходить комплексно и привлекать к оценке третью сторону. Для оценки можно использовать, например, методику из международного стандарта ISO/IEC 27001.
Особенность информационной безопасности в том, что если защита хоть одной из областей на низком уровне, риски растут сразу по всем направлениям. Поэтому ключ к защите бизнеса – это работа над ней во всех областях.
Лучшей стратегией при невозможности одновременно обеспечить максимальную защиту во всех направлениях станет развитие безопасности каждого из направлений до приемлемого уровня. Этот урок мы в QIWI усвоили около 5 лет назад, когда сконцентрировались на одном направлении, и больше такой ошибки не совершаем: теперь наш приоритет – развивать уровень защиты комплексно.
– Каков средний срок жизни установленных в компаниях ИБ-систем: когда их нужно менять? Контроль за обновлениями в QIWI это трудоемкий процесс?
– Четко определенного срока жизни систем безопасности как такового нет. Например, если классическая система крупного вендора регулярно обновляется, дорабатывается и развивается. Поэтому, если вы корректно выбрали продукт, возможно, вам и не придется его менять очень долгое время.
Но при этом существует понятие морального устаревания систем: иногда вендор предпочитает выпускать аналоги старых продуктов, а не дорабатывать их. Поэтому средний срок жизни системы информационной безопасности можно оценить в 3-5 лет. Но бывают исключения – как в сторону более долгой, так и более короткой жизни продукта.
Да, контроль за обновлениями систем в QIWI – процесс трудоемкий. Все дело в крайне высокой скорости обновлений и большим парком систем – то есть, если поддерживать процесс обновлений всех систем непрерывным, бизнесу придется заниматься только этим.
Чтобы обновление не затронуло функциональность платежной системы, нужно его протестировать. При этом, проверка наличия обновления и их установка — постоянный процесс, поэтому необходима его автоматизация. Это всегда вопрос баланса между снижением рисков безопасности и поддержанием системы в целевом состоянии.
Поэтому мы в QIWI допускаем существование ряда уязвимостей на наших системах – но только в случае, если мы о них знаем. В этом и суть принципа обновлений: необходима изначальная оценка всего комплекса систем и статуса каждой из них. И при верной оценке критичности уязвимостей наличие временно необновленного программного обеспечения иногда приемлемо. То есть, например, в целом уязвимость может быть критичной, но именно для вас – незначительной. Тогда и приоритеты будут строиться от бизнес-задач.
– Какие задачи должен решать корпоративный центр мониторинга и реагирования на инциденты информационной безопасности?
– Security Operations Center состоит из процессов, команд и технологии, нацеленных как можно быстрее выявить и предотвратить атаку. Основная задача команды при этом – выстроить процессы реагирования на инциденты, опираясь на потребности бизнеса, обеспечивая при этом проактивную и реактивную защиту. При этом ключевыми в эффективности центра мониторинга будут именно команда и процессы – без них любые технологии и средства безопасности будут неэффективны.
– На что ориентируются компании, формируя свой бюджет на кибербезопасность?
В первую очередь на непрерывность существующих в бизнесе процессов обеспечения информационной безопасности. Другой ключевой фактор при формировании бюджета на ИБ – обеспечение такого уровня безопасности бизнеса, который бы отвечал развитию его технологий.
Новые технологии, запущенные в компании, могут требовать специализированных средств защиты, не представленных в стандартном инструментарии. На приобретение, тестирование и адаптацию таких систем зачастую нужны дополнительные ресурсы.
– Какие технологии в сфере ИБ-решений для компаний можно выделить в тренды этого года?
– Один из главных трендов – продукты типа Security Orchestration, Automation and Response (SOAR), которые позволяют автоматизировать процессы и сократить участие человека в повторяющихся задачах реагирования на инциденты информационной безопасности.
При этом, помимо популярных ИБ-технологий, не стоит забывать о новых технологиях в ИТ и их защите. Пример такой технологии – big data. Продукты и решения на основе больших данных сейчас развивает большинство бизнесов, а они предполагают массовый доступ к чувствительной информации о пользователях, которую необходимо защищать.
– Какие стандарты по информационной безопасности должны соблюдать компании, работающие в финансовом секторе в России? Какие законы регламентируют ответственность компаний перед регуляторами?
– Если компания обрабатывает данные платежных карт, необходимо соблюдение требований стандарта PCI DSS. Также ряд компаний принял обязательным к исполнению комплекс стандартов Банка России СТО БР ИББС, стандарты ISO/IEC 27001, ISO/IEC 27005 и ряд других.
Значительные штрафные санкции могут применяться со стороны платежных систем к сервис-провайдерам и торгово-сервисным предприятиям, не прошедшим оценку и сертификацию на соответствие требованиям стандарта PCI DSS.
Федеральный закон № 152 (“О персональных данных”) наделяет уполномоченный орган по защите прав субъектов персональных данных правом привлекать к ответственности компании за нарушение требований по защите данных пользователей. А уголовный кодекс защищает от незаконного – без согласия клиентов – распространения сведений об их частной жизни, составляющих личную или семейную тайну.
Для компаний, предоставляющим финансовый сектор, важно соблюсти баланс между требованиями бизнеса и соблюдением закона – например, сделать сервис удобным для пользователя, при этом не собирать лишние персональные данные.
- Подготовил Александр Шаляпин