Технологии безопасности. Чтобы предотвратить атаки киберпреступников, необходима адекватная защита сетей банка
Экспертный комментарий Якова Ставринова, руководителя направления по работе с кредитно-финансовыми организациями компании "Аладдин Р.Д."
Общие потери от кибератак как в мире, так и в России растут год от года. В нашей стране ущерб, нанесённый хакерскими атаками банковской сфере, достиг порядка 1 млрд рублей. Российскую инфраструктуру в течение 2016 года хакеры атаковали 70 млн раз. При этом чаще остальных хакерским атакам подвергаются банковские сети. Естественно, что все это выводит на первый план вопросы, связанные с обеспечением безопасности банковских сетей и информационных систем.
Силовики сэкономили банкам 3 млрд рублей
За последние несколько лет киберпреступники нанесли своими действиями ущерб на сумму порядка 1 трлн долларов по всему миру. Такие данные привёл заместитель начальника центра безопасности связи Федеральной службы безопасности РФ Николай Мурашов, выступая в рамках конференции "Инфофорум-2017" в начале февраля текущего года. "Сумма потерь составляет 0,4–1,5% мирового ВВП и постоянно увеличивается. И эти показатели имеют тенденцию к неуклонному росту", – подчеркнул Николай Мурашов.
В своём выступлении эксперт сослался на атаки на южнокорейские финансовые организации, повлекшие сбои в работе банков, упомянул инцидент, ставший причиной нарушения функционирования доменной печи в Германии, а также масштабную DDoS-атаку на телекоммуникационную компанию Deutsche Telekom.
Как отметил Николай Мурашов, ущерб, причинённый информационной инфраструктуре, может привести к настоящим катастрофам. "Именно эта инфраструктура является связующей между разными секторами национальной инфраструктуры, поэтому её повреждение отражается абсолютно на всем. При этом атаки, совершенные в преступных, разведывательных и террористических целях отдельными лицами, организациями, спецслужбами и хакерскими сообществами, представляют для мира практически равную опасность", – сказал замглавы центра безопасности связи ФСБ. По его мнению, бизнес должен осознать ответственность за нарушение управления бизнес-процессами, которое может повлечь за собой эффект домино.
"За 2016 год МВД России возбудило около 6 тыс. уголовных дел по преступлениям в сфере информационных технологий, 38% из них – по факту совершения мошеннических действий", – привёл статистику на "Инфофоруме-2017" начальник бюро специальных технических мероприятий МВД России Алексей Мошков. По его словам, чаще всего целью злоумышленников становятся данные граждан, необходимые для дистанционного управления их банковскими счетами. "Также участились случаи кибератак на банки. Современные хакеры объединяются и действуют в составе преступных группировок. За последние полтора года полицейским из Управления "К" удалось раскрыть деятельность двух таких групп и предотвратить хищения на общую сумму более 3 млрд рублей", – сообщил Алексей Мошков. Приведённая статистика наглядно демонстрирует уязвимость банковских систем перед киберпреступностью. Несмотря на усилия по обеспечению информационной безопасности, зачастую кибератаки проходят успешно, и в руках преступников оказываются личные данные и средства клиентов, а финансовому состоянию и репутации банков наносится существенный ущерб. Чтобы защититься от киберпреступников, финансово-кредитные организации разрабатывают собственные системы защиты информации, оптимизируя процессы обмена файлами внутри банка, и используют специальные системы идентификации, определяющие наличие прав на доступ к информации, для защиты внутренней сети банка наряду с мощными антивирусами и специальными аппаратными модулями безопасности.
При этом, помимо работы внутренних служб информационной безопасности банков, страхования подобных рисков и разработки новых систем защиты, крайне важным остаётся участие государства в решении проблем кибербезопасности. Потому что невозможно эффективно бороться с хакерами, если постоянно не совершенствовать в этом плане законодательство. "Например, повысить общий уровень защищённости инфраструктуры и обеспечить условия для предотвращения компьютерных преступлений призван пакет законов о критической информационной инфраструктуре", – сообщил председатель комитета Государственной Думы по информационной политике, информационным технологиям и связи Леонид Левин, выступая на "Инфофоруме-2017". Он напомнил, что проекты этих законов Госдума приняла в первом чтении в конце января. Документы были разработаны в соответствии с новой Доктриной информационной безопасности РФ.
Сетевая безопасность
Безопасность информационных систем включает в себя две составляющие: безопасность компьютера и безопасность сети. В первом случае компьютер рассматривается как автономная система, поэтому безопасность здесь обеспечивается средствами операционных систем и приложений и встроенными аппаратными средствами компьютера.
Сетевая безопасность предполагает защиту данных в момент их передачи по линиям связи и защиту от несанкционированного удалённого доступа в сеть. Безусловно, проблемы компьютерной и сетевой безопасности очень тесно связаны, однако при этом каждая из них имеет свои особенности.
Эксперты выделяют различные виды основных сетевых угроз. Во-первых, это вирусные атаки, с которыми, по статистике, связано до 70% всех сетевых инцидентов. Во-вторых, рассылка спама. В-третьих, атаки типа "отказ в обслуживании". Наконец, атаки с использованием уязвимостей ПО открытых информационных сервисов, ошибок программирования и настройки.
Организуя меры обеспечения сетевой безопасности, банки строят защиту корпоративных информационных ресурсов от проникновения и кражи данных, постоянно контролируют все события в сетевой инфраструктуре, обнаруживая сбои в работе оборудования, анализируют их причины. Системы работают по принципу проактивной защиты – речь идёт о том, что потенциальные конфликты и угрозы ликвидируются ещё до их появления. Это обеспечивает постоянную доступность корпоративных сетей, сервисов и приложений, увеличивает скорость коммуникаций и выполнения задач, повышает мобильность сотрудников и служит эффективной защитой от большинства современных киберугроз.
Существуют некоторые базовые технологии для обеспечения безопасности сетей: это антивирусы, межсетевые экраны (Firewall), виртуальные частные сети (VPN), системы обнаружения и предотвращения сетевых вторжений (IDS/IPS), системы противодействия DDoS-атакам, средства обнаружения сетевых аномалий, управление доступом в сети. Защита от вирусов является одним из средств предотвращения утечек конфиденциальной информации, в том числе и персональных данных, – вирусы, "черви" и другие вредоносные программы часто занимаются воровством информации и организуют скрытые каналы утечки. Современные антивирусные решения включают в себя не только сигнатурную защиту, но и более современные средства, такие как поведенческий анализ программ, экраны уровня приложений, контроль целостности критических для операционной системы данных и другие методы защиты рабочих мест и серверов. Корпоративная сеть должна быть защищена не только от вирусных, но и от целенаправленных сетевых атак. Для этого достаточно поставить систему блокировки неиспользуемых сетевых протоколов и сервисов, что и делает межсетевой экран.
Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией. В их основе лежат различные принципы работы, но при правильной настройке оба типа устройств обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещённого трафика. Кроме того, также есть межсетевые экраны нового поколения (Next-Generation Firewall, NGFW), которые наряду с традиционным функционалом Firewall могут выполнять и ряд других функций.
Система обнаружения вторжений (IDS – Intrusion Detection System) – это решение, обеспечивающее мониторинг событий, происходящих в информационной системе, и их анализ на наличие признаков вторжения в систему: нарушения конфиденциальности и целостности информации и других правил политики информационной безопасности. Система предотвращения вторжений (IPS – Intrusion Prevention System) – решение, которое обеспечивает блокировку выявленных вторжений.
Использование средств IDS/IPS позволяет финансово-кредитной организации достичь нескольких целей. Во-первых, обнаружить сетевую атаку и спрогнозировать возможные будущие атаки для предотвращения их дальнейшего развития. Во-вторых, выполнить документирование обнаруженных атак. В-третьих, обеспечить контроль качества администрирования сетей с точки зрения безопасности. Наконец, определить расположение источника атаки по отношению к атакуемой сети или узлу.
Мнение эксперта
Яков Ставринов, руководитель направления по работе с кредитно-финансовыми организациями компании "Аладдин Р.Д."
На сегодняшний день рынок информационной безопасности располагает большим количеством решений для обеспечения безопасности банков. Однако количество угроз растёт с каждым годом. Отметим, что за последнее время вектор атак сместился с клиентов банков на сами банки. Теперь основной целью злоумышленников (хакеров) чаще всего является доступ к критически важным банковским системам. При этом атаки нацеливаются на конкретные банки (с учётом их специфики).
Как же повысить безопасность при целевых атаках? Не секрет, что большое количество финансовых учреждений до сих пор используют для доступа в свои системы пару "логин + пароль", что значительно упрощает злоумышленникам задачу в ходе подготовки и проведения атаки. Кибермошенники собирают учётные данные (и не только) как рядовых сотрудников банков, так и привилегированных, а далее по схеме со всеми вытекающими последствиями.
Безусловно, решений много, и все они по-своему хороши, однако в связи с этим нужно особо отметить необходимость использования систем раннего предупреждения киберугроз. Но начинать придётся все равно с защиты той информации, которая представляет особый интерес для любого злоумышленника – это аутентификационные данные (на их основе строятся системы разграничения доступа, определяются привилегии в системах и т.п.).
Для того чтобы обеспечить защиту от угроз, а также выполнение требований информационной безопасности, как банкам, так и регулирующим органам необходимо использовать широкий комплекс мер – как технических, так и организационных. В качестве средства идентификации и аутентификации, хорошо зарекомендовавшего себя на рынке, можно сослаться на "Электронное удостоверение" на базе JaCarta, которое представляет собой смарт-карту с неизвлекаемым закрытым ключом "на борту" и объединяет функциональность нескольких карт и пропусков.