© ComNews
06.03.2019

Треть российских банков назвали киберинциденты одним из главных рисков отзыва лицензии. Однако больше всего финансовые организации опасаются репутационных (46%) и финансовых (52%) последствий кибератак. Такие выводы делают специалисты Qrator Labs на основе опроса 100 российских банков.

Вчера Qrator Labs (специализируется на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов) представила результаты исследования информационной безопасности в финансовом секторе в 2018 г. Компания опросила сотню банков и платежных систем, работающих в России. Группа респондентов входит в топ-200 по размеру активов. В опросе участвовали руководители ИТ-подразделений, их заместители, а также руководители департаментов, отвечающие за вопросы информационной безопасности.

Крупнейшие игроки отрасли констатируют рост количества попыток кибератак в полтора-два раза по сравнению с годом ранее. Осознание масштаба проблемы и рисков стимулирует увеличение инвестиций большинства банков в системы безопасности.

По данным проведенного опроса, более 40% респондентов из финансовой отрасли увеличили свой ИБ-бюджет в 2018 г., а еще 39% отметили, что его объем не изменился. Напомним, что по итогам аналогичного опроса 2017 г. увеличивали расходы на ИБ более трети респондентов, и еще 39% сохраняли их в прежнем объеме.

Более половины респондентов (55,3%) отметили увеличение своего ИБ-бюджета последовательно с 2016 г. (впервые Qrator Labs представила ежегодное исследование по информационной безопасности в финансовом секторе в 2016 г.). Также 35,3% респондентов увеличивали свой бюджет в 2017 г. и 10,6% респондентов адаптировали свой ИБ-бюджет к растущим угрозам непрерывно на протяжении двух лет.

Чего боятся банки

Более половины опрошенных отмечают в числе наиболее существенных последствий от ИБ-инцидентов финансовые издержки, еще около половины - репутационные. Повышение риска отзыва лицензии фиксирует треть респондентов (годом ранее - около четверти).

Обращает на себя внимание реакция финансовых организаций на введенное в конце мая прошлого года европейское регулирование о защите данных. Около четверти опрошенных банков отмечают, что уже привели свои системы в соответствие с требованиями GDPR (General Data Protection Regulation), и еще около трети планируют реализовать эту задачу в ближайший год.

"Учитывая, что требование GDPR предъявляется не российским законодательством, то есть не подразумевает введение санкций и отзыв лицензии ЦБ, тот факт, что уже четверть банковских систем соответствует нормам европейского регулирования, говорит о высокой заинтересованности банков в работе с клиентами с европейскими паспортами. Самое главное - мы видим, что банки продолжают всерьез относиться к законодательно предписанной безопасности в любом ее виде", - говорит технический директор Qrator Labs Артем Гавриченков.

Что угрожает банкам

Более половины респондентов из финансового сектора отмечают, что за последний год уровень угроз DDoS вырос (аналогичный результат фиксировался и годом ранее). По оценке еще около четверти опрошенных, количество атак оставалось за тот же период неизменным (более трети - годом ранее).

Более половины респондентов указывают на то, что сталкивались с DDoS-атаками за последний год (в прошлом году таковых было 26%). Помимо DDoS, наиболее часто опрошенные компании из финансового сектора сталкиваются с фишингом (46%). Более трети утверждают, что избегали инцидентов ИБ за последний год.

Среди причин, которые могли спровоцировать подобный рост Артем Гавриченков назвал резкое падение курсов всех криптовалют. "DDoS-атаки остаются одним из простейших методов монетизации вредоносного  ПО, будь то зараженные серверы или ботнеты, основанные на персональных компьютерах и телефонах. В 2017 г. у злоумышленников была возможность с определенной выгодой для себя использовать ботнеты и взломанные серверы для майнинга криптовалют. Как известно, основные затраты от майнинга - это электроэнергия, и если доступ к компьютеру получен нелегитимным образом, то за энергию злоумышленнику платить не приходится и криптовалюту он получает "из воздуха" вне зависимости от ее объемов. В 2018 г. не только в связи с падением курсов, но и категорической нестабильностью курса криптовалют для злоумышленников определенную привлекательность вновь обрели "старые добрые" способы зарабатывания на ботнетах - проведение атак с целью вымогательства", - пояснил специалист Qrator Labs.

Типы используемых решений

Как констатируют авторы исследования, на сегодняшний день финансовые организации остаются одним из последних оплотов традиционных моделей разработок внутреннего ПО с периодическими, нечастыми релизами, проходящими проверки безопасности. Вследствие чего такие вопросы, как сопровождение разработки средствами безопасности (такими как WAF, Web Application Firewall), интеграция со средствами разработки, continuous integration, continuous deployment (непрерывная разработка), виртуальный патчинг уязвимостей, - пока перед банками, по большому счету, остро не стоят.

При подходе к выбору решения WAF 68% респондентов ориентируются на решение реально возникающих технологических задач: от защиты от атак "нулевого дня" до контроля безопасности часто обновляемого кода. В то же время для трети респондентов ключевой фактор - формальное соответствие требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard).

Большинство респондентов (65%) считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения либо распределенной сети).

Четверть опрошенных заявляют о том, что не пропускают трафик через внешнее решение. В то же время более 60% подтверждают, что делают это постоянно либо поинцидентно.

Важно отметить, что импортозамещение так и не стало драйвером динамики индустрии. "Ряд организаций, еще год назад указывавших замену импортных систем на отечественные как один из стимулов обновления инфраструктуры, более не видят для себя такого приоритета", - констатируют в Qrator Labs.

Хакеры не теряют интереса к банкам

Команда реагирования Лаборатории компьютерной криминалистики Group-IB провела свое исследование высокотехнологичных киберпреступлений, основанное на анализе проведенных реагирований на инциденты информационной безопасности (Incident Response) в 2018 г. Эксперты Group IB оценили ущерб от кибератак на российскую финансовую сферу за вторую половину 2017 г. - первую половину 2018 г. в 3,2 млрд руб. В среднем каждый месяц в России успешно атаковали один-два банка. По данным Group-IB, средний ущерб от атаки составлял 132 млн руб.

Что касается угроз для клиентов банков в 2019 г., заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин отмечает следующее: "Самые распространенные векторы атак на клиентов банков в настоящее время - это вишинг (телефонное мошенничество), web-фишинг для кражи данных банковских карт, заражение гаджетов мобильными троянами". По его данным, более 80% хищений денежных средств производятся с использованием методов социальной инженерии, при этом вредоносное ПО либо не применяется вообще, либо "участвует" только на одном из этапов хищения.

Старший аналитик отдела развития "Доктор Веб" Вячеслав Медведев основной угрозой для банков в 2018 г. называет неграмотность сотрудников в вопросах кибербезопасности. "От рядовых сотрудников банков - кликающих по ссылкам и запускающих неизвестные вложения, - и до специалистов по информационной безопасности, пренебрегающих простейшими мерами защиты, - говорит он. - Довольно мало компаний устанавливают обновления, настраивают защиту от временно неизвестных угроз. В результате в большом количестве организаций даже после успешно обнаруженных заражений возникают повторные заражения". 

Специалист "Доктор Веб" уверен, что в наступившем году в финансовом секторе сохранятся прежние проблемы: отсутствие грамотной организации защиты от атак, отсутствие внимания руководства к базовым мерам защиты, отсутствие информированности о современных угрозах и мерах защиты от них.

Руководитель отдела аналитики Positive Technologies Евгений Гнедин привел выкладки из недавнего исследования, подготовленного компанией за IV квартал 2018 г. При атаках на финансовую отрасль злоумышленники активно применяют вредоносное ПО (61%) и социальную инженерию (52%). При этом их набольший интерес вызывает инфраструктура финансовых организаций (78%). В топе украденных данных - персональные данные (39%), учетные данные (15%), данные платежных карт (15%) и коммерческая тайна (15%).

По данным Positive Technologies, наиболее распространены в дарквебе объявления о продаже учетных данных пользователей к различным сервисам (59%). Среди учетных записей наибольшую ценность для злоумышленников представляют логины и пароли пользователей платежных систем, онлайн-банков и криптовалютных бирж. Пароли от популярных онлайн-магазинов, таких как Ebay или Amazon, также пользуются спросом, ведь в личных кабинетах пользователей обычно уже привязаны банковские карты, что позволяет преступникам совершать покупки за чужой счет, или они используют эти торговые площадки для того, чтобы обналичить деньги с украденных банковских карт путем покупки товаров от чужого имени и их дальнейшей перепродажи.

Как указывают в Positive Technologies, большая часть учетных данных продаются по цене до $10. Учетные данные для доступа к личным кабинетам в онлайн-банках продаются поштучно; при средней цене доступа в $22 счета имеют баланс от нескольких десятков долларов до десятков тысяч.

Евгений Гнедин полагает, что тенденция к росту атак, направленных на хищение данных, скорее всего, сохранится в наступившем году. "Преступники продолжат атаковать слабозащищенные ресурсы для кражи персональных, медицинских, платежных данных. Вредоносное ПО для сбора платежных данных с веб-сайтов, POS-терминалов и банкоматов будет активно развиваться", - прогнозирует он.

"Лаборатория Касперского" наблюдала всплеск атак на финансовые учреждения России в IV квартале 2018 г. Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов отметил, что ландшафт угроз для банков в прошлом году не претерпел значительных изменений. "Наиболее часто финансовые организации сталкивались с атаками вредоносного ПО, фишингом, атаками на клиентов банка, атаками на банкоматы и т.д.", - перечислил он.

Специалист "Лаборатории Касперского" отметил, что в последние несколько месяцев существенно увеличилось количество мошенников, полагающихся не на техническую грамотность, а на социальную инженерию и доверчивость пользователей. Он связывает это со снижением входного барьера для злоумышленников - в Darknet сейчас можно найти сотни инструментов для кибератак, для осуществления которых не требуется глубоких технических знаний.

Среди основных угроз для банков, которые будут присутствовать в 2019 г., Сергей Голованов назвал те же, что и в 2018 г. Однако он добавил, что с повышением цифровой и финансовой грамотности пользователей количество массовых несложных атак начнет снижаться, а в целевых атаках будут применять все более сложные техники, из-за чего их будет трудно обнаружить.

Глава представительства Check Point Software Technologies в России и СНГ Василий Дягилев, ссылаясь на опрос Check Point 2019 Security Report, сообщил о том, что 66% респондентов назвали фишинг главной угрозой организаций. При этом 53% опрошенных указали на утечку данных, 34% - на DDoS-атаки и только 16% назвали криптомайнинг. При этом криптомайнинг был самой активной угрозой: в 2018 г. они атаковали 37% компаний по всему миру, однако только один из пяти ИТ-специалистов по безопасности знал о заражении сетей своей компании криптомайнерами. 

"Мы видим, что атаки становятся более скрытными, многофункциональными и многовекторными - они нацелены на ПК, мобильные устройства и IoT-устройства. Сфера активно внедряет мобильные разработки, что вызывает интерес злоумышленников - 33% организаций по всему миру подвергались атакам мобильного вредоносного ПО.  Через незащищенные мобильные устройства вредоносное ПО может проникать в облачные или локальные сети, однако 91% ИТ-специалистов не считают мобильные угрозы серьезным риском безопасности", - говорит Василий Дягилев.