© ComNews
13.12.2017

Больше половины банков и страховых компаний России и стран СНГ увеличили бюджет на информационную безопасность в 2016-2017 гг. Это следует из исследования компании VMware и аналитического центра TAdviser. Более двух третей респондентов считают потерю или хищение данных главными рисками при миграции в облачную среду. При этом больше половины финансовых организаций не используют никаких решений по управлению мобильными устройствами, что теоретически может привести к утечке корпоративных данных.

Больше половины (52%) банков и страховых компаний России и стран СНГ увеличили бюджет на информационную безопасность в 2016-2017 гг. из-за роста киберугроз и активности вредоносных программ. Это следует из отчета, подготовленного компанией VMware и аналитическим центром TAdviser.

В исследовании приняли участие руководители ИТ-департаментов, их заместители, а также руководители со стороны служб ИБ 50 крупных банков и страховых компаний России и стран СНГ. Исследование проводилось в июле-августе 2017 г. в формате телефонных интервью.

Большинство респондентов (80%) подтвердили, что за последний год количество угроз информационной безопасности для корпоративного сектора ощутимо выросло. При этом 16% признали сохранение прежнего уровня киберпреступности. Исследователи выяснили, что больше половины (52%) компаний увеличили бюджет на защиту. Глава представительства Avast в России Алексей Федоров положительно оценил увеличение бюджетов на информационную безопасность среди банков и страховых компаний. По его словам, это говорит о позитивном развитии, ведь кибератаки стали сложными и финансово обусловленными.

Половина респондентов назвали репутационные и финансовые потери критическими последствиями от инцидентов ИБ в финансовых организациях. Примечательно, что почти треть (28%) опрошенных опасаются мер со стороны регуляторов (например, отзыва лицензий) из-за атаки или утечки данных. При этом в компании VMware сообщили, что статистики по свершившимся фактам принятия мер в отношении банков у них нет. Представители компании пояснили, что финансовые организации заинтересованы в том, чтобы скрыть данную информацию. Генеральный директор компании "Облакотека" Максим Захаренко согласился с этой позицией. Он считает, что сокрытие фактов атак объясняется заботой о репутации. При этом эксперт центра мониторинга и реагирования на кибератаки Solar JSOC Алексей Павлов заметил, что успешная атака на банк не является основанием для отзыва лицензии.

"Главная угроза финансовой организации в России - это несоответствие жесткому регулированию (легализация, вывод за рубеж, финансирование нелегальной деятельности - Прим. ComNews) с последующим отзывом лицензии. Это такой "олдскул" и попытка все контролировать", - считает Максим Захаренко из "Облакотеки".

По его словам, современные финансовые сервисы невозможны без использования облачных сервисов, как минимум для проведения глубокой аналитики. Однако у более двух третей (70%) опрошенных компанией VMware существуют опасения на этот счет. Они назвали потерю или хищение данных главными рисками при миграции в облачную среду. Однако представитель компании Avast заверил, что при правильном подходе с обеспечением высокого уровня безопасности облачные среды представляют минимальный риск. Самыми распространенными угрозами компании финансового сектора считают DDoS-атаки (28%). Среди других угроз респонденты отметили фишинг (26%) и атаки шифровальщиков (10%).

Парадоксально, но больше половины финансовых организаций (53%) не используют никаких решений по управлению мобильными устройствами, что в результате может привести к утечке корпоративных данных.

"Если провести анализ даже не средств управления мобильными решениями, а средств их защиты, то выяснится, что количество их закупок в России исчисляется в лучшем случае десятками в год, максимум - сотнями", - отметил ведущий аналитик отдела развития "Доктор Веб" Вячеслав Медведев. При этом, отметил он, подавляющее большинство организаций России в лучшем случае заявляют, что мобильные устройства у них запрещены, и продолжают ими пользоваться. "Причин данной ситуации множество, в том числе и сложности управления "зоопарком" мобильных устройств и выполнения требований закона о персональных данных", - считает Вячеслав Медведев. 

При этом взломы аккаунтов клиентов онлайн-банков и мобильных приложений происходят постоянно. По данным исследователей Check Point, в 2017 г. банковские трояны неоднократно попадали в топ-10 самых активных вредоносных программ по всему миру. Технический директор Check Point Software Technologies в России и СНГ Никита Дуров объяснил, что с помощью этих зловредов злоумышленники заставляют пользователей вводить данные для входа в аккаунт на фейковых страницах, а затем используют данные для кражи денег со счетов.

По данным Group-IB, ущерб от банковских троянов под Android в России вырос на 136% и составил $13,7 млн. Специалисты компании сравнивали период со второго полугодия 2016 г. по первую половину 2017 г. с периодом второго полугодия 2015 г. по первую половину 2016 г. Таким образом, как сообщил заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин, он перекрыл ущерб от троянов для персональных компьютеров на 30%.

"Рост популярности криптовалют подстегнул трансформацию хакерских группировок в серьезный бизнес и переместил фокус внимания с традиционных банков на криптофонды: средний заработок с такой атаки составляет $1,5 млн", - заметил заместитель директора по развитию компании "Айдеко" Дмитрий Хомутов.

Директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов сообщил о росте числа атак на АТМ (логических атак на банкоматы) в России и странах СНГ. Их целями становятся крупные игроки банковского рынка.

"Либо вендоры организуют Bug Bounty и будут платить за найденные уязвимости в своих продуктах достаточно, либо на "черном" рынке будет много 0-days (термин, обозначающий неустраненные уязвимости, а также вредоносные программы, против которых еще не разработаны защитные механизмы - Прим. ComNews)", - считает директор департамента информационной безопасности компании "Сервионика" Василий Степаненко. Он привел в пример предположение Group-IB в отношении того, что в будущем злоумышленники помимо кражи денег будут заметать следы путем полного разрушения ИТ-инфраструктуры. 

Опрошенные корреспонедентом ComNews представители компаний, занимающихся решениями в области ИБ, поделились статистикой о потерях финансового сектора от киберпреступлений. Как отметил Максим Захаренко из "Облакотеки", кражи средств клиентов составили сотни миллионов рублей в год. Дмитрий Хомутов из "Айдеко", оценивая потери российской банковской системы из-за атак на информационные системы, назвал ту же цифру. По данным технического директора Eset Russia Виталия Земских, финансовые потери российских банков составили 3 млрд руб. в 2017 г. 

По оценкам Group-IB, ущерб от кибератак на российскую финансовую сферу за два года (со второго полугодия 2015 г. по первое полугодие 2017 г.) составил $117,3 млн. Эта сумма складывается из хищений в интернет-банкинге с использованием вредоносных программ, целевых атак на банки, хищений у физических лиц с Android-троянами.

При этом в период со второго полугодия 2016 г. по первую половину 2017 г. Group-IB зафиксировала снижение целевых атак на банки в России (-35%) и хищений в интернет-банкинге у юридических лиц (-35%). Количество преступных групп, которые специализировались на хищениях у юридических лиц в России (и, как следствие, количество атак) уменьшилось практически в два раза по сравнению с прошлым периодом. При этом, как сообщил специалист Group-IB, атакующие стали более тщательно подбирать жертв.

Алексей Федоров из Avast прогнозирует рост как целевых атак, связанных с распространением программ-вымогателей, так и переход на шпионаж. "Основные векторы атак на финансовый сектор в ближайшей перспективе не изменятся: человеческий фактор (социальная инженерия), атаки на банкоматы и системы ДБО", - считает технический директор Eset Russia. Специалист "Доктор Веб" же видит проблему совсем в другом. По его словам, дело не в новых угрозах, а в том, что компании не знают, зачем им нужны используемые средства защиты и каковы их возможности.

"Первое, что необходимо сделать представителям банковской сферы, провести сегментирование сети и обеспечить защиту банкоматов от логических атак. Для спасения банкоматов существует целый ряд средств защиты и компенсаторных мер, систем мониторинга инцидентов и анализа соответствия стандартам. Однако самый первый шаг к эффективной защите - правильно разработанные модели угроз и нарушителя, которые можно построить только по результатам практического аудита безопасности парка банкоматов. Также необходимо применять превентивные меры для защиты самой банковской сети", - посоветовал Дмитрий Кузнецов из Positive Technologies.

Эффективным ответом на неизвестное вредоносное ПО компания VMware считает модель "нулевого доверия". Речь идет о тех зловредах, которых нет в базах антивирусных компаний. Эта модель стала возможной благодаря использованию программно-определяемых сетей (реализована в решении VMware NSX). Согласно опросу, половина банков и страховых компаний ориентируются на модель "нулевого доверия" при построении ИБ-систем. Однако лишь 4% респондентов уже развернули программно-определяемые сети.

"Модель "нулевого доверия" - действительно эффективный метод, когда речь заходит о мерах обеспечения безопасности, поскольку целенаправленные атаки могут выполняться кем-то внутри компании или вредоносное ПО может проникать в системы и впоследствии быстро распространяться", - считает Алексей Федоров из Avast.

По мнению представителя компании "Облакотека", VMware NSX повысит доверие к распределенной ИТ-инфраструктуре. Максим Захаренко пояснил, что NSX - это сетевая модель, позволяющая распределять ИТ-инфраструктуру любой организации прозрачно по всему миру, включая облачные сервисы.

"Когда в банке рассматривают модели "нулевого доверия", это значит, что система ИБ уже существует, внедрена и функционирует, развивается и меняется. К сожалению, под атакой как раз не такие банки. А банки, которые не выполняют даже рекомендации ЦБ, не ставят своевременные обновления, не выделяют бюджет на ИБ", - считает Сергей Никитин из Group-IB.

По мнению аналитика "Доктора Веба", модель "нулевого доверия" - это минимальные полномочия у всех участников процесса. Вячеслав Медведев отметил, что защита не должна ограничиваться виртуальными машинами. Кроме того, иные вендоры также предлагают в составе своих продуктов системы ограничения полномочий. В случае Dr.Web - это "Офисный контроль".

Руководитель направления защиты ЦОД и виртуальных сред "Лаборатории Касперского" Виталий Мзоков положительно оценил модель "нулевого доверия" компании VMware. "Однако сложные угрозы всегда многокомпонентные и часто используют несколько векторов атак. Поэтому отдельные ИБ-продукты далеко не всегда передают факт обнаружения угрозы на уровень управления инфраструктурой. Мы видим свою миссию в обеспечении надежной интегрированной экосистемы, где построенная на стэке технологий VMware NSX корпоративная инфраструктура работает в тесной связке с нашими решениями, постоянно обменивается телеметрией и умеет в автоматическом режиме подстраиваться под текущий ландшафт угроз", - добавил он.

"NSX это ожидаемый продукт, который безусловно упрочит безопасность финансовых организаций, но отсутствие тех же сертификатов ФСТЭК России и ФСБ России скорее всего будет весомым аргументом для многих организаций при выборе СЗИ. Кроме того, на мой взгляд, в финансовой отрасли РФ все же превалирует риск-ориентированный подход, т.е. не обеспечение безопасности является основополагающим, а первичен бизнес, безопасность которого нужно обеспечить", - отметил Василий Степаненко из "Сервионики".

ИБ-евангелист компании Balabit Чаба Краснаи считает, что финансовым организациям необходимы новые стратегии защиты, поскольку традиционные подходы защиты провалились. Он призвал обратить внимание на модель "нулевого доверия". "Кроме того, некоторые новые методы защиты сегодня становятся более зрелыми - такие как ИИ и аналитика поведения привилегированных пользователей. Их также, на мой взгляд, необходимо начать использовать в оборонной структуре организации как можно скорее", - добавил Чаба Краснаи.

Руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention Денис Горчаков считает, что успешная стратегия защиты подразумевает сбалансированный подход к распределению ресурсов. По его словам, средства должны направляться не только на соответствие требованиям регуляторов, но и на защиту от целевых атак, повышение осведомленности сотрудников о безопасности и расширение базы знаний о специфических для отрасли угрозах.