Финансовые организации являются частыми мишенями как для кибермошенников, ищущих наживы, так и для прогосударственных хакерских групп, специализирующихся на диверсиях и шпионаже. Ущерб от успешно проведенных кибератак грозит значительными денежными и репутационными потерями. Сегодня компании сталкиваются с новыми вызовами, связанными с переходом к облачной ИТ-инфраструктуре и обеспечением кибербезопасности сотрудников, работающих на дому из-за карантина. О том, как следовать современным трендам в сфере кибербезопасности, изданию "Вести.Ru" рассказала Екатерина Пухарева, руководитель отдела информационной безопасности QIWI.
– Какие киберугрозы для компаний актуальны в текущем году?
– В этом году популярным у хакеров остается фишинг: при минимальных затратах у кибермошенников он крайне эффективен. Активно используется даже тема пандемии коронавируса. В конце марта была выявлена фишинговая рассылка от имени Всемирной организации здравоохранения про способы излечения от коронавируса. Популярны и другие темы – отмена или перенос мероприятий, информация о возврате денежных средств за покупку авиабилетов и бронирование отелей. Злоумышленники весьма изобретательны.
Например, фишинговые атаки используют такие известные хакерские группировки, как Cobalt Group и Silence. После реализации фишинговой рассылки и, как следствие, заражения системы хакер пытается закрепиться, поднять себе привилегии, а также получить как можно больше информации об инфраструктуре.
Основная его цель – компрометация тех или иных финансовых систем, например автоматизированного рабочего места клиента Банка России (АРМ КБР) или международной межбанковской системы финансовых каналов связи (SWIFT), которые являются самыми распространенными в банках.
По известному сценарию идут APT-группировки, с атаками которых мы уже сталкивались, а вот алгоритм действий новой группировки мы не узнаем до первого инцидента.
– В сети можно найти всевозможные хакерские инструменты – порой те, кто их создает, предлагают даже настройку вируса под конкретного "клиента". Можно ли говорить о том, что вирусы стали доступнее для злоумышленников без специальных навыков? Насколько серьезна угроза от таких хакеров-новичков для поставщиков финансовых услуг?
– Основные инструменты хакерских атак за последние пять лет если и эволюционировали, то незначительно. Поэтому масштаб угрозы для бизнеса определяется не степенью сложности атаки, а уровнем защищенности компании. Основной принцип такой: атака будет успешной, если объем инвестиций в нее окажется меньше, чем выгода от ее реализации.
Поэтому, если компания не фокусируется на информационной безопасности, успешно ее атаковать может и хакер-новичок. Если защита бизнеса на приемлемом уровне, опасными будут уже более сложные атаки, но с типовыми инструментами. Именно с типовыми – которые можно купить или скачать в готовом виде, но не создать самостоятельно. А когда компания вкладывает достаточно ресурсов в безопасность, большинства атак от хакеров-новичков ей можно не бояться.
– Каким уровнем грамотности в сфере кибербезопасности должны обладать сотрудники компаний и ИБ-специалисты? В QIWI ведется кадровая подготовка?
– Чтобы защищать те или иные ИТ-продукты, нужно понимать, как они создаются и работают. Именно поэтому наш основной подход в QIWI — растить внутренние кадры из других отделов ИТ. Две трети нашего отдела ИБ изначально были программистами, системными администраторами, или специалистами технической поддержки.
Это подход, типичный для любой крупной корпорации. У нас это выглядит как внутренний институт обучения и карьерного продвижения, где из младшего инженера дежурной смены можно стать ведущим специалистом ИБ. Такой путь занимает в среднем три года.
Мы практикуем также обмен опытом между специалистами ИБ в нашей группе компаний, постоянно обмениваемся экспертизой и объединены общей политикой, которую формирует платежный сервис QIWI.
– Из чего складываются и как снизить финансовые риски, связанные с нарушениями кибербезопасности?
– Финансовые риски в области информационной безопасности складываются из прямых, косвенных и репутационных потерь, штрафов и потенциальной потери лицензии.
Несмотря на то что опасаются обычно прямых потерь, на деле они несут наименьшую угрозу – в отличие от косвенных и репутационных рисков. Последние страшны по-настоящему – потерей доверия к бизнесу и оттоком клиентов.
Снижаются риски комплексной работой в разных направлениях по единому принципу: экстраполяции выводов по случившимся инцидентам в отрасли на текущую ситуацию и оценки материального веса рисков. А на основе этого уже строится план инвестиций в дальнейшую защиту от аналогичных кибератак.
Основная сложность в оценке рисков ИБ в невозможности объединить их разные категории в единый рисковый потенциал, поэтому приходится прогнозировать уровень каждого типа риска отдельно и строить многофакторную гибкую стратегию дальнейшего усиления безопасности бизнеса.
– Как обеспечивается необходимый уровень безопасности сотрудников, работающих удаленно?
– Для большинства крупных IT- и финансовых компаний удаленный режим работы не стал ни новинкой, ни серьезной угрозой безопасности – так произошло и в нашем случае. К переходу на удаленную работу мы были готовы, потому что исповедуем принципы мобильных рабочих мест, практиковали такой формат работы раньше и уделяем большое внимание защищенности клиентских устройств.
Основным нашим принципом организации удаленной работы стало обеспечение уровня защищенности home office, идентичного офисному. Для этого мы придерживаемся модели Zero Trust: доверяй, но проверяй. После проверки аутентификационных данных пользователя, включая двухфакторную аутентификацию, производится верификация устройства пользователя. Мы получаем информацию об устройстве, проверяем его на соответствие политикам и, если все в порядке, предоставляем доступ во внутреннюю сеть QIWI.
– Какие преимущества дает MDATP, которой вы пользуетесь?
– Microsoft Defender помог нам объединить несколько endpoint-решений. Он заменил нам антивирус и решение класса EDR (Endpoint Detection and Response). Defender решает целый комплекс задач: защищает рабочие станции и серверы от угроз ежедневно, выявляет и предотвращает атаки. В ряде случаев позволяет митигировать 0-day уязвимости (уязвимости, для которых нет исправлений), например недавно помог нам закрыть уязвимость RCE в SMB-протоколе на рабочих станциях.
И так как это технология Microsoft, то мы легко можем настроить интеграцию с другими решениями Microsoft, которые используем в работе, а также не бояться проблем совместимости агента и операционной системы.
– Чем грозит неверное реагирование при наступлении кризисной ситуации?
– Основная опасность неверного реагирования – потеря времени. Чем дольше поиск и реализация верных шагов, тем больше шансов у злоумышленника развить или завершить атаку, а у бизнеса – получить материальный и репутационный ущерб.
Поэтому точные и оперативные действия при обнаружении атаки позволяют, во-первых, максимально быстро изолировать хакера от систем бизнеса и не дать ему завершить атаку, а во-вторых, получить максимальное количество улик, которые позволят расследовать инцидент.
– Как оценить направления, по которым необходимо укреплять защиту финансовым организациям?
– Информационная безопасность – это совокупность направлений защиты бизнеса, куда входит обеспечение безопасности продуктов, инфраструктуры и комплаенс. К оценке направлений киберзащиты стоит подходить комплексно и привлекать к оценке третью сторону. Для оценки можно использовать, например, методику из международного стандарта ISO/IEC 27001.
Особенность информационной безопасности в том, что если защита хоть одной из областей на низком уровне, риски растут сразу по всем направлениям. Поэтому ключ к защите бизнеса – это работа над ней во всех областях.
Лучшей стратегией при невозможности одновременно обеспечить максимальную защиту во всех направлениях станет развитие безопасности каждого из направлений до приемлемого уровня. Этот урок мы в QIWI усвоили около 5 лет назад, когда сконцентрировались на одном направлении, и больше такой ошибки не совершаем: теперь наш приоритет – развивать уровень защиты комплексно.
– Каков средний срок жизни установленных в компаниях ИБ-систем: когда их нужно менять? Контроль за обновлениями в QIWI – это трудоемкий процесс?
– Четко определенного срока жизни систем безопасности как такового нет. Например, если классическая система крупного вендора регулярно обновляется, дорабатывается и развивается. Поэтому, если вы корректно выбрали продукт, возможно, вам и не придется его менять очень долгое время.
Но при этом существует понятие морального устаревания систем: иногда вендор предпочитает выпускать аналоги старых продуктов, а не дорабатывать их. Поэтому средний срок жизни системы информационной безопасности можно оценить в 3-5 лет. Но бывают исключения – как в сторону более долгой, так и более короткой жизни продукта.
Да, контроль за обновлениями систем в QIWI – процесс трудоемкий. Все дело в крайне высокой скорости обновлений и большим парком систем, то есть, если поддерживать процесс обновлений всех систем непрерывным, бизнесу придется заниматься только этим.
Чтобы обновление не затронуло функциональность платежной системы, нужно его протестировать. При этом проверка наличия обновления и их установка — постоянный процесс, поэтому необходима его автоматизация. Это всегда вопрос баланса между снижением рисков безопасности и поддержанием системы в целевом состоянии.
Поэтому мы в QIWI допускаем существование ряда уязвимостей на наших системах, но только в случае, если мы о них знаем. В этом и суть принципа обновлений: необходима изначальная оценка всего комплекса систем и статуса каждой из них. И при верной оценке критичности уязвимостей наличие временно необновленного программного обеспечения иногда приемлемо. То есть, например, в целом уязвимость может быть критичной, но именно для вас – незначительной. Тогда и приоритеты будут строиться от бизнес-задач.
– Какие задачи должен решать корпоративный центр мониторинга и реагирования на инциденты информационной безопасности?
– Security Operations Center состоит из процессов, команд и технологии, нацеленных как можно быстрее выявить и предотвратить атаку. Основная задача команды при этом – выстроить процессы реагирования на инциденты, опираясь на потребности бизнеса, обеспечивая при этом проактивную и реактивную защиту. При этом ключевыми в эффективности центра мониторинга будут именно команда и процессы – без них любые технологии и средства безопасности будут неэффективны.
– На что ориентируются компании, формируя свой бюджет на кибербезопасность?
В первую очередь на непрерывность существующих в бизнесе процессов обеспечения информационной безопасности. Другой ключевой фактор при формировании бюджета на ИБ – обеспечение такого уровня безопасности бизнеса, который бы отвечал развитию его технологий.
Новые технологии, запущенные в компании, могут требовать специализированных средств защиты, не представленных в стандартном инструментарии. На приобретение, тестирование и адаптацию таких систем зачастую нужны дополнительные ресурсы.
– Какие технологии в сфере ИБ-решений для компаний можно выделить в тренды этого года?
– Один из главных трендов – продукты типа Security Orchestration, Automation and Response (SOAR), которые позволяют автоматизировать процессы и сократить участие человека в повторяющихся задачах реагирования на инциденты информационной безопасности.
При этом, помимо популярных ИБ-технологий, не стоит забывать о новых технологиях в ИТ и их защите. Пример такой технологии – big data. Продукты и решения на основе больших данных сейчас развивает большинство бизнесов, а они предполагают массовый доступ к чувствительной информации о пользователях, которую необходимо защищать.
– Какие стандарты по информационной безопасности должны соблюдать компании, работающие в финансовом секторе в России? Какие законы регламентируют ответственность компаний перед регуляторами?
– Если компания обрабатывает данные платежных карт, необходимо соблюдение требований стандарта PCI DSS. Также ряд компаний принял обязательным к исполнению комплекс стандартов Банка России СТО БР ИББС, стандарты ISO/IEC 27001, ISO/IEC 27005 и ряд других.
Значительные штрафные санкции могут применяться со стороны платежных систем к сервис-провайдерам и торгово-сервисным предприятиям, не прошедшим оценку и сертификацию на соответствие требованиям стандарта PCI DSS.
Федеральный закон № 152 ("О персональных данных") наделяет уполномоченный орган по защите прав субъектов персональных данных правом привлекать к ответственности компании за нарушение требований по защите данных пользователей. А уголовный кодекс защищает от незаконного – без согласия клиентов – распространения сведений об их частной жизни, составляющих личную или семейную тайну.
Для компаний, предоставляющим финансовый сектор, важно соблюсти баланс между требованиями бизнеса и соблюдением закона, например сделать сервис удобным для пользователя, при этом не собирать лишние персональные данные.
- Подготовил Александр Шаляпин