Запуск PT NGFW
Российский NGFW мирового класса – теперь реальность
Анна Голушко
Старший аналитик направления аналитических исследований Positive Technologies
Финансовые организации остаются одними из наиболее привлекательных целей для злоумышленников. По итогам первой половины 2024-го они вошли в топ-5 по количеству зафиксированных инцидентов информационной безопасности. При этом в первой половине 2024 года в общемировой статистике мы наблюдали снижение на 36% количества публично раскрытых успешных кибератак на финансовые организации по сравнению с аналогичным периодом 2023 года — это может говорить о повышении общего уровня защищенности инфраструктур финансового сектора. Вместе с тем значительная часть кибератак на финансовый сектор может оставаться скрытой от публичного внимания и отражаться лишь в объявлениях на теневых форумах. Так, по итогам первой половины 2024 года на теневом рынке мы зафиксировали в 5 раз больше объявлений, чем среди публично раскрываемых инцидентов.
Кроме того, в последние несколько лет отмечается стабильный рост интереса киберпреступников к клиентам финансовых организаций. По данным ЦБ РФ, количество мошеннических операций, которые банкам удалось остановить, во II квартале 2024 года превысило 16 млн, что уже составляет половину от числа попыток мошенников украсть деньги за весь 2023 год. Тем не менее во II квартале 2024 года мошенникам все же удалось украсть со счетов граждан и компаний около 4,8 млрд рублей. Объем потерь примерно на четверть превышает средний показатель за предшествующие четыре квартала.
Финансовые организации играют важную роль в экономике государства, поддерживая его стабильность и развитие. Они участвуют в обеспечении финансовых потоков при исполнении международных государственных контрактов, в регулировании денежно-кредитной политики и поддержании стабильности национальной валюты. Деятельность финансовых организаций не только обеспечивает макроэкономическую стабильность, но и способствует развитию производства и торговли за счет предоставления доступа компаниям к капиталу и проведения надежных финансовых операций. Банки и кредитные учреждения поддерживают стабильный денежный оборот, кредитование бизнеса и граждан. Поэтому перед финансовыми организациями стоят задачи по обеспечению стабильной работы сервисов для граждан, компаний и государства, защите активов, в том числе по минимизации рисков при хранении денежных средств и проведении транзакций, а также сохранение конфиденциальности предоставляемых данных.
В этом исследовании мы рассмотрим, как действуют атакующие и с какими последствиями сталкиваются финансовые организации, какую роль играет теневой рынок, какие события можно считать недопустимыми для финансовых организаций и как предотвратить их реализацию.
Недопустимое событие — событие, возникающее в результате кибератаки и делающее невозможным достижение операционных и (или) стратегических целей организации или приводящее к значительному нарушению ее основной деятельности.
В исследовании представлен ландшафт актуальных киберугроз для организаций финансового сектора в России и мире, основанный на данных об успешных кибератаках со второй половины 2023 года по середину 2024-го. В ходе исследования теневого рынка мы проанализировали 330 источников, среди которых телеграм-каналы и форумы в дарквебе с общим количеством пользователей более 180 млн и общим числом сообщений более 827 млн. В выборку попали крупнейшие площадки на разных языках и с разной тематической направленностью. При анализе теневого рынка были рассмотрены объявления, опубликованные в период со второй половины 2023 года по второе полугодие 2024-го.
Среди анализируемых финансовых организаций — банки, страховые компании, кредитные организации, операторы платежных систем, профессиональные участники рынка ценных бумаг, микрофинансовые организации, инвестиционные фонды и др.
Исследование содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников. В отчете каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как единичная, а не как несколько атак. Термины, которые мы используем в исследовании, приведены в словаре на сайте Positive Technologies.
Кредитно-финансовые организации играют важную роль в экономике и на фоне обострения геополитических конфликтов часто становятся целью атак хактивистов и финансово мотивированных группировок. Поскольку многие финансовые организации тесно взаимодействуют с государственными структурами, они также становятся мишенью для APT-группировок, которые тщательно планируют свои атаки с целью получения важной конфиденциальной информации или влияния на бизнес-процессы организации.
Вредоносное программное обеспечение (ВПО) остается основным инструментом злоумышленников в атаках на финансовые организации. По нашим данным, в первой половине 2024 года доля успешных кибератак с применением ВПО увеличилась на 12 процентных пунктов по сравнению с аналогичным периодом прошлого года и на 10 п. п. по сравнению с предыдущим полугодием. Так, к примеру, в ноябре 2023 года американское подразделение крупнейшего в мире банка по размеру активов Industrial and Commercial Bank of China (ICBC) подверглось кибератаке с использованием программы-вымогателя LockBit, что нарушило торги на рынке казначейских облигаций США.
Разные типы ВПО позволяют достигать разных целей. Выбор подходящего типа атакующие делают в зависимости от того, какие каналы проникновения в инфраструктуру организации и закрепления в ней доступны. Большую популярность приобрела бизнес-модель «Вредоносное ПО как услуга» (malware as a service, MaaS), при которой злоумышленники за определенную плату предоставляют своим клиентам доступ к необходимому виду ВПО и инфраструктуре для его использования.
В первой половине 2024 года мы наблюдали рост интереса киберпреступников к ВПО для удаленного управления (remote access trojan, RAT) в атаках на финансовые организации: такой тип ВПО применялся в 33% успешных кибератак — в 3 раза чаще, чем в аналогичный период 2023 года.
RAT — многофункциональное ВПО, обладающее множеством возможностей. Оно может использоваться для кражи, изменения или удаления информации на устройстве, а также служить точкой входа в сеть и применяться для дальнейшего развития атаки. Важно также отметить, что большинство троянов удаленного доступа имеют функции шпионского ПО: умеют скрытно записывать экран пользователя и определять его местоположение, регистрировать ввод данных с клавиатуры. Такая функциональность активно применяется АРТ-группировками, поэтому использование RAT — характерный почерк не только вымогателей, но и кибершпионов. Рост атак с применением RAT, а также различные публикации целых подборок нелегальных инструментов для удаленного управления на теневом рынке говорят о большом интересе злоумышленников к таким типам ВПО. Так, по данным сервиса ANY.RUN, во II квартале 2024 года ВПО для удаленного управления занимало лидирующую позицию среди наиболее распространенного ВПО.
Рассмотрим кейс: в марте 2024 года подразделение по борьбе с платежным мошенничеством системы Visa предупредило эмитентов карт и эквайеров о новой кампании по распространению обновленной версии вредоносного ПО JSOutProx, нацеленного на финансовые учреждения и их клиентов в Африке, Южной и Юго-Восточной Азии и на Ближнем Востоке. В исследовании Resecurity говорится, что организациям рассылаются фишинговые письма с информацией об операциях через SWIFT или MoneyGram с ZIP-архивом, содержащим файл с расширением .js. Отличительная особенность этой кампании — хранение полезной нагрузки на GitLab. Сервисы GitLab и GitHub стали активно применяться для размещения ВПО и его распространения среди жертв.
В первом квартале 2024 года еще одно ВПО — Venom RAT активно применялось в атаках на компании ряда отраслей, включая финансовый сектор, в странах Северной и Латинской Америки. К этим атакам причастна APT-группировка TA558, которая путем отправки фишинговых писем распространяла Venom RAT, усовершенствованную версию Quasar RAT, способную похищать конфиденциальные данные и удаленно управлять системами.
Нередки случаи, когда атаки были направлены на компании определенной страны. Так, весной 2024 года банковские учреждения Бразилии стали жертвами AllaSenha, трояна удаленного доступа для Windows, написанного на основе другого ВПО — AllaKore, которое ранее применялось для атак на финансовые организации в Мексике. Для распространения ВПО злоумышленники также отправляли фишинговые письма, а для контроля зараженных устройств использовали облачный сервис Azure от Microsoft. Помимо прочего, после компрометации устройства жертвы атакующие применяли техники квишинга[1] для одобрения мошеннических транзакций.
Многие российские компании, включая организации банковского сектора, в конце 2023 года подверглись атакам трояна удаленного доступа DarkCrystal RAT. Целью злоумышленников было проникновение во внутренние финансовые и юридические системы, а также получение доступа к клиентским базам данных и корпоративным учетным записям.
Квишинг — разновидность фишинга, при которой мошенники используют QR-коды для обмана пользователей и кражи их конфиденциальных данных. Пользователь переходит по ссылке из вредоносного QR-кода и вводит свои данные на фишинговой странице.
По нашим данным, уже на протяжении нескольких лет шифровальщики являются ВПО № 1 в атаках на финансовые организации. Вместе с тем доля публично раскрываемых атак программ-вымогателей на финансовые организации в первой половине 2024 года снизилась до уровня в 41%, что на 28 п. п. меньше, чем в аналогичный период прошлого года.
Чаще всего жертвами шифровальщиков в период со второй половины 2023 года по конец первой половины 2024-го становились финансовые организации США, на их долю пришлась каждая вторая атака. Так, в июне 2024 года атака программы-вымогателя LockBit на Evolve Bank привела к компрометации личной информации более 7,6 млн человек. Однако проведенная в феврале этого года операция Cronos позволила захватить инфраструктуру группировки LockBit, в результате чего было получено более 7000 ключей дешифрования, позволяющих многим жертвам расшифровать свои данные.
LockBit — один из наиболее популярных шифровальщиков, но также часто в атаках на финансовые организации за рассматриваемый период встречались такие шифровальщики, как Medusa, KillSec, Play, RansomHub, RansomHouse, ALPHV (BlackCat) и Cactus. Так, на одном из теневых форумов было опубликовано заявление группировки Medusa об успешной атаке на региональный банк Bank Pembangunan Daerah Banten в Индонезии и краже более 100 ГБ данных, включая финансовую информацию клиентов.
В период со второй половины 2023 года по середину 2024-го каждая пятая атака с использованием ВПО сопровождалась внедрением шпионского ПО. Например, в период с октября 2023 года в США и Европе более сотни организаций были заражены ВПО StrelaStealer, предназначенным для кражи учетных данных от электронной почты. По данным Unit42, новая кампания примечательна тем, что инфостилер распространяется с помощью ZIP-архивов, которые рассылаются с почтовых адресов стран-жертв. В 2022 году, когда StrelaStealer только появился, он распространялся с помощью ISO-образов.
Финансовые организации России и стран СНГ также подвергались атакам с применением шпионского ПО. В июне 2024 года стало известно, что APT-группировки целенаправленно отправляли фальшивые резюме ИТ-специалистов и документы по оценке условий труда в российские финансовые организации для распространения инфостилера XDigo. Кроме того, в первой половине 2024 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) выявили атаки группировки Lazy Koala на компании финансового сектора и ряда других отраслей в России и странах СНГ. В ходе фишинговых рассылок группировка распространяла вредоносное ПО LazyStealer, предназначенное для кражи учетных данных из браузеров и дальнейшей пересылки в телеграм-бот.
По итогам первой половины 2024 года мы наблюдали снижение числа успешных атак с использованием загрузчиков. Их доля снизилась более чем в 3 раза по сравнению с аналогичным периодом прошлого года. Снижение активности загрузчиков связано не только со сменой интересов атакующих, но и с результатами операций по борьбе с киберпреступностью. К примеру, в мае 2024 года в рамках скоординированной международной программы Endgame были раскрыты и арестованы несколько брокеров начального доступа (initial access brokers, IAB). В итоге было изъято более 100 серверов, используемых киберпреступниками, и очищено около 40 000 устройств жертв. Выявленные серверы активно использовались для распространения загрузчиков, которые, как правило, применяются для доставки на устройства жертвы других типов ВПО, в частности программ-вымогателей. В краткосрочной перспективе такие операции позволяют сократить количество атак, однако злоумышленники могут вновь восстановить свою деятельность в будущем.
Проникновение в инфраструктуру финансовых организаций с применением методов фишинга и социальной инженерии — вектор, который использовался в 65% успешных атак в первой половине 2024 года. Доля таких атак увеличилась более чем в 2 раза по сравнению с аналогичным периодом прошлого года. Так, к примеру, в июне 2024 года специалисты PT ESC обнаружили целевую фишинговую кампанию, направленную на один из банков. Почтовое вложение содержало популярное ВПО Agent Tesla, обладающее функциями шпионского ПО и ВПО для удаленного управления устройством жертвы. К письму прилагался архив, содержащий исполняемый файл, открытие которого и приводило к развертыванию Agent Tesla.
Специалисты PT ESC также выявили попытки компрометации учетных данных сотрудников крупного белорусского банка. Злоумышленники отправляли письма с вложенным PDF-документом, внутри него была размещена ссылка на фишинговую страницу, где, помимо имени аккаунта и пароля, запрашивался номер телефона.
Для повышения шансов на успех в некоторых случаях атакующие предварительно проводили действия по компрометации учетных данных действующих контрагентов банковского сектора и отправляли фишинговые письма с почтовых адресов доверенных компаний.
Для компрометации учетных записей злоумышленники также отправляли фишинговые письма с адресов, маскирующихся под Microsoft. К письму прикреплялся PDF-документ с QR-кодом, который вел на фишинговую страницу, где сотруднику предлагалось ввести пароль от учетной записи.
Еще одна крупная фишинговая кампания, организованная группировкой Scattered Spider, в первой половине 2024 года затронула десятки американских компаний финансового сектора. Среди пострадавших, в том числе были такие известные компании, как Visa, PNC и Transamerica. Для проведения кибератак злоумышленники использовали домены-двойники, имитирующие страницы входа в Okta и систему управления контентом (CMS) организаций, с возможностью последующих атак по подмене SIM-карт, в результате которых происходит утечка конфиденциальных корпоративных данных.
Во многих кредитно-финансовых организациях реализованы меры, ограничивающие использование социальных сетей и мессенджеров. По этой причине за рассматриваемый период электронная почта являлась основным каналом для распространения фишинговых писем и ВПО. Доля проникновения ВПО через электронную почту увеличилась с 49% в первой половине 2023 года до 66% по итогам первой половины 2024-го.
В ряде случаев злоумышленники стремились скомпрометировать устройства разработчиков и специалистов по кибербезопасности, работающих в финтех-компаниях. Для этого атакующие прибегали к фишинговым сообщениям с предложением выполнить тестовое задание и получить место в крупной американской компании. Так, в первой половине 2024 года многие ИТ-специалисты бразильских финтех-компаний и компаний других отраслей подверглись фишингу через социальные сети. Специалисты получали письма со ссылками на GitHub-репозитории, из которых предлагалось скачать задания. На деле на компьютер жертвы скачивались вредоносные пакеты Python и загрузчики ВПО.
В первой половине 2024 года злоумышленники атаковали финансовые организации с помощью эксплуатации уязвимостей в 25% успешных атак, что на 7 п. п. больше, чем в аналогичный период прошлого года. К примеру, специалисты PT ESC обнаружили, что около 30 компаний Африки, Ближнего Востока и России (среди которых, в частности, банковские организации) были скомпрометированы в результате эксплуатации уязвимостей почтового сервера Microsoft Exchange. На главную страницу сервера Microsoft Exchange встраивался кейлоггер, который позволял незаметно собирать учетные данные. Скомпрометированные учетные данные затем могли применяться для развития целевой атаки на компанию.
Наиболее же активно уязвимости использовались во второй половине 2023 года, тогда на этот метод пришлось 45% успешных атак на финансовые организации. В этот период злоумышленникам удалось скомпрометировать многие системы за счет популярной уязвимости в программном обеспечении MOVEit, которая начала активно эксплуатироваться в середине 2023 года. Например, в результате эксплуатации этой уязвимости в страховой компании Standard Insurance произошла утечка информации о более чем 300 000 клиентов, а банк Pathward столкнулся с утечкой личных данных свыше 800 000 клиентов. Уязвимость в программном обеспечении MOVEit также привела к компрометации инфраструктуры страховой компании New York Life Insurance и ряда других банков в США.
Уязвимости в используемом программном обеспечении, конфигурациях, проприетарном коде систем и сервисов, а также недостатки в системе аутентификации, приводят к возникновению риска компрометации инфраструктуры финансовой организации, делают возможным проникновение злоумышленника в инфраструктуру и закрепление в ней. В дальнейшем это может привести к реализации недопустимых событий. Уязвимости кода, конфигураций и архитектуры упрощают процесс внедрения ВПО, а кроме того, делают доступнее методы атаки типа living off the land (LOTL), реализуемые путем несанкционированного использования штатных библиотек, бинарных файлов и драйверов. Такие атаки особенно сложны в обнаружении и требуют наличия в инфраструктуре современных решений, оснащенных возможностями поведенческого анализа на основе алгоритмов машинного обучения.
Наибольшее число объявлений на теневых форумах в период с середины 2023 года и по конец первой половины 2024-го пришлось на страны Европы (27%), Азии (24%) и Северной Америки (17%). Мы наблюдаем снижение доли упоминаний российских организаций финансового сектора: только 4% объявлений приходятся на финансовые компании России и стран СНГ, что на 10 п. п. меньше, чем в первой половине 2023 года. При этом заметно снизилась — на 29 п. п. — до уровня в 7% доля объявлений, не имеющих привязки к какому-либо конкретному региону. Это может говорить о том, что атаки на финансовый сектор стали носить более целенаправленный характер.
Чаще всего жертвами кибератак за рассматриваемый период становились банковские организации. По итогам анализа объявлений, размещенных на теневых форумах и в телеграм-каналах с середины 2023 года по конец первой половины 2024-го, было зафиксировано, что 65% объявлений касаются именно банковских организаций, включая как федеральные, так и региональные банки 52 стран мира.
Остальную долю атакуемых финансовых организации на теневом рынке составляют страховые компании (11%), кредитные организации (6%), операторы платежных систем (2%) и другие предприятия (16%), в число которых входят профессиональные участники рынка ценных бумаг, инвестиционные фонды и др.
Большинство зафиксированных объявлений на теневых форумах — это заявления киберпреступников о фактах проведения DDoS-атак на финансовые организации: такие объявления составили 30%. Наиболее подверженными DDoS-атакам в рассматриваемом периоде оказались финансовые организации стран Европы (60%), Ближнего Востока (18%) и Азии (17%).
Чаще всего жертвами DDoS-атак становились банки. Каждое второе объявление о банковских организациях раскрывало подробности проведенных киберпреступными группировками DDoS-атак.
Высокий интерес к DDoS-атакам на банковские организации объясняется обостренными геополитическими конфликтами между странами. С ними связана деятельность группировок хактивистов, которые атакуют финансовый сектор, выполняющий важные функции для стабильного функционирования экономики государств. В особенности важную роль здесь играют банки, фондовые биржи и операторы платежных систем, от стабильной работы которых зависят финансовые операции на внутреннем и международном рынке.
Второе месте по числу объявлений на теневых форумах за рассматриваемый период заняли предложения украденных баз данных. Их доля составила 26% среди всех зафиксированных объявлений. Чаще всего с утечками данных сталкивались финансовые организации Азии (42%), Ближнего Востока (10%) и России (10%). Азиатский регион лидирует по количеству предложений баз данных на теневом рынке не только в финансовом секторе, но и в ряде других отраслей, например в государственном секторе. Наибольшее число объявлений о раздаче или продаже данных в этом регионе зафиксировано среди финансовых организаций Индии (20%), Китая (8,5%) и Индонезии (5,5%).
Основными жертвами утечек информации и атак программ-вымогателей становятся страховые компании, кредитные организации, а также каждый пятый банк. Дело в том, что DDoS-атаки на страховые и кредитные организации потенциально не оказывают такого же влияния, как на банковский сектор, но при этом эти категории финансовых организаций обладают большими объемами данных о клиентах, что делает их привлекательными для киберпреступников.
За период с середины 2023 года по середину 2024-го более половины украденных баз данных (53%) предлагались бесплатно на теневых форумах. В 40% объявлений речь шла о продаже, и только 7% сообщений содержали запросы на покупку данных финансовых организаций.
Практически в половине предложений о продаже данных (46%) не была указана цена: в таких случаях киберпреступники ожидают получить ценовое предложение от потенциально заинтересованного покупателя. К примеру, в июне 2024 года на одном из теневых форумов на продажу были выставлены базы данных из 20 банков в ОАЭ общим объемом в несколько сотен тысяч строк.
В половине объявлений, где была указана цена продаваемой базы, стоимость не превышает тысячи долларов. Общая картина ценовой градации за период с середины 2023 года по середину 2024-го во многом совпадает с той, которую мы наблюдали в прошлом исследовании, где подводили промежуточные итоги I–III кварталов 2023 года.
Практически 10% объявлений составили наиболее дорогие предложения стоимостью от 10 000 $. Так, в первой половине 2024 года с утечкой данных столкнулась крупная американская страховая компания QuoteWizard. На продажу были выставлены конфиденциальные данные более 190 млн человек, включавшие личную информацию, полные имена, частично заполненные номера кредитных карт, водительские удостоверения и другую информацию. Кроме того, сообщалось, что украденные материалы содержали более 3 млрд записей данных в пикселях отслеживания, включая адреса, возраст, информацию о мобильных устройствах и сведения о причинах несчастных случаев. Киберпреступник предоставил несколько выборочных записей из базы данных и запросил в качестве выкупа 2 млн долларов. Позднее QuoteWizard отправили своим клиентам уведомления об утечке их персональных данных.
Как мы уже отмечали, многие финансовые организации сталкиваются с атаками программ-вымогателей (ransomware). Атакующие разворачивают ВПО в инфраструктуре организации, собирают доступные данные с файловых серверов, хранилищ данных, баз данных, журналы событий с production-серверов и т. д., а затем шифруют захваченные ресурсы для блокировки возможности работы с ними. После они шантажируют жертву, угрожая опубликовать или выставить на продажу украденные данные, если жертва не заплатит выкуп, а затем активно делятся своими планами или результатами на теневых форумах. Они публикуют информацию о том, что определенная компания была взломана, и сообщают, что если компания не заплатит выкуп, то данные будут опубликованы. Мы классифицируем такие сообщения как «анонсы вымогателей», которые, по нашим данным, встречаются на теневых форумах в каждом пятом объявлении.
Половина всех заявлений шифровальщиков приходится на финансовые организации Северной Америки, еще 20% — на страны Азии и 8% — на страны Европы. Среди стран лидерами за рассматриваемый период являются США (52%), Индонезия (5%), Индия (4%), Канада (3,5%) и Великобритания (5%). Наибольшая доля атак программ-вымогателей на финансовые организации США может объясняться тем, что за утечки персональных данных в США предусмотрены оборотные штрафы, а это повышает вероятность успешного шантажа и выплаты выкупа во избежание судебных исков, оплаты штрафов и возмещения ущерба пострадавшей стороне. В нашем исследовании, посвященном утечкам информации в первой половине 2024 года, мы уже рассматривали примеры того, к каким репутационным и финансовым последствиям может привести утечка информации для организации.
Не менее ценным товаром на рынке преступных услуг являются первоначальные доступы в инфраструктуру финансовых организаций — цена каждого второго доступа варьируется от 1000 до 10 000 $. Здесь мы наблюдаем общую тенденцию к увеличению средней стоимости доступов в инфраструктуры финансовых организаций: объявлений в таком ценовом диапазоне за рассматриваемый период стало на 30% больше в сравнении со статистикой за первые 3 квартала 2023 года.
Больше чем в половине (55%) объявлений продаются доступы по протоколам RDP и VPN, а также командные оболочки shell, так как они позволяют выполнять команды непосредственно в среде операционной системы атакованного узла, который, как правило, расположен во внутренней инфраструктуре организации.
К примеру, в первом квартале 2024 года на теневом рынке было размещено объявление о продаже shell-доступа к инфраструктуре банка Emirates Investment Bank в ОАЭ начальной стоимостью в 10 000 $.
Киберпреступники активно продавали доступы с привилегированными правами локального администратора (36%) и администратора домена Active Directory (26%). Например, в первой половине 2024 года по той же стоимости в 10 000 $ на теневых форумах продавались VPN-доступ в крупный банк Эквадора и shell-доступ в банк Англии.
Во второй половине 2023 года количество инцидентов информационной безопасности среди российских компаний финансовой отрасли увеличилось на 27% в сравнении с первой половиной того же года. По итогам же первой половины 2024 года общее число успешных атак на российские финансовые организации вновь снизилось, вернувшись на уровень первой половины 2023-го.
За рассматриваемый период среди российских финансовых организаций чаще всего жертвами кибератак становились банки, страховые компании и микрофинансовые организации. В атаках на российские финансовые организации на фоне геополитического конфликта наиболее активную роль продолжали играть хактивисты. Кроме того, в ряде случаев финансовые организации становились жертвами финансово мотивированных киберпреступников, а банковские организации подвергались атакам APT-группировок.
В период со второй половины 2023 года по середину 2024-го половина успешных кибератак на российские финансовые организации привела к утечкам конфиденциальной информации. Во второй половине 2023 года основными жертвами утечек информации становились преимущественно страховые компании и банки. Так, в октябре Роскомнадзор подтвердил факт утечки персональных данных около миллиона клиентов МТС Банка, в которой содержались среди прочего ФИО, номера телефонов, ИНН, даты рождения, частично номера банковских карт граждан.
В первой половине 2024 года среди российских компаний финансового сектора на теневых форумах чаще всего встречались объявления с предложением баз данных клиентов микрофинансовых организаций. Так, в первом квартале 2024 года киберпреступникам, согласно их заявлению, удалось получить данные клиентов микрофинансовой компании «Займер», включая имена и фамилии, номера мобильных телефонов, паспортные данные и адреса регистрации. В открытый доступ была выложена часть дампа данных в размере 500 000 строк, а полная версия базы размером 16 млн строк была выставлена на продажу. Официального подтверждения утечки не последовало. В большинстве же случаев украденные базы данных из российских финансовых организаций бесплатно раздаются на теневых форумах.
В период со второй половины 2023 года по середину 2024-го более четверти российских финансовых организаций (28%) столкнулись с нарушениями в работе предоставляемых сервисов. Как мы отмечали в нашем предыдущем исследовании, еще в 2023 году на фоне сложной геополитической обстановки российские банки продолжали подвергаться мощным DDoS-атакам, направленным на временное нарушение работы цифровых сервисов. Так, в октябре 2023 года по данным РБК Сбербанк подвергся одной из мощнейших DDoS-атак за всю историю. Кроме того, в том же месяце атакующие провели атаку на сайт оператора платежной системы «Мир» НСПК. В результате атаки сайт НСПК в течение некоторого времени был недоступен.
Нарушение стабильной работы сервисов остается одной из основных целей в атаках на российские финансовые организации и в 2024 году. Высокий интерес злоумышленников к российским банковским организациям подтверждается их активностью на теневых форумах. Так, в июне 2024 года на теневых форумах активно публиковалась информация о проведении DDoS-атак на российские банки и статистика сетевой доступности атакуемых ресурсов.
Несколько крупных российских банков в начале III квартала 2024 года публично подтвердили, что столкнулись с мощными DDoS-атаками. Так, в июле этого года, по данным ТАСС, банк ВТБ подвергся DDoS-атаке на инфраструктуру и столкнулся с единичными перебоями, аналогичное заявление сделали в Россельхозбанке. Сбербанк, подвергшийся мощной DDoS-атаке в конце предыдущего года, по данным РБК, в июле 2024-го вновь столкнулся с мощной DDoS-атакой, которая длилась 13 часов, была успешно отражена службой кибербезопасности и оказала минимальное воздействие на клиентов банка.
Помимо атак, направленных на кражу конфиденциальных данных и нарушение функционирования инфраструктуры и сервисов, российские финансовые организации в 8% успешных кибератак сталкивались с дефейсом веб-ресурсов и размещением ложной информации. Так, в IV квартале 2023 года были взломаны веб-сайты трех российских банков — Фора-Банка, БЖФ Банка и ВБРР. Киберпреступники разместили ложную информацию о том, что банки якобы приняли решение о переводе денежных средств с вкладов физических лиц, превышающих 1 млн 400 тыс. рублей, в ОФЗ.
За рассматриваемый период мы не зафиксировали на теневом рынке объявлений о продаже доступов в инфраструктуру российских финансовых организаций. Это может быть связано с тем, что российские компании атакуют преимущественно хактивисты, которые совершают DDoS-атаки или крадут базы данных и размещают их на теневых форумах, а также APT-группировки, которые не раскрывают публично сведения о том, были ли получены доступы к какой-либо инфраструктуре.
Однако в первой половине 2024 года киберпреступники активно продавали доступы к аккаунтам физических лиц в Ozon Банке, которые были украдены ранее, а теперь использовались для теневого перевода похищенных денежных средств. До этого для таких операций, вероятно, использовали аккаунты в Киви Банке, однако после отзыва банковской лицензии злоумышленники стали использовать другие доступные ресурсы.
В будущем для российской финансовой отрасли ландшафт актуальных угроз может измениться ввиду активных процессов цифровой трансформации и внедрения новых технологий, таких как открытые API и национальная цифровая валюта. Кроме того, могут возникнуть риски, связанные с возможным созданием небанковских поставщиков платежных услуг (НППУ), которые смогут проводить платежи клиентов наравне с кредитными организациями.
Утечка конфиденциальной информации, нарушение функционирования инфраструктуры, искажение информации на публичных ресурсах компании, а также ряд других последствий могут являться недопустимыми событиями для финансовых организаций и привести к репутационному и финансовому ущербу. Далее подробнее рассмотрим общемировой ландшафт последствий успешных кибератак и потенциальные недопустимые события.
Реализация недопустимых событий в ходе кибератаки на коммерческие финансовые организации может привести к серьезным репутационным и финансовым последствиям, в том числе к снижению прибыльности и конкурентоспособности бизнеса. Недопустимые события, реализованные в инфраструктуре системообразующих или аффилированных с государством финансовых организаций, могут привести к ухудшению международных отношений, снижению инвестиционной привлекательности страны или региона, помешать государственным стратегиям по осуществлению торговых операций как на внутреннем, так и на международном рынке, спровоцировать экономическую и политическую нестабильность, оказать влияние на работу объектов критической информационной инфраструктуры и негативно сказаться на доверии населения. Каждая финансовая организация самостоятельно определяет, какие события являются для нее недопустимыми, с учетом максимального приемлемого значения ущерба. Рассмотрим, к каким последствиям приводят кибератаки, разберем гипотезы недопустимых событий для различных финансовых учреждений и примеры их реализации на основе реальных инцидентов.
Самым частым последствием успешных кибератак на финансовые организации в общемировой статистике за период с середины 2023 года по середину 2024-го стали утечки конфиденциальной информации. По итогам первой половины 2024 года доля утечек информации среди других последствий составила 80%, что на 25 п. п. больше, чем в аналогичный период прошлого года.
Тренд массового заражения открытых репозиториев кода вредоносным ПО и утечки учетных данных, который мы наблюдали во многих отраслях по итогам первой половины 2024 года, затронул и финансовые организации: каждая четвертая утечка данных из финансовых организаций содержала учетные данные.
Компрометация учетных данных, как правило, не является конечной целью злоумышленников и служит промежуточным этапом между проникновением в атакуемую инфраструктуру и развитием атаки для кражи другой ценной информации, шифрования данных на серверах, остановки работы сервисов или похищения денежных средств со счетов. По этой причине аутентификационная информация представляет особую ценность и активно продается брокерами начального доступа на теневом рынке. К примеру, в первом квартале 2024 года жертвой кибератаки стал Международный валютный фонд (МВФ), в состав которого входит 190 стран мира; в результате было скомпрометировано 11 электронных почтовых аккаунтов организации. МВФ обеспечивает содействие международному сотрудничеству в денежной политике, решает вопросы расширения мировой торговли, кредитования стран-участников и отвечает за стабилизацию денежных обменных курсов, поэтому компрометация учетных записей электронной почты потенциально могла привести к раскрытию информации о деятельности ряда государств и скомпрометировать их стратегические планы и соглашения. Раскрытие такой информации можно считать недопустимым событием для МВФ.
Компрометация инфраструктуры организации и получение стабильного доступа к ней извне могут в течение длительного времени оставаться скрытыми от внимания службы безопасности и в конечном итоге привести к серьезным последствиям. Так, американская компания Slim CD, провайдер платежного сервиса Slim CD Payment Gateway, стала жертвой кибератаки, в результате которой в июне 2024 года произошла утечка данных почти 1,7 млн платежных карт. Злоумышленники в течение 10 месяцев с августа 2023 года находились в инфраструктуре организации и оставались незамеченными.
Финансовые организации предоставляют различные услуги физическим лицам, включая хранение денежных средств на счетах, проведение транзакций, выдачу кредитов и т. п., поэтому банки, страховые, кредитные и микрофинансовые организации накапливают в своих инфраструктурах огромные массивы персональных данных. Кроме того, современные задачи бизнеса по улучшению пользовательского опыта и привлечения клиента способствуют процессам свободного обмена информацией о клиентах и их счетах между финансовыми организациями, что увеличивает размер хранимых баз данных и размер потенциального ущерба в случае их утечки, искажения или удаления. Так, в настоящий момент многие банки и страховые компании активно интегрируют концепцию OpenAPI в свои сервисы. К примеру, в июне 2024 года крупнейшие банки России сообщили о создании сервиса по обмену данными о счетах клиентов, который постепенно будет внедрен для всех клиентов этих банков.
Ввиду большого числа обрабатываемых личных данных клиентов, которые содержат также чувствительные данные (например, номера счетов, платежных карт и кредитную историю), финансовые организации являются привлекательной целью для атакующих. Наибольшее число утечек персональных данных мы наблюдали во второй половине 2023 года, тогда на их долю пришлось 62% инцидентов, завершившихся кражей информации. В первой половине 2024 года доля утечек персональных данных снизилась на фоне резкого роста числа утечек учетных данных и составила только 36%, что на 22 п. п. меньше, чем в аналогичном периоде прошлого года.
Утечка персональных данных клиентов является одним из недопустимых событий для финансовых организаций и может привести к репутационным и финансовым потерям для компании. Так, например, американская ипотечная компания LoanDepot, столкнувшаяся в январе 2024 года с атакой со стороны ALPHV (BlackCat), зашифровавших и похитивших данные 16 млн пользователей, объявила о потерях в 42 млн долларов (около 10% всего полугодового оборота компании), которые включают в себя стоимость расследования и восстановления, стоимость уведомления клиентов об инциденте, консалтинга, судебных разбирательств и т. д. Помимо того, в отношении компании был подан групповой иск в размере 25 млн долларов.
Утечка личных данных может не ограничиваться только записями в базах данных. В конце июня этого года на одном из теневых форумов было опубликовано объявление об утечке из крупной американской компании CredRight, предоставляющей услуги финансового консалтинга, около 70 ГБ документов для идентификации клиентов по принципу KYC («знай своего клиента»), включая фотографии, видео и голосовые записи. Утечка такой информации также является недопустимым событием, поскольку подвергает клиентов организации рискам несанкционированного использования таких данных для различных мошеннических операций, а сами финансовые организации могут столкнуться с уже упомянутыми репутационными и финансовыми последствиями.
Одно из наиболее серьезных последствий кибератак на компании финансового сектора — нарушение основной деятельности и остановка работы сервисов. Анализ публично раскрываемых инцидентов показывает, что в общемировой статистике по итогам первой половины 2024 доля кибератак, которые приводили к полной или частичной остановке деятельности финансовых организаций, снизилась практически в 3 раза (с 51% до 16%) по сравнению с аналогичным периодом прошлого года. Несмотря на снижение числа инцидентов, завершившихся нарушением деятельности финансовых организаций и их сервисов, это последствие остается одним из наиболее опасных для финансовых организаций.
В соответствии с требованиями законодательства разных стран, для разных категорий финансовых организаций определены пороговые значения максимально допустимого времени простоя сервисов, и это время, как правило, не превышает нескольких часов. Сбой в работе информационных систем компаний финансового сектора, в особенности банков и платежных систем, в течение нескольких часов (а в ряде случаев даже минут) является для них недопустимым событием и может привести к ряду негативных последствий. К примеру, в конце октября 2023 года крупная американская компания Mr. Cooper, оказывающая услуги ипотечного кредитования, стала жертвой кибератаки, для локализации и расследования которой компании пришлось на время отключить свои ИТ-системы, включая доступ к порталу онлайн-платежей. В результате многие клиенты не смогли вовремя провести платежи по ипотеке и могли столкнуться с юридическими последствиями несвоевременной оплаты. Компания сообщила, что клиенты не понесут никаких финансовых потерь в виде штрафов или пеней за просрочки платежей из-за сложившейся ситуации. В финансовом отчете Mr. Cooper по итогам 2023 года сообщается, что инцидент привел к утечке информации практически всех клиентов компании, о чем были уведомлены все необходимые органы.
Однако отключение сервисов и нарушение функционирования может стать и более длительной проблемой. Так, в марте 2024 года третий по величине брокер по ценным бумагам Вьетнама VNDirect столкнулся с последствиями кибератаки вируса-шифровальщика: деятельность компании была приостановлена на неделю. В течение этого периода VNDirect сделала заявление, что восстановление доступа к сервисам и услугам пройдет в четыре этапа, начиная со счетов клиентов и заканчивая финансовыми продуктами. Инцидент также затронул веб-сайты компаний, связанных с VNDirect, включая акционерную страховую корпорацию Post and Telecommunication Joint Stock Insurance Corporation (PTI), инвестиционную фирму IPA и акционерный инвестиционный фонд IPAAM.
Позднее в апреле стало известно, что в результате этого инцидента компания VNDirect потеряла часть доли на рынке торговли ценными бумагами. Компания-жертва не является банковской организацией, и государство не предъявляет к ней таких же требований по времени простоя сервиса, как к банкам, поэтому компании, скорее всего, не будут выставлены штрафы. Тем не менее VNDirect как игрок рынка ценных бумаг столкнулась с репутационными и финансовыми последствиями. По этой причине — независимо от того, является ли финансовая организация коммерческой или государственной структурой, — можно выдвинуть гипотезу о том, что шифрование, искажение или удаление данных на целевых информационных системах, приводящее к невозможности ведения основной деятельности, является для финансовой организации недопустимым событием.
По данным исследования Attack Trends in Financial Services, проведенного провайдером CDN-серверов Akamai, в период с начала 2023 года по середину 2024-го инфраструктуры финансовых организаций в несколько раз чаще других отраслей подвергались DDoS-атакам. Это свидетельствует о том, что веб-сервисы и API, активно используемые финансовыми организациями, в том числе для реализации современных инициатив по открытому обмену информацией, находятся в центре внимания киберпреступников. DDoS-атаки способны повлиять на функционирование финансовой организации и на длительное время, вплоть до нескольких дней, сделать все сервисы недоступными для клиентов, что является недопустимым событием.
В июле 2024 года на банк в ОАЭ была проведена DDoS-атака, установившая рекорды по продолжительности кибератаки и постоянному объему запросов. Атака длилась шесть дней и включала в себя несколько волн веб-запросов продолжительностью от 4 до 20 часов, нацеленных на сайт финансового учреждения. В общей сложности она длилась более 100 часов, направляя в среднем 4,5 млн запросов в секунду, и снизила доступность сервисов для легитимных запросов до минимального уровня в 0.002%, а в среднем в течение всей атаки — до 0.12%.
Чтобы свести к минимуму вероятность реализации недопустимого события по нарушению работы инфраструктуры и ее сервисов, финансовым организациям необходимо применять комплексные меры по защите информации, а также проводить регулярные киберучения, в результате которых организация сможет оценить реальный уровень защищенности инфраструктуры от разрушительного воздействия потенциальной кибератаки.
По данным исследования IBM, финансовый сектор на протяжении 2023–2024 годов стабильно занимает второе место по размеру финансового ущерба, который компании несут в результате утечек информации. В этом показателе финансовый сектор уступает только сфере здравоохранения — занимающей первое место. Финансовые организации затрачивают средства на расследование киберинцидентов и принятие необходимых мер для устранения злоумышленника из инфраструктуры, а также сталкиваются со штрафами за недостаточные меры по защите персональных данных клиентов и сотрудников, исками от пострадавших лиц и судебными решениями по возмещению морального и финансового ущерба.
Кроме того, многие компании финансового сектора, сталкиваясь с атаками программ-вымогателей, оказываются вовлечены в длительный процесс восстановления данных, которые были зашифрованы или удалены. По данным исследования Sophos, у компаний финансового сектора злоумышленники требуют одни из наиболее дорогих выкупов за расшифровку и непубликацию данных: более половины (58%) требований о выкупе в финансовых организациях приходятся на сумму от 1 млн долларов, а 38% требований — на сумму от 5 млн долларов. По средней величине выкупа, который требуют группировки, согласно данным Sophos финансовый сектор уступает только государственным учреждениям.
Несмотря на то, что компании из России и стран СНГ сравнительно реже других стран подвергаются атакам программ-вымогателей, этот риск может быть актуален и для них. По данным нашего исследования об актуальных угрозах для России и стран СНГ, каждая пятая компания в этом регионе (22%) сталкивается с атаками программ-вымогателей и максимальную сумму выкупа в размере 1 млн $ злоумышленники требовали у российской организации — представителя банковского сектора.
Кроме того, финансовые организации — точки притяжения огромных финансовых капиталов, поэтому целью злоумышленников также является прямое получение денежных средств, которые могут быть украдены со счетов организации или же со счетов физических лиц. Вывод денежных средств со счетов финансовой организации на сумму, превышающую определенное пороговое значение, например некоторый процент от размера капитала, заложенного под операционные риски, является недопустимым событием. К примеру, в июне 2024 года атакующим удалось проникнуть в инфраструктуру крупного индийского банка Nainital Bank, имеющего более 170 филиалов в стране, путем взлома учетных данных одного из менеджеров и вывести денежные средства в размере более 160 млн рупий на 84 различных счета.
Вывод денежных средств со счетов клиентов также может быть недопустимым событием для финансовой организации. Например, если речь идет о выводе денежных средств в крупном размере со счета определенной компании-клиента или же о массовом выводе средств со счетов физических лиц общим объемом на сумму, превышающую максимально допустимый для организации порог. По данным отчета ФБР, по итогам 2023 года общий размер похищенных мошенниками денежных средств превысил 12 млрд долларов, что на 22% больше по сравнению с предыдущим годом. А по данным ЦБ РФ, уже по итогам II квартала 2024 года мошенникам удалось украсть со счетов граждан и компаний около 4,8 млрд рублей, что примерно на четверть превышает средний показатель за предшествующие четыре квартала.
Вопрос кражи денег со счетов физических лиц напрямую затрагивает организации банковского сектора. Так, например, в России с июля 2024 вступил в силу федеральный закон, обязывающий банки возвращать денежные средства клиентам в течение 30 дней с момента подачи обращения. Возврат будет сделан, если счет, на который поступил перевод, находится в базе мошеннических.
При этом современные мошеннические операции уже не ограничиваются звонками и письмами, но также реализуются с применением технологий искусственного интеллекта. По данным Сбербанка, в 2024 году число дипфейков возросло в 30 раз, а потенциальная сумма ущерба гражданам по итогам года может составить 300 млрд рублей. В условиях роста объема утечек персональных данных из разных отраслей, который мы отмечали в другом нашем исследовании, мошенники могут составить детальный портрет человека, включая его кредитную историю, сведения о страховании, имуществе, доходах и даже медицинских анализах. Украденные сведения активно применяются для создания поддельных документов и прохождения идентификации в различных сервисах с целью вывода денежных средств со счетов граждан.
Для борьбы с современными методами атак перед финансовыми организациями на уровне всей отрасли встает задача цифровой трансформации и внедрения новых технологий, которые бы могли изменить текущее положение дел. Одно из таких направлений — переход от аутентификации на основе паролей к аутентификации на основе токенов. Цифровые токены позволяют заменить реальные данные банковской карты (ее номер, срок действия и код безопасности) на уникальный цифровой идентификатор при совершении любых операций с денежными средствами, что снижает риск похищения персональных данных при транзакциях. В качестве примера можно привести решение Денежно-кредитного управления Сингапура (MAS) и Ассоциации банков Сингапура (ABS) прекратить использование клиентами одноразовых паролей (OTP) для борьбы с мошенническими операциями и перейти к использованию цифровых токенов. Кроме того, для борьбы с растущей проблемой мошенничества с онлайн-платежами платежная система Mastercard анонсировала переход от использования паролей к биометрической аутентификации: пользователи смогут подтверждать транзакции по лицу или отпечаткам пальцев. К 2030 году компания планирует полностью отказаться от ввода номеров карт при онлайн-покупках. Уже на протяжении нескольких лет Mastercard работает с технологией токенизации, и решение внедрить эту технологию для онлайн-ритейлеров стало следующим шагом. В Индии компания уже внедрила эту услугу, заключив партнерское соглашение с PayU и банком Axis Bank.
От уровня зрелости процессов информационной безопасности зависит то, выявляются ли кибератаки на инфраструктуру финансовой организации на ранних стадиях или приводят к негативным последствиям. Скорее всего, защитить организацию от всех угроз не получится, однако при построении результативной кибербезопасности можно повысить киберустойчивость организации и добиться состояния, при котором злоумышленник, даже проникнув в периметр организации, не сможет нанести ей непоправимого ущерба и реализовать недопустимые события.
Определение недопустимых событий
Первый шаг на пути к киберустойчивости — определение и утверждение списка недопустимых для организации событий. Для формирования перечня недопустимых событий, определения их критериев и максимально допустимых порогов ущерба необходимо участие топ-менеджмента предприятия. Операционные руководители помогут понять, при каком сценарии может произойти недопустимое событие, а IT-специалисты помогут обозначить целевые системы, взлом которых приведет к недопустимым последствиям.
Для каждого недопустимого события необходимо определить возможные сценарии реализации. Рабочей группе, состоящей из экспертов в области ИТ и ИБ и руководителей функциональных подразделений, важно определить, на какие бизнес- и технологические процессы повлияют рассматриваемые события, по каким сценариям недопустимое может быть реализовано, к каким последствиям это приведет и на какие целевые системы будет оказано воздействие.
«Приземление» недопустимых событий на ИТ-инфраструктуру
Вторым шагом необходимо провести инвентаризацию ИТ-активов организации для выявления ключевых систем и точек проникновения, на которые в первую очередь нацелен злоумышленник. Сценарии реализации недопустимых событий необходимо соотнести с обозначенными критически важными ресурсами в инфраструктуре и бизнес-процессами: это необходимо для уменьшения поверхности возможной атаки и более точечного внедрения механизмов защиты информации. После этого можно определить очередность шагов и сформировать программу кибертрансформации.
Харденинг IT-инфраструктуры
Харденинг представляет собой процесс усиления защиты технических и программных средств путем их настройки в соответствии с лучшими практиками безопасности и с учетом допустимых внутренних и внешних информационных потоков в защищаемой информационной инфраструктуре. Этот процесс направлен на увеличение времени, необходимого злоумышленнику для совершения атаки (TTA), что играет критически важную роль в обеспечении киберустойчивости. Чем лучше защищена инфраструктура, начиная с настройки парольных политик и заканчивая выстроенными процессами безопасной разработки, тем больше шагов потребуется выполнить злоумышленнику для реализации недопустимого события.
Чтобы сделать процесс харденинга инфраструктуры результативным, важно уметь оценить возможные пути движения злоумышленника в инфраструктуре в сторону целевых систем и выделить наиболее короткие и критически опасные из них. В этой задаче может помочь ХардкорИТ — методология определения пути и времени атаки хакера с помощью анализа IT-инфраструктуры. Она позволяет быстро и эффективно оценить уровень киберустойчивости IT-систем, критически важных для бизнеса, а затем на основе полученной информации принять эффективные меры защиты, направленные на закрытие выявленных пробелов. Автоматизировать процесс поможет метапродукт MaxPatrol Carbon, который непрерывно оценивает киберустойчивость компании, моделирует маршруты атак хакера и предлагает способы усиления IT-инфраструктуры.
Обучение сотрудников
Регулярное обучение сотрудников и руководителей, а также проверка знаний снижают количество успешных кибератак на организацию. Такие аспекты кибербезопасности, как надежное хранение паролей, защита от фишинга и социальной инженерии, обновление ПО, безопасное использование беспроводных сетей и интернета необходимо прорабатывать со всеми сотрудниками финансовой организации.
Мониторинг и реагирование на инциденты
Введение процессов мониторинга и реагирования позволяет оперативно выявить атаку, а также своевременно предотвратить действия злоумышленника. Для построения результативного процесса мониторинга событий ИБ и реагирования на инциденты важно обеспечить сбор, интеграцию и анализ данных с разных источников телеметрии, включая журналы событий на конечных устройствах, сетевой трафик, данные об уязвимостях в используемом ПО и многое другое. Данные со всех источников передаются в SIEM-систему, например MaxPatrol SIEM, и непрерывно анализируются встроенными алгоритмами для выявления подозрительных паттернов поведения в инфраструктуре.
Важной задачей центра мониторинга и реагирования на инциденты является уменьшение времени обнаружения (TTD), локализации атаки (TTC) и реагирования на инциденты (TTR). Общее затрачиваемое время на эти процессы всегда должно быть меньше времени, требуемого злоумышленнику для проведения атаки (TTA).
Для гарантированного достижения описанного соотношения мы рекомендуем внедрять метапродукты для результативной кибербезопасности. Например, метапродукт MaxPatrol O2, который автоматизированно анализирует срабатывания сенсоров, формирует цепочки действий злоумышленника и предоставляет аналитику инцидента с полным контекстом атаки для принятия решений, а также возможность автоматизированного реагирования.
В организации также должен быть разработан план реагирования на инциденты, в котором описываются конкретные действия сотрудников в случае кибератаки, включая уведомление заинтересованных сторон (партнеров, поставщиков, клиентов организации) и органов власти. Это помогает минимизировать ущерб и оперативно восстановить деятельность организации в случае успешной кибератаки.
Проверка защищенности
Для оценки уровня защищенности в организации могут быть проведены мероприятия по верификации недопустимых событий или киберучения, в ходе которых моделируются возможные атаки на организацию и оценивается эффективность процедур по обнаружению этих атак и реагированию на них. В Positive Technologies такие мероприятия проводят специалисты команды PT Security Weakness Advanced Research and Modeling (PT SWARM).
Выстраивание процессов
Определение слабых мест в критически значимых бизнес-процессах и реинжиниринг этих процессов в соответствии с лучшими практиками информационной безопасности важны для обеспечения большей киберустойчивости организации. Организациям финансовой отрасли также рекомендуется уделить внимание процессам взаимодействия со сторонними поставщиками решений и услуг: важно внедрить надежные процедуры взаимодействия и убедиться, что внешние организации соответствуют стандартам кибербезопасности.
Оценка эффективности
В процессе кибертрансформации каждая организация определяет целевые показатели, к которым необходимо стремиться для поддержания высокого уровня киберустойчивости. Необходимо проводить регулярную оценку текущего состояния защищенности и стремиться к тому, чтобы по итогам проведенной оценки злоумышленнику требовалось тратить больше времени на совершение атаки и достижение цели, чем специалистам по информационной безопасности на выявление и реагирование на инцидент.
Поддержание киберустойчивости
Учитывая совершенствование тактик и техник атакующих, постоянное появление новых уязвимостей, а также наступление нового этапа в цифровой трансформации финансовой отрасли, необходимо обеспечивать поддержание высокого уровня киберустойчивости каждой финансовой организации по отдельности и всей финансовой отрасли на уровне страны в целом. Важно помнить, что поддержание киберустойчивости — это системный процесс, требующий постоянных обновлений, а также скоординированного и эффективного взаимодействия всех ответственных лиц, включая руководителей и владельцев бизнеса, а также подразделения ИБ и ИТ компании.
Запуск программ bug bounty
Финальный шаг выстраивания процессов киберустойчивости — выход финансовой организации к участию в программах bug bounty, в том числе и APT bug bounty. К примеру, публичные программы bug bounty для своих онлайн-продуктов уже запустил Т-Банк и платежный сервис VK Pay. Непрерывная и разносторонняя оценка защищенности финансовых компаний существенно повышает уровень киберустойчивости как самих организаций, так и всей отрасли в целом.
Программа APT bug bounty – Привлечение независимых исследователей кибербезопасности и специалистов по анализу защищенности и тестированию на проникновение к проверке всей ИТ-инфраструктуры организации с условием выплаты вознаграждения (или другого поощрения) за реализацию критерия реализации недопустимого события.
В условиях современных экономических и политических вызовов, роста числа безналичных расчетов и развития инновационных информационных технологий многие государства мира проходят через цифровую трансформацию финансового сектора. Сейчас в общей сложности 134 страны, представляющие 98% мировой экономики, работают над созданием национальных цифровых валют (central bank digital currencies, CBDCs), причем более половины из них находятся на продвинутой стадии разработки, пилотного проекта или запуска. Так, в России с августа 2023 года ведется пилотный проект создания цифрового рубля с участием 13 банков и нескольких сотен специалистов, в январе 2024 года к проекту присоединились еще 17 банков, а с июля 2025 года цифровой рубль может стать доступным для всех граждан страны. Всего в мире в настоящее время реализуется около 44 пилотных проектов, включая тестирование национальной цифровой валюты Китая e-CNY, которая стала первой цифровой валютой и уже к январю 2022 года насчитывала более 260 млн пользователей.
Кроме того, в условиях обостренной геополитической обстановки ряд стран стремится к созданию независимых платежных систем для международной торговли. Например, совместными усилиями государств — членов БРИКС была создана независимая платежная система «БРИКС Пэй», внедрение которой предусматривает в будущем возможность более чем для 150 стран мира вести торговые отношения на прозрачных и взаимовыгодных условиях. Расчетной единицей в «БРИКС Пэй» станет золотой стейблкоин (привязанная к реальному активу криптовалюта), а его исходной базой — права заимствования (SDR) Международного валютного фонда (МВФ).
Такая цифровая трансформация — в дополнение к ранее упомянутым тенденциям перехода на цифровые токены и открытые API — требует применения новых технологий и может в ближайшие годы повлиять на изменение ландшафта киберугроз для финансовых организаций. В этом ключе задача обеспечения информационной безопасности финансовой сферы станет еще более актуальной и потребует ресурсов для борьбы с новыми вызовами.
На текущий же момент многим финансовым организациям рекомендуется пересмотреть свой подход к процессу защиты информации и перейти к внедрению концепции результативной кибербезопасности. Это позволит выстроить комплексную систему защиты, направленную в первую очередь на противодействие наиболее значимым для компании киберугрозам, и предотвратить реализацию недопустимых событий.