Снижение экономической активности в мире, обострение международной политической ситуации, принятие и расширение странами с развитой экономикой в отношении России экономических санкций, затрагивающих в том числе и финансовый сектор нашей страны, и, как следствие, декларируемая руководством страны установка на экономическую и технологическую независимость через импортозамещение дают серьезное основание для переоценки ИБ-рисков и уровня защищенности ИКТ-систем в банковских и других финансовых структурах страны.
Изменения в экономико-политических процессах не могут не влиять на приоритетность ИБ-рисков, как важной части общей структуры бизнес-рисков финансовых организаций. Не стоят на месте и технологии кибератак. В частности, злоумышленники все более широко и эффективно используют целенаправленные атаки (APT-атаки), что также влияет на изменение структуры ИБ-рисков и заставляет российские предприятия искать адекватные способы и средства защиты.
В этом тематическом обзоре мы постараемся дать оценку того, как изменяющиеся в настоящее время экономические, политические и технологические условия ведения финансового бизнеса влияют на организацию его информационной безопасности.
Современные тенденции в ландшафте ИБ-рисков и угроз финансовых организаций
Напрямую изменения, происходящие в экономике и политике, не влияют на ИБ-риски и угрозы для финансового сектора, считает ведущий аналитик отдела практического анализа защищенности Центра информационной безопасности компании «Инфосистемы Джет» Артем Бычков. Тем не менее структура ИБ-рисков может изменяться вслед за корректировкой бизнес-стратегий банков, которые как раз и определяются изменениями в экономической и политической ситуациях, причем снижение активности на рынке капиталов и утрата доступа к европейским и североамериканским кредитам уже заставляют российские банки менять свои стратегии: переходить от активного кредитования к тщательному анализу заемщиков, пересматривать в кредитных портфелях доли в пользу кредитования импортозамещения в таких отраслях, как ИКТ, сельское хозяйство, оборонная промышленность.
«Как конкретно меняется ландшафт ИБ-угроз, — сказал г-н Бычков, — сейчас сказать трудно, поскольку этот процесс, хотя и неотвратим, но инерционен, и результаты этих изменений проявятся позднее». Он рекомендует специалистам ИБ-служб российских финансовых учреждений сосредоточиться сегодня на постоянном мониторинге стратегии бизнеса своих компаний и адекватном подстраивании под нее корпоративных ИТ- и ИБ-стратегий.
При этом есть все основания ожидать сокращения ИТ-бюджетов, считает руководитель отдела информационной безопасности системного интегратора IBS Platformix Джабраил Матиев. Природа инвестирования в ИБ, по его словам, схожа с бюджетированием страхования, расходы на которое заметно сокращаются, когда снижается доходность и повышаются риски закрытия бизнеса, а российские финансовые организации сегодня переживают непростой период — прибыли у них существенно сокращаются. Тем не менее достигнутый к сегодняшнему дню запас прочности в корпоративной ИБ, полагает г-н Матиев, позволит российским финансовым компаниям благополучно пережить нынешнее непростое время. Во многом он видит в этом заслугу регуляторов, которые внимательно контролируют состояние ИБ в отрасли.
Менее оптимистично оценивает ситуацию заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов. Соглашаясь с тем, что экономические проблемы, с которыми столкнулась сегодня наша страна, ведут к сокращению корпоративных ИБ-бюджетов, и будущие ИБ-проекты скорее всего будут сильно урезаны, он полагает, что уже в ближайшее время это сокращение негативно скажется на состоянии ИБ финансовой (и не только) отрасли.
ИБ-угрозы первого плана
Хотя наши эксперты не отмечают явного влияния перемен, происходящих в международной политике и внутренней экономической ситуации, на всю совокупность ИБ-рисков и угроз для финансового бизнеса, они указывают на изменения в возможности реализации некоторых из них, выделяя наиболее частые и угрожающие наибольшим ущербом.
Так, к наиболее вероятным эксперты относят традиционный инсайд — ущерб от непреднамеренных и злонамеренных действий собственных сотрудников. По-прежнему большой ущерб финансовым организациям приносит мошенничество, актуальны риски, связанные с утечками чувствительной информации, а вот ИБ-риски, связанные с невыполнением требований регуляторов (согласно наблюдениям г-на Матиева), временно отошли на второй план.
Ведущий аналитик отдела развития компании «Доктор Веб» Вячеслав Медведев отметил рост числа DDoS-атак на банки. Он обратил внимание также на появившиеся в 2014 г. специализированные вирусы для банкоматов, которые внедряются в них через сменные устройства. «Появление подобных узкоспециализированных вредоносов подтвердило мнение антивирусных аналитиков о недопустимости использования для ИБ-защиты банкоматов только средств контроля целостности», — констатировал он.
Сложности в экономической ситуации, как отметил г-н Бычков, стимулируют российские банки активнее использовать антикризисные меры. Для того чтобы добиваться конкурентных преимуществ, они, например, активнее развивают сервисы дистанционного банковского обслуживания и мобильного банкинга, что, в свою очередь, смещает акцент ИБ-угроз в эту сторону.
В результате экономических санкций российские финансовые учреждения (которые, как и большая часть других российских предприятий и организаций, широко используют в своей деятельности ИКТ-продукты зарубежного производства) уже столкнулись с проблемами в поддержке со стороны производителей импортных ИБ-продуктов. Их опытЭти случаи вызывает вызывают большой понятную интерес озабоченнсть в финансовом сообществе.
Российские специалисты активно обсуждают возможные варианты противодействия санкциям на поставку зарубежного программного обеспечения, предпринимают меры по замене импортного сетевого оборудования на отечественное или оборудование из стран, не участвующих в экономических санкциях против нашей страны.
«И все-таки, — считает г-н Медведев, — российские заказчики в массе своей продолжают работать на ИКТ-оборудовании и комплектующих, разработанных иностранными компаниями, а это является источником самых серьезных ИБ-уязвимостей».
Актуальные технологические аспекты
К настоящему времени средства защиты от типовых ИБ-угроз стали универсальными, недорогими и высокоэффективными. Компаний, которые не располагают базовым набором таких инструментов, особенно в сфере финансов, в России практически не осталось. Как следствие, типовые атаки перестали представлять серьезные угрозы для финансовых структур и злоумышленники все чаще прибегают к так называемым целевым атакам.
Мы не будем пытаться в этом обзоре дать точное определение целевым атакам, поскольку специалисты пока еще не пришли к единодушному мнению на этот счет. Отметим лишь, что важнейшими их признаками являются сосредоточенность на одном объекте атаки и высокая устремленность к достижению поставленной цели, нередко связанная с привлечением больших денежных средств, широкого спектра технологий и длительным временем проведения атаки.
«Главная проблема защиты от целевых атак, — сказал г-н Матиев, — заключается в том, что они часто базируются на так называемых уязвимостях нулевого дня, к защите от которых не приспособлено ни одно классическое ИБ-средство. Однако уже существуют технологии, которые повышают вероятность оперативного обнаружения таких атакам и противодействия им». Оперативность в данном случае важна, поскольку опасна не столько сама атака, сколько ее последствия, разрушительность которых при успешном развитии атаки может возрастать многократно.
Одна из технологий противодействия целевым атакам связана со сбором, анализом и корреляцией событий безопасности со всех объектов ИКТ-инфраструктуры, что позволяет улучшить видимость того, что происходит, и оперативно реагировать на аномалии. Другой пример — технология «песочниц», которая помогает детально изучать поведение различных программных приложений на предмет выявления признаков их возможной вредоносности.
В итоге же борьба с целенаправленными атаками заключается в создании комплексной системы обеспечения информационной безопасности (использующей в том числе и упомянутые технологии) и постоянном ее совершенствовании. Это под силу только тем структурам, которые отличает высокий уровень корпоративной ИБ-зрелости.
В реальной злободневности целевых атак сомневается г-н Медведев: «Прежде чем согласиться с выводом об их актуальности, нам следует внимательно ознакомиться с методиками исследований, по итогам которых они отнесены к основным современным киберугрозам, и соотнести эти результаты с рекомендациями по защите от них».
Киберпреступникам, по его мнению, пока нет надобности организовывать дорогостоящие, требующие высокой квалификации целевые атаки, поскольку сегодня, например, все еще несложно взломать и заразить часто посещаемые популярные веб-сайты (более 80% из которых по-прежнему имеют уязвимости!), а пользователи сами придут туда и перенесут заражение на свои ИКТ-ресурсы. И это только один из гораздо более дешевых, чем целевые атаки, возможных сценариев атаки.
«Публикации об APT-атаках, — считает г-н Медведев, — не должны мешать ИБ-специалистам знакомиться с информацией о все еще актуальных, но более простых уловках злоумышленников, например о выпускаемых сотнями в день вредоносных программах, по-прежнему без особых проблем находящих свои жертвы».
Большой бедой для финансовых структур наши эксперты считают низкий уровень корпоративной ИБ-культуры, распространенными признаками которой являются отсутствие оценок уровней опасности ИТ-угроз, опора на технические меры защиты, слабая работа с персоналом и клиентами по направлению ИБ. Неосведомленность и безалаберность персонала в сочетании с несовершенными механизмами разграничения доступа (на всех уровнях — от физического до уровня приложений) являются залогом успеха усилий злоумышленников, согласен с мнением коллег г-н Бычков.
Пренебрежение ИБ-обучением персонала, считает г-н Медведев, снижает эффективность функционирования и технических средств защиты. Есть ли, например, смысл, заметил он, устанавливать в банкоматы защиту систем контроля целостности, если внедрение троянцев в них происходит в результате вскрытия устройств штатным ключом? Кто и откуда смог взять этот ключ? Откуда получена информация о том, что именно в том банке, которому принадлежит вскрытый банкомат, не организован контроль за вскрытием? Как злоумышленники узнали, какие системы защиты стоят в банкоматах атакуемого банка? Известно, что злоумышленники активизируются в праздники, а сколько российских финансовых организаций формируют дежурные ИТ- и ИБ-бригады на то время, когда основной персонал отсутствует на рабочих местах? Прежде чем задумываться об отражении APT-атак, банки должны иметь ответы на все эти гораздо более простые вопросы, настаивает он.
«Наиболее часто используемые злоумышленниками уязвимости, ведущие к денежным потерям, — сказал г-н Сабанов, — связаны с кражей закрытых шифроключей клиентов банков, а также подменой данных в момент подписания и отправления платежей на исполнение». В связи с этим он обратил особое внимание на организацию процесса аутентификации клиентов в банковских системах.
Ссылаясь на отчеты по киберпреступности компании Verizon, г-н Бычков, поддерживает мнение, что наибольший ущерб современным компаниям (в том числе и финансовым) приносят все-таки не целевые атаки, а более привычные. APT-атаки выходят на первый план лишь в том случае, если компания-жертва располагает чем-то, представляющим существенную ценность для атакующего, а проведение типовых атак не приносит результата.
Влияние импортозамещения
Очевидно, что тема импортозамещения в первую очередь актуальна для тех структур, которые уже попали в санкционные списки. Однако и остальные участники финансового рынка тоже внимательно относятся к вопросам импортозамещения, заблаговременно предполагая возможность расширения санкций.
В финансовых структурах, отметил г-н Медведев, отечественные ИБ-продукты начали использоваться (там, где это возможно, например в антивирусной защите) и до объявления стратегии импортозамещения. Однако активно расширять список таких продуктов, по его мнению, вряд ли получится в обозримом будущем, поскольку фактически для этого требуется создать замену широкому спектру базового программного и аппаратного обеспечения ИКТ.
Осознавая возрастание рисков приостановки бизнеса вследствие экономических санкций, предприятия российского финансового сектора, считает г-н Бычков, стали активнее искать ИКТ-решения в странах Азии, прежде всего в Китае. Наметился также тренд на увеличение доли разработок с использованием ПО с открытым исходным кодом, качество которых, по его мнению, зачастую выше, чем у отечественных проприетарных аналогов, а риски, связанные с непредсказуемостью поставщиков, практически отсутствуют.
Однако г-н Медведев, говоря о рисках, связанных с отказом иностранных вендоров (в связи с экономическим санкциями) в поставке импортного ПО, полагает, что замены широко распространенным в России операционным системам, СУБД и многому другому базовому ПО нет и в ближайшее время не будет, даже если иметь в виду использование ПО с открытым исходным кодом. Он связывает это с тем, что основную работу по развитию и поддержке этого ПО выполняют крупные коммерческие организации, большая часть которых находится в США, а действуют они в соответствии с законодательством этой страны, т. е. выполняют требования наложенных на Россию санкций. К тому же нужно учитывать. что увеличение доли ПО с открытым исходным кодом в построении корпоративной ИБ обусловливает рост спроса на квалифицированные ИБ-кадры. А взять их сегодня неоткуда.
С тем, что, когда дело касается импортозамещения средств защиты информации, российским разработчикам в той или иной мере есть, что предложить рынку, согласен с коллегами г-н Матиев. Однако реализация импортозамещения других компонентов корпоративной ИКТ-инфраструктуры высокозатратна, хотя бы потому, что связана она с переходом на продукцию других производителей (которым к тому же еще только предстоит появиться).
Основные проблемы стратегии импортозамещения по направлению ИБ г-н Бычков связывает с тем, что, с одной стороны, на сегодняшний день нет пригодных к промышленному использованию средств защиты информации российского производства по целому ряду направлений, в частности SIEM, DB Protection, IPS/IDS, а с другой — поиск, тестирование и замена уже внедренных средств защиты информации потребует существенных ресурсных затрат, включая привлечение все тех же квалифицированных кадров.
«В сложившейся ситуации к первоочередным задачам следует отнести организацию защиты данных финансовых учреждений и проводимых ими финансовых транзакций за счет использования российских ИБ-средств», — считает г-н Сабанов По его оценкам, в короткие сроки решить данную задачу не удастся, но возможности и предпосылки для этого имеются.