За последние пару лет российские банки столкнулись с рядом специфических проблем в области информационной безопасности. При этом особенности сегмента и требования к безопасности инфраструктуры предполагают комплексный подход. Количество и изощренность кибератак на финансовый сектор активно растет — равно как инструментарий и технологический стек, применяемый хакерами. И пока банки разбираются с требованиями регуляторов, злоумышленники получают очередной шанс обогатиться.

Как быть финансовой отрасли? Рассмотрим проблематику и возможные способы решения ИБ-вызовов.

Актуальные проблемы ИБ

Уход западных вендоров

Российские банки были вынуждены искать альтернативу привычным западным решениям и технологиям, при этом, например, защита локального периметра обычно строилась на решениях вендоров, покинувших российский рынок.

Из-за отсутствия техподдержки и обновлений устаревающие средства защиты не справляются с кратно возросшим объемом новых типов атак. Веб-ресурсы становятся недоступными и уязвимыми.

Приходится ускоренными темпами переходить на отечественные решения ИБ, создавать собственные разработки и технологии. Это ставит новые вызовы перед отраслью в плане развития компетенций и экспертизы.

Рост числа целевых атак

Банки стали более привлекательной мишенью для целевых нападений. Наблюдается многократный рост числа изощренных атак, направленных на кражу данных, финансовые махинации и нарушение работы систем. Ситуация требует серьезного усиления мер противодействия целевым атакам.

Дефицит квалифицированных кадров

Усугубляющийся в последние годы дефицит квалифицированных специалистов по информационной безопасности затрагивает и финансовую отрасль. Компаниям сложно привлекать и удерживать талантливых сотрудников, обладающих необходимой экспертизой. Это снижает эффективность ИБ.

Основные киберугрозы для финансовой отрасли

Банки сталкиваются с широким спектром кибератак, нацеленных на нарушение их операций, кражу конфиденциальных данных и финансовых средств. В 2024 году начались «ковровые» атаки, когда под ударом оказываются сразу все банковские сервисы.

Одной из наиболее серьезных и постоянно растущих угроз являются распределенные атаки типа «отказ в обслуживании» (DDoS), в ходе которых злоумышленники перегружают системы компании огромным количеством запросов, выводя критически важные сервисы из строя. В новых реалиях финансовые компании регулярно сталкиваются с мощными атаками до 300 тысяч запросов в секунду, что в 60 раз превышает обычную нагрузку на приложения банков.

По данным Servicepipe, с февраля 2022 года средняя продолжительность кибератак на финансовые организации выросла в 6 раз. Максимальный объем прикладных атак увеличился более чем в 10 раз, также впервые была отражена атака на мобильное приложение интенсивностью 20 млн. запросов в секунду.

При этом более четверти трафика финансовых приложений составляют автоматизированные запросы вредоносных ботов, по прогнозам аналитиков, зловредный бото-трафик скоро превысит человеческий. Боты взламывают и захватывают учетные записи, похищают конфиденциальные данные пользователей, чтобы потом, например, украсть еще больше учеток методом credential stuffing (подстановки учетных данных) на других сайтах и сервисах. В 2023 году credential stuffing применялся на 30% чаще прошлых периодов, и киберпреступники вряд ли снизят темп.

Целевые атаки с применением методов социальной инженерии, таких как фишинг, также представляют серьезную угрозу для банков, ведь они направлены на обман сотрудников и клиентов с целью получения несанкционированного доступа к системам и данным.

Специфика ИБ для банковской отрасли

Сегмент финансов имеет ряд отличительных особенностей и специфических требований к инфраструктуре с точки зрения информационной безопасности:

Повышенные требования к защите персональных данных

Банки работают с конфиденциальной и чувствительной для клиентов финансовой информацией, такой как платежные данные, данные счетов и инвестиционных портфелей. Утечка или несанкционированный доступ к ней могут нанести серьезный ущерб и банку, и его клиентам. Неизбежны и штрафы от множества регуляторов, а принадлежность к субъектам критической инфраструктуры повышает ответственность и обязывает банки отчитываться о каждом киберинциденте не только в ГосСОПКА, но и в ФИНЦЕРТ. За крупные утечки вероятна уголовная ответственность руководства.

Соответствие строгим нормативным требованиям

Финансовая отрасль регулируется множеством международных нормативных актов и стандартов, таких как PCI DSS, GDRP, HIPAA и другими, которые определяют строгие требования к безопасности данных и защите информации. Банки должны обеспечивать соответствие этим требованиям, что накладывает дополнительные ограничения на инфраструктуру и комплекс мер ИБ.

Обеспечение непрерывности бизнеса

Финансовые услуги должны быть доступны для клиентов 24/7, поэтому инфраструктура банков можно спроектировать таким образом, чтобы обеспечивать высокую доступность и отказоустойчивость. Любые сбои или простои могут привести к финансовым потерям и потере лояльности клиентов.

Высокие требования к производительности

Банки обрабатывают огромные объемы транзакций и финансовых данных в режиме реального времени, что подразумевает высокие требования к производительности их инфраструктуры. Системы безопасности также должны обрабатывать большие объемы трафика без снижения производительности.

Примеры успешных кибератак на банки и их последствия

Последствия успешных кибератак на банки могут быть разрушительными, начиная от финансовых потерь и заканчивая репутационным ущербом. При этом ландшафт киберугроз в финансовой отрасли масштабный и включает весь спектр преступных приемов — от объемных DDoS-ов, интеллектуальных ботнетов и целевых атак до кардинга, сканирования уязвимостей, захватов аккаунтов и многого другого. Приведем несколько неприятных, но реальных случаев:

SMS на шесть миллионов

Один из первых российских случаев SMS-бомбинга, или массовых запросов SMS‑кодов авторизации пользователей и подтверждения действий на сайте для исчерпания баланса компании‑жертвы у SMS‑агрегатора, встретился именно в банковской сфере. Компания узнала об атаке постфактум, когда счёт от SMS-агрегатора уже достиг 6 млн. рублей. Притом засечь ботнет очень сложно: источники активности сильно распределены по множеству IP-адресов, с каждого отправляются единицы запросов в минуту. Из-за этого они не выглядят подозрительными для систем обнаружения аномалий.

К тому же, такой ботнет умело мимикрирует под суточную активность пользователей — объем запросов плавно повышается днем и снижается ночью. В целом из-за SMS-бомбинга затраты банков на SMS-рассылки выросли в 1,5 раза, а средний ущерб от такой атаки может достигать 2 млн. рублей.

Ctrl+C, Ctrl+V — и деньги в кармане

Что может быть проще? Украл с помощью ботов миллионы логинов/паролей и ботами же вставляй их при авторизации в других сервисах и приложениях, ведь пользователи часто дублируют те же логин и пароль в разных местах, от стримингов до платежных систем. Упомянутый выше credential stuffing сильно упрощает задачу киберпреступникам, недаром количество атак с подстановкой учеток растет. Такие атаки на банки (например, на HSBC) фиксируются с 2018 года и дорого обходятся финсектору: приходится компенсировать ущерб клиентам, платить штрафы за серьезные утечки финансовых данных, выравнивать репутацию. Технически, если банк не сможет выстроить защиту от таких атак, его могут лишить лицензии, ведь преступники не просто крадут отдельную информацию, а получают полный доступ к деньгам и операциям клиентов. А если банк подключил двухфакторную аутентификацию, к подстановке учетных данных автоматически добавляется SMS-бомбинг и связанные с ним миллионные затраты.

По данным Центробанка РФ, в целом из-за хакерских атак в 2022 году российские банки потеряли 14,2 млрд. рублей, эта сумма в основном сложилась из приемов социальной инженерии и прямой кражи денег с клиентских счетов.

Почему стандартные защитные меры неэффективны?

Традиционные способы защиты плохо работают против современных изощренных атак, и порой даже вредят бизнесу. Например, грубая блокировка по IP-адресам как способ снизить нагрузку на средства защиты при DDoS может ограничить доступность сервисов для клиентов. Это касается и блоков по геопризнаку, и закрытия доступа по публичным IP-адресам, где за одним адресом сотового оператора или Wi-Fi-сети находится большое количество реальных пользователей. Они не смогут получить услугу, а финтех рискует потерять клиентов и деньги.

CAPTCHA (капча) — популярный способ защиты, который помогает бороться только с простыми ботами. А также имеет множество недостатков. Многие пользователи не хотят тратить время на разгадывание капч, что снижает конверсию целевых действий примерно на 15%. Кроме того, CAPTCHA не может применяться для защиты API мобильных приложений.

Классика ИБ — поведенческий анализ неэффективен для блокировки продвинутых ботнетов или низкочастотных DDoS-атак. Боты сейчас виртуозно имитируют действия реальных пользователей, и их запросы похожи на легитимный трафик.

И наконец, WAF (Web Application Firewall) — блокирует только то, что совпадает с базой вредоносных сигнатур или удовлетворяет предустановленным правилам. Для эффективного анализа при высоких нагрузках требует значительных ресурсов, иначе может деградировать и «схлопнуться» от большого количества TCP-соединений. Устанавливать WAF как единственное средство защиты от DDoS-атак и ботов не рекомендуется.

Востребованные банками варианты защиты

Между тем для финансовой отрасли существует ряд эффективных практик защиты, например:

  • Облачные сервисы защиты от DDoS-атак и ботов. Облачные сервисы предлагают высокопроизводительные решения для защиты от DDoS-атак и вредоносных ботов. Они способны обрабатывать огромные объемы трафика, выявляя и блокируя нежелательные запросы до того, как те достигнут систем компании.
  • Сложные алгоритмы анализа трафика для выявления аномалий. Передовые системы безопасности используют алгоритмы машинного обучения и искусственного интеллекта для анализа трафика в режиме реального времени и выявления аномалий, которые могут указывать на потенциальные атаки. Эти системы способны адаптироваться к новым угрозам и обеспечивать более эффективную защиту.
  • Сочетание разных механизмов кибербезопасности на всех уровнях. Для обеспечения комплексной защиты финтех-компаниям необходимо внедрять различные механизмы безопасности на всех уровнях своей инфраструктуры, включая сетевой, системный и прикладной. Сюда входит использование брандмауэров, систем обнаружения и предотвращения вторжений (IDS/IPS), шифрования данных, политик контроля доступа и многого другого.

Для финансового сегмента активно применяется эшелонированная защита, то есть стратегия дополняющих друг друга защитных мер на случай, если какой-то элемент управления безопасностью не сработает или станет уязвимым. Банкам рекомендуется внедрять три уровня защиты компании:

  • выборочную защиту критичных сервисов: личных кабинетов банков, API, через который работает бизнес‑логика;
  • локальную защиту развитой ИТ‑инфраструктуры (всей автономной системы) и развернутых в ней веб‑приложений и API;
  • и, наконец, облачную защиту от большинства современных угроз.

Проблемы со связью и их решение

Помимо защиты от кибератак, банкам необходимо уделять внимание безопасности и производительности своей сетевой инфраструктуры. Надежная и защищенная связь имеет решающее значение для бесперебойной работы финансовых сервисов и операций. Здесь могут возникнуть типичные для сегмента проблемы, решаемые следующим образом:

Проблема: устаревшая и неоптимизированная сетевая инфраструктура может стать «бутылочным горлышком», ограничивающим производительность и отказоустойчивость финансовых сервисов.

Решение: банкам нужно регулярно модернизировать сетевое оборудование, внедрять современные протоколы и технологии связи. Это включает в себя:

  • Переход на высокоскоростные каналы связи (оптоволокно, MPLS).
  • Внедрение технологий SD-WAN для оптимизации трафика.
  • Использование сетевых ускорителей и решений WAN-оптимизации.
  • Обеспечение отказоустойчивости сети (резервирование каналов).
  • Централизованное управление и мониторинг сетевой инфраструктуры.

Проблема: передача конфиденциальных финансовых данных в незашифрованном виде создает риски утечки информации. При этом необходимо соблюдать отечественные криптографические стандарты.

Решение: внедрение комплексного шифрования трафика по ГОСТам на всех уровнях сети:

  • Применение VPN с сертифицированными криптоалгоритмами (ГОСТ).
  • Использование SSL/TLS с российскими криптопровайдерами.
  • Шифрование данных на уровне приложений и баз данных.
  • Обеспечение централизованного управления криптографическими ключами.

Проблема: самостоятельное построение и поддержка корпоративной сети связи требует значительных ресурсов и экспертизы, которыми не всегда обладают банки.

Решение: переход на аутсорсинг телекоммуникационных услуг у провайдера по модели «единого окна»:

  • Объединение услуг связи, киберзащиты и ИТ-сервисов у одного поставщика.
  • Использование облачных коммуникационных сервисов UCaaS.
  • Предоставление услуг по модели оплаты за использование.
  • Гибкое масштабирование и адаптация под потребности бизнеса.
  • Единая точка ответственности и SLA на все телеком-сервисы.

Выгоды комплексного аутсорсинга ИБ и связи

При этом комплексный аутсорсинг услуг по кибербезопасности и связи может принести банкам множество преимуществ. Вот основные:

Единая точка ответственности

При комплексном аутсорсинге финансовая компания имеет дело с одним поставщиком, который несет полную ответственность за обеспечение ИБ и качества связи. Это упрощает управление, взаимодействие и устранение возможных разногласий между разными провайдерами.

Лучшая интеграция и совместимость решений

Единый поставщик может предложить лучшую интеграцию решений ИБ и телекоммуникационных сервисов, оптимизировав их совместную работу. При раздельном аутсорсинге могут возникать проблемы совместимости решений разных вендоров.

Общая архитектура и единые политики безопасности

Комплексный подход позволяет выстроить общую архитектуру безопасности и связи с единой системой политик и процессов управления ИБ. Это повышает эффективность защиты.

Сквозной мониторинг и отчетность

Поставщик комплексных услуг может организовать сквозной мониторинг ИБ и связи, агрегируя данные из разных систем. Это облегчает анализ и подготовку отчетности для финансовой компании.

Более выгодные финансовые условия

Объединяя услуги ИБ и связи, провайдер может предложить более привлекательные финансовые условия и пакетные скидки по сравнению с раздельным аутсорсингом этих сфер.

Меньшие операционные издержки

Для финансовой компании комплексный аутсорсинг сопряжен с меньшими операционными издержками, чем управление отношениями с несколькими поставщиками услуг.

Ускорение внедрения новых сервисов и технологий

Единый поставщик способен быстрее развертывать новые интегрированные сервисы и решения для финансовых компаний с учетом требований к ИБ и связи.

Прогнозы и перспективы

В условиях продолжающихся геополитических вызовов и санкционного давления, обеспечение кибербезопасности станет одним из ключевых приоритетов для российских банков. Ускоренными темпами пойдет переход на использование отечественных решений информационной безопасности и развитие собственных технологий в целях достижения технологического суверенитета.

Одновременно с этим возрастет спрос на аутсорсинг комплексных услуг по ИБ и телекоммуникациям из «единого окна». Расширится применение передовых технологий и машинного обучения для выявления сложных кибератак. Важную роль сыграет развитие компетенций и повышение осведомленности персонала в вопросах информационной безопасности. Для координации усилий государства и бизнеса будут задействованы механизмы государственно-частного партнерства.

В целом, обеспечение надежной кибербезопасности станет ключевым фактором успеха для банков в условиях растущих киберугроз и цифровизации финансовой отрасли. Только те компании, которые смогут внедрить комплексные и проактивные стратегии защиты, смогут сохранить доверие клиентов и обеспечить бесперебойное предоставление финансовых услуг.

Евгений Крайнов, генеральный директор “Телеком биржи”