Взломать можно все? К чему надо быть готовыми банкам - «Финансы»

Информационная безопасность банков – критически важная часть ежедневной работы финансовой сферы. Взлом с проникновением в цифровом мире – страшный сон как банка, так и специалиста по ИБ. Основная цель злоумышленника – украсть номера кредитных карт, пароли и в конечном итоге деньги. На базы данных с людьми, реквизитами, досье по платежным инструментариям всегда найдется покупатель. Небольшая утечка всего в 1000 записей может обернуться потерянными миллионами.

Когда мы проводим мероприятия по устранению уязвимостей в банках, часто удивляемся, как многим из них повезло, что утечки еще не произошло: информация хранится разрозненно, в незакрытом виде и доступ осуществляется через стандартную парольную пару, что абсолютно ненадежно.

Атака на данные может быть как извне, так и изнутри защищенного периметра. Что может произойти?  

- просмотр или завладение информацией

- распространение или ограничения доступа к информации

- изменение информации

- уничтожение данных 

В каждом случае объем последствий будет разный.

Только в прошлом году в России было совершено больше 70 млн кибератак на финансовые объекты, а ущерб российских банков и платежных систем мог превысить 1,35 млрд руб

Что делать? Принять вероятность взлома и сделать его настолько безопасным, насколько это возможно. Это один из основных способов, который может предотвратить несанкционированный доступ к конфиденциальной информации. Только в прошлом году в России было совершено больше  70 млн кибератакна финансовые объекты, а ущерб российских банков и платежных систем мог превысить  1,35 млрд руб.

Согласно статистике  Breach Level Indexза 2017 год, по доле кибератак финансовый сектор занимает второе место (12%). На первом находится сектор здравоохранения (27%), на третьем - образовательная сфера (11%), далее ритейл и торговые организации (11%), инциденты в правительственных организациях (11%), сфера технологий (7%), на остальные организации приходится 21% кибератак.

Статистика по количеству инцидентов и полученных записей в результате взломов выглядит следующим образом:

Распределение по количеству инцидентов

Цель взлома

2013

2014

2015

2016

2017

Кража персональной информации

715

937

1014

1240

1222

Доступ к финансовой информации

193

303

413

352

274

Доступ к учетным записям

139

171

199

182

122

Распределение по количеству полученных записей в результате взломов

Цель взлома

2013

2014

2015

2016

2017

Кража персональной информации

1 189 281 505

535 324 198

526 853 396

292 246 026

687 406 529

Доступ к финансовой информации

274 460 093

152 114 562

4 102 305

4 519 712

13 065 161

Доступ к учетным записям

609 689 524

969 472 243

171 873 091

329 998 234

310 143 719

Финансовые организации находятся под постоянным прицелом, несмотря на то, что они стараются противодействовать рискам и атакам. На улучшение показателей статистики во многом повлиял рост внедрения систем многофакторной аутентификации – это тот стандарт, без которого нельзя обезопасить данные. Однако чем дальше, тем больше меняется ландшафт хранения и организации доступа, механизмы работы с информацией, данные уходят за пределы периметров организаций (например, в облака). Поэтому постоянно формируются новые подходы к ее защите.

Ключевые инструменты защиты

Многофакторная аутентификация пользователя

Даже в телефонах уже давно есть возможность двухфакторной аутентификации, но практика показывает, что финансовые организации ей часто пренебрегают. Чтобы обезопасить данные, помимо понимания, кто и каким образом получает доступ к информации, необходимы инструменты усиления аутентификации, такие, как многофакторная аутентификация (она же строгая).

В качестве факторов аутентификации могут выступать:

?      информационный– для идентификации используется конфиденциальная информация, известная пользователю (например, пароль)

?      физический– когда пользователь для идентификации предоставляет предмет, которым он обладает (смарт-картус RFID-меткой, USB-токен с записанным сертификатом)

?      биометрический – пользователь предоставляет для идентификации уникальные данные, которые являются его неотъемлемой сутью (отпечаток ладони или пальца).

Как использовать

Для примера возьмем сотрудника, работающего с любой системой банка удаленно. Чтобы гарантировать, что именно он использует двухфакторную аутентификацию, сотрудник каждый раз при входе в систему должен вводить логин/пароль и одноразовый пароль, полученный в PUSH-уведомлении или от аппаратного генератора.

Шифрование данных

Если информация покидает зону контроля, прочитать ее могут только санкционированные пользователи – это закон. То есть данные должны перемещаться только в зашифрованном виде

Если информация покидает зону контроля, прочитать ее могут только санкционированные пользователи – это закон. То есть данные должны перемещаться только в зашифрованном виде. На текущий момент только 4%из всех «утерянных» записей были зашифрованы и бесполезны для злоумышленников. Огромные массивы информации компании часто не шифруют даже стандартными инструментариями СУБД и не организуют контролируемое надежное хранение ключей шифрования. Нередко выясняется, что банк не шифрует  PAN-номеракарт клиентов, несмотря на все предписания стандартов и аудиторов. И доступ к базам с этими данными тоже никак не защищается, кроме как паролями администраторов. 

Как и с помощью чего шифровать

Сегодня есть инструменты, позволяющие шифровать объекты в различных средах. Например, виртуальные машины – виртуальные жесткие диски и файлы подкачки – для безопасной миграции данных в облака и дата-центры. Можно шифровать файловые сервера – без нарушения бизнес-операций и потери производительности. Существуют шифраторы для баз данных и для защиты каналов связи. 

Современные технологии шифрования просты в использовании и подходят как для бизнеса, так и для государственных проектов. Их можно использовать и для защиты данных в облаке, и на личных устройствах, и для связанных объектов IT-инфраструктуры. Многие решения настраиваются по принципу «установил и забыл» - с ними просто работать, ими легко управлять, сводя требования к ресурсам к минимуму.

Бизнес должен быть всегда на страже: данные будут пытаться украсть, и чем больше появляется технических возможностей предотвратить атаку, тем более изощренные методы используют злоумышленники. Внедрение технологий и сервисов, которые смогут дать адекватный ответ росту киберугроз и при этом удобных в использовании – одна из ключевых задач любой современной финансовой организации. При этом не стоит воспринимать шифрование как панацею от всех угроз. Защитить информацию поможет только комплексный подход: регулярное обновление ПО, парольная политика,  многофакторная аутентификация, антивирусная защита и т.д. Не стоит забывать и о человеческом факторе. По разным оценкам, от 20 до 30% сотрудников переходят на фишинговые сайты, вводят там свои учетные данные, а около 10% открывают зловредные файлы. Шифрование и строгая аутентификация – это последний рубеж, составная часть комплексной системы защиты информации предприятия.