«Ветер все сильней…» от волны киберпреступлений
Последние месяцы дали немало поводов еще и еще раз серьезно задуматься о кибербезопасности в банковской сфере. Сообщения о массовых кражах данных клиентов в Сбербанке и Альфа-Банке. Обнародование Банком России информации о 18 крупных утечках за первое полугодие 2019 года. Практически еженедельные сводки мировых информагентств о кибератаках. Анализ ежегодного отчета Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). Активное обсуждение вопросов информационной безопасности на форуме инновационных финансовых технологий Finopolis 2019 в Сочи. Регулярно появляющаяся информация о новых способах хищения данных банковских клиентов. Все это свидетельствует об одном: проблема глобальная, ее опасность увеличивается, легкого решения нет, и пока что киберпреступники, к сожалению, как минимум на шаг впереди.
О том, как переломить ситуацию, сказано, решено и сделано немало, но прогресс невелик. И здесь есть одна фундаментальная причина, о которую, как о скалу, разбиваются все самые правильные решения. Это человеческий фактор. По большому счету он в любой сфере деятельности и отрасли экономики самый трудно регулируемый и непредсказуемый. Усталость, недостаточная квалификация, потеря внимания и настороженности вследствие рутинности процессов, в конце концов, социальная инженерия. Человек — самое слабое звено в деле обеспечения кибербезопасности. По данным ФинЦЕРТа, в 2018 году наиболее популярным видом мошенничества стала именно социальная инженерия — 97% случаев хищения денежных средств со счетов физлиц. По оценкам Сбербанка, 80% атак на банковских клиентов совершаются именно таким образом.
Физлица — лакомый кусок
За последний год в целом наметилась тенденция к изменению направленности атак в сторону частных лиц. И это понятно. С одной стороны, атаки на физлиц — социальная инженерия — зачастую не требуют глубокой технологической подготовки и технических знаний, профессионализма, серьезных временных и финансовых затрат. Зато позволяют с минимумом издержек получать реальный результат. С другой стороны, инфраструктура корпоративного сектора становится все более сложной добычей для киберпреступников. И здесь работают два фактора. Извне жесткие требования к кибербезопасности выдвигают регуляторы и надзорные органы. Попробуй только не выполнить! Да и сами компании, осознавая реальность киберрисков, стремятся более ответственно относиться к защите собственного инфопространства и своих IT-продуктов.
Совершенствуя защиту, компании проводят тестирование на проникновение, анализ защищенности, Red Team, используют другие способы обнаружения уязвимостей и слабых мест инфраструктуры. При этом не всегда даже такие способы позволяют адекватно оценить уровень информационной безопасности компании и принять правильные решения по ее защите и совершенствованию. Почему?
Не всякий пентест полезен
Традиционное тестирование на проникновение — это не очень сложный процесс так называемого снимка инфраструктуры в какой-то определенный короткий промежуток времени. При этом используются самые простые методы выявления уязвимостей и поиска известных эксплойтов к ним на сайтах типа exploit-db.com.
А теперь подробнее. Как проводится традиционный пентест? Приобретается автоматическое ПО, запускается в работу, и клиент получает результат. При этом автоматическое ПО выявляет не все критические уязвимости, не сопротивляется средствам защиты и не строит вектора атаки. А еще немало пентест-компаний не обладают достаточной экспертизой для написания собственных эксплойтов, как это часто делают продвинутые хакеры. Поэтому проведение обычного пентеста становится еще менее эффективным.
В реальности большинство компаний оказывают услуги по тестам на проникновение исходя из общей проектной практики. Выделяется определенное время и некий пентестер, который к тому же не всегда может являться сотрудником компании. А это значит, что вы пускаете к себе потенциального хакера, который помимо того, что окажет услуги низкого качества, сам может представлять угрозу, оставив закладки.
Разве можно удовлетвориться таким результатом? Компания получает иллюзию безопасности и реально ставит себя под угрозу. Это, действительно, преступное легкомыслие.
Что же делать? Найти надежную компанию с профессиональной командой и гарантированно чистым бэкграундом. Легко сказать! Как не ошибиться, когда все пентест-компании говорят о себе именно так, и никак иначе?
Чек-лист для проверки компании-пентестера
Вот вам проверенный лайфхак. Пять пунктов — это параметры деятельности компании-пентестера, которые помогут не ошибиться с выбором и принять правильное решение:
И последнее. Если у вас нет времени на анализ рынка пентестеров, но вы не хотите ошибиться и стремитесь максимально профессионально и полно закрыть все уязвимости — приходите в BSS. Компания полностью соответствует пяти выдвинутым требованиям и уже 25 лет специализируется на предоставлении услуг самой требовательной из отраслей. Все продукты BSS разрабатываются с использованием подхода SDLC. Мы понимаем все связанные с нашей деятельностью риски и отвечаем за результат.
Звоните-пишите: security@bssys.com, +7 (495) 785-0494.
Лучшие новости сегодня
Вы искали сегодня
Другие новости сегодня
В число банков КНР, практически переставших принимать юаневые платежи из России, вошли крупнейший китайский банк ICBC, China Citic Bank, Industrial Bank и Bank of Taizhou, пишут “Известия” со ссылкой на...
Доллар укрепляется на фоне отдаляющейся перспективы понижения процентных ставок в США и совокупности других факторов. Кто и зачем устраивает ажиотажную скупку американской валюты, агентству "Прайм" рассказала эксперт...
В России предлагают установить минимальную тарифную ставку заработной платы не ниже одного МРОТ. Такой законопроект с поправками в Трудовой кодекс будет внесен в Госдуму 16 апреля фракцией «Справедливая Россия —...
В марте 2024 года так называемый Индекс Мишек вырос на 11,2% по сравнению с аналогичным периодом прошлого года, аналогичный показатель в феврале составлял 10%. То есть инфляция в России немного ускорилась. Об этом...
Поправки в Гражданский кодекс, которые позволят легализовать невозвратные тарифы в гостиницах, разработало Минэкономразвития. Это, как ожидается, должно повысить доходы отелей. Предлагается внести изменения...
Мошенники от имени банков стали предлагать россиянам отказаться от спама и предложений оформить кредитные карты. Для этого они просят назвать код из СМС, который на самом деле дает им доступ к «Госуслугам». Об этом...
«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.
В число банков КНР, практически переставших принимать юаневые платежи из
ПодробнееДоллар укрепляется на фоне отдаляющейся перспективы понижения процентных ставок
ПодробнееВ России предлагают установить минимальную тарифную ставку заработной платы не
ПодробнееВ марте 2024 года так называемый Индекс Мишек вырос на 11,2% по сравнению с
ПодробнееПоправки в Гражданский кодекс, которые позволят легализовать невозвратные
ПодробнееМошенники от имени банков стали предлагать россиянам отказаться от спама и
ПодробнееЭкономика сегодня
📰 Снижению ключевой ставки препятствует сохранение рисков перегрева экономики из-за высокого спроса, на этом фоне российский ВВП продолжает расти высокими темпами, рассказывает «Коммерсант» о заявлениях главы ЦБ Эльвиры Набиуллиной. Из данных регулятора следует, что, несмотря на высокие ставки, в
Подробнее Банки начали предлагать вклады с плавающей ставкой, которая зависит от ключевой ставки ЦБ РФ — хотя ставки по ним сейчас высокие, в результате вкладчик может получить не ту доходность, на которую рассчитывал, предупреждает главный аналитик финансового маркетплейса Банки Богдан Зварич. Как
Подробнее Пожилые люди в Испании получают самую щедрую пенсию в мире. Выплаты могут доходить до 3060 фунтов стерлингов – 356 000 рублей в месяц, пишет
Подробнее Востребованность новых жилищно-накопительных депозитов будет зависеть от условий, которые предложат банки по таким вкладам, считает главный аналитик Совкомбанка Анна Землянова. Базовые параметры, которые обсуждаются...
Подробнее Пара доллар/рубль в ходе сегодняшних торгов может отступить в район 92 рублей, прогнозирует главный аналитик финансового маркетплейса Банки Богдан Зварич.
Подробнее Российские дачники в 2024 году могут быть оштрафованы за самозахват и захламление земельных участков, возведение незаконных построек, неправильную установку мангала и задолженность по электроэнергии, рассказал...
Подробнее
Комментарии (0)