Журнал "Системы Безопасности" № 5‘2021

S E C U R I T Y A N D I T M A N A G E M E N T 25 карты и банковские карты, зарегистрирован- ные на посторонних людей; l несколько сборщиков информации, как по технологии OSINT, так и в DarkNet – могут не выделяться в категорию; l несколько (человек, десятков, сотен) сотруд- ников колл-центров. в таких преступных группах обычно есть и наводчики – инсайдеры со стороны банка и пр. К счастью, сегодня по сравнению с 90-ми гг. прошлого столетия ситуация со свободным функционированием таких группировок значи- тельно улучшилась. Даже неподтвержденная информация о покровительстве со стороны фСин говорит скорее о "закрывании глаз", чем о "крышевании". Способы обеспечения информационной безопасности После того как мы определили ключевые угро- зы безопасности данных, скажем несколько слов о защите. Для обеспечения безопасности информации банки должны следовать так называемому подходу 360 градусов, чтобы гарантировать, что нарушение безопасности не произойдет ни внутри, ни снаружи. это подра- зумевает защиту как банковских процессов на стороне клиента, так и внутренних процессов, связанных с сотрудниками, поставщиками, системами и т.д. здесь есть два основных направления – техни- ческое и организационное. Первое включает в себя: l средства разграничения доступа; l современное сетевое оборудование, позво- ляющее гибко настраивать ограничения и противодействовать сетевым атакам, таким как DDoS; l поиск уязвимостей (одной из главных причин инцидентов) лучше всего доверять специали- зированным агентным или безагентным ска- нерам уязвимостей; l DLP-системы, предназначенные для пред- отвращения утечек данных по электронной почте, через сеть "интернет" и даже через печать на принтере; l средства антивирусной защиты от нескольких вендоров, одни для сервера, другие для рабочих станций, и т.д.; l SIEM-системы, применяемые для мониторин- га и анализа событий (позволяют отследить, что сотрудник, только что сменив пароль, начинает осуществлять нехарактерные для него операции); l защита среды виртуализации (позволяет не только обезопасить данные от взлома или утечки, но и обеспечивает стабильность рабо- ты) плюс технологии контейнеризации; l специализированные системы класса MDM, необходимые для защиты мобильных устройств (планшетов и смартфонов), а также рабочих мест сотрудников, работающих уда- ленно. Организационные меры позволяют снизить влияние человеческого фактора и повысить эффективность использования технических мер. в этой категории особо стоит отметить назначение ответственных лиц и регламента- цию защиты информации. хорошую базу для создания и развития органи- зационных мер предоставляет Банк России, предъявляющий в своих положениях достаточ- но жесткие требования к процессам и сотруд- никам. Только за последние три года регулятор выпустил более семи таких документов. в частности, от банков требуется применять ГОСТ 57580 (именно на его основе составлен приведенный выше список технических реше- ний), приводить системы банковского обслу- живания в соответствие с ОуД4 (ГОСТ 15408) и многое другое. Осуществлять контроль за соблюдением требо- ваний Банка России позволяют внешние ауди- ты, в ходе которых специалисты тщательно про- веряют организации. К сожалению, часть тре- бований выполняется формально, что приводит к печальным последствиям не только в виде санкций Банка России, но и, что еще более весомо, к хищению денежных средств, про- стоям процессов и прямым убыткам банков. не стоит также забывать о проведении регуляр- ных обучающих сессий с практическими эле- ментами и заданиями для сотрудников финан- совых организаций, в ходе которых необходи- мо рассказывать об актуальных угрозах, пред- лагать задачи для решения и инструкции, как действовать в различных ситуациях. Финансирование – одна из основных проблем борьбы за цифровую безопасность несмотря на обилие проблем и нерешенных задач в данной сфере, вызывает беспокойство позиция руководства многих банков относи- тельно финансирования процессов и служб информационной безопасности. Мы на практике сталкиваемся с ней фактически при каждом проведении аудита. этот процесс руководство уже принимает как "неизбежное зло", но всеми силами старается сэкономить на нем. но если стоимость аудита составляет 1 млн рублей, то внедрение всех технических средств защиты информации может обойтись на порядок дороже. Банки с прибылью в 100 млн рублей в год не готовы тратить ее четверть "на какие-то непонятные вещи, ведь есть же антивирус". в этой ситуации хочется привести пример хище- ния 89 млн рублей со счета организации в одном из регионов в 2015 г., когда треть этой суммы суд постановил вернуть пострадавшим за счет средств банка. и это не единичный слу- чай. Так что при попытках сэкономить стоило бы все же учитывать все переменные. До сих пор затраты на инкассацию, физическую защиту помещений все еще остаются в приори- тете. но реальность такова, что хищения налич- ных денег составляют лишь малую долю, по нашим данным менее 5% от общей суммы бан- ковских хищений. Поэтому финансирование направления иБ должно быть полноценным, тем более что часть трат разовая, далее требу- ется только поддержание. но регулярный контроль над обеспечением иБ банка – тоже не бесплатный процесс, и один специалист по безопасности даже теоретически не сможет обслуживать банк, где работают 100 сотрудников, тем более если попутно тре- буется решать организационные вопросы, выдавать ключи эЦП и пр. COVID-19 создал новые проблемы безопасности Когда началась пандемия COVID-19, банки и финансовые учреждения поспешили перевести в цифровой формат как внутренние процессы, так и услуги, предоставляемые клиентам, поскольку люди внезапно перешли на работу из дома, а потребители перевели все свои финан- совые операции в онлайн и мобильные каналы. финансовые учреждения приостановили мно- гие из ранее запланированных технологических проектов и ускорили те, которые способствуют улучшению и повышению безопасности цифро- вых услуг для клиентов. Однако при переходе на цифровые технологии многие финансовые учреждения, возможно, неосознанно, в спешке создали дыры и уязви- мости в системе безопасности, которыми в дальнейшем поспешили воспользоваться мошенники. Заключение в целом нельзя сказать, что злоумышленники выигрывают борьбу у банков. за счет общих тен- денций к внедрению мер противодействия, за счет требований Банка России поток хищений у банков не растет и даже постепенно уменьша- ется. но основная цель злодеев сейчас – клиен- ты банков. Главный инструмент – телефон, от которого пока защититься проблематично. но уже сейчас разрабатываются концепции и даже технологии, которые позволят эффек- тивно бороться с новыми вызовами времени. а пока проявляем бдительность и бережем себя от COVID-19. Против него антивирусы, к сожа- лению, бессильны. n www.secuteck.ru октябрь – ноябрь 2021 СПЕЦПРОЕКТ БЕзОПаСнОСТь БанКОв в эПОху ЦифРОвизаЦии В целом банкам необходимо обеспечивать как конфиденциальность информации (секретность переводов, банковских счетов), так и целост- ность (невозможность подделать платежные поручения) и доступность данных Р еальность такова, что хищения наличных денег составляют лишь малую долю, по нашим данным менее 5% от общей суммы банковских хищений. Поэтому финансирование направления ИБ должно быть пол- ноценным, тем более что часть трат разовая, далее требуется только поддержание Ваше мнение и вопросы по статье направляйте на ss @groteck.ru