Пандемия кардинально изменила все в мировом и российском деловом мире — от ключевых бизнес-процессов и устоявшихся правил работы бизнеса с человеческими и финансовыми ресурсами до характера, частоты и степени изощренности кибератак на крупные системообразующие предприятия, в том числе финансовые. Как эти изменения отразились на отношении компаний, банков и их сотрудников к информационной безопасности, на процессах и инструментах ее обеспечения, на степени вовлеченности топ-менеджмента в вопросы, связанные с ИБ-рисками и на самих «безопасниках», в интервью CNews рассказал Илья Зуев, глава подразделения информационной безопасности «Райффайзен банка».
Илья ЗуевРайффайзен банк
Тренды и проблемы рынка информационной безопасности
CNews: Каковы главные проблемы и основные драйверы рынка информационной безопасности (ИБ) были в 2021 году?
Илья Зуев: Сейчас в сфере ИБ две основные проблемы — рост количества кибератак и нехватка кадров на российском рынке. На мировой арене помимо увеличения количества кибератак можно отметить возросшую экспертизу хакерских группировок. Раньше «под капотом» группировки скрывался один и тот же состав людей, сейчас хакерские конгломераты для каждой кампании собирают группы с разным составом, а получив прибыль, сразу же распадаются. Злоумышленники анонимизируют все свои действия, найти какую-либо зацепку почти невозможно. Становится в разы сложнее им противостоять и особенно поймать, их поведенческий «паттерн» каждый раз меняется.
В группировках появляются новые профессии. Когда-то злоумышленники были сугубо техническими специалистами и ничего не понимали в том, как устроен бизнес. Проявив определенную смекалку, жертвы атак могли договориться хотя бы о снижении выкупа: например, сказать, что компания их масштаба просто не может располагать нужными средствами. Но бизнес-экспертиза хакеров растет, в атаках все чаще участвует Data Exfiltration Manager — человек, который отлично разбирается в деятельности компании и после проникновения в ее инфраструктуру отбирает критичную для бизнеса информацию. С ее помощью злоумышленники могут оказывать психологическое давление на жертв. Кроме того, эта информация дает представление о реальном положении бизнеса, что практически исключает шансы договориться о снижении суммы выкупа.
Одной из главных проблем 2021 года, которая подтверждает эти тренды, стала уязвимость log4j, уже названная уязвимостью десятилетия. Через маленький компонент, который используется в огромном количестве enterprise- и Open Source-решений, хакеры получили возможность легко осуществить взлом и проникнуть в глубь ИТ-инфраструктур. Для этого не требовалось особых знаний, и злоумышленники всех мастей буквально за 12 часов смогли настроить автоматические атаки на всех в Интернете. Уязвимость потребовала немедленных и точных действий со стороны компаний, и тем из них, кто давно вкладывались в развитие функции ИБ, было несомненно проще справиться с этой угрозой.
Пандемия и изменение отношения к ИБ
CNews: Как продолжающаяся пандемия влияет на сферу ИБ? Как изменились процессы и инструменты обеспечения ИБ в крупных банках?
Илья Зуев: Атаки стали происходить намного чаще, во многих случаях выросло их качество. Злоумышленники стали вести себя тише, теперь они могут долго находиться внутри организации, оставаясь незамеченными. Они больше не пользуются сканированием, которое раньше можно было легко обнаружить, а для заражения машин применяются совершенно легальные средства — программы для совместной работы и удаленного управления, либо их библиотеки. Это те же механизмы, которые используют администраторы.
Для того, чтобы противостоять таким атакам, каждая компания должна развивать комплексный подход к ИБ, включая четкие процессы, качественную инвентаризацию имеющихся ИТ-сервисов и систем, их покрытие всеми необходимыми метриками, устранение уязвимостей. Также нужно уделять намного больше внимания, чем раньше, просвещению сотрудников компании в части ИБ, их вовлечению в решение вопросов, связанных с безопасностью информации, с которой они работают. Критически важную роли играет обучение распознавать новые мошеннические схемы и способы противостояния фишингу и социальной инженерии.
Краткая биография
Зуев Илья Сергеевич
- В 2007 г. окончил МИФИ.
- С 2003 г. по 2005 г. работая сетевым администратором, защищал крупный Интернет-провайдер Net-by-Net.
- В 2007—2011 гг. в качестве главного специалиста защищал интернет-периметр Газпромбанка, проводил тесты на проникновение в филиалах и разрабатывал высоконагруженные приложения.
- С 2011 г. по 2016 г. работал в интеграторе «Техносерв», где выполнял аудиты защищенности банков, проектировал и внедрял средства защиты в «Росатоме», «Евразе», ФСК ЕЭС и других.
- С 2016 г. по 2021 г. руководил департаментом кибербезопасности в медиахолдинге Rambler&Co и онлайн-кинотеатре Okko, где с нуля построил эффективную систему защиты.
- В 2021 г. возглавил подразделение информационной безопасности «Райффайзенбанка».
- Спикер международных и межотраслевых конференций, таких как PHDays, CISO Forum, ZeroNights и других.
Изменилась вовлеченность бизнеса и топ-менеджмента в вопросы ИБ. Сегодня это касается не только крупных банков, но и любых компаний, которым есть, что терять и защищать. Пандемия и изменения рынков, которые она вызвала, заставили быстро адаптироваться к новым условиям ведения бизнеса и новым бизнес-процессам, перераспределяя ресурсы на ходу. А те, кто потерпел убытки в этот период, вынуждены были имеющиеся ресурсы существенно сократить. При этом активность злоумышленников усилилась, они стали изобретательнее и изощреннее.
Появилось и стало очень явным противоречие: с одной стороны, бизнес ясно осознал, что нужно серьезно вкладываться в ИБ, с другой — компаниям стало крайне необходимо сокращать расходы или экстренно направлять их на новые нужды. При этом не все предприятия и организации понимают, почему инвестировать в безопасность нужно именно сейчас, а публичные примеры громких инцидентов не всегда служат убедительным аргументом.
В таких условиях «безопасникам» надо на понятном языке общаться с менеджерами компаний-заказчиков, объяснять необходимость своей работы и результатов, которые она несет. Это требует сильных коммуникативных навыков, а также умения перевести разговор на понятный бизнесу язык денег: делать акцент на масштабах возможных денежных потерь и бизнес-рисках предприятий. Специалисты ИБ — как правило, люди технического склада — не всегда к этому готовы.
Киберпреступность и борьба с ней
CNews: Насколько выросла активность киберпреступников в 2021 году? Каковы самый рабочие и действенные методы борьбы и предотвращения преступлений с использованием ИКТ против клиентов банков?
Илья Зуев: Активность киберпреступников значительно выросла. Для противодействия им нужен комплексный подход в обеспечении безопасности, который будет сосредоточен не только на средствах защиты, но и на качестве ключевых процессов, а также на повышении осведомленности сотрудников и клиентов банков.
Антифрод-системы уже умеют предотвращать многие сценарии, наши системы успешно это делают, но даже при их наличии важно, чтобы люди сами научились распознавать все новые и новые мошеннические схемы и противостоять им. Известны случаи, когда после выявления системой подозрительной операции клиенты всё равно требовали ее разблокировать, несмотря ни на какие уговоры и попытки специалистов банка объяснить, что происходит кража денег.
То же верно и для сотрудников — необходим комплексный подход к security awareness (обучению осведомленности о кибербезопасности), который включал бы в себя разные методы информирования о существующих видах угроз и сопряженных с ними рисках, а также обучение тому, как правильно им противостоять.
CNews: Как и в каких объемах удается возвращать средства клиентов?
Илья Зуев: Федеральный закон № 161-ФЗ «О национальной платежной системе» обязывает банки возвращать списанные средства, если клиент не нарушал правил безопасного использования карты и сообщил банку о несанкционированной операции в течение суток после того, как получил от банка уведомление о ее совершении. В остальных случаях нужно обращаться в полицию.
У нас также есть услуга страхования от мошенничества — она позволяет получить выплаты по страховым случаям без обращения в правоохранительные органы.
CNews: Что могут сделать крупные банки, чтобы сократить количество и объем «операций без согласия клиента» (т.е. воровства средств — термин ЦБ РФ)? Согласно отчету «Банка России» кол-во таких операций выросло на 34% в 2020 году, по сравнению с 2019 годом, а объем таких операций вырос на 52,2% за то же время.
Илья Зуев: Как минимум — развивать свои системы антифрода, внедряя зрелые решения на базе технологий искусственного интеллекта (ИИ). Такие системы выявляют нетипичное поведение пользователей и позволяют остановить даже самые сложные мошеннические схемы — в этом мы могли убедиться сами. Антифрод-система каждого банка опирается на свой набор характеристик, поэтому все они работают немного по-разному и в сумме позволяют покрыть очень большой спектр мошеннических атак.
Кроме того, существует система межбанковского противостояния кибермошенничеству, участники которой обмениваются данными о фроде. Мы сразу же узнаем о схемах, которые применялись в других банках, и можем вычислить их, если злоумышленники попытаются применить их против наших клиентов. Обмен идет не только между банками, но и между операторами связи, а также между провайдерами ИБ-сервисов.
Еще раз подчеркну важность осведомленности клиентов банков о разных аспектах и новых методах мошенничеств, о популярных схемах кражи персональной и платежной информации и о воровстве средств с помощью похищенных данных. ЦБ РФ сейчас активно занимается просветительской работой, банки также стремятся ее поддерживать. Мы регулярно напоминаем клиентам о правилах финансовой безопасности через уведомления и простые инструкции в приложении «Райффайзен Онлайн» и на других площадках банка.
CNews: Какие схемы мошенничества с использованием ИКТ были наиболее популярными и действенными в 2021 году, с чем связана их популярность? Как клиентам банков не попадать на удочку мошенников?
Илья Зуев: Телефонные звонки с использованием методов и инструментов социальной инженерии остаются самым популярным способом мошенничества в России, с их помощью совершается достаточно большой процент краж. Еще один распространенный способ — атаки с использованием фишинговых сайтов. Злоумышленники покупают рекламу в поисковиках, таким образом сайт мошенников становится первым, который видит и на который переходит пользователь, вбивая в поиск интересующую компанию.
В последнее время эта механика усложнилась, злоумышленники умудряются не только подделывать страницы входа в аккаунт, похищая логины и пароли, но и обходить защиту, которую обеспечивает двухфакторная аутентификация, полностью дублируя оригинальные процессы и получая коды подтверждения уже для своих операций или устройств.
Мы постоянно ищем подобные сайты и сразу же направляем запросы для их блокировки. Ссылки на фишинговые страницы могут рассылаться в электронных письмах, смс или в мессенджерах — при общении с продавцами/покупателями торговых платформ или сервисов услуг. Поэтому важно не терять бдительность и всегда проверять корректен ли адрес сайта, с которого производится оплата или вход в личный аккаунт и использовать только официальные платежные сервисы.
В рамках другой популярной схемы — Credential Stuffing — злоумышленники получают доступ, подставляя распространенные пароли или данные, полученные благодаря утечкам информации пользователей с интернет-ресурсов со слабыми системами защиты, чтобы взломать аккаунты тех же пользователей на другом сайте. Здесь рекомендуется использовать двухфакторную аутентификацию и уникальный пароль для каждой учетной записи, тем более для онлайн-банка. Если вы получили сообщение с кодом для входа на сервис, с которым сейчас не работаете, — это индикатор того, что пароль нужно поменять.
Оценка инициатив регулятора
CNews: Давайте поговорим о политике ЦБ РФ в отношении банковского регулирования — насколько она верная и действительно ли она поддерживает банковский сектор в это непростое время. Интересны ваше мнение, предложения, пожелания.
Илья Зуев: ЦБ РФ ведет активную просветительскую деятельность для повышения финансовой грамотности населения, также Банк России дает гражданам нашей страны подробную информацию, связанную с вопросами информационной безопасности и правилами цифровой гигиены.
Кроме того, ЦБ РФ — организатор информационного обмена между банками. Это помогает уже на ранних этапах реагировать на некоторые угрозы и распространять лучшие практики по борьбе с ними на всю финансовую индустрию. Центробанк также организует взаимодействие банков с сотовыми операторами, помогает им объединять усилия для борьбы с телефонным мошенничеством. Инициативы регулятора, безусловно, поддерживают банки и помогаю сделать противодействие мошенничеству еще более эффективным.
Самые новые виды угроз в банковском секторе и защита информации
CNews: Расскажите, пожалуйста, о самых новых угрозах ИБ в банковском секторе и новых технологиях защиты информации. Насколько эти технологии выполняют свою задачу?
Илья Зуев: Один из относительно новых видов угроз — атаки на поставщиков (Supply Chain Attacks). В 2020 году мировое сообщество потряс взлом SolarWinds, компании-разработчика программного обеспечения (ПО), управляющего сетями, системами и масштабными ИТ-инфраструктурами крупных организаций. Злоумышленники добавили закладку в библиотеку, которая потом разошлась по клиентам в рамках обновления ПО. Огромные корпорации — клиенты SolarWinds — автоматически оказались скомпрометированы. В конце 2021 года уязвимость в широко используемом компоненте log4j аналогичным образом затронула огромное количество компаний по всему миру — только эта уязвимость возникла непреднамеренно, а злоумышленники лишь воспользовались сложившейся ситуацией.
Подчеркну, что передовые технологии — не панацея, если в ИБ-процессах отсутствуют комплексность, качество и полнота. Всегда стоит помнить, что к полной компрометации компании ведет наличие всего одной-двух критических уязвимостей. В компании могут быть внедрены передовые техники защиты (например, системы ZeroTrust, EDR, XDR и др.), но человеческий фактор, некачественная инвентаризация ИТ-активов, отсутствие полного покрытия сервисов четкими метриками и инструментов управления паролями локальных администраторов могут привести, например, к тому, что тестовый сервер случайно окажется в Интернете. Злоумышленники легко смогут взломать его и получить полный контроль над ИТ-инфраструктурой компании в обход всех средств защиты.
CNews: Получается ли у крупных банков с именем и наработанной репутацией защищаться от пока еще не известных широко угроз?
Илья Зуев: Здесь все опять же зависит от того, насколько качественно выстроена система ИБ на всех уровнях. Если в компании придерживаются комплексного подхода к безопасности, выстроены и отлажены процессы, используются передовые методы защиты, противостоять злоумышленникам намного проще, а появление новых видов угроз почти не требует дополнительных усилий для обеспечения безопасности.
CNews: «Райффайзен банк» совместно со специалистами «Инфосистемы Джет» внедрил платформу IBM Security SOAR. Решение помогло автоматизировать реагирование на ИБ-инциденты, увеличить качество и скорость их обработки. Насколько сложным/интересным было внедрение и какие результаты оно принесло банку?
Илья Зуев: Внедрение было несложным, это помогло увеличить качество и скорость обработки ИБ- инцидентов.
CNews: Из чего состоит комплексная система защиты «Райффайзен банка» сегодня? Почему выбраны именно эти решения? Каковы планы по их развитию,?
Илья Зуев: Комплексная система защиты в первую очередь основывается на качественных процессах информационной безопасности, конкретные инструменты и системы — это вопросы второго порядка. При их выборе мы в первую очередь ориентируемся на качество и эффективность, во вторую — на экономическую целесообразность.
Кроме того, банк движется в сторону перехода на Open Source-решения, и это, в том числе, касается ИБ-решений. Если мы понимаем, что система стоит дорого, но ее эффективность не окупается, то стараемся найти аналоги на базе открытого кода, без ущерба в эффективности их работы. Мы идем в ногу с трендами и внедряем передовые средства защиты и ИБ-решения, а в некоторых моментах даже опережаем рынок. Например, превентивно внедряем инструменты, которые только начинают набирать популярность или незаслуженно находятся в тени. В этом нам помогает глубокое понимание современных угроз и большой пентестерский опыт.
Поделиться
