Компании Qrator Labs и «Валарм», предоставляющие российским банкам и платежным системам сервисы защиты от DDoS-атак и взломов информационных систем, обнародовали результаты исследования, характеризующего ситуацию в финансовой отрасли нашей страны в 2016 году.
По словам Александра Лямина, генерального директора Qrator Labs, в рамках исследования, которое проводится второй год подряд, осуществлялось анкетирование руководителей ИТ-подразделений из полутора сотен ведущих финансовых компаний.
DDoS-атаки на финансовый сектор предпринимаются чаще, чем на компании других отраслей, утверждают авторы исследования, ссылаясь на мнения респондентов, и отмечают, что в основном такие атаки используют для отвлечения внимания к хищениям денег. Почти половина опрошенных подверглась по крайней мере одной DDoS-атаке в 2016 году.
Данные, приведенные в исследовании, свидетельствуют, что по уровню DDoS-угроз 2016 год практически не отличается от 2015-го. Однако угрозы фишинга существенно возросли, с таким видом инцидентов столкнулись в 30% организаций-респондентов.
Смещение фокуса на фишинг в Qrator Labs объясняют совершенствованием инструментария киберпреступников, а также новыми рисками, связанными с криптовалютами.
Среднее ежедневное количество атак на веб-приложения, по данным «Валарма», составило 1,5 тыс., причем основная их часть генерируется автоматизированными инструментами и сканерами.
К наиболее существенным последствиям инцидентов в области информационной безопасности более половины опрошенных отнесли финансовые и репутационные риски. Ранее многие опасались отзыва лицензий из-за невыполнения требований регулятора, пояснил Лямин, а теперь понимают, что лишиться лицензии можно и по другим причинам, например из-за недостаточного внимания к информационной безопасности.
Столкнувшись с реальными угрозами, в финансовых организациях гораздо более продуманно относятся к планированию бюджетов на защиту информационных систем и активов: около 40% респондентов сохранили их на прежнем уровне, а почти треть — увеличили в 2016 году.
Тем не менее 13% респондентов сообщили о снижении расходов на информационную безопасность. Одной из причин такого положения дел они называют запланированную оптимизацию затрат при сохранении уровня защиты или даже повышении ее эффективности.
Однако, по данным исследования, пока еще нет оснований отнести к основным стимулам модернизации и развития систем информационной безопасности финансовых организаций такие факторы, как создание проактивной защиты или планирование архитектуры безопасности на основе тестирования возможных проникновений.
Обновление инфраструктуры защиты в подавляющем большинстве случаев бывает обусловлено внешними инцидентами, связанными со взломом инфраструктуры безопасности, в том числе в результате действий тестировщиков.
Более четверти респондентов считают, что необходимость модернизировать решения безопасности продиктована внедрением современных технологий, таких как облачные вычисления, микросервисы и ряд других, поскольку прежние средства становятся неэффективными.
Почти в 13% опрошенных организаций утверждают, что в первую очередь заинтересованы в замене зарубежных решений на российские аналоги, в том числе из-за снижения затрат и упрощения эксплуатации.
Отмечается также использование финансовыми компаниями специализированных средств защиты веб-приложений — экранов Web Application Firewall, осуществляющих фильтрацию трафика на прикладном уровне. В качестве основной причины их установки около 40% опрошенных назвали защиту от уязвимостей «нулевого дня».
Большинство (около 70%) считает наиболее эффективными средствами борьбы с DDoS-атаками гибридные решения, сочетающие средства защиты, установленные в собственной инфраструктуре, с операторскими решениями. Почти две трети опрошенных сообщили о маршрутизации трафика во внешние системы, число таких организаций увеличилось по сравнению с предыдущим годом вдвое.
В целом, полагают авторы исследования, можно говорить о достижении отечественными финансовыми организациями определенного уровня зрелости в вопросах защиты и управления рисками. В финансовой отрасли, главным образом благодаря действиям регулятора, хорошо осознают, какие репутационные риски несут инциденты информационной безопасности, и начинают более серьезно относиться к угрозам, принимают меры противодействия сетевым атакам, ориентируясь в том числе на внешние и облачные решения.