Компании Qrator Labs и Wallarm провели опрос среди представителей 138 банков и 12 платежных систем, работающих в России с целью исследование актуальности и масштабов угрозы DDoS-атак и атак на уязвимости приложений. В опросе приняли участие руководители ИТ-подразделений и руководители служб информационной безопасности.
Ущерб от киберпреступлений в российской финансовой отрасли, по официальным данным, в 2015 году оценивался в 5 млрд руб., причем главной целью злоумышленников стали сами финансовые учреждения, а не их клиенты. Более 60% респондентов считают, что инциденты безопасности повышают риск отзыва лицензии; известно, в частности, что именно это произошло с тремя российскими банками, перенесшими кибератаки.
«К сожалению, информационная безопасность традиционного банка чаще всего сводится к защите от собственных недобросовестных сотрудников, однако в цифровую эпоху без сети нет бизнеса и основная угроза исходит извне, — отметил Кирилл Ермаков, руководитель департамента информационной безопасности группы Qiwi; эта компания опробовала множество решений пока не остановилась на распределенной облачной сети фильтрации трафика. — На мой взгляд, облачное решение для фильтрации трафика на сегодняшний день является самым оптимальным способам противодействия одной из наиболее опасных угроз – DDoS-атакам».
Наиболее часто компании финансового сектора сталкиваются сегодня с DDoS-атаками — об этом говорят 25% респондентов. Такие атаки — средство недобросовестной конкурентной борьбы, которое можно применять со все меньшими затратами (за 3 тыс долл. можно на сутки «положить» любой сайт). В то же время DDoS-атаки часто используются для отвлечения внимания и проведения других типов атак – например, взлома сайта или веб-приложений — попытки взлома приложений и сервисов на сетевом периметре отметили 17% респондентов. В реальности цифра гораздо выше, считают специалисты Wallarm — практически каждый публичный ресурс хотя бы раз в месяц подвергается атакам.
Все опрошенные компании подтверждают, что у них имеется контроль за сетевым периметром, но это не дает гарантии защиты от взлома — традиционные средства защиты иногда позволяют атакующими использовать приложения для обхода защиты и развития атаки уже внутри корпоративной сети. Сетевая виртуализация и другие современные сетевые технологии размывают границы сетевого периметра организации. «Сегодня все сложнее обозначить периметр сетевой безопасности корпоративной сети — корпоративная сеть перестает быть четко очерчена границами физических устройств и превращается в совокупность сервисных макросегментов, каждый из которых обозначается собственным периметром безопасности», – обращает внимание Александр Лямин, генеральный директор Qrator Labs.
По данным опроса, около трети респондентов увеличили в 2015 году свои бюджеты на обеспечение информационной безопасности, а 44% сохранили его в прежнем объеме, однако традиционные системы обеспечения безопасности генерируют слишком много событий, а у служб информационной безопасности часто ограничены ресурсы, что не позволяет обрабатывать все события. Даже при наличии центров реагирования на базе дорогостоящих продуктов класса SIEM (Security information and event management), проблема реагирования на большое число срабатываний целиком не решается. В сетях общего доступа атакующие могут создавать столько событий безопасности, сколько захотят, а традиционные меры в виде блокировок по IP-адресам или подсетям неэффективны.
В последние два года в Qrator Labs обратили внимание на атаки на инфраструктуру сети; более половины опрошенных подтверждают, что риски такого рода атак уже стали реальностью, но эффективные механизмы противодействия таким атакам только начинают создаваться. Правда, 40% опрошенных еще отрицает критичность атак на инфраструктуру сети или протоколы маршрутизации. Около 70% считают самым эффективным средством противодействия решения провайдеров. Однако, как отметил Лямин, решение на стороне оператора уже не может обеспечить защиту от целых классов атак; к тому же такие средства практически никогда не поставляются в комплекте с интегрированным экраном веб-приложения (Web Application Firewall, WAF), обеспечивающим защиту от хакерских атак. Показательно, что лишь 9% опрошенных считают эффективными облачные решения, однако практика работы Qrator Labs, по словам Лямина, свидетельствует об обратном — компаниям требуется уделять больше внимание защите виртуального периметра.
Для противодействия киберпреступности в финансовой сфере Банк России разработал рекомендации, вступившие в силу с 1 мая 2016 года, — это первый подобный комплекс мер для банков по выстраиванию системы мониторинга информационной безопасности. Однако, нормативно-правовая база, отраслевые стандарты и внутренние регламенты обеспечения информационной безопасности в финансовом секторе неизбежно отстают от технологий, применяемых злоумышлениками. Тем не менее, проведение, согласно стандартам ЦБ, обязательного внешнего аудита приветствуется участниками финансового рынка — более 80% респондентов подтвердило необходимость аудита, а 19% указали на факты выявления недостаточной эффективности защиты после проведения проверок. Стандарт ЦБ рекомендует проводить аудит ежегодно, причем в планах регулятора перевести стандарт СТО БР ИББС (Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ) в формат ГОСТа, сделав его обязательным.