Основные киберугрозы для банков в 2014 году

август 2014 / Национальный банковский журнал

DDoS словно многолетнее растение – не думайте, что вы не подвержены подобным атакам только потому, что до сих пор этого не случилось

Текст:
Дмитрий Слободенюк, директор компании ARinteg

Предприятия банковской отрасли постоянно находятся под прицелом злоумышленников, которые не знают географических границ, обладают хорошими знаниями и технологиями, нацеленными на опустошение кошельков. В этой статье хотелось бы выделить наиболее серьезные угрозы информационной безопасности для банков в этом году.

ЛОВИСЬ РЫБКА БОЛЬШАЯ Фишинг-мошенничество продолжает быть одной из основных угроз для банков. Ежедневно пользователи получают сотни опасных писем, замаскированных под электронные сообщения от крупных компаний. Так как сейчас действия мошенников необычайно сложны, профессионалам приходится постоянно искать новые решения данной проблемы среди всего спектра ИТ-услуг. Пока мы ищем, главное правило – научить пользователей быть более предусмотрительными и разборчивыми, повысить их грамотность в области ИБ.

ПРИНЕСИ СВОЮ СОБСТВЕННУЮ УГРОЗУ Концепция BYOD (принеси свое собственное устройство) стала вездесущей: люди берут свои гаджеты на работу, пользуются ими на встречах, в поездках и т.д., что порождает бесчисленные риски для безопасности корпоративной сети. Самое главное здесь – это то, что сопротивление данному поведению просто бесполезно. Нам остается только научиться защищать корпоративную информацию, которую пользователи хранят на своих смартфонах и планшетах. Но что делать, если вредоносный код получает доступ к устройству? Эта задача будет стоять перед сотрудниками подразделения ИБ всегда. Удаление конфиденциальных данных с устройств – логичный, казалось бы, выход. Даже корпорация Apple когда-то позволяла администраторам получать удаленный доступ к файлам того или иного устройства для проведения соответствующих операций. Но как удалить только чувствительные для корпорации данные, не затронув при этом файлы пользователя? Ответ один – необходимо четко регламентировать использование собственных мобильных устройств в рабочих целях, прописать правила и политики, основанные на угрозах концепции BYOD.

DDoS, или распределенные атаки класса «отказ в обслуживании», стали «бонусной» угрозой для банков – стоит только посмотреть на заголовки СМИ несколько месяцев назад. DDoS словно многолетнее растение – не думайте, что вы не подвержены подобным атакам только потому, что до сих пор этого не случилось. Цветки у данного растения могут появиться в любой момент. Стоит также отметить, что зачастую DDoS-атаки используются для того, чтобы отвлечь службу ИБ банка: пока решается проблема с атакой, киберпреступники успешно переводят деньги и осуществляют иные действия. В настоящее время существует огромное количество игроков преступного мира, которые специализируются на DDoS, и еще больше инструментов для проведения подобных атак. Более того, эти инструменты очень доступные, именно поэтому DDoS так долго не уходит со сцены. Важно то, что хакеры постоянно совершенствуют качественный характер атак (каким образом, по какому вектору они будут проводиться и т.д.) так, чтобы компании не успели разработать ответные действия на случай возникновения DDoS. Таким образом, каждая кредитная организация должна обеспечивать защиту от DDoS, внедрять соответствующие решения.

ЗАВОЛАКИВАНИЕ «ОБЛАКАМИ» Облачные технологии, казалось бы, стали настоящей головной болью для профессионалов в области ИБ, ведь здесь данные располагаются на удаленных серверах, находящихся в собственности третьей стороны и обслуживаемых ею. Несомненно, «облака» дают возможность снизить издержки и позволяют пользователям быть более мобильными. Именно поэтому внедрение облачных технологий является основной темой обсуждения в кредитных организациях. При этом любого специалиста в области ИБ беспокоит вопрос: а как же безопасность? На мой взгляд, стоит отдать должное производителям, которые предусмотрели защиту информации, хранящейся в «облаках», независимо от того, где физически расположены серверы, как осуществляется передача данных и т.д. Известно, что некоторые компании даже рассматривают возможности размещения дата-центров на территории России, если этот фактор становится ведущим при принятии решения о внедрении облачных технологий. Таким образом, наша задача – научиться распознавать гарантии безопасности, предоставляемые тем или иным производителем, понимать их надежность, осознавать факторы, позволяющие заявлять о том, что облачные сервисы безопасны для бизнеса, и впоследствии на основании этого делать выбор.

Гармонизация, то есть приведение документов к общим понятиям и требованиям, определенным в разных руководящих документах, несет ряд плюсов для финансовых организаций. Допустим, ранее банк выполнял требования одного документа, к примеру, СТО БР ИББС. Чтобы подтвердить соответствие Положению Банка России 382-П, ему придется проделать дополнительную, в большинстве своем дублирующую, работу по анализу и адаптации информационной системы под все регулирующие документы.

Единый документ будет соответствовать современным требованиям, которые предъявляются к информационной безопасности банка, и позволит исключить дублирующие требования регулирующих документов. Все это поспособствует оптимизации при выполнении требований регуляторов, сократит временные и финансовые издержки.

Таким образом, новая редакция СТО БР ИББС будет еще эффективнее и удобнее, более того, она существенно повысит процент банков, которые будут проводить аудит на соответствие данному стандарту. Следовательно, это будет своего рода дополнительной проверкой надежности системы защиты информации в том или ином банке.

Поделиться: