Центр взаимодействия и реагирования департамента информбезопасности Банка России (ФинЦЕРТ), проанализировав 750 сообщений участников рынка об инцидентах за 2024 год, пришел к выводу, что операции киберпреступников становятся все более многоэтапными и многоуровневыми, это иногда позволяет обходить традиционные средства защиты. Чтобы вывести из строя инфраструктуру или заблокировать работу онлайн-сервисов, в прошлом году злоумышленники чаще всего использовали DDoS-атаки, вредоносное программное обеспечение и компрометацию учетных данных.
Наиболее популярна у хакеров компрометация каналов связи с подрядчиками и поставщиками ИТ-услуг. Они взламывают учетные записи сотрудников компаний и некоторое время не выдают себя, наблюдая за перепиской с контрагентами по электронной почте или в мессенджерах. А когда пересылается счет на оплату, подменяют реквизиты - и деньги уходят на сторонний счет. Другая цель - перехватить управление инфраструктурой, для чего в защите ищут прорехи, начиная со слабых паролей, заканчивая уязвимостями в веб-приложениях.
Если до 2022 года основной целью злоумышленников было хищение денег, то теперь они стараются подорвать доверие к финансовой системе в целом или к конкретному банку: утечка может негативно сказаться на его репутации, спровоцировать панику потребителей.
- Атаки стали совсем другими, более технологичными, скоординированными, и, конечно, эффект от них намного серьезнее, - отмечает директор по стратегии компании BI.ZONE Евгений Волошин. - Раньше временной разрыв между обнаружением уязвимости и инцидентом составлял примерно две недели, сегодня - часы.
По словам участников уральского форума "Кибербезопасность в финансах", в числе факторов риска в 2024 году оказалось использование облачных хранилищ и ПО с открытым исходным кодом. С одной стороны, замена импортных программ на отечественные повышает технологический суверенитет отрасли, с другой - разработчики активно пользуются доступными библиотеками и, чтобы побыстрее вывести продукт на рынок, не всегда проводят комплексное тестирование.
- Есть хорошие производители операционных систем, систем управления базами данных, но, когда прогоняешь отечественные продукты через сканер уязвимостей, видишь: их гораздо больше, чем в западных, - добавляет Александр Бабкин, начальник департамента мониторинга безопасности Газпромбанка.
Выходом из положения могут стать единые репозитории (хранилища) ПО. Кроме того, эксперты рекомендуют шире использовать инструмент Bug Bounty - публичный поиск "слабых" мест и ошибок. Обычно такие акции на специальных ресурсах привлекают много "белых" хакеров.
По прогнозам, в 2025 году будет увеличиваться число атак через цепочки поставщиков, которых, в отличие от банков, закон не обязывает повышать уровень кибербезопасности. Причем фокус смещается на малый бизнес, где менее продвинутые системы мониторинга угроз, а у персонала, как правило, не хватает опыта.
ФинЦЕРТ рекомендует ограничивать "вход" в систему для подрядчиков, например, открывать его только на время технических работ. Вендоры, в свою очередь, предлагают контролировать поведение привилегированных пользователей, имеющих доступ к конфиденциальным сведениям, с помощью специальных РАМ-решений.
Хотя среди организаций, подхватывающих вирусы, доля банков - всего четыре процента, им по-прежнему приходится сталкиваться с такими вещами.
- В финансовом секторе уровень защиты от базовых угроз выше, поэтому инциденты с применением вредоносного ПО здесь на третьем месте, в то время как в остальных отраслях - на первом. Однако рост внутренних сканирований говорит о том, что хакеры тщательно готовятся, изучают инфраструктуру жертвы, чтобы спланировать дальнейшие шаги, - рассуждает директор центра Solar JSOC Владимир Дрюков. - Полноценный мониторинг с использованием специальных сенсоров, регулярное обучение сотрудников, установка обновлений в совокупности помогут снизить риски.
Новый тренд кибербеза - развитие искусственного интеллекта. Пока еще это битва людей, а не машин, которая сильно зависит от квалификации и нападающего, и защищающегося, но уже в ближайшем будущем, по мнению банкиров, будут превалировать атаки, сгенерированные нейросетями. У преступников много времени на подготовку, а у второй стороны - считанные минуты на анализ угроз и блокировку доступа, поэтому ИИ станет также одним из ключевых способов противодействия хакерам.
Если в 2021-2022 годах киберзлодеи нападали в основном на конкретные банки и компании, то сейчас их глобальной целью является нарушение правоспособности страны, поэтому в зоне риска все игроки рынка. Так, из 39 утечек в прошлом году 12 пришлись на сферу микрофинансирования: в Сеть попало 111 миллионов строк персональных данных клиентов. Атаки на МФО не очень сложные, но для организаций, у которых информационная безопасность прежде не стояла во главе угла, это серьезный вызов. ЦБ планирует установить для выдающих онлайн-займы компаний обязательные требования: их защитный контур должен соответствовать ГОСТу - это как минимум сертифицированный софт и ежегодные тестирования системы и ПО на проникновения и уязвимости. По мнению председателя совета СРО "Микрофинансирование и развитие" Эльмана Мехтиева, для небольших МФО такая задача сложная и затратная. Утечки возникают в основном из-за человеческого фактора, например, сисадмин завтра увольняется, а сегодня сливает базу. Участники рынка предлагают ввести базовые условия для всех, а дополнительные - только для крупного бизнеса и тех, кто работает с особо чувствительными данными.