Хакеры против клерков: как финансовые организации защищают себя и своих клиентов
Как утверждают аналитики, в 2019 году более 90% кибератак начиналось с фишинга. Можно ли из этого сделать вывод, что самое слабое звено финансовой организаций с точки зрения кибербезопасности — это ее сотрудники?
Уже несколько лет ситуация такова. Давайте посмотрим на кибератаку как на бизнес-мероприятие. При использовании фишинга или социальной инженерией затраты минимальны, а эффективность высокая, поэтому и создаются целые подпольные колл-центры, занятые фишингом.
Современный банк — это огромная ИТ-инфраструктура со своим периметром (тем, что отделяет внешнюю сеть от внутренней), который надежно защищает организацию от взломов. Атака на нее — весьма дорогостоящее мероприятие.
Именно поэтому злоумышленники чаще выбирают людей в качестве объекта атаки. Например, достаточно просто зайти в отделение банка, бросить на пол флешку, и через 15 минут она окажется в одном из компьютеров. «Услугу» подброса флешки можно купить на черном рынке. Имея доступ к компьютеру сотрудника, значительно проще продвигаться через уровни защиты компании. Поэтому социальная инженерия как средство атаки на компанию — действительно наиболее простой и дешевый первый шаг.
Как решить эту проблему, ведь каждый сотрудник финансовой компании не может стать специалистом по кибербезопасности?
Базовые правила не требуют от людей быть специалистами по кибербезопасности. Все в точности как с гигиеной: что нужно мыть руки, знают не только врачи. В сфере кибербезопасности тоже есть базовые правила, соблюдение которых предотвращает 90% проблем. А остальные 10% решаются техническими средствами и усердной работой SOC (Security Operations Center — центра мониторинга информационной безопасности, — прим.).
Конечно, взломать можно любую систему, если инвестировать в это достаточно времени и денег. Чтобы это предотвратить, организациям следует соблюдать основные правила в сфере кибербезопасности – с большой долей вероятности это поможет предотвратить основную массу инцидентов.
Банки и финтех-компании жалуются на дефицит специалистов по информационной безопасности. Как вы решаете эту проблему?
Повышенному спросу на таких специалистов не один год. 3-5 лет назад бизнес увидел потребность в квалифицированных технических специалистах по ИБ и начал оперативно эти кадры искать. Речь идет о так называемых whitehats («белых хакерах»), специалистах с определенной «хакерской» экспертизой, которые предпочитают работать на стороне корпораций.
Информационная безопасность стала, по моей оценке, самой высокооплачиваемой специальностью в ИТ. С учетом этого тренда немало людей взялись осваивать эту профессию, проходить дополнительное обучение. Но, по моим прикидкам, дефицит на этом рынке еще продержится какое-то время.
Опыт QIWI — классический для любой крупной корпорации, мы создаем кузницы кадров внутри. Мы выстроили внутренний институт обучения и карьерного продвижения, в рамках которого можно в течение трех лет из младшего инженера дежурной смены взрастить ведущего специалиста в любой области ИТ. Мы много инвестируем в этот подход, это основной путь получения таких кадров.
В 2019 году QIWI стала использовать Microsoft Defender Advance Threat Protection, продукт, базирующийся в том числе и на облачных технологиях. При этом часть экспертов говорит, что делегирование кибербезопасности в облако — правильно, поскольку позволяет компании сфокусироваться на своем профильном бизнесе. Другие же утверждают, что использование облака и предоставления доступа к своим данным и инфраструктуре сторонней компании и аутсорсинг кибербезопасности несет потенциальные риски. Что вы можете сказать об этом решении?
QIWI на практике использует как облачные решения, так и гибридные — например, когда инфраструктура расположена у нас, но сопряжена с какой-то облачной частью. При этом все, что касается персональных данных, платежной или иной чувствительной для бизнеса информации, всегда хранится и анализируется в нашем периметре.
При этом внешние облачные решения могут использоваться для тех или иных целей, если сопряжение с облаком выполнено правильно и безопасно. Основной принцип работы облачных решений — снижение стоимости конечной услуги за счет консолидации обработки информации. Например, вся система IDS (система обнаружения вторжения) у нас выполнена по гибридной схеме: сенсоры находятся в контуре компании, а центр мониторинга в облаке. Так дешевле и эффективнее, выстроить подобную систему полностью внутри компании стоило бы в два-три раза дороже. В любом случае, любое из облачных решений мы рассматриваем детально, чтобы удостовериться в безопасности данных пользователей.
Социальная инженерия как средство атаки на компанию — действительно наиболее простой и дешевый первый шаг
С момента приобретения решения Microsoft Defender в ноябре 2019 мы находимся в стадии опытно-промышленной эксплуатации, по результатам которой мы сможем сделать окончательные выводы о качестве инструмента. На данном же этапе Microsoft Defender помогает нам объединить некоторые группы функционала в одну. Так, Defender заменил нам и антивирус, и решения класса EDR (Endpoint Detection and Response) — программу, которая следит за всеми процессами на компьютере с целью выявления угроз. Это удобно, потому что позволяет автоматически выстраивать процессы в синергии. Благодаря объединению функционала Defender оказался и более привлекательным по стоимости, и более удобным в работе решением в сравнении с конкурентными.
Но сегодня рано пока говорить о качестве инструмента – на горизонте года или полутора лет, когда он будет функционировать в полной мере, мы сможем поделиться результатами.
Существует вечное противостояние между информационной безопасностью и юзабилити. Как добиться, чтобы меры, принимаемые для борьбы с киберкриминалом, не мешали бизнес-процессам внутри финансовой компании?
Вопрос выбора между удобством и безопасностью действительно классический. И если мы говорим о финансовых организациях, безопасность крайне важна, потому что мы не можем позволить себе проявить безответственность в отношении данных наших пользователей.
С другой стороны, безопасность должна быть клиентоориентированной. Железным исполнением норм и политик можно испортить многое — и продукт, и клиентские коммуникации, и, как результат, бизнес-показатели. Оптимальный баланс, к которому нужно стремиться, будет зависеть от точки его применения. Например, если мы говорим о системах без чувствительных для компании данных, склоняться нужно в сторону юзабилити. А если речь о системах, которые непосредственно участвуют в обработке данных клиентов или финансовой информации, важнее окажется безопасность — в случае с такими системами достаточно одного промаха, чтобы похоронить репутацию компании и нанести существенный урон ее инвестиционной привлекательности.
Сделать так, чтобы меры безопасности не мешали бизнес-процессам, весьма не просто. Для этого на подразделение кибербезопасности нужно смотреть как на часть бизнеса. Важно, чтобы этот взгляд разделял и руководитель по информационной безопасности —тогда его стратегия и решения будут ориентированы на бизнес-результат. Продукт, который выпустили с задержкой, потому что долго занимались его защищенностью, — это так же плохо, как и слабый продукт с точки зрения безопасности.
Современные продукты и решения для обеспечения кибербезопасности начинают использовать алгоритмы искусственного интеллекта. А известны ли случаи использования ИИ хакерами?
Сегодня само определение алгоритмов искусственного интеллекта и его применения несколько размыто — подчас им называют чуть ли не все, что применяется при анализе данных. В этой связи стоит отметить, что хакеры — специалисты, обладающие отличными способностями к качественному анализу информации и умеющие находить в ней уязвимости. Например, когда хакер делает рекогносцировку, он создает алгоритм, который в случае атаки большой компании позволит ему быстрее выявлять слабые места в ее ИТ-инфраструктуре.
Так что алгоритмы искусственного интеллекта хакеры используют. Но сфера применения таких технологий лежит в плоскости работы с данными. К примеру, если хакеры получили краденную базу данных клиентов и применяют ее в методах социальной инженерии, они могут использовать алгоритмы data science, чтобы выявить пользователей, атака на которых была бы наиболее эффективной. В дальнейшем они могут сформировать из полученных результатов «модель» поиска новых жертв. Совершенно точно, что алгоритмы data science могут быть использованы и по ту сторону баррикад, но вряд ли это носит массовый характер.
Цифровая трансформация бизнеса подразумевает накопление, использование и обмен данными как внутри самой компании, так и за ее пределами. Создает ли это дополнительные риски утечек данных и если да, как справляются с ними финансовые организации?
С более мелкими компаниями утечки происходят еще чаще. Поэтому если ты хочешь, чтобы внешние подрядчики работали с твоей информацией, стоит тщательно продумать, как это будет организовано. Мы в QIWI тщательно отслеживаем, какие данные передаются, в каком объеме и как можно минимизировать передачу чувствительной информации за пределы компании.
У нас в QIWI, например, есть документ, который описывает процессы, сопровождающие такую работу – Information Security and Data Sharing Policy. В числе процессов будет сопровождение передачи конфиденциальных данных третьим лицам. Мы тщательно отслеживаем, какие данные передаются, в каком объеме и как можно минимизировать передачу чувствительной информации за пределы компании.
И в этой связи важно следить за двумя составляющими процесса — технической и организационной. Техническими мерами реализуется контроль массированной выгрузки информации из систем компании. Организационными — формирование у сотрудников понимания правил безопасности и целесообразности передачи тех или иных данных третьим лицам. В синергии такие меры работают вполне эффективно.
*На правах рекламы