Урал держит удар
Как региональные компании противостоят киберугрозам
Тема кибербезопасности становится все более актуальной в свете «цифровизации» многих сфер жизни. Только на Урале в прошлом году со счетов юрлиц хакерам удалось похитить 29,3 млн руб., из которых 10,2 млн руб. пришлись на Свердловскую область. В Центробанке отмечают, что на фоне увеличения числа атак растет доля предотвращенных нападений и снижается суммарный ущерб.
Мировая угроза кибербезопасности
В конце марта 2018 года в испанском городе Аликанте был задержан лидер хакерской группировки Cobalt (имя задержанного в интересах следствия не разглашается). По некоторым данным, им оказался россиянин, который находился в Испании с 2014 года. По данным Европола, Cobalt ограбила свыше 100 банков более чем в 40 странах, и ухитрилась нанести индустрии ущерб в размере €1 млрд. «Масштаб потерь был крайне значительным,— отметили в Европоле.— Например, программа Cobalt позволяла преступникам красть за раз до €10 млн».
Группа проникала в системы кредитных организаций в большинстве случаев с помощью фишинговых писем. Для контроля над их инфраструктурой использовалось легальное ПО для тестирования на проникновение Cobalt Strike. Конечной целью атаки, как правило, было подключение к банкоматам кредитной организации, но иногда встречались случаи подмены информации в процессинге или использования системы международных переводов SWIFT. В Банке России еще в 2016 году называли Cobalt главной угрозой кибербезопасности российских банков. Впрочем, это не помешало группировке в 2017 году похитить деньги из 11 российских банков, суммарный ущерб составил 1,5 млрд руб. Наиболее крупное хищение в России — 400 млн руб. из банка «Союз».
С арестом главы группировки в Центробанке связывают некоторое снижение ущерба от кибератак. Впрочем, там признали, что атаки с использованием программного обеспечения Cobalt Strike после задержания не прекратились — группа продолжает свою деятельность. По некоторым данным, организатор замыкал на себе все контакты между членами группировки, пока эти контакты не будут восстановлены и связи внутри не налажены, хищений не будет. Но через некоторое время «осколки» группировки реструктуризируются, признают эксперты.
Взломщик равен террористу
В 2017 году Всемирный экономический форум признал киберпреступность третьим важнейшим глобальным риском, в то время как угроза терроризма оказалась лишь на восьмом месте. «Несмотря на это, мировое сообщество до сих пор намного больше обеспокоено террористическими атаками, нежели действиями киберпреступников»,— признавал председатель правления Сбербанка Герман Греф.
В РФ В 2017 году со счетов юрлиц хакеры пытались похитить порядка 1,6 млрд руб. (841 несанкционированная операция), однако 51% незаконных операций в общем объеме денежных средств удалось остановить, сообщается в отчетах ФинЦЕРТа (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) ЦБ РФ. В 2016 году похитить пытались на 320 млн руб. больше, однако и остановить смогли хищение 53,9% этой суммы. Ситуация в УрФО всероссийской тенденции соответствует: в прошлом году на Урале были совершены 34 несанкционированные операции со счетами юрлиц на сумму 29,3 млн руб.— на 25 операций и 81 млн руб. меньше, чем в 2016 году. При этом 15 операций на сумму 10,2 млн руб. пришлись на Свердловскую область.
«В среднем порядка 40% компьютеров организаций ежегодно подвергаются кибератакам»,— отметили в пресс-службе АО «ЭР-Телеком Холдинг». Например, среди клиентов уральского филиала «Ростелекома» в 2018 году общее количество атак (аномалий) составило 89,1 тыс.— на 7,8 тыс. атак больше, чем в 2017 году. «Количество и интенсивность атак варьируется в зависимости от месяца и даже времени суток. Активность киберпреступников в сентябре примерно в четыре раза выше, чем в начале года. Статистика, публикуемая центром мониторинга и реагирования на кибератаки Solar JSOC, свидетельствует о том, что около половины критичных внешних инцидентов информационной безопасности происходит ночью»,— подчеркнули в «Ростелекоме», добавив, что все зафиксированные атаки были отражены.
По данным ФинЦЕРТа, с сентября прошлого года по сентябрь этого среди прочих видов компьютерных атак наиболее часто встречались целевые и нецелевые (спам-атаки) на организации кредитно-финансовой сферы, атаки на устройства самообслуживания, а также на клиентов кредитно-финансовых организаций с использованием вредоносного ПО (ВПО) или методов социальной инженерии. При этом среди целевых атак на банки 75% составили различные виды майнеров, 15% — письма различного фишингового содержания, 10% — различные рекламные письма и письма-угрозы. В отчете регулятора приводятся в пример события, отмечавшиеся специалистами ФинЦЕРТа с мая по август 2018 года. Тогда на официальные почтовые адреса финансовых организаций или через их интернет-приемные неизвестными лицами было направлено несколько волн мошеннических писем. «В тексте писем их авторы называли себя членами группы Cobalt и требовали перечисления денежных средств в биткойнах, угрожая взломом систем, сетей банка и выводом сумм, значительно превышающих по размеру запрошенную»,— поясняется в отчете.
Специалисты «Ростелекома» отмечают, что современной компании приходится защищаться как от внешних, так и от внутренних угроз. «К внешним угрозам относятся атаки с помощью фишинга, заражения вредоносным ПО, эксплуатации уязвимостей в инфраструктуре компании и другие действия злоумышленников, не имеющих легитимного доступа к внутренним информационным системам организации. Внутренние угрозы сводятся к человеческому фактору: нелояльности или низкому уровню информированности сотрудников»,— поясняют эксперты. Для компании такие угрозы могут обернуться утечкой конфиденциальной информации, в том числе коммерческой тайны. Кроме того, сотрудник, не понимающий основ информационной безопасности, существенно облегчает задачу внешнему злоумышленнику, например, запуская вредоносное ПО на рабочем компьютере, добавили в «Ростелекоме».
«Атаки от Script kiddie, то есть неподготовленные, нецеленаправленные, ориентированные “наудачу” происходят ежедневно,— признают в СКБ-банке.— Более целенаправленные атаки, например, на финансовый сектор (в том числе на СКБ-банк) с вложением вредоносного ПО случаются еженедельно. Атаки, направленные на конкретную финансовую организацию, случаются гораздо реже. В 2018 году таких инцидентов в наш адрес не установлено».
Хакеры любят финансы
Последние несколько лет наиболее привлекательным для злоумышленников остается финансовый сектор, полагают участники рынка. Целью, как правило, является хищение денежных средств и доступ к данным финансовой организации. В отчете ФинЦЕРТа за период с сентября 2017 года по сентябрь 2018 года сообщается о росте числа попыток атак на учреждения кредитно-финансовой сферы. Регулятор при этом фиксировал увеличение объема фишинговых писем, использование незакрытых уязвимостей популярных веб-фреймворков, попытки взлома инфраструктуры кредитных организаций через так называемые «бруты» — подбор учетных данных к доступным из интернета элементам инфраструктуры и так далее. За первые два квартала прошлого года было зафиксировано 39 целевых атак, за аналогичный период 2018 года — 72 атаки.
По словам заместителя директора Департамента информационной безопасности Банка России Артема Сычева, хищений со счетов в банках, головные офисы которых расположены на территории УрФО, в 2018 году выявлено не было. «Злоумышленники используют банкоматы, размещенные в уральском регионе, для обналичивания средств, полученных в результате несанкционированных операций, совершенных в том числе в других регионах»,— уточнил он.
Впрочем, доля успешных атак и ущерб от них снижаются на фоне роста числа попыток. Эксперты подсчитали, что за восемь месяцев прошлого года кредитные организации потеряли более 1 млрд руб., а за аналогичный период 2018 года — около 76,5 млн руб., при этом успехом увенчались 22 и 20 случаев соответственно. «Это объясняется как деятельностью различных CERT (Компьютерная группа реагирования на чрезвычайные ситуации), так и повышением общего уровня кибербезопасности организаций кредитно-финансовой сферы: значительная часть фишинговых писем отфильтровывается на почтовом шлюзе и иными компонентами систем защит, в результате чего вредоносное письмо не доходит до получателя»,— отметили в ФинЦЕРТе.
В СКБ-банке рассказали, что если ранее затраты на информационную безопасность укладывались в 5% от размера затрат на IT, то в последние несколько лет этот показатель растет. Руководитель направления кибербезопасности екатеринбургского филиала «Ростелекома» Григорий Ахунов пояснил, что объемы средств, которые компании направляют на обеспечение кибербезопасности, определяются тем, насколько бизнес зависит от этой задачи. «Например, простенький региональный банк тратит на кибербезопасность сотни миллионов рублей, и это нормальная практика. Потому что если тратить меньше, это критично»,— полагает он.
ВПО оборачивается к компаниям
Интерес преступников постепенно смещается в сторону клиентов кредитных организаций — юридических лиц, отмечает регулятор. Так, ФинЦЕРТ зафиксировал значительное количество атак, направленных на юридических лиц, с использованием ВПО семейства Dimnie, оснащенного специальными модулями для работы с дистанционным банковским обслуживанием (ДБО), а также ВПО семейства RTM. ВПО распространялось в основном через рассылки фишинговых электронных писем. Большинство файлов электронных документов-«приманок», использованных во вредоносной кампании RTM, имели названия, характерные для бухгалтерской деятельности: «Отчет для налоговой», «Окончательный счет на 01.01» и так далее. За восемь месяцев 2018 года были зафиксированы 26 кампаний распространения Dimnie и 10 — RTM. «Рост интереса злоумышленников к юридическим лицам можно объяснить как более слабой защитой малого и среднего бизнеса, так и вводом в действие законодательных актов, защищающих крупные организации, относящиеся к критической инфраструктуре РФ, и ужесточающие наказание за атаки на них»,— полагают в ФинЦЕРТе.
Защита «под ключ»
Сейчас концепция информационной безопасности меняется: все больше корпоративных клиентов предпочитают отдавать защиту от кибератак на аутсорсинг компаниям, которые обладают необходимыми техническими возможностями и экспертизой в этой сфере. По мнению специалистов уральского филиала «Ростелекома», основное преимущество такого подхода в том, что клиенту больше не нужно тратить средства и время на создание собственной системы защиты, он может купить готовую услугу «под ключ». Однако централизованные решения на рынке представлены только крупными компаниями, уверены в «Ростелекоме». В частности, только они способны предоставить аренду вычислительных мощностей дата-центра, имеющего абсолютный уровень защищенности, или подключению к SOC (центр оперативного мониторинга и реагирования на инциденты кибербезопасности).
Участники уральского телеком-рынка сходятся во мнении насчет основных видов атак с регулятором и также относят к ним веб-атаки, вредоносное ПО, сетевые атаки, рассылку спама, социальную инженерию, появление фишинговых ресурсов, DDoS. Однако они уверены, что большую часть киберугроз организациям удается предотвратить базовыми средствами защиты. «К таким средствам относятся регулярно обновляемое антивирусное ПО, регулярно устанавливаемые исправления безопасности операционных систем и межсетевой экран на периметре сети»,— полагают в компании «ЭР-Телеком». В качестве решения проблем информбезопасности там предлагают применить соответствующие средства защиты информации, повысить осведомленность пользователей в вопросах информационной безопасности, использовать машинное обучение и искусственный интеллект для автоматического выявления нехарактерных моделей поведения трафика, а также создать SOC.
Сейчас «ЭР-Телеком» рекомендует корпоративным клиентам устанавливать антивирусы для бизнеса, сервис контент-фильтрации, защиту от DDoS-атак, VPN-сети для обмена защищенными данными. Специалисты по кибербезопасности «Ростелекома» также рекомендуют установить межсетевой экран со встроенными средствами мониторинга и предотвращения вторжений и антивирусное ПО. Кроме того, специалисты советуют уделить внимание решениям класса DLP (DataLossPrevention, предотвращение утечек информации) и анти-спаму, при наличии порталов и мобильных приложений для коммуникации с клиентом — решениям класса WAF (WebApplicationFirewall, защитный экран для приложений, передающих данные через HTTP и HTTPS). В случае если бизнес зависит от доступа к интернету, обязательно решение по защите от DDoS-атак, полагают они. «Необходимый минимум — защита серверов и рабочих станций от вредоносного ПО, защита почтового сервиса от спама, фильтрация входящего и исходящего трафика, защита сети от несанкционированного доступа, а также регулярные мероприятия по осведомленности сотрудников по цифровой безопасности»,— уверены в компании.
Включить в «джентльменский набор» компании подписку на сервисы по обучению и проверке знаний сотрудников в области информационной безопасности, а также специализированные комплексы или группы продуктов, учитывающие специфику бизнеса, предлагают и в уральском филиале «Ростелекома». В компании называют человеческий фактор — нелояльность или низкий уровень информированности сотрудников, несоблюдение внутренних регламентов работы — «внутренней угрозой» информационной безопасности. «Все знаменитые атаки последнего времени начинались с открытого письма, содержащего вредоносное вложение. Сегодня целевые действия злоумышленников направлены на выявление ошибок»,— пояснили в «Ростелекоме».
Социальная инженерия
Участники рынка признаются, что наибольшую опасность для финансовых организаций и их клиентов несут угрозы информационной безопасности, основанные на методах «социальной инженерии» (злонамеренное введение в заблуждение путем обмана или злоупотребления доверием). Она позволяет, например, обойти внедряемую сейчас банками единую биометрическую систему в силу ее «известных уязвимостей», отмечают в СКБ-банке.
По данным ФинЦЕРТа, в 2017 году мошенники похитили у физлиц более 1 млрд руб. При этом различные социальные категории граждан подвержены разным типам воздействия. Конечной целью злоумышленников является перевод средств жертв на их счета. «С одними связываются по телефону напрямую или через СМС и вынуждают совершать операции по переводу самостоятельно,— сообщается в отчете ФинЦЕРТа.— Для других достаточно организовать веерную рассылку писем с текстом, побуждающим открыть файл с вирусом или пройти по ссылке на зараженный сайт, и таким образом буквально “открыть” злоумышленникам доступ к управлению счетами физлица или организации через системы дистанционного банковского обслуживания. Третьих привлекают скидки и бонусы при покупке, как выясняется впоследствии, несуществующих товаров в мошеннических интернет-магазинах (фишинг)».
В ЦБ называют противодействие таким преступлениям одним из целевых направлений работы: при участии операторов связи и телеком-провайдеров прекращают работу мошеннических колл-центров и блокируют СМС-рассылки, для борьбы с фишингом снимают с делегирования мошеннические интернет-ресурсы. «При обнаружении сайтов с вредоносным ПО ФинЦЕРТ направляет информацию о них в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА)»,— сообщается в отчете регулятора. Однако в ЦБ признаются, что методов борьбы с социальной инженерией сейчас нет, поскольку с точки зрения банка эта операция совершена клиентом добровольно и самостоятельно. «Даже если клиент пойдет в суд и потребует вернуть средства, решение будет в пользу банка»,— уверен Артем Сычев.
Прогноз
Уровень защищенности организаций кредитно-финансовой сферы и их клиентов растет достаточно быстро, полагают в ФинЦЕРТе. Там связывают это, в частности, со стандартизацией и методологической работой Центробанка в области информбезопасности. Однако есть и вторая сторона: защищенность некредитных финансовых организаций, которые не обязаны строго следовать требованиям регулятора, зависит лишь от степени интереса собственников бизнеса к защите информационных активов и осознания ее необходимости.
Тренд снижения количества крупных хищений у кредитных организаций сохранится. Вместе с тем число хищений у клиентов банков (юридических лиц и индивидуальных предпринимателей) может возрасти, считают эксперты. Одна из возможных причин — утечка в интернет исходного программного кода ВПО, используемого для таких хищений.
Кроме того, специалисты ФинЦЕРТа «в обозримом будущем» ожидают реструктуризации крупных групп злоумышленников, пострадавших от операций правоохранительных органов. «Они продолжат свою деятельность, используя, вероятно, новые инструменты проникновения, которые на сегодняшний день только разрабатываются»,— опасаются эксперты.