Цифровизация потемкинской деревни
Максим Буйлов о не слишком внезапных киберучениях
Киберучения ЦБ, которых отделы информбезопасности (ИБ) банков с некоторой опаской ожидали больше месяца (см. “Ъ” от 10 августа), начались на этой неделе. В самом факте таких мероприятий ничего необычного нет — они регулярно проводятся с 2020 года. Банк России запускал проверку защиты кредитных организаций от тех или иных угроз, участники рынка организовывали противодействие, а регулятор контролировал процесс и подводил итоги.
Но в этот раз ЦБ подошел к мероприятию креативно. Банки были обязаны заранее прислать 30 адресов электронной почты своих сотрудников и желательно не специалистов ИБ. В ответ по этим адресам будут разосланы письма с вложенным вредоносным программным обеспечением (ВПО). По сценарию учений сотрудники кредитных организаций должны будут вскрыть письма, а после этого в дело вступают специалисты по ИБ, которые начинают бороться с «вредоносом». О полученных результатах требуется доложить регулятору.
Как поясняли в ЦБ, «для формирования условий, приближенных к реальности» дата начала киберучений не раскрывается. Однако профильные ТГ-каналы уже вовсю обсуждают киберучения. Так, часть участников рынка обнаружила, что письма с вредоносным ПО успешно отфильтровывает их система защиты. В результате банки рискуют не принять участия в киберучениях, за что, как они логично предполагают, «прилетит от ЦБ». Так что сотрудники ИБ активно прочесывают папки со спамом, чтобы выудить оттуда киберпосылки от регулятора.
Но и найденное письмо с ВПО от Банка России не гарантирует полноценного участия в киберучениях, поскольку штатные средства защиты нередко блокируют открытие подозрительных ссылок, чего по сценарию делать не положено. По плану ЦБ первую ссылку сотрудник банка должен открыть, описать инцидент, получить рекомендации от ФинЦЕРТа и уже с их учетом блокировать ВПО при повторной рассылке. И самостоятельная блокировка первой ссылки на вредоносное ПО сценарием не предусмотрена, следовательно, наказуема.
Есть и еще одна тонкость — «для формирования условий, приближенных к реальности» ЦБ не маркирует письма с вредоносным ПО. Это означает, что существенно возрастает риск получить письмо с ВПО от настоящих мошенников, и бороться с ними необходимо уже по-настоящему, рискуя потерять деньги или конфиденциальную информацию.
Впрочем, были и версии, что некоторые участники учений сгенерируют 30 новых почтовых ящиков конкретно для этой задачи. Тогда вероятность получения реального фишингового письма будет минимальной, ни одно письмо от ЦБ не затеряется и будет отработано в лучшем виде. Получается своеобразная цифровизация потемкинской деревни — банки четко выполняют сценарий, а регулятор отчитывается, что все под контролем.