Проблемы банков от собственных сотрудников стремительно растут: в 2022 году инсайдеры обеспечат половину взломов информационных систем кредитных организаций, тогда как в 2021 году были виноваты менее чем в трети проникновений. Количество внешних атак на банки в целом снижается, отмечают эксперты, от них уже научились защищаться, тогда как средства противодействия инсайдерам есть далеко не у всех. В самих кредитных организациях пессимистично ожидают роста и внешних, и внутренних угроз.
Фото: Евгений Павленко, Коммерсантъ
“Ъ” ознакомился с отчетом RTM Group (оказывает услуги в области кибербезопасности) по статистике проникновений в банковские информсистемы за 2021 год и прогнозах на 2022 год. Из документа следует, что в 2022 году доля хищений в категории внешних атак (внешними злоумышленниками) снизится с 15% до 3%, но вырастет число инцидентов, связанных с действиями сотрудников банков,— внутренних утечек, проявлений халатности и участий в мошеннических схемах. Их общая доля, согласно ожиданиям аналитиков, увеличится с 30% в 2021 году до 50% в 2022 году.
Прогнозы сделаны на основе сообщений по числу инцидентов, поступивших в ЦБ, и внутренней информации RTM Group о банковском секторе. Компания оценивала тенденции в отдельных направлениях угроз банковского сектора.
Раньше такой значительной динамики по числу инцидентов с участием внутренних инсайдеров не наблюдалось, отмечают в RTM Group, она может быть связана с повышением сложности внешних взломов и ростом стоимости внутренних данных.
Главной целью злоумышленников будут счета компаний, клиентов и любая информация о них, а также документы и внутренняя переписка, отмечают аналитики.
По данным ЦБ, в третьем квартале 2021 года было зафиксировано 107 атак на финансовые организации с помощью вирусов и 22 — посредством эксплуатации программных уязвимостей. За год число атак первого типа увеличилось на 15,1%, второго — уменьшилось на 47,6%. ЦБ не дает данных отдельно инцидентов с участием инсайдеров. Всего за третий квартал было проведено несогласованных операций на 3,2 млрд руб., из них только 7,7% возвращены или компенсированы.
В декабре 2021 года Group-IB сообщила о первой за три года хакерской атаке против одного из банков и хищении средств с корсчета банка (см. “Ъ” от 15 декабря 2021 года). Злоумышленники получили доступ к системе межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента ЦБ). Атака началась через компрометацию компании, аффилированной с банком-жертвой, предположительно, через старую техническую уязвимость, полагали в Group-IB.
Подобные атаки сейчас редкость. Злоумышленникам дешевле и безопаснее использовать инсайдеров, а не внешние взломы, отмечает руководитель отдела аналитики SearchInform Алексей Парфентьев.
«Дело в том, что банки не обязаны по закону устанавливать программы для защиты от утечек данных и прочих инсайдерских рисков»,— говорит он. Такой софт, по оценке господина Парфентьева, стоит пока только в трети банков.
“Ъ” направил запросы в Сбербанк, ВТБ, Газпромбанк и другие системно значимые банки. В Росбанке скептически отнеслись к выводам RTM Group. «Мы не ожидаем роста внутренних утечек»,— утверждает директор департамента информационной безопасности банка Михаил Иванов. Но и меньше их не станет, «скорее всего, по рынку расти будут и внешние, и внутренние риски», признал он.
Представитель Тинькофф-банка заверил “Ъ”, что там укрепляют все направления безопасности, «отталкиваясь от реальных данных о киберугрозах». Уровень риска со стороны инсайдеров «со временем практически не меняется», считает директор департамента информационной безопасности МКБ Вячеслав Касимов. Он отметил, что в 2022 году банк будет концентрироваться на обучении работников и развивать свой центр безопасности (SOC), «чтобы своевременно реагировать на возникающие аномалии».
Множество утечек из банков совершается непреднамеренно, считает директор по консалтингу ГК InfoWatch Ирина Зиновкина. «Чтобы этого не происходило, нужно регламентировать правила обращения с конфиденциальной информацией, документировать требования и ответственность за их нарушения»,— отмечает она.