Информационная безопасность банков – критически важная часть ежедневной работы финансовой сферы. Взлом с проникновением в цифровом мире – страшный сон как банка, так и специалиста по ИБ. Основная цель злоумышленника – украсть номера кредитных карт, пароли и в конечном итоге деньги. На базы данных с людьми, реквизитами, досье по платежным инструментариям всегда найдется покупатель. Небольшая утечка всего в 1000 записей может обернуться потерянными миллионами.
Когда мы проводим мероприятия по устранению уязвимостей в банках, часто удивляемся, как многим из них повезло, что утечки еще не произошло: информация хранится разрозненно, в незакрытом виде и доступ осуществляется через стандартную парольную пару, что абсолютно ненадежно.
Атака на данные может быть как извне, так и изнутри защищенного периметра. Что может произойти?
- просмотр или завладение информацией
- распространение или ограничения доступа к информации
- изменение информации
- уничтожение данных
В каждом случае объем последствий будет разный.
Только в прошлом году в России было совершено больше 70 млн кибератак на финансовые объекты, а ущерб российских банков и платежных систем мог превысить 1,35 млрд руб
Что делать? Принять вероятность взлома и сделать его настолько безопасным, насколько это возможно. Это один из основных способов, который может предотвратить несанкционированный доступ к конфиденциальной информации. Только в прошлом году в России было совершено больше 70 млн кибератакна финансовые объекты, а ущерб российских банков и платежных систем мог превысить 1,35 млрд руб.
Согласно статистике Breach Level Indexза 2017 год, по доле кибератак финансовый сектор занимает второе место (12%). На первом находится сектор здравоохранения (27%), на третьем - образовательная сфера (11%), далее ритейл и торговые организации (11%), инциденты в правительственных организациях (11%), сфера технологий (7%), на остальные организации приходится 21% кибератак.
Статистика по количеству инцидентов и полученных записей в результате взломов выглядит следующим образом:
Распределение по количеству инцидентов
Цель взлома
2013
2014
2015
2016
2017
Кража персональной информации
715
937
1014
1240
1222
Доступ к финансовой информации
193
303
413
352
274
Доступ к учетным записям
139
171
199
182
122
Распределение по количеству полученных записей в результате взломов
Цель взлома
2013
2014
2015
2016
2017
Кража персональной информации
1 189 281 505
535 324 198
526 853 396
292 246 026
687 406 529
Доступ к финансовой информации
274 460 093
152 114 562
4 102 305
4 519 712
13 065 161
Доступ к учетным записям
609 689 524
969 472 243
171 873 091
329 998 234
310 143 719
Финансовые организации находятся под постоянным прицелом, несмотря на то, что они стараются противодействовать рискам и атакам. На улучшение показателей статистики во многом повлиял рост внедрения систем многофакторной аутентификации – это тот стандарт, без которого нельзя обезопасить данные. Однако чем дальше, тем больше меняется ландшафт хранения и организации доступа, механизмы работы с информацией, данные уходят за пределы периметров организаций (например, в облака). Поэтому постоянно формируются новые подходы к ее защите.
Ключевые инструменты защиты
Многофакторная аутентификация пользователя
Даже в телефонах уже давно есть возможность двухфакторной аутентификации, но практика показывает, что финансовые организации ей часто пренебрегают. Чтобы обезопасить данные, помимо понимания, кто и каким образом получает доступ к информации, необходимы инструменты усиления аутентификации, такие, как многофакторная аутентификация (она же строгая).
В качестве факторов аутентификации могут выступать:
? информационный– для идентификации используется конфиденциальная информация, известная пользователю (например, пароль)
? физический– когда пользователь для идентификации предоставляет предмет, которым он обладает (смарт-картус RFID-меткой, USB-токен с записанным сертификатом)
? биометрический – пользователь предоставляет для идентификации уникальные данные, которые являются его неотъемлемой сутью (отпечаток ладони или пальца).
Как использовать
Для примера возьмем сотрудника, работающего с любой системой банка удаленно. Чтобы гарантировать, что именно он использует двухфакторную аутентификацию, сотрудник каждый раз при входе в систему должен вводить логин/пароль и одноразовый пароль, полученный в PUSH-уведомлении или от аппаратного генератора.
Шифрование данных
Если информация покидает зону контроля, прочитать ее могут только санкционированные пользователи – это закон. То есть данные должны перемещаться только в зашифрованном виде
Если информация покидает зону контроля, прочитать ее могут только санкционированные пользователи – это закон. То есть данные должны перемещаться только в зашифрованном виде. На текущий момент только 4%из всех «утерянных» записей были зашифрованы и бесполезны для злоумышленников. Огромные массивы информации компании часто не шифруют даже стандартными инструментариями СУБД и не организуют контролируемое надежное хранение ключей шифрования. Нередко выясняется, что банк не шифрует PAN-номеракарт клиентов, несмотря на все предписания стандартов и аудиторов. И доступ к базам с этими данными тоже никак не защищается, кроме как паролями администраторов.
Как и с помощью чего шифровать
Сегодня есть инструменты, позволяющие шифровать объекты в различных средах. Например, виртуальные машины – виртуальные жесткие диски и файлы подкачки – для безопасной миграции данных в облака и дата-центры. Можно шифровать файловые сервера – без нарушения бизнес-операций и потери производительности. Существуют шифраторы для баз данных и для защиты каналов связи.
Современные технологии шифрования просты в использовании и подходят как для бизнеса, так и для государственных проектов. Их можно использовать и для защиты данных в облаке, и на личных устройствах, и для связанных объектов IT-инфраструктуры. Многие решения настраиваются по принципу «установил и забыл» - с ними просто работать, ими легко управлять, сводя требования к ресурсам к минимуму.
Бизнес должен быть всегда на страже: данные будут пытаться украсть, и чем больше появляется технических возможностей предотвратить атаку, тем более изощренные методы используют злоумышленники. Внедрение технологий и сервисов, которые смогут дать адекватный ответ росту киберугроз и при этом удобных в использовании – одна из ключевых задач любой современной финансовой организации. При этом не стоит воспринимать шифрование как панацею от всех угроз. Защитить информацию поможет только комплексный подход: регулярное обновление ПО, парольная политика, многофакторная аутентификация, антивирусная защита и т.д. Не стоит забывать и о человеческом факторе. По разным оценкам, от 20 до 30% сотрудников переходят на фишинговые сайты, вводят там свои учетные данные, а около 10% открывают зловредные файлы. Шифрование и строгая аутентификация – это последний рубеж, составная часть комплексной системы защиты информации предприятия.
