«Информационная безопасность банков»: что прогнозируют российские ИБ-специалисты

Отчасти с ним согласился Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет». Эксперт отметил, что последние два месяца не принесли новых угроз, просто атак стало значительно больше. К примеру, в финансовой сфере как минимум в несколько раз выросло число DDoS-кейсов.

Директор Департамента обеспечения кибербезопасности Минцифры России Владимир Бенгин добавил, что государство годами готовилось к подобным вызовам. В то же время остались и недооцененные риски. «Например, сейчас из всех удостоверяющих центров остался один. Приходится постоянно с ним общаться, чтобы он все-таки выдавал сертификаты», — отметил спикер.

Координация и государственная поддержка

Заместитель директора ФСТЭК России Виталий Лютиков отметил другой тренд — атаки стали направленнее, координированность злоумышленников выросла. Спикер также заметил, что «после 24 февраля основным источником ИБ-угроз стали целые государства».

Главный эксперт по безопасности «Лаборатории Касперского» Сергей Голованов подтвердил, что ключевая особенность нынешнего кризиса — государственная «поддержка» злоумышленников. Такого не было ни в 2008, ни в 2014 г. «Самый вопиющий факт, на наш взгляд, — происходящее в Австралии. Там правительство легализовало противоправную деятельность на территории России и заявило, что не будет экстрадировать и преследовать граждан, которые участвуют в конфликте», — рассказал Сергей.

Приложения и DevSecOps

Приложения и сервисы — это обоюдоострый меч: ими пользуются все, но они неизбежно «торчат» за ИБ-периметром компании. При этом защищают их не очень-то активно. Исследование «Инфосистемы Джет», проведенное в 2021 г., показало, что только треть российских компаний «стремятся построить у себя DevSecOps-модель, полностью вовлекая ИБ в разработку». Еще 18% опрошенных частично привлекают ИБ-специалистов к процессу создания продуктов. У всех остальных безопасность либо слабо соприкасается с разработкой, либо вообще не имеет к ней отношения.

Руководитель направления DevSecOps компании «Инфосистемы Джет» Антон Гаврилов видит в этом историческую подоплеку: «Изначально главным фокусом ИБ в Enterprise была защита ИТ-инфраструктуры. Только после решения этих задач компании начинают смотреть в сторону безопасности приложений. На мой взгляд, это особенно актуально в настоящее время, когда практически у каждой компании ведется разработка собственного ПО. Это подтверждается и тем фактом, что атак на приложения становится больше год от года. Особенно ярким примером являются атаки на цепочку поставок (Supply Chain Attacks)».

По словам Антона, ситуация на рынке защиты приложений в России стала сложнее, но это не означает, что создать платформу безопасной разработки, позволяющую проводить комплексный анализ и защиту приложений, невозможно. Для многих классов средств защиты есть отечественные решения или зарекомендовавший себя Open Source.

«Однако при использовании Open Source важно помнить о нюансах, связанных с открытым кодом. Например, об отсутствии поддержки и необходимости самостоятельно дорабатывать решения под нужды компании», — добавил Антон Гаврилов.

Сложности с импортозамещением

Алексей Войлуков, вице-президент Ассоциации банков России, назвал среди ключевых ИБ-проблем в финансовой сфере резкий уход с российского рынка ряда западных вендоров. Вопрос импортозамещения встал как никогда остро, кроме того, за вендорами потянулась часть ИТ- и ИБ-специалистов. Даже при наличии полноценных отечественных аналогов западных решений быстро внедрить их в крупных и средних банках не получится.

Заместитель генерального директора компании «Системы практической безопасности» Елена Мареева подняла тему импортозамещения в разрезе обеспечения безопасности платежных систем. Она отметила, что сейчас больше всего уязвимы средства криптографической защиты и HSM-модули.

Елена рекомендовала организовать функциональное тестирование HSM-модулей, обеспечить плавный переход на новое оборудование и поддерживать в актуальном состоянии документы, определяющие функционально-технические требования систем. Также, по ее словам, требуется корректировка технологических карт — они не должны быть статичными.

Киберучения — новая норма

Один из актуальных способов справиться с растущим количеством угроз и атак — киберучения. Об этом рассуждали участники сессии «Киберполигоны. Практика проведения киберучений».

«К росту киберугроз нужно готовиться заранее. При этом далеко не все готовы тренироваться на собственной инфраструктуре, рискуя остановить критичные бизнес-процессы. Целесообразно использовать сервис, который научит специалистов отражать атаки и оперативно расследовать инциденты, — отметила руководитель сервиса Jet CyberCamp компании «Инфосистемы Джет» Ольга Елисеева. — В банковских структурах работают множество специалистов, обеспечивающих их безопасность: команды SOC, Security Champions, специалисты по СЗИ, архитекторы ИБ. И для всех них киберучения более чем актуальны».

Платформа Jet CyberCamp, о которой рассказала Ольга, использует преимущественно ИБ-продукты российских производителей. Так, для типовой модели инфраструктуры эксперты «Инфосистемы Джет» спроектировали комплексную систему защиты, включающую отечественные SIEM, сканер безопасности, SOAR, TIP, межсетевой экран, песочницу и другие ИБ-решения. Плюс на платформе можно протестировать любые другие российские ИБ-инструменты.

По словам Ольги, сегодня не все готовы строить собственные киберполигоны и обучать специалистов. Но если мыслить стратегически, тренировки нужно начинать прямо сейчас, ведь в ближайшее время количество атак не снизится.

Нынешние сложности — только начало

Заместитель директора Департамента информационной безопасности Банка России Андрей Выборнов заметил, что все происходящее — это только начало, первая волна. Поэтому впереди нас ждет серьезная работа по усовершенствованию подходов к выбору средств защиты, усилению импортозамещения и снижению розничного фрода.

Директор IZ:SOC компании «Информзащита» Иван Мелехин сделал неутешительный вывод: мир ИБ, который существовал еще в начале февраля, исчез. Иван рассказал, что сейчас атакуют даже те компании, которые было сложно представить в качестве целей злоумышленников. «Атакам шифровальщиков сейчас подвергаются даже те, кто не входил в группу риска. Количество атак выросло, а их последствия стали более критичными», — добавил эксперт.

По словам Алексея Мальнева, сложности ждут не только банки. «Самое страшное позади, но впереди — самое сложное, — подчеркнул Алексей. — Мы видим, как у заказчиков планомерно растут нагрузка на периметр и количество попыток реализации таргетированных угроз. Их уже больше, чем было в марте, и мы ожидаем, что ситуация ухудшится. Нас ждет резкий всплеск сложных таргетированных атак во втором–третьем кварталах, поскольку подобные угрозы реализуются в течение нескольких месяцев».