Как финтех оценивает киберриски в условиях санкций — исследование

Импортные средства защиты информации больше недоступны российским компаниям из-за санкций. В банках это повлияло на весь комплекс программно-аппаратных средств, которые составляют ядро IT в компаниях. В это же время драматично выросло количество хакерских атак на российскую инфраструктуру.

Чтобы разобраться, как бизнес с этим справляется, насколько работает импортозамещение и какие прогнозы можно строить на будущее, мы опросили CISO крупных банков и финтех компаний — Альфа Банк, РСХБ-Интех, Ренессанс Кредит, Абсолют Банк и других. 

Содержание: 

— Новые угрозы и новые векторы атак. Как борются банки

— Что делать с прекращением поддержки ПО и средств защиты

— Изменения в работе кибербезопасников в связи с кризисом

— Резюме

Новые угрозы и новые векторы атак. Как борются банки

Проблемы с атаками были и раньше, но этим занимались злоумышленники с целью получить деньги. Сейчас ситуация приобрела политический характер и стала гораздо более масштабной за счет активистов. Российские коммерческие и государственные учреждения теперь являются мишенью для разных хакерских группировок, которые хотят ответить на спецоперацию. На github-е даже есть список, кого «дедостить» и много популярных банков там фигурируют. Как правило DDos безразборный, например, идет на фронтовую страницу банка, а клиентские сервисы может не затрагивать.

«Комплексных сверхсложных атак мы не наблюдаем. Увеличилась не сложность, а количество атак, DDos — одна из самых распространенных». 

— Денис Якимов, Альфа банк 

«Количество и качество атак увеличилось. При этом цели у хакеров разные. Кто-то участвует во флешмобе, запуская в браузере DDos-атаку на рандомный список ресурсов. Параллельно идет работа серьезных группировок, которые атакуют важные ресурсы и госучреждения. Российские компании теперь желанная цель для многих»

 — Дмитрий Стуров, Банк «Ренессанс Кредит»  

«DDos такая известная атака, все знают как от нее защищаться. Что-то новое мощное придумать тяжело. Были атаки с шифрованием направленные на уничтожение ресурса и копии сервера. Атакующие делают трудоемким процесс его восстановления для последующей работы. Это наносит максимальный урон бизнесу. Последний громкий пример — Rutube. 

Были и deface-атаки. Их единственная цель – разместить какой-то текст, лозунг, призыв на значимом ресурсе. В марте 2022 года такие прецеденты встречались чаще финансовых махинаций. Однако сколь-нибудь значительных результатов никто из атакующих не достиг: хоть атаки и были заметны, но серьезных потерь бизнесу не нанесли и не стали социально значимыми».

— Дмитрий Стуров, Банк «Ренессанс Кредит»

«Стали активнее проявляться атаки через цепочку поставок. В первые 2-3 недели конфликта был всплеск появления библиотек, которые содержали вредоносные скрипты или призывы. Некоторые пакеты с вредоносными программами распространялись не на всех, а только на тех, чей географический IP-адрес или часовой пояс совпадает с Россией, а системный язык — русский.

Мы ограничивали количество обновлений, делали для них карантин, переставали устанавливать то, что было реализовано после 23 февраля, создавали различные проверки для новых релизов. Появились российские вендоры, которые начали предоставлять новые сервисы, направленные на поиск вредоносных библиотек. Они учитывают их специфику и делают дополнительный анализ библиотеки при скачивании».

— Денис Якимов, Альфа банк

«Самым тяжелым последствием санкций стал страх перед обновлениями и как следствие — увеличение сроков устранения уязвимостей в инфраструктуре. В каждом обновлении может быть что-то типа старого древнего «чернобыля», или как Microsoft в свое время выкатил отключение у себя Flash. Это был удар под дых для разработки и продуктов компании. Можно ожидать чего-то подобного от любой компании, которая от нас вроде бы не ушла, но в то же время находится под влияниям недружественных стран». 

— Виктор Булкин, РСХБ-Интех

Что делать с прекращением поддержки ПО и средств защиты

«Концепции локального банка давно не существует, любой банк представляет собой ядро с условным периметром, который он защищает. Все остальное: потоки данных, выносные ЦОДы, различные облачные платформы, коробочный софт, проекты MVP, эквайринг, удаленные рабочие места, аутстаффинг, партнерские программы. Чем больше банк, тем более распределенная эта экосистема. Она всегда очень тяжелая, а в какой-то момент становится катастрофически неповоротливой и бюрократичной. В ней работают люди, которые привыкли к определенным сервисами, базам данных или определенным иностранным решениям. Пролоббировать сдвиг в части импортозамещения очень тяжело. 

У нас все чуть проще и всю кибербезопасность мы начали замещать с начала 2020 года. Я вижу трудности не в самом импортозамещении, а в нехватке зрелых аналогов, в несовместимости и неадаптивности существующих продуктов».

— Руслан Ложкин, Абсолют банк 

«Из-за ухода крупных игроков с российского ИТ-рынка мы остаемся с набором средств защиты, которые пока, не соответствуют лучшим практикам. Конечно, есть хорошие отечественные разработки, которые конкурируют с мировыми лидерами, но по ряду направлений их не представлено. Особенно остро это ощущается в части производства СЗИ (средства защиты информации). В импортозамещении аппаратной части, решения, конечно, будут найдены, но пока они выглядят не так привлекательно, как то, чем мы могли пользоваться год назад». 

— Дмитрий Стуров, Банк «Ренессанс Кредит»

«Миграция в некоторых случаях напрямую невозможна. Полностью вымирает функционал, который предоставлялся зарубежными вендорами, например, у нас нет достойного отечественного продукта для защиты контейнерных сред. И так во многих сферах ИБ и во многих продуктах».

— Виктор Булкин, РСХБ-Интех 

Еще до санкций появился ряд законодательных инициатив, связанных с критической инфраструктурой, который обязывал компании использовать отечественные информационные системы и СЗИ. Формулировки были лояльными, а сроки реализации достаточно длинными. Многие видели перспективы их переноса или отложения. Компании держали в уме списки исключений и надеялись в них попасть. Кто-то надеялся, что власти позволят работать на закупленных ранее системах до полной амортизации, а это лишь вопрос внутреннего оформления документов. 

«250 указ Президента обязывает компании, относящиеся к субъектам критической информационной инфраструктуры, использовать отечественные СЗИ с 2025 года. Мы ждем уточнений и нормативных документов, которые разъяснят детали, например точный реестр технических средств, подлежащих замещению». 

— Дмитрий Стуров, Банк «Ренессанс Кредит» 

«Все замерли. Организации ждут, что внезапно все попустит, либо что вендоры найдут способ продлить решения, либо самостоятельно ищут способы обхода. Не вижу, что все ринулись искать импортозамещение. Лихорадочно ищут замену только того, что уже очень надо еще вчера, например, по части безопасной разработки — это SAST, DAST, RASP, IAST, SCA-решения, позволяющие выявлять недостатки безопасности на ранних этапах разработки продуктов. Самый болезненный процесс поиска происходит с продуктами, которые работают с фидами — IPS, IDS, EDR, XDR, все они связаны с актуальными сигнатурными базами (содержащие шаблоны, по которым ПО ищет совпадения)».

— Виктор Булкин, РСХБ-Интех 

«Мы начали стратегию замещения с того, что категоризировали все объекты, на непрерывность деятельности которых, повлияет отключение иностранного ПО. Выявили нужду в срочной замене или компенсационных мерах.

Во-вторую категорию попали объекты, из-за влияния на которые не произойдет остановка бизнеса, например, Oracle отключат — он будет еще работать год-два без обновлений. Да будет накапливать ошибки, будет более уязвимая система — не критично, найдем альтернативу. 

В РФ все системы построены на таком же иностранном ядре Linux, которое никто не перепишет. Разработать операционную систему с нуля — это как построить авиадвигатель, и тот же Linux писался мировым сообществом. Мы можем исключить иностранные ветки репозиториев, чтобы через обновления нельзя было скачать закладки хакеров. Все мы не заменим, но мы можем использовать компенсационные меры».

— Руслан Ложкин, Абсолют банк

«Какое-то время назад удалось выстроить очень эффективную работу на удаленке, при этом ощутимо заботясь о сохранности данных. Это удавалось благодаря технологиям FortiGate и микросегментации, которые мы строили через виртуализированные среды. Сейчас на рынке вообще нет подобного решения. Мы конечно же можем придумывать максимально приближенные к этому способы, но все будет реализовано массой костылей и несколькими продуктами, которые в сумме будут дороже для бизнеса.

Встанет вопрос о том, какими удобствами мы можем пожертвовать. Например, работой с подрядчиками в рамках структуры банка или удобной работой смен. Обеспечить безопасность и сохранность данных гораздо сложнее при подключении на удаленке к промышленным средам.

Теперь специалисты должны будут обязательно сидеть за выделенным компьютером в нашем офисе, а то и просто говорить специалисту что делать. Это с одной стороны попахивает идиотизмом, но с другой, к сожалению, это чуть ли не единственный законный способ работы с подрядчиками. Или через конференц-связь будут работать 2 специалиста — наш инженер (дорогой специалист) выполнять задачи, которые ему диктует с экрана подрядчик. Все это ощутимые финансовые и организационные издержки, которые даже не решают практическую сторону безопасности».

— Виктор Булкин, РСХБ  

Попытка окольными путями поддержать жизнь продуктов с помощью дистрибьюторов, вендоров, в некоторых случаях реверсинга (попытка изучить и воссоздать алгоритмы работы программы) — это наиболее распространенный тренд сейчас. 

Российские компании либо начнут улучшать уровень зрелости своих продуктов, вкладываться в них и искать инвесторов, либо поймут, что у потребителей нет альтернативного выбора и повысят цену, не меняя коренным образом текущие разработки. Все будет зависеть от развития ситуации в целом: того как рынок себя поведет, как поступят регуляторы и само сообщество.

Продукты для управления данными и реагирования на инциденты не вызывают проблем, так как могут изолированно работать внутри компании долгое время без дополнительных и внезапных рисков.

Самыми болезненными потерями практики называют: NGFW-решения WAF-решения (мониторинг, фильтрация и блокировка атак на веб-приложения), продукты безопасной разработки и сканеры уязвимостей. Сканеры отчасти меняются на Open Source. Можно сказать почти весь процесс безопасной разработки и управления контейнерными средами можно покрывать Open Source-ом, с не слишком большими потерями в качестве. 

Существует около пяти популярных продуктов на российском рынке, основанных на Open Source — это различные сканеры уязвимостей, а также решения Anti-DDoS. С учетом ухода вендоров, скоро российских ИБ-решений на базе Open Source станет больше. Даже мы в Awillix используем Open Source-сканеры внутри своего продукта — регулярного мониторинга уязвимостей, который непрерывно оценивает уровень защищенности цифровых активов компании 24/7. Разные инструменты могут давать разный результат. Чтобы покрыть периметр компании как можно большим количеством проверок, можно использовать, в том числе OpenSource-решения. Это позволяет сагрегировать все найденные недостатки и контролировать их исправления из централизованной платформы.

Изменения в работе кибербезопасников в связи с кризисом

Сейчас эксплуатируют старые и новые уязвимости во внешних продуктах, инфраструктурных решениях и в операционных системах. Практики отмечают, что нагрузка перешла с превентивных мер на средства мониторинга. Банкам гораздо больше приходится полагаться на SIEM (средства анализа событий безопасности в реальном времени) и оперативные команды специалистов — blue team, red team. 

«Изменилось требований к экспертизе и оперативности действий специалистов. Например, мы много маркеров со средств защиты переложили на мониторинг SOC (операционный центр безопасности). Нагрузка легла на первую и вторую линию службы безопасности. Внезапных технических изменений не произошло. 

Первый приоритет — периметровая защита, внутренняя сегментационная защита, VPN-решения. Еще виртуализация —  очень большая часть  инфраструктуры, и пользовательской и серверной, находится в компании на виртуализированных средах. Уязвимости на виртуализированной среде автоматически влекут за собой уязвимости этих сервисов. Это очень опасно».

— Виктор Булкин, РСХБ-Интех 

«Кибербезопасность в банках уже отходит от понятия периметров. Не доверенными пользователями автоматически считаются абсолютно все. Чтобы стать доверенными они проходят мультифакторную аутентификацию и разные проверки рабочего места при каждом обращении к данным. Технологии позволяют собирать телеметрию с удаленной рабочей станции и проверить есть ли на ней антивирус, когда он обновлялся, где сидит человек в кафе (публичная сеть) или дома — это кратко о концепции нулевого доверия — «Zero Trust». Уход технологий защиты, которые позволяют это сделать, отсутствие альтернатив на отечественном рынке сейчас вызывает дискомфорт. Проблема решаема, но не мгновенно».

— Руслан Ложкин, Абсолют банк 

«Нет нового рецепта защиты. Вектора атак были и остаются известными, сейчас просто появились новые игроки с новой мотивацией. Нужно усиливать тот комплекс мер, который был до 24 февраля и продолжать его выполнять с учетом возросших рисков».

— Дмитрий Стуров, Банк «Ренессанс Кредит»

«Для реализации практической безопасности нужно: технологии нулевого доверия, защита конечных станций, выстроенный процесс реагирования на инциденты, тредхантинги в части импортозамещения, управление внешними угрозами — мониторинг новой информации о компании в открытом доступе, комплаенсы, для автоматической проверки на соответствие которых, еще нет решений на рынке. И самое главное — нужны люди определенной компетенции». 

— Руслан Ложкин, Абсолют банк

В связи с тем, что на киберфронте все усугубляется, растут требования к ИБ-специалистам и фокус компаний смещается на развитие культуры информационной безопасности. Требуется появление «секьюрити чемпионов» (проактивных членов команды) и послов ИБ-среди бизнеса и технических специалистов. 

«Мы стоим с краю, всем даем по рукам, контролируем что-то. Сюда не ходи, там не смотри, спалили — вот тебе выговор.  Это устаревшее видение ИБ должно будет измениться. Чтобы ответить на текущую ситуацию необходимо полностью изменить подход к работе. Ни одна команда на данный момент в одиночку технически не справится с появившимися угрозами и увеличившимся объемами атак.

Сами CISO являются проводниками безопасности. Всем нужно открыться для совместной организации процессов, для общей заинтересованности и ответственности. На своем примере показывать и рассказывать хотя бы разработчикам — почему им должен быть интересен вопрос безопасности. Не потому, что им нужно что-то исправлять, а потому что они захотят создавать безопасный продукт».

— Виктор Булкин, РСХБ-Интех  

Резюме

Сегодняшний кризис выглядит, как глобальный стресс-тест с максимальной нагрузкой на службы информационной безопасности российских компаний. Сфера финтеха всегда была наиболее интересной хакерам, а значит и наиболее готовой к любым угрозам. Ранее основные меры защиты были превентивными. Многие не сталкивались на практике с теми угрозами, от которых выстраивали защиту. Теперь все возможные риски стали повседневной реальностью.

Готовность профессионалов противостоять киберрискам показывает высокий уровень зрелости ИБ в российской банковской сфере и готовность быстро перестроить и адаптировать ИБ-процессы несмотря на все сложности. Оптимизм CISO и их готовность принять существующие риски в условиях колоссальной неопределенности и ограниченности ресурсов, заставляет думать, что все трудности неизбежно станут драйвером роста технологий и развития культуры кибербезопасности внутри российского рынка.