Слабое звено

Слабое звено

Когда употребляют словосочетание «отраслевая информационная безопасность», часто думают, что ИБ в разных отраслях – это совершенно разные сферы, регулируемые разными нормативно-правовыми актами, для этих сфер актуальны и характерны разные угрозы и атаки. До недавнего времени так и было.Однако в современном мире наблюдается тенденция к все большей цифровизации общества и, как следствие, понятие отраслевой безопасности начинает размываться. Покажем это на примере финансовой и телекоммуникационной сфер.

ОСОБЕННОСТИ ВОСПРИЯТИЯ ИБ В ТЕЛЕКОМЕ

Достаточно долгое время риски информационной безопасности в компаниях телеком-отрасли считались вторичными. Выполнялись только явно прописанные законодательством меры, например, по персональным данным. В тоже время считалось (и сейчас кое-где считается), что телеком выполняет роль некоего пересыльщика данных, предоставляя каналы связи, а уж задачи безопасности информации, передаваемой по этим каналам, лежат целиком на совести владельца информации.

Немалую роль играют также трудности донесения до бизнеса информации о ИБ-рисках и необходимости вкладываться в средства защиты. В настоящее время, благодаря тому что телеком стал предоставлять не только каналы связи, но и иные услуги, а также массовому распространению такого явления, как «интернет вещей», вероятность реализации рисков ИБ возросла, и бизнес начинает это учитывать.

…И КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ

В тоже время в кредитно-финансовой сфере изначально не было недооценки рисков ИБ, поскольку именно в этих организациях сосредоточен основной интерес для атакующих – деньги. Понимали это и издатели нормативно-правовых актов, что отразилось в большом количестве как законодательных инициатив, так и распоряжений регулятора (ЦБ РФ). В целом до недавнего времени кредитно-финансовые организации были достаточно обособлены и защищались «каждый сам за себя». Ситуация улучшилась с появлением ФинЦЕРТ, когда реализовался межбанковский обмен по технической составляющей атак.

С ТОЧКИ ЗРЕНИЯ «БУМАЖНОЙ БЕЗОПАСНОСТИ»

С регуляторной точки зрения возник парадокс: несмотря на кажущуюся жесткость регулирования телеком-отрасли (реестры Роскомнадзора, «пакет Яровой» и т.д.), возможностей для построения систем защиты информации тут больше, нежели в кредитно-финансовой сфере, где теоретически освещено достаточно много аспектов, связанных с защитой информации, но не поясняется, как построить систему защиты, удовлетворяющую регулятора (в данном случае – конкретных проверяющих, т.к. отсутствует методика проверки для них, что дает простор для толкования требований).

РАЗНЫЕ ОТРАСЛИ – ОДНО БУДУЩЕЕ

Но время не стоит на месте. Активно развивается финтех, используются «большие данные», ИИ, блокчейн, облачные технологии… Цифровизация банков приводит к отказу от офисов в пользу дистанционного обслуживания. Все большую ценность играет любая информация, начиная с данных о сотрудниках компаний и заканчивая персональными данными граждан. Понятие отраслевой безопасности стремительно расширяется, включая в себя и новые понятия, в том числе и «обеспечение информационной безопасности бизнес-процесса, затрагивающего несколько отраслей». В будущем число таких бизнес-процессов, объединяющих несколько отраслей, будет только расти.

В таком контексте телеком-компании трансформируются из «просто предоставляющих каналы связи» в полноценных участников процесса, обеспечивающих часть банковских функций, например, Единую биометрическую систему. Некоторые телеком-компании стали оказывать дополнительные услуги по обеспечению отдельных процессов кредитно-финансовых организаций. Внедряются новые стандарты телевещания (например, HBBTV – Hybrid Broadcast Broadband Television, предоставляющий телезрителям дополнительные интерактивные услуги), предполагающие взаимодействие с кредитно-финансовыми организациями при проведении платежей. Растет количество «умных устройств», которые также могут проводить платежи и, соответственно, хранят и используют платежную информацию. И т.д. и т.п. Все это в совокупности приводит к появлению новых возможных векторов атак на стыках границ ответственности двухотраслей.

В части случаев телеком-компании обеспечивают в той или иной степени аутсорс информационной безопасности для банков, например, через коммерциализацию своих SOC. Также и телеком пользуется услугами кредитно-финансовых организаций, предоставляя возможности оплаты своих услуг непосредственно через «личные кабинеты» и используя финансовые инструменты в своей работе (например, при расчетах с контрагентами).

Как следствие идет размывание четко очерченных границ ответственности между «банковскими безопасниками» и «телекомовскими безопасниками». Сотрудники компаний начинают искренне считать, что «это не их зона ответственности», а какие-либо договоренности, не говоря уж о совместно выстроенных процессах реагирования на инциденты ИБ, отсутствуют. Т.е. отсутствует как таковое осознание общности выполнения одной задачи – обеспечения безопасности конкретного бизнес-процесса, а не просто отраслевой безопасности.

А ЧТО ДЕЛАЮТ АТАКУЮЩИЕ?

Атакующим уже не обязательно «пробивать» хорошо защищенную кредитно-финансовую организацию или организацию телеком-отрасли. Чтобы попасть в сеть банка или телеком-организации им проще сосредоточиться на слабо защищенной цели, которую обе стороны «не считают своей».

Кроме того, не стоит забывать и о мотивации атакующих: при цифровизации общества возрастает роль доступности услуг, соответственно становятся выгодными утечки разных данных – ввиду возросших возможностей их монетизации.

Верхнеуровнево можно выделить следующие мотивации:

• Личное обогащение. Тут цель традиционная – банки и хранящиеся в них деньги. Обычно такие злоумышленники не бьют в стык межотраслевых бизнес-процессов, поскольку берут количеством, а не качеством. Против таких вполне успешно работают обычные отраслевые меры безопасности.
• Политические мотивы («State-Sponsored Hacktivism»). Целью может быть как банк, так и телеком: недоступность услуг автоматически поднимает раздражение населения, а в некоторых случаях может вызвать панику. Вопросы личного обогащения здесь отходят на второй план. Хотя, если целью атаки все же является получение денежных средств (пример – атаки группы Lazarus), то истинная её цель – именно кредитно-финансовая организация, просто атаку на нее осуществили через «слабое звено». Здесь риски целенаправленного выявления уязвимых мест очень высоки.
• Хактивизм (выступают за свободу информации либо как «разоблачители»). Обычно цель атаки – любая информация, которая дает возможность понять структуру компании, сотрудников, ее внутренние процессы. В явном виде не преследуют цели личного обогащения, напротив, распространяют похищенную информацию любыми методами, добиваясь максимальной огласки. Пример – группа «Цифровое сопротивление» (Digital Resistance, DigiRev). Такие группы будут искать «слабые места» и с большой долей вероятности найдут их как раз в межотраслевых взаимодействиях. Основные риски для обеих сторон – репутационные, а также, впоследствии, и финансовые (при хищении ноу-хау компаний либо данных, дискредитирующих компанию).
• Bounty Hunters или «охотники за наградами». Многие высокотехнологичные компании практикуют программу «Bug Bounty», т.е. вознаграждение за найденные уязвимости. Многие люди ищут уязвимости с целью получить награду за нее. Обычно они не ориентируются на какую-то конкретную компанию, а случайно или по стечению обстоятельств находят предпосылки для уязвимости, после чего «раскручивают» эту уязвимость. Несмотря на то, что они, как правило, исполнены благих намерений и обычно честно сообщают о найденной уязвимости владельцу, последний в силу разных причин либо игнорирует сообщение, либо отделывается общими фразами. Как результат, уязвимость получает массовую огласку на популярных тематических ресурсах («хабрахабр», «][акер» и т.д.), после чего ее начинают эксплуатировать хактивисты, преследующие свои цели.

ПРОБЛЕМА ПРОТИВОДЕЙСТВИЯ АТАКАМ

Несмотря на понятные мотивы и средства достижения целей злоумышленников, эффективно им противодействовать не получается. Почему? Потому что, несмотря на взаимное проникновение экосистем, в большинстве случаев отсутствует какое-либо масштабное взаимодействие между представителями отраслей – как при обмене индикаторами компрометаций (индикаторами атак), так и обмене опытом в построении систем защиты. Что и дает возможность атакующим найти то самое «слабое звено».

Тут кроется корень проблемы, из-за которой могут возникнуть глобальные инциденты: одна сторона видит проблему другой, но не считает нужным или не имеет возможности сообщить об этом, что впоследствии приводит к ненужным рискам (как финансовым, так и репутационным) для обеих сторон. Причем, в случае осознания того, что существуют общие бизнес-процессы, безопасность которых должны обеспечивать обе стороны, данных рисков можно было бы избежать.

В текущих реалиях эта проблема уже осознается отдельными специалистами по ИБ или CISO организаций, которые в порядке личной инициативы предпринимают попытки по своевременному оповещению или межорганизационному реагированию. Но без фиксации такого опыта на официальном уровне дело с места не сдвинется. В случае ухода такого инициатора с работы канал оповещения и реагирования, который может спасти деньги и репутацию компании, элементарно перестаёт существовать. Более того, такие взаимоотношения никак не защищены юридически, поэтому инициаторы рискуют как «разборками» внутри организации с последующими «оргвыводами», так и несением административной/уголовной ответственности за нарушение текущего законодательства.

Установлению же официальных отношений (на уровне договоров между организациями различных отраслей) зачастую мешают соображения как политического характера, так и опасения за возможную утечку данных, составляющих коммерческую тайну.

Свою роль тут играет и отсутствие нормативной базы, учитывающей современные тенденции межотраслевых взаимодействий.

Выход видится только один: создание независимого межотраслевого центра компетенции и наделение его соответствующими полномочиями по разработке как нормативной базы, так и организации и проверке технических мер защиты информационной безопасности. Возможно, таким драйвером смогла бы стать Ассоциация «ФинТех».