Обзор кибербезопасности на финансовом рынке
Директор Департамента информационной и кибербезопасности АРРФР Роман Перминов рассказал об основных угрозах и мерах борьбы с ними
Хакерская активность стала рядовой частью жизни не только для специалистов кибербезопасности, но и для всех граждан. Клиенты финансовых организаций привыкли жить в условиях постоянных DDoS-атак, фишинговых рассылок и других элементов деятельности кирберпреступников. На сегодняшний день общество столкнулось с тем, что утечка данных – это не эфемерное понятие, а конкретные адреса, номера телефонов и банковских карт, и другая чувствительная информация о конкретных людях.
«Угрозы развиваются и адаптируются к постоянно улучшающемуся контролю безопасности, поэтому мы можем сделать некоторые выводы, основываясь на статистике и наблюдая за развитием новых вредоносных программ и методов хакерских группировок», — рассказывает директор Департамента информационной и кибербезопасности АРРФР Роман Перминов.
Практически повсеместно на финансовом рынке используются библиотеки с открытым исходным кодом (Open Source) – это программное обеспечение, исходный код которого свободно распространяется и доступен для изменения. Сюда относятся различные пользовательские программы, компоненты, библиотеки, которые используют разработчики для создания своих проектов.
До 78% кода в аппаратных и программных кодовых базах состоит из библиотек с открытым исходным кодом и не разрабатывается собственными силами, а хранятся в библиотеках — репозиториях. Многие приложения и службы создаются с использованием библиотек с открытым исходным кодом.
Именно поэтому библиотеки программного обеспечения с открытым исходным кодом стали основной мишенью. Открытые библиотеки создают риски для организаций и пользователей, зачастую из-за компрометации учётных записей разработчиков. Компрометация становится возможной, как правило, из-за отсутствия многофакторной аутентификации, что приводит к вставке вредоносного кода в широко используемые библиотеки.
Основными контрмерами против таких атак на цепочку поставок являются качественные проверки исходных кодов, которые невозможны без применения специализированных программных продуктов – сканеров исходных кодов. Финансовым организациям следует уделять особое внимание этому направлению.
Разрушительный и другой вредоносный код также может быть преднамеренно вставлен подлинным автором библиотеки как форма хактивизма или политического протеста. Одна из значимых тенденций 2023 года — это политически или социально мотивированные хакерские атаки, а также спонсируемые иностранными государствами кибератаки на противников. Политически мотивированные атаки могут быстро нанести ущерб не только финансовому рынку, но и всей экономике или даже вызвать беспорядки.
Повышению устойчивости систем обеспечения информационной безопасности финансовых организаций способствует периодическое проведение аудита информационной безопасности, тестирования на проникновение и иных форм проверки состояния системы управления информационной безопасностью. При этом следует помнить, что взгляд изнутри не всегда может быть достаточно независимым и объективным, в связи с чем целесообразно привлекать сторонних специалистов.
С учетом опыта повсеместного карантина постепенно приходит понимание, что местонахождение сотрудников финансовых организаций или устройств, которые они используют, не так важны, как раньше. Вместо этого компании принимают решения на основе данных, а культура рабочего места больше зависит от того, ЧТО вы делаете, а не ГДЕ вы это делаете. В 2023 году продолжает развиваться гибридный мир, где исчезают барьеры между цифровой и реальной жизнью.
Поскольку гибкость становится приоритетом, финансовый рынок сталкивается с проблемой защиты безопасности и конфиденциальности своих данных, ведь они легко перемещаются с нескольких устройств и сетей, а также используют разные платформы для коммуникаций.
«Поэтому Агентство обращает внимание не только на организацию внутренних процессов обеспечения информационной безопасности и безопасности информационно-коммуникационной инфраструктуры финансовых организаций, но и на их взаимодействие с внешним миром, в первую очередь с операторами связи. Особое внимание следует уделять положениям в договорах, касающихся вопросов ответственности за обеспечение информационной безопасности», — рассказывает Роман Перминов.
Поскольку ландшафт угроз продолжает расширяться, Агентство по регулированию и развитию финансового рынка продолжит совершенствовать требования для создания на финансовом рынке надлежащего уровня кибербезопасности. В 2023 году повышенное внимание уделяется не только регулированию, но и соответствию требованиям кибербезопасности, которые помогут финансовым организациям защитить свои системы и данные.
Не менее важным является развитие Отраслевого центра информационной безопасности Агентства и его автоматизированной информационной системы по сбору и обработке информации о событиях и инцидентах информационной безопасности на финансовом рынке Qainar, наполнение её аналитическим функционалом, позволяющим оценивать состояние кибербезопасности финансового рынка и генерировать предупреждения об актуальных угрозах банкам и другим финансовым организациям.
В текущем году продолжаются атаки на устаревшую двухфакторную аутентификацию, такую как СМС, а также атаки на решения для многофакторной аутентификации на основе push-уведомлений. Также активизируются фишинг и другие атаки, предназначенные для захвата токенов аутентификации.
В такой сложной ситуации набирает популярность модель безопасности — Нулевое доверие (Zero Trust), когда любая транзакция, пользователь или устройство являются несанкционированными до тех пор, пока не доказано обратное. Причём достоверность транзакции, пользователя или устройства должна подтверждаться вновь и вновь.
Финансовые организации также продолжают совершенствовать используемые методы аутентификации. Альтернативы паролям набирают обороты, но пока не уничтожили традиционный метод аутентификации. Больше веб-сайтов и приложений предлагают альтернативные механизмы аутентификации, многие из которых включают биометрию. Многие пользователи и организации постепенно переходят на менеджеры паролей, беспарольные и аппаратные идентификационные токены.
Финансовые организации с высоким уровнем цифровой зрелости изменяют подход к разработке своих продуктов. В новых условиях эффективно выстроенная стратегия кросс-функционального взаимодействия сотрудников из разных подразделений позволяет интегрировать обеспечение безопасности на всех уровнях жизненного цикла продукта и тем самым снизить риски, в том числе за счёт контроля и прозрачности процессов внутри организации. Методология DevSecOps продолжит своё проникновение в сегмент финансов, влияя на его развитие в ближайшее время.
«В этой связи Агентством акцентируется необходимость постоянного повышения квалификации работников, обеспечивающих информационную и кибербезопасность финансовых организаций, в особенности банков», — подчеркнул представитель финрегулятора.
Также растёт спрос на аутсорсинг. Сервисная модель набирает популярность, потому что предоставляет доступ к экспертизе, которая является дефицитной на рынке, а также обеспечивает прозрачность ответственности и критериев качества. Наблюдается рост использования гибридных моделей, которые объединяют собственную ИБ-инфраструктуру финансовых организаций и сторонние сервисы кибербезопасности.
«В целом состояние кибербезопасности не особо отличается от страны к стране. В этом плане в Казахстане доминируют те же тренды, что и на мировом рынке. При этом за прошедший год на финансовом рынке Казахстана резонансных инцидентов кибербезопасности не отмечалось», — подытожил Роман Перминов.