Интервью с Александром Зубриковым (ITGLOBAL.COM Security) про защиту данных в финансовых учреждениях

Редакция CISOCLUB поговорила с Александром Зубриковым, генеральным директором ITGLOBAL.COM Security и автором Telegram-канала «Банковский Безопасник», на тему защиты данных в финансовых учреждениях. В интервью обсуждаются ключевые технологии и методы, применяемые для обеспечения информационной безопасности в финансовых учреждениях. Отдельное внимание уделено защите данных клиентов при работе с облачными сервисами.

Александр рассказал о том, что финансовые организации тщательно отбирают провайдеров и внедряют строгие политики управления рисками. Инструменты облачной безопасности, такие как VPN и шифрование, играют важную роль в поддержании высокого уровня защиты, особенно при взаимодействии с внешними информационными системами.

Также спикер подробно осветил меры, которые принимаются для защиты данных в мобильных банковских приложениях и интернет-банкинге, включая использование биометрической аутентификации, одноразовых паролей (OTP) и систем поведенческого анализа (UEBA). Александр подчеркнул важность регулярных тестирований на проникновение и участия в Bug Bounty программах для повышения уровня защиты.

Подробности обо всех аспектах защиты данных в финансовых учреждениях читайте далее.

Какие основные технологии защиты данных используются в банках для предотвращения утечек?

Основные технологии защиты данных, применяемые в банках для предотвращения утечек, можно разделить на несколько ключевых направлений. Во-первых, это системы предотвращения утечек данных (DLP — Data Loss Prevention). DLP-системы позволяют контролировать и анализировать потоки информации внутри организации, выявлять попытки несанкционированной передачи конфиденциальных данных и блокировать их на ранних стадиях. Кроме того это является и требованиями ГОСТ Р 57580, которые так или иначе все уже выполняют.

Во-вторых, шифрование данных играет критическую роль в защите информации. Банки активно используют шифрование как для хранящихся данных, в частности если финансовая организация (ФО) обрабатывает и хранит данные платежных карт — шифрование это ряд требований стандарта PCI DSS. Это включает в себя шифрование баз данных, файловых систем, коммуникационных каналов и даже отдельных приложений. Шифрование обеспечивает дополнительный уровень безопасности, делая данные недоступными для злоумышленников даже в случае компрометации систем. Относительно каналов связи — существует ряд требований по шифрованию с применением алгоритмов ГОСТ, в том числе при работе с внешними информационными системами (СМЭВ, ГИС, и прочие информационные системы). Так или иначе подавляющее большинство ФО используют шифрование.

Третьим важным элементом являются системы управления доступом и аутентификации, включая многофакторную аутентификацию (MFA) и управление привилегиями пользователей (PAM). Эти технологии гарантируют, что только авторизованные сотрудники имеют доступ к определенной информации, и минимизируют риски, связанные с компрометацией учетных записей.

Наконец, нельзя не упомянуть о регулярных аудитах безопасности и тестированиях на проникновение. В ITGLOBAL.COM Security мы уделяем особое внимание комплексному подходу к безопасности, сочетая передовые технологии с профессиональными услугами по оценке и улучшению защиты. Это позволяет не только выявлять существующие уязвимости, но и проактивно предотвращать потенциальные угрозы, обеспечивая высокий уровень защиты данных в финансовых учреждениях.

Как финансовые организации обеспечивают защиту данных клиентов при взаимодействии с облачными сервисами и сторонними поставщиками?

Обеспечение защиты данных клиентов при взаимодействии с облачными сервисами и сторонними поставщиками является критически важной задачей для финансовых организаций. Во-первых, банки внедряют строгие политики и процедуры по управлению рисками, связанными с аутсорсингом. Это включает тщательный выбор поставщиков и проверку их соответствия требованиям информационной безопасности и правовым нормам, таким как ГОСТ Р 57580 и международные стандарты ISO.

Во-вторых, в России банки редко используют облачные сервисы для основных операций, поскольку регулирование в этой области остается не до конца определенным, хотя и наблюдаются заметные подвижки в эту сторону. Финансовые организации чаще применяют облака как резервный контур, сохраняя основные системы у себя. При этом используются специализированные инструменты для защиты данных в облачной среде, включая шифрование, виртуальные частные сети (VPN), на основе алгоритмов шифрования, основанных на ГОСТ и технологии облачной безопасности (Cloud Security).

Третьим важным аспектом является постоянный мониторинг и аудит безопасности. Финансовые организации внедряют системы обнаружения и предотвращения вторжений, а также регулярно проводят тестирования на проникновение и оценки уязвимостей. Это особенно актуально при использовании облачных сервисов, где часть контроля над инфраструктурой передается внешним провайдерам.

Однако одной из распространенных ошибок является недостаточное внимание к проверке облачных провайдеров. Важно не только изучить их соответствие стандартам безопасности, но и запросить подтверждающие документы, такие как отчеты об аудитах, сертификаты соответствия и результаты тестирований на проникновение. Многие провайдеры готовы предоставить такую информацию без нарушения условий конфиденциальности или NDA. Рекомендуется также провести собственную оценку рисков и обеспечить четкое прописывание обязательств в договорных отношениях, включая ответственность сторон и меры по обеспечению безопасности.

В рамках проводимых оценок соответствия мы рекомендуем своим клиентам при работе с облачными хостинг провайдерам обращаться к информационному письму Банка России № ИН-06-28/148 от 15 декабря 2021 года, озаглавленное «О рекомендациях по использованию финансовыми организациями облачных сервисов». Этот документ предоставляет финансовым организациям рекомендации и требования по безопасному использованию облачных сервисов. В письме освещаются вопросы защиты данных, управления рисками и соблюдения стандартов информационной безопасности при работе с облачными провайдерами.

Кроме того, требования по обеспечению информационной безопасности при использовании облачных сервисов включены в стандарт Банка России СТО БР ИББС (Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации). Этот стандарт устанавливает меры по защите информации и управлению рисками при аутсорсинге услуг, включая работу с облачными провайдерами.

Облака в России пока еще не на том уровне зрелости чтобы обслуживать такой важный сектор как банковский, с точки зрения обеспечения информационной безопасности.

При этом в облаках очень много некредитных финансовых организаций (микрокредитки, страховые, платежные шлюзы и прочие небольшие ФО).

Какие меры принимаются для обеспечения безопасности данных в мобильных и интернет-банкингах?

Обеспечение безопасности данных в мобильном и интернет-банкинге является одной из ключевых задач для финансовых организаций. Одним из основных направлений является внедрение многофакторной аутентификации (MFA). В настоящее время наблюдается тренд на использование биометрических методов идентификации, таких как оплата улыбкой и использование Единой биометрической системы (ЕБС). Биометрия повышает уровень безопасности, поскольку биометрические данные сложно подделать или украсть.

Одноразовые пароли (OTP) остаются самой распространенной технологией для обслуживания физических лиц. Они предоставляют дополнительный уровень защиты, требуя от пользователя ввести код, полученный через SMS или PUSH из мобильного приложения. Токены используются реже и в основном применяются юридическими лицами, обеспечивая им более высокий уровень безопасности при проведении финансовых операций.

Кроме того, финансовые организации активно применяют современные методы шифрования данных как при передаче, так и при хранении. Использование протоколов TLS обеспечивает защиту информации от перехвата в сетях передачи данных.

Также важную роль играет мониторинг и анализ аномалий в поведении пользователей. Системы поведенческого анализа (UEBA) помогают выявлять подозрительные действия и своевременно реагировать на потенциальные угрозы. Если судить, например, по данным нашего SOC, то мы видим постоянные атаки на приложения и инфраструктуры различных компаний, и видим также как отрабатывают средства защиты информации в моменте, а самые «вкусные» подозрительные события обрабатываются нашими аналитиками SOC, что обеспечивает дополнительный уровень защиты данных.

Антифрод системы также распространены достаточно широко и их использование значительно снижает количество случаев мошенничества в этой сфере. Тем не менее уровень мошенничества все еще достаточно велик и если судить по публикуемым данным Банка России, то суммы украденных средств увеличиваются от года к году.

Для противодействия необходим целый комплекс мер, но самое главное — это перестать формально относиться к регулярным тестированиям на проникновение и поиску уязвимостей мобильных и веб-приложений (конечно это касается не всех участников финансового рынка, но значительную часть банков из второй сотни). При этом стоит отметить и другой тренд — активное участие на Bug Bounty платформах. Многие видят в этом альтернативу классическому «пентесту».

Многие думают, что это открытие «нового света». А на самом деле если поставить себя на место не слишком этичного исследователя, то что мне выгоднее, получить условных 63 000 рублей за уязвимость критического уровня, или продать ее за 25 000- 50 000 $ в дарквебе?! Это первый аспект. Второй аспект — расходы на валидацию присылаемых отчетов и администрирование всего этого бизнес-процесса зачастую превышают хороший качественный пентест, проводимый на постоянной основе и разными командами.

Как финансовые учреждения управляют рисками, связанными с внутренними угрозами, включая инсайдеров и ошибки сотрудников?

Управление рисками внутренних угроз в финансовых учреждениях является критически важной задачей, и в этом процессе значимую роль играют нормативные документы и стандарты. Во-первых, финансовые организации обязаны соблюдать требования Положения Банка России № 716-П, которое устанавливает порядок обеспечения информационной безопасности при осуществлении денежных переводов. Этот документ устанавливает требования к ведению базы данных событий операционного риска.

Во-вторых, стандарт ГОСТ Р 57580 «Безопасность финансовых (банковских) операций» предоставляет комплексный подход к обеспечению информационной безопасности в банковской сфере. В настоящее время наблюдается тренд на внедрение новых частей этого стандарта, таких как ГОСТ Р 57580.3 и ГОСТ Р 57580.4, которые посвящены управлению рисками и обеспечению операционной надежности соответственно. Эти стандарты помогают финансовым учреждениям систематизировать процессы идентификации, оценки и минимизации рисков, связанных с внутренними угрозами. Стоит отметить, что многие кредитные и некредитные организации уже активно изучают новые части стандарта и начинают имплементацию требований, а в профессиональной среде наблюдаются активные обсуждения о трактовках тех или иных мер.

Кроме того, организации активно используют технологии для мониторинга и аудита действий пользователей в соответствии с теми же нормативными требованиями ГОСТ. Системы управления информацией и событиями безопасности (SIEM) и решения по управлению привилегированными учетными записями (PAM), в купе с DLP системами, помогают отслеживать действия сотрудников и своевременно выявлять потенциальные угрозы со стороны инсайдеров. Это позволяет соответствовать требованиям Положения 716-П и стандартов серии ГОСТ Р 57580.

В нашей практике очень хорошо зарекомендовала себя комбинация, включающая внешний SOC, который отслеживает действия злоумышленников (как снаружи, так и изнутри) на уровне ИТ-инфраструктуры и приложений, в сочетании с DLP-системами, с которыми работает офицер безопасности (специалист по ИБ) внутри финансовой организации.

Благодаря такой комбинации нам удалось выявить неблагонадежных сотрудников ФО, пытавшихся выгрузить базу данных персональных данных (ПДн), и благополучно их уволить.

Обучение и повышение осведомленности персонала по информационной безопасности также являются обязательными и регламентируются нормативными документами. Регулярные тренинги и программы повышения квалификации помогают сотрудникам понимать важность соблюдения политик безопасности и требований нормативных актов, что снижает риски, связанные с человеческим фактором.

Таким образом, соблюдение нормативных требований, таких как Положение 716-П и стандарты серии ГОСТ Р 57580, в сочетании с технологическими и организационными мерами, позволяет финансовым учреждениям эффективно управлять рисками внутренних угроз и обеспечивать высокий уровень операционной надежности.

Как строится процесс обнаружения и предотвращения утечек данных в банковских системах?

Вернемся все к тем же системам предотвращения утечек данных (DLP — Data Loss Prevention). DLP-системы контролируют и анализируют потоки информации внутри организации, выявляют попытки несанкционированной передачи конфиденциальных данных и могут блокировать такие действия. Это позволяет предотвратить утечки информации как по случайности, так и по злому умыслу со стороны сотрудников.

DLP-системы глубоко интегрируются в инфраструктуру банка (в основном с помощью специальных агентов и управляющий сервер) и позволяют контролировать перемещение конфиденциальной информации через различные каналы связи. Они анализируют содержимое файлов и сообщений (включая WhatsApp и Telegram), отслеживают действия пользователей и применяют заданные политики безопасности для выявления и блокирования несанкционированной передачи данных. Современные DLP-решения используют методы машинного обучения и интеллектуального анализа данных, что повышает их эффективность в обнаружении сложных и скрытых угроз.

Современные DLP умеют определять ПДн и например, запросы к базам данных в виде языка SQL практически «из коробки».

SIEM-системы собирают и коррелируют события и логи из множества источников — серверов, сетевых устройств, приложений и баз данных. Это позволяет создавать целостную картину происходящего в реальном времени и выявлять аномалии или подозрительные активности. SIEM-решения используют продвинутые аналитические инструменты для прогнозирования потенциальных инцидентов и автоматизации процессов реагирования на них.

Однако внедрение и поддержка DLP и SIEM требуют значительных ресурсов, как финансовых, так и человеческих. Необходимо не только приобрести и настроить программное обеспечение, но и обеспечить его постоянное обновление, а также иметь квалифицированный персонал для мониторинга и анализа событий. В условиях ограниченных ресурсов и растущих требований к безопасности это становится серьезным вызовом для многих банков.

В этой связи большое количество финансовых организаций пошли по пути использования внешних (или коммерческих) Центров мониторинга и реагирования на инциденты безопасности (SOC). В основном это финансовые организации не большого размера или только начинающие свой путь НКО или ОФП.

Внешний SOC предоставляет доступ к высококвалифицированным специалистам и передовым технологиям без необходимости создавать и поддерживать собственную инфраструктуру. Это позволяет оперативно реагировать на инциденты, снижать затраты и концентрироваться на основной деятельности банка. Кроме того, внешний SOC может обеспечить более высокий уровень экспертизы и актуальности знаний о современных угрозах, что повышает общую эффективность системы безопасности.

Таким образом, сочетание глубокой интеграции DLP и SIEM с использованием услуг внешнего SOC предлагает оптимальный подход к обнаружению и предотвращению утечек данных в банковских системах. Это позволяет обеспечить высокий уровень защиты информации при разумных затратах и эффективном использовании ресурсов.

Крупные игроки предпочитают собственные центры безопасности SOC, однако, в условиях кадрового дефицита в сфере ИБ специалистов и дорожащих ПО и вычислительных ресурсов даже они стали чаще задумываться о том, чтобы переложить эту функцию на внешнюю сторону, либо открыть новое направление бизнеса по ИБ.

Какие технологии и методы используются для защиты данных и предотвращении мошенничества при работе с платежными системами?

При работе с платежными системами финансовые организации применяют комплекс технологий и методов для защиты данных и предотвращения мошенничества.

Во-первых, финансовые организации обязаны соблюдать требования Федерального закона № 161-ФЗ «О национальной платежной системе», который устанавливает правила функционирования платежных систем и требования к обеспечению их безопасности. Данный федеральный закон, в том числе, обязывает реализовывать мероприятия по противодействию осуществлению переводов денежных средств без добровольного согласия клиента. Также, в нем есть ссылки, например на Указание Банка России, в частности об информировании о всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента

Также, обязательным является соответствие требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard), который принят всеми участниками НСПК (Национальная система платёжных карт). Данный стандарт устанавливает строгие правила по защите данных держателей карт. Это включает в себя шифрование данных карточных операций, защиту сетевой инфраструктуры, регулярное тестирование на проникновение и оценку уязвимостей. Также активно используются технологии токенизации и маскирования данных. Токенизация заменяет реальные данные платежных карт уникальными токенами, что позволяет проводить транзакции без передачи конфиденциальной информации. Это снижает риск компрометации данных в случае взлома системы.

Еще одним важным элементом является внедрение многофакторной аутентификации (MFA) и использование протоколов 3-D Secure (Three-Domain Secure). Эти технологии обеспечивают дополнительную проверку подлинности пользователя при проведении платежей, что соответствует требованиям Стандарта Банка России СТО БР БФБО-1.7-2023 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств».

Кроме того, не стоит забывать о соответствии требованиям Положениям Банка России, например Положение №802-П «О требованиях к защите информации в платёжной системе Банков России и №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Например, банки используют системы мониторинга и анализа транзакций в реальном времени для обнаружения и предотвращения мошеннических операций, а также выстраивают целый комплекс мер, процессов и систем защиты, согласно требованиям Положений и ГОСТ Р 57580.

Необходимо также отметить использование технологий шифрования и управления ключами в соответствии с известным в узких кругах алгоритме шифрования «Кузнечик» и алгоритмах электронной цифровой подписи. Применение отечественных криптографических средств является обязательным при передаче данных по каналам связи в соответствии с требованиями Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Одной из ключевых технологий является внедрение антифрод-систем, которые анализируют транзакции в режиме реального времени, также могут применяться методы машинного обучения и искусственного интеллекта. Эти системы способны выявлять аномальные операции, характерные для мошеннических схем, и автоматически блокировать или помечать их для дальнейшего анализа. Например, если система обнаруживает нетипичную для клиента геолокацию или необычную сумму транзакции, она может запросить дополнительную аутентификацию или приостановить операцию.

Еще одной эффективной мерой является использование биометрической аутентификации при доступе к платежным сервисам. Технологии распознавания отпечатков пальцев или лица повышают уровень защиты от несанкционированного доступа, поскольку биометрические данные уникальны для каждого пользователя и сложно подделываются. Это соответствует требованиям Стандарта Банка России и повышает общую безопасность платежных операций.

Ну и нужно помнить про очень важную доктрину: «Предупреждён — значит вооружён». Для соблюдения данного принципа и более эффективного выстраивания механизмов защиты и реагирования, в рамках ЦБ России был создан ФинЦЕРТ. ФинЦЕРТ — это структура Департамента информационной безопасности ЦБ России, главной задачей которой является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.

В современных условиях киберугроз финансовые организации сталкиваются с все более изощренными методами мошенничества. Поэтому важно не только внедрять передовые технологии защиты, но и постоянно совершенствовать системы мониторинга и реагирования. В нашей практике, для наших клиентов, мы всегда рекомендуем использовать комплексный подход, объединяющий технологические решения с организационными мерами, включая регулярное обучение персонала и повышение осведомленности клиентов о возможных рисках. И не стоит ограничиваться только требованиями наших или зарубежных регуляторов, нужно расширять кругозор и применять лучшие практики их других стандартов и требований.

Как в финансовых учреждениях организован процесс быстрого реагирования на инциденты, связанные с компрометацией данных?

Процесс быстрого реагирования на инциденты в финансовых учреждениях строится на основе строгих регуляторных требований и передовых практик в области информационной безопасности.

Самый яркий и доступный пример, это ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций». Он предусматривает обязательность наличия регламентов и процедур по управлению инцидентами информационной безопасности. В рамках этих требований финансовые организации должны иметь:

1. Группу реагирование на инциденты ИБ (ГРИИБ/ГРИЗИ): Это группа квалифицированных и доверенных сотрудников компании, которая выполняет, координирует и поддерживает реагирование на нарушения информационной безопасности, затрагивающие информационные системы в пределах определенной зоны ответственности. Обязанности ГРИИБ можно разделить на 2 основные группы: действия в реальном времени, непосредственно связанные с главной задачей — реагированием на нарушения и профилактические действия, играющие вспомогательную роль и осуществляемые не в реальном масштабе времени.
2. Организовать мониторинг и реагирование на инциденты: Внедрить ряд мер, а также технические и программно-аппаратные решения, чтобы осуществлять круглосуточный мониторинг информационных систем с использованием SIEM-систем, SOC и других инструментов для выявления аномалий и потенциальных инцидентов ИБ.
3. Инцидент-менеджмент: Разработанные процессы и регламенты позволяют быстро классифицировать инцидент, определить его критичность и назначить ответственных за реагирование.
4. План реагирования на инциденты: Документ, который детально описывает шаги, необходимые для устранения последствий инцидента, восстановления систем и информирования заинтересованных сторон.
5. Обучение персонала: Регулярные тренинги и учения по реагированию на инциденты обеспечивают готовность сотрудников действовать быстро и эффективно.

Давайте рассмотрим на конкретном примере. Допустим, система мониторинга обнаружила аномальную активность. Банк обнаруживает серию несанкционированных переводов с клиентских счетов на неизвестные счета в течение короткого промежутка времени. Клиенты начинают обращаться в банк с жалобами на списание средств без их согласия.

Получив оповещение от системы мониторинга, ГРИИБ немедленно приступает к реагированию. Дальше происходит классификация инцидента, в данном случае инцидент классифицируется как критический, что требует немедленных действий. Определяются ответственные лица за каждый этап реагирования: техническое устранение, юридическая оценка, коммуникация с руководством и регуляторами. В соответствии с разработанным Планом реагирования на инциденты, должны выполняться следующие шаги:

• Анализ инцидента: С помощью антифрод-системы и SIEM-системы проводится анализ подозрительных транзакций.
• Блокировка подозрительной активности: Немедленно приостанавливаются все подозрительные операции и блокируются учетные записи, связанные с инцидентом.
• Усиленный мониторинг: Устанавливается круглосуточный мониторинг всех транзакций для выявления возможных дальнейших попыток мошенничества
• Сбор доказательств: Проводится сбор и сохранение логов и других цифровых доказательств для последующего расследования.
• Техническое мероприятия: ИТ-специалисты проверяют системы на наличие вредоносного ПО, уязвимостей или скомпрометированных учетных записей.
• Восстановление систем: При необходимости выполняется восстановление систем из резервных копий.
• Информирование заинтересованных сторон: Пострадавшим клиентам направляются уведомления с рекомендациями по изменению паролей и мерами предосторожности. В соответствии с Указанием Банка России и Федеральным законом № 161-ФЗ, банк уведомляет Банк России и ФинЦЕРТ о случившемся инциденте. При наличии признаков преступления информация передается в правоохранительные органы для возбуждения уголовного дела.

После проведения основных действие по реагированию, должны проводиться мероприятия по недопущению «рецидива» и профилактике дальнейших инцидентов. Проводится детальный разбор инцидента для выявления корневых причин. Вносятся изменения в процедуры безопасности, усиливаются меры аутентификации (например, внедрение дополнительной многофакторной аутентификации). Организуются дополнительные тренинги для персонала по выявлению и предотвращению мошеннических действий. Разрабатываются информационные материалы для клиентов о безопасном использовании банковских сервисов и предупреждения о возможных мошеннических схемах.

Ну и в качестве профилактики, рекомендуем провести внеплановые обучения для сотрудников компании по вопросам безопасности данных и соблюдению внутренних политик.

В нашей практике, для компаний с высоким уровнем зрелости ИБ, мы рекомендуем внедрять автоматизированные системы оркестрации и автоматизации реагирования на инциденты (SOAR). А также, рекомендуем не бояться и пользоваться услугами SECaaS (Безопасность-как сервис), которые интегрируются в инфраструктуру клиента для обеспечения информационной безопасности на объекте информатизации. Ярким и самым популярным SECaaS сервис является коммерческий SOC.

Как технологии шифрования данных применяются для защиты коммерческой информации в финансовом секторе?

Частично на этот вопрос ответил ранее, но если поподробнее останавливаться на этом вопросе, то важно отметить, что технологии шифрования являются фундаментальным компонентом защиты коммерческой информации в финансовом секторе. Они обеспечивают конфиденциальность защищаемых данных как при передаче, так и при хранении, соответствуя требованиям регуляторов и международных стандартов.

1. Шифрование данных в покое (Data at Rest): Финансовые организации применяют шифрование баз данных, файловых систем и резервных копий. Это обеспечивает защиту информации в случае несанкционированного доступа к хранилищам данных. ГОСТ Р 57580.1-2017 и Приказ ФСБ России №378 требуют использования сертифицированных средств криптографической защиты информации (СКЗИ).
2. Шифрование данных при передаче (Data in Transit): При передаче данных через сети связи используются протоколы TLS с алгоритмами шифрования, соответствующими требованиям ФСБ России. Например, при обмене данными с внешними системами (СМЭВ, ГИС) применяются алгоритмы ГОСТ, как того требует Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
3. Управление криптографическими ключами: Безопасное хранение и управление ключами шифрования являются критически важными. Для этого используются аппаратные средства, такие как модули аппаратной защиты (HSM), сертифицированные в соответствии с требованиями ФСБ и ФСТЭК России.
4. Шифрование на уровне приложений: Некоторые приложения в финансовом секторе внедряют собственные механизмы шифрования для защиты особо чувствительных данных, таких как платежная информация или персональные данные клиентов.

Внедрение шифрования должно быть сбалансировано с требованиями производительности систем. В нашей практике мы рекомендуем проводить оценку влияния шифрования на производительность и использовать оптимизированные алгоритмы. А также покрывать шифрованием все возможные пути передачи и/или хранения чувствительных данные. Также важно регулярно обновлять криптографические протоколы и алгоритмы в соответствии с рекомендациями регуляторов и развитием технологий.

Как финансовые организации адаптируют свои системы защиты данных под новые угрозы и кибератаки?

Злоумышленники и мошенники не стоят на месте, они развиваются сами и развивают свои методы атак. А с приходом глобальной цифровизации и развитии новых технологий, появляются и новые риски и угрозы. Финансовые организации находятся в постоянном процессе адаптации своих систем защиты данных в ответ на эволюционирующие киберугрозы. Этот процесс включает несколько ключевых направлений:

1. Регулярные обновления и патч-менеджмент: В соответствии с требованиями ГОСТ Р 57580.1-2017 и Положениями Банка России, организации обязаны своевременно обновлять программное обеспечение и операционные системы для устранения известных уязвимостей.
2. Проведение тестирований на проникновение: Регулярные пентесты позволяют выявлять и устранять слабые места в инфраструктуре. Это соответствует рекомендациям и международным стандартам, таких как ИСО/МЭК 27001:2022, и требований Банка России.
3. Внедрение передовых технологий защиты:
   • Системы поведенческого анализа (UEBA): Позволяют выявлять аномальные действия пользователей и систем.
   • Искусственный интеллект и машинное обучение: Используются для прогнозирования и обнаружения новых типов атак.
   • Threat Intelligence: Интеграция данных о актуальных угрозах для проактивной защиты.
4. Обучение персонала: Человеческий фактор остается одним из наиболее уязвимых элементов. Регулярные тренинги и программы повышения осведомленности сотрудников о современных киберугрозах являются обязательными.
5. Участие в отраслевых инициативах: Финансовые организации активно взаимодействуют с регуляторами и отраслевыми ассоциациями для обмена информацией о новых угрозах и совместной разработки мер противодействия.
6. Адаптивное управление рисками: Постоянный пересмотр и обновление стратегии управления рисками с учетом изменяющегося ландшафта угроз.

Адаптация к новым угрозам требует от организаций быть на шаг впереди злоумышленников. В нашей практике мы наблюдаем, что наиболее защищены те финансовые учреждения, которые инвестируют в инновации и проактивные меры защиты. Важно не только реагировать на инциденты, но и предсказывать возможные векторы атак, внедряя соответствующие меры предосторожности.