Кибербезопасность финансовых услуг

Дата: 20.08.2021. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Кибербезопасность финансовых услуг

Операции без согласия клиентов кредитных организаций (физических и юридических лиц) – на сегодняшний день одна из наиболее острых и социально значимых проблем для российского финансового сектора и его регулятора.

Снижение их объема и количества – это задача, решать которую надо, с одной стороны,  воспитывая у владельцев банковских карт и пользователей систем онлайн-банка навыки их безопасного использования, с другой – развивая в банках системы антифрода и стимулируя кредитные организации развивать ИБ в целом (с использованием новых юридических инструментов и технологий).

Эксперты отмечают, что меры, инициированные Центральным Банком Российской Федерации и реализуемые участниками финрынка, уже смогли сделать использование электронных средств платежа более безопасным. В первую очередь, это произошло благодаря увеличению объема и повышения качества информации, которую банки получают и используют для отслеживания и остановки мошеннических транзакций.

Если ещё несколько лет назад обмен информацией об инцидентах информационной безопасности между банками и финансовым регулятором носил добровольный характер, то с 2018 года Банк России сделал предоставление такой информации обязательным. Это повысило эффективность работы антифрод-систем банков, но при этом подсветило более соответствующий действительности масштаб проблем в сфере безопасности платежей.

Редакция CISO CLUB решила провести блиц-опрос представителей регулятора и рынка, чтобы сравнить позиции и сверить часы в сфере обеспечения безопасности использования электронных средств платежа.

Для оплаты в интернет-магазинах лучше заводить отдельную банковскую карточку с ограниченным сроком действия?

Артем Сычёв, Первый заместитель директора Департамента информационной безопасности Банка России, уверен, что вопрос надо рассматривать немного под другим углом: «Это вопрос удобства, а не безопасности. В случае компрометации карты – если они все привязаны к одному и тому же счету, злоумышленники получают доступ к нему, и им абсолютно без разницы, реквизитами какой карты для этого пользоваться. И даже если это разные счета — все карты защищены одинаково, и в случае компрометации любой из них карты банк узнает об этом и предпримет вместе с вами необходимые меры для ее блокировки. То есть, иметь несколько карт есть смысл только ради правильного финансового планирования – либо на тот случай, если платежная система по техническим причинам не может обработать платеж по вашей карте (обеспечить непрерывность обслуживания)».

«Да, лучше отдельную виртуальную карту, ограничение срока действия не столь критично, чем установка лимитов и режима работы с 3D-Secure, а также блокировка карты после каждой покупки. В принципе можно открывать виртуальную карту хоть на каждую покупку и перечислять на нее только сумму, требуемую для покупки», – убежден Игорь Шульга, Директор Центра по противодействию мошенничеству компании «Информзащита».

Мнение коллеги поддерживает и Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ»: «Мы рекомендуем заводить отдельную виртуальную карту для онлайн-платежей и держать на ней только ту сумму, которая требуется для оплаты. Тогда даже если данные карты будут компрометированы, пользователь рискует только небольшой суммой денег».

«Производя оплату через Интернет, всегда нужно быть начеку. Использование отдельной карты, виртуальных карт, выставление лимитов платежей — это самое простое, что можно предпринять для защиты себя не только от явных мошенников, но и от навязанных услуг, когда вы можете не заметить, как подписались на периодические платежи. Прогресс не стоит на месте, появляются как новые банковские продукты, так и новые методы мошенничеств — банк со своей стороны предпринимает усилия, пользователи со своей», – подчеркнула Орешкина Дарья, директор по развитию бизнеса компании Web Control.

О необходимости использования отдельных карточек говорит и генеральный директор Infosecurity Кирилл Солодовников: «В идеале – конечно, да. Для покупок лучше использовать виртуальную карту. Многие банки выпускают такие. Её невозможно потерять или скомпрометировать, посторонние не смогут подглядеть пин-код или номер карты. Карта также хороша тем, что на ней обычно хранится небольшая сумма, необходимая для конкретной покупки в отличие от обычной, на которой хранятся крупные суммы или даже сбережения. Хорошим правилом так же станет введение ограничение по максимальной сумме возможного списание с карты».

Данила Луцив, руководитель отдела развития Security Vision напомнил о возможности использования виртуальных карт: «Большинство банков сейчас предоставляют возможность моментального выпуска виртуальных карт. Стоит воспользоваться таким функционалом, чтобы обезопасить себя от возможного мошенничества. Принципиален тут даже не срок действия карты, а лимиты по конкретным типам операций. Отключите по такой карте возможность снятия наличных и оставьте лимит не более установленного вами порога для интернет-платежей».

Коммерческий директор RuSIEM Александр Булатов: «Отдельную карту есть смысл заводить для оформления разного рода подписок на онлайн-сервисы, оплату скачанных приложений и других регулярных платежей. Особенно, если у вас нет задачи продолжать пользоваться той или иной услугой после окончания оплаченного периода. С точки зрения рисков компрометации – такая карта имеет смысл, если на ней держать сумму не выше определенного лимита, который потерять тоже жалко, но не так больно. При этом дополнительная карта — еще один повод пообщаться для мошенников, использующих социальную инженерию. Об этом важно помнить».

Стоит ли соглашаться на запоминание данных банковских карт в сети Интернет?

Артем Сычёв, Первый заместитель директора Департамента информационной безопасности Банка России призвал каждому самостоятельно решать этот вопрос: «Все очень сильно зависит от того, как вы используете интернет. Если у вас установлено и регулярно обновляется антивирусное ПО, и при этом вашим компьютером больше никто не пользуется, то сохранять данные в браузере можно. Они хранятся в зашифрованном виде, поэтому единственное, что может представлять угрозу — это похищающее данные шпионское ПО, против которого хорошо работает антивирус при условии его регулярного обновления».

«Лучше нет, но зависит от уровня доверия к ресурсу (защищенность, выполнение требований регуляторов и платежных систем, например PCI DSS) и требований ресурса по доступу к услугам. Есть ресурсы, где без запоминания данных, сервис оказан не будет. В этом случае смотрим рекомендации первом пункте», – отметил Игорь Шульга, Директор Центра по противодействию мошенничеству компании «Информзащита».

Орешкина Дарья, директор по развитию бизнеса компании Web Control рекомендует не отказываться от использования современных функций, если они удобны: «Всегда нужно учитывать, что даже добросовестный магазин могут взломать и данные его клиентов утекут в неизвестном направлении. Если предприняты такие меры, что для вас утечка данных будет не страшна, то можно и сохранить данные карты — это удобно, зачем себе отказывать лишний раз».

Категорично к этому вопросу подходит генеральный директор Infosecurity Кирилл Солодовников: «Однозначно не стоит, так как это может привести к потере конфиденциальных данных, которыми могут воспользоваться злоумышленники. Данные могут быть скомпрометированы различными способами начиная от взлома сайта или устройства пользователя (так как данные карты хранятся в истории/хэш памяти браузера и при взломе персонального устройства могут быть доступны злоумышленникам) злоумышленниками и заканчивая фишингом. Так же данные платежной карты в случае компрометации в связки с номером телефона пользователя могут быть использованы для звонков так называемой «службы безопасности банка».

Данила Луцив, руководитель отдела развития Security Vision уверен, что используемые сейчас технологии защиты позволяют сохранять данные своих карт на сторонних площадках: «Отвечая на этот вопрос, стоит вспомнить, какие техники последние несколько лет использовали хакеры для получения платежной информации. Для интернет площадок этой техникой стал JS-сниффинг, похищающий данные карты непосредственно из заполняемых полей браузера. Этот инструмент почти полностью вытеснил классические банковские трояны. Атаки, направленные на серверную часть магазинов или платежных шлюзов, которые бы привели к компрометации полного карточного номера клиентов также стали довольно редки – 15 лет существования PCI DSS научили операторов маскировать PAN. Так что угроза похищения PAN безусловно осталась, но вероятность того, что к этому приведет сохранённая в Netflix карта крайне мала».

Коммерческий директор RuSIEM Александр Булатов имеет однозначное мнение: «Никакое официальное ПО не гарантирует отсутствие уязвимостей, которые могут быть обнаружены и проэксплуатированы злоумышленниками».

Верно утверждение, что большинство маленьких банков больше задумываются о Compliance, нежели практической ИБ?

Артем Сычёв, Первый заместитель директора Департамента информационной безопасности Банка России, подчеркнул: «Такое утверждение точно не является верным. Все зависит от понимания необходимости решения вопросов ИБ у руководства компаний и банков. Есть не очень большие банки, у которых все в порядке с реальной защищенностью, и есть крупные КО, которые достаточно формально относятся к практической ИБ. Результаты последних инцидентов это очень хорошо иллюстрируют. Отчетность банков свидетельствует, что и у них тоже происходят хищения.

Вопрос в принципе не совсем корректный. Нельзя противопоставлять оценку соответствия и практику. В законодательстве и нормативных документах, которым должны соответствовать банки, выстроены требования к мерам обеспечения ИБ — а не к механизмам практической реализации этих мер. В них прописаны угрозы и меры, которые могут их парировать. А как реализовать эту меру – уже каждый решает самостоятельно. У Банка России нет задачи навязать конкретные решения и инструменты. Мы определяем круг рисков и угроз и фиксируем перечень методов их парирования. Может быть несколько вариантов технических и организационных механизмов, и их сочетания».

«По-разному. Сильно зависит от квалификации кадров и способности не только писать нормативные документы для комплаенс, но и реализовывать СЗИ бюджетными средствами и своими силами», – отметил Игорь Шульга, Директор Центра по противодействию мошенничеству компании «Информзащита».

Андрей Терехов, инженер компании Fortinet: «По нашему опыту проектов и внедрений, небольшие банки крайне заинтересованы в реализации практической ИБ на высоком уровне, что в условиях дефицита ресурсов и персонала является амбициозной задачей и приводит, во-первых, к необходимости консолидации технических решений, а, во-вторых, к извлечению максимальной ценности из имеющихся технических решений. Проще говоря, предпочитаются универсальные и многофункциональные средства защиты, при этом по возможности задействуются «на полную» все реализуемые ими функциональные возможности».

Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ» считает, что ситуация в этом вопросе неоднозначная: «Ситуация от банка к банку сильно отличается и зависит от того, какая ИБ-команда сложилась на месте. Но если говорить в целом, пока фактор Compliance остается ключевым для банков любых размеров. Эта ситуация понемногу меняется, потому что реальные риски безопасности, утечек информации и потери клиентских денег растут. Большие банки просто чаще мотивированы руководствоваться практическими мотивами из-за того, что больше подвержены имиджевому риску в случае инцидентов, к ним больше внимания».

Полностью соглашается с заявлением Орешкина Дарья, директор по развитию бизнеса компании Web Control: «К сожалению, я видела именно такую картину и изменений пока не наблюдаю. Мы в данном вопросе не обсуждаем причины, конечно, они есть, но в конечном итоге ситуация складывает так».

Генеральный директор Infosecurity Кирилл Солодовников напомнил, что вопрос необходимо рассматривать индивидуально, с учетом специфики работы каждого финансового учреждения: «В небольших российских банках всё ещё недостаточно высокий уровень зрелости информационной безопасности, и одной из основных причин этой проблемы является сложная структура процессов, связанных с принятием решений в этой области. При этом соответствие требованиям регуляторов критически важно для банков, так как могут последовать санкции вплоть до отзыва лицензий. Но тем не менее ситуация в финансовом секторе потихоньку меняется в лучшую сторону, это связано как с жёсткими требованиями регуляторов по соблюдению требований безопасности, так и готовностью топ менеджмента сопоставить стоимость реализации комплексной системы безопасности против потенциального ущерба (причем как финансового, так и репутационного) при компрометации информации или целевой атаки».

Данила Луцив, руководитель отдела развития Security Vision также согласен с утверждением и объясняет, почему всё именно так: «Мой ответ будет скорее утвердительный. Причина этого складывается из множества факторов. Однако, в большинстве компаний такая ситуация сохраняется ровно до первого серьезного инцидента».

Коммерческий директор RuSIEM Александр Булатов подвёл небольшой итог сказанному выше: «Мы сейчас наблюдаем интерес к таким базовым инструментам управления обеспечением информационной безопасности, как SIEM-системы именно со стороны средних и небольших кредитных организаций. Думаю, что это как раз говорит о том, что до недавнего времени комплаенс был важнее (атака может и не случиться, а вот плановая проверка будет 100%). Это вопрос зрелости подходов к управлению рисками и процессами. Банки, у которых темп развития бизнеса в целом более высокий, уже имеют хороший набор ИБ-решений. Это могут быть и крупные КО, и небольшие (хотя последних среди них меньше). Иногда управленцы, уже понимающие необходимость развивать ИБ, апеллируют к возможности сэкономить за счет использования open-source технологий для создания собственных решений, но нужно понимать, что для этого разработчикам нужна соответствующая экспертиза, опыт, плюс запас по времени. Которых чаще всего нет – поскольку разработчики нанимались под совершенно иные задачи, а учиться нет времени, потому что именно в нормативке прописан срок внедрения тех или иных мер защиты».

Насколько требования ЦБ и PSI DSS избыточны для финансовых организаций?

Положительно отозвался о существующих требованиях ЦБ и PSI DSS для финансовых организаций Артем Сычёв, Первый заместитель директора Департамента информационной безопасности Банка России: «В нашем представлении сейчас они взаимно дополняют друг друга, и мы точно не собираемся двигаться в сторону смены российских норм и принятия PCI DSS. Во-первых, у них разные области действия, во-вторых, для них характерны разные угрозы, которые парируются разными методами. Отсюда следует различия в составе нормативных требований к их соблюдению. При этом в большинстве своем требования ЦБ и PSI DSS – по итогу гармонизированы в разрезе результатов их соблюдения. Т.е., методы, которые применяются для парирования угроз, которые мы считаем важными и закрепляем это в законах и нормативных документах, — примерно те же, что применяются для парирования угроз PSI DSS».

«Нисколько не избыточны. В них заложен достаточный уровень, чтобы защитить все компоненты и участников платежных систем», – уверен Игорь Шульга, Директор Центра по противодействию мошенничеству компании «Информзащита».

«Отчетность об инцидентах информационной безопасности при переводе денежных средств, публикуемая Банком России, продолжает демонстрировать устойчивый рост, в связи с чем с нашей точки зрения вопрос об избыточности требований может быть несколько преждевременным», – отметил Андрей Терехов, инженер компании Fortinet.

Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ» не согласен с тем, что предъявляемые сейчас требования избыточны: «Я не считаю, что это так. Мы сами рекомендуем финансовым организациям ориентироваться именно на требования ЦБ и PSI DSS для того, чтобы отвечать уровню современным угроз. Более того, мы считаем, что как раз требования недостаточно жесткие, потому что многие правильные вещи вписаны в рекомендации и, соответственно, не обязательны к применению.

Рекомендации ЦБ, например, подробно описывают современные потребности в том, как обеспечить комплексную защиту. Если им следовать, то можно обеспечить реальную, а не «бумажную» защиту. Минимальный набор – это средства контроля периметра (антиспам, антифишинг), контроля рабочих станций (DLP), антивирусное ПО, защита веб-приложений, контейнеров и мобильных приложений».

Поддержал мнение коллеги и генеральный директор Infosecurity Кирилл Солодовников: «Существующие требования не избыточные и при должном их выполнении позволяют обеспечить максимально возможную защиту как для клиентов банка, так и самим банкам».

«В первую очередь стоит исходить из эффективности принимаемых мер. Очевидно, что PCI DSS в совокупности с уходом от хранения платежной информации на магнитной полосе и 3d secure очень сильно усложнил жизнь кардерам. Темы вроде «Кардинг умер» на форумах в DarkWeb прекрасная тому иллюстрация. Сегодня 2/3 из всех мошеннических операций с использованием платежных карт, по данным отчета ЦБ, совершаются посредствам социальной инженерии, а значит техника отработала и наиболее уязвимым звеном остался все-таки человек. Как и PCI DSS, требования ЦБ в области защиты платежных систем не возникли на пустом месте, а появились из пламени «горящих» АРМ КБР. И мы видим результат: новостей об обнуленных корреспондентских счетах не слышно уже много лет. Новые требования, привязывающие потери от кибермошенничества к операционным рискам банка, а значит к достаточности капитала, тяжело воспринимаются банковским сообществом. И я согласился бы с банкирами, если бы мой телефон раз в день не разрывал очередной «представитель службы безопасности». Банки успешно защитили свою инфраструктуру – пришло время защитить клиентов»,Данила Луцив, руководитель отдела развития Security Vision.

Насколько опасно выкладывать процессинг или платежный модуль в открытом виде в интернет?

«Это прямое нарушение указанных выше требований ЦБ и PSI DSS, практически гарантировано приведет к серьезному ущербу разного уровня: финансовый, материальный, имиджевый. Злоумышленники постоянно в поиске уязвимых/доступных сервисов, которые дают доступ к управлению различными активами и открытие доступов к процессинговым системам или платежным шлюзам даст им реализовать свои мотивы», – подчеркнул Игорь Шульга, Директор Центра по противодействию мошенничеству компании «Информзащита».

Генеральный директор Infosecurity Кирилл Солодовников уверен, что каждый случай надо рассматривать отдельно: «Любое приложении общедоступное из глобальной сети интернет, потенциально имеет риски взлома и компрометации информации. Вопрос только в достаточной защищенности ресурса, по практике перед запуском в промышленное использование ресурсы необходимо всесторонне исследовать тестами на проникновение, нагрузочными тестированием и т. п. Так же и для работающей системы, хорошим правилом является проведение подобных тестов на постоянной основе, как минимум 1 раз в год».

Почему финансовые организации не задумываются о программах Bug Bounty?

Артем Сычёв, Первый заместитель директора Департамента информационной безопасности Банка России раскрыл некоторые секреты регулятора: «Сейчас мы проводим консультации с крупными банками для того, чтобы развивать эту программу на территории РФ, на базе российских, а не зарубежных площадок. Однако здесь есть ряд вопросов, которые требуют обсуждения с рынком. Во-первых, чтобы использовать Bug Bounty в компании или банке ИТ и ИБ должны быть довольно зрелыми – чтобы понимать, что и как тестировать. Во-вторых, у них должен быть для этого бюджет. В-третьих, компании должны быть готовыми к тому, что их живую работающую систему протестируют и обнаружат уязвимости. К этому надо относиться адекватно и не считать, что после этого тебя сразу же взломают. Однако несмотря на это (и это, в-четвертых), есть остаточный риск того, что вы, участвуя в этой программе, можете не узнать о реальной проблеме, которую кто-то нашел, но вам про нее не сказал».

Игорь Шульга, Директор Центра по противодействию мошенничеству компании «Информзащита» уверен, что банкам пока не нужна программа Bug Bounty: «Финансовые организации достаточно зарегулированы и для этого применяются другие механизмы, предписанные стандартами по безопасности. Скажем в PCI DSS есть раздел Maintain a Vulnerability Management Program, где они описаны».

Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ» убежден, что введение программ Bug Bounty – это вопрос времени: «В России пока не сложилась такая культура. Выставить свое ПО на всеобщий суд готовы только компании со зрелым подходом к делу, организации чаще предпочитают довольствоваться полученным результатом. Отсюда и большое число выявленных уязвимостей в приложениях даже крупных организаций. Эта проблема тем острее, чем больше кадровый голод на рынке разработки – риск довериться некачественным поставщикам ПО очень высок.

Поэтому сторонняя экспертиза очень важна, чтобы нивелировать фактор ошибок. Bug Bounty – это хорошая практика и со временем будет развиваться. Но главное, чтобы она не превращалась из похвальной программы по нахождению «багов» в процедуру их замалчивания. Представители профессионального сообщества в последнее время стали обвинять корпорации в том, что с помощью площадок Bug bounty те пытаются, по сути, купить молчание белых хакеров, заставляя последних подписывать жесткие соглашения о неразглашении (NDA)».

Генеральный директор Infosecurity Кирилл Солодовников: «По практике использование данного ресурса для поиска и анализа своих уязвимостей, более характерно для IT компаний и разработчиков решений, так как относительно дешевый ресурс по тестированию своих разработок на потенциальные уязвимости и отказоустойчивость. В настоящее время все меньше компаний финансового сектора прибегают к разработке собственного программного обеспечения, предпочитая покупать и использовать существующее на рынке».

Коммерческий директор RuSIEM Александр Булатов также поделился некоторыми фактами: «Крупные банки с этой программой, насколько мне известно, уже работают. Однако с юридической точки зрения это требует проработки, поскольку есть риски и на стороне тестирующих, и на стороне заказчиков. Для тестирующих это в первую очередь, юридическая сила гражданско-правовых соглашений с заказчиками, которые в определенных случаях в спорной ситуации могут отдать предпочтение судебной процедуре в рамках УК. Для заказчиков это риск неисполнения условия о полном, достоверном и своевременном информировании о найденной уязвимости со стороны команд тестирующих. Минимизировать этот риск можно по-разному: рейтингованием команд, правильно выстроенной системой оплаты и другими способами».

Какие тренды по ИБ мы наблюдаем в отрасли финтеха?

«На фоне постоянного усложнения технологических процессов мы наблюдаем постепенный переход обеспечения безопасности от использования внешних, наложенных средств к встраиванию ее в используемые бизнесом технологии на этапе их разработки. Это обусловлено прежде всего ростом запросов к мобильности и скорости обновлений IT-решений, а также переходом к информатизации на базе микросервисной архитектуры. Еще одним вызовом является рост популярности облачных решений», – Артем Сычёв, Первый заместитель директора Департамента информационной безопасности Банка России.

«Не думаю, что для финтеха есть какие-то отдельные от остального рынка тренды, одним из которых является Zero Trust», – лаконично отметил Игорь Шульга, Директор Центра по противодействию мошенничеству компании «Информзащита».

«По мере того, как инициативы по цифровой трансформации расширяют поверхность атаки, группам безопасности необходимо обеспечить широкую видимость и контроль сети, чтобы не допустить нарушений, добиться экономии средств и повышения операционной эффективности. Все это усложняется необходимостью соблюдения нормативных требований.

Миграция клиентов на дистанционный формат обслуживания приводит к повышению объёмов электронного документооборота. То, что ранее передавалось в бумажной форме в отделении, сегодня передаётся в электронной через приложение или веб-сайт. Это делает канал электронного документооборота интересной целью для злоумышленников, открывая им возможность проникновения в финансовые организации посредством отправки документов, содержащих вредоносный код. Компании должны внедрять средства защиты, которые соответствуют конкретным рискам их бизнеса и легко интегрируются в более широкую архитектуру безопасности. Анализ входящего электронного документооборота на предмет отсутствия поведенческих признаков вредоносного ПО на сегодняшний день стал актуальной задачей для подразделений кибербезопасности.

Учитывая это, таким учреждениям необходимо облачное решение, которое может отслеживать всю активность и интегрироваться с другими решениями для применения единых политик безопасности в традиционных и SaaS-приложениях. Им необходимо развернуть межсетевые экраны веб-приложений, которые защищают API веб-служб и внешние веб-приложения от угроз. Чтобы снизить общую стоимость владения, следует искать решения, которые изначально интегрируются с основными облачными провайдерами, включают широкий набор инструментов безопасности и обеспечивают централизованное управление, включая автоматизацию, рабочие процессы и обмен информацией», – дал развёрнутый ответ Андрей Терехов, инженер компании Fortinet.

«Расширение цифровых возможностей связано с увеличением интеграций различных сервисов, Безопасность API приобретает все большее значение. Растет количество сервисов, которые пользователи могут получить удаленно через мобильные платформы. Безопасность end-point, идентификация и аутентификация пользователей выходит на новый уровень. Удаленная работа внутренних сотрудников не теряет актуальность, организация контроля внутри также в тренде», – Орешкина Дарья, директор по развитию бизнеса компании Web Control.

«Ситуация с коронавирусом оказала серьезное воздействие на отрасль и тенденции, изменив поведение потребителей и заставив компании задуматься о новых путях развития. Из-за всплеска мошеннической активности в пандемию (и с переходом компаний на удаленку) будет активно развиваться рынок систем идентификации и защиты пользовательских данных. За счет этого ожидается рост спроса на технологии машинного обучения, предиктивной аналитики, Big Data. Одним из ключевых сегментов финтеха станет рынок самозанятых, усилившийся в период пандемии. Таким образом будут развивать не только ИТ решения для фрилансеров, но и будут вкладываться ресурсы в ИБ образование аудитории с целью повышения грамотности», – заявил генеральный директор Infosecurity Кирилл Солодовников.

«Одним из основных трендов последних лет стало смещение фокуса внимания хакерских группировок с кражи фиатных денежных средств на криптовалюты. Многочисленные криптобиржы уделяют гораздо меньше внимания безопасности, нежели классический банкинг. Украденный крипто-кошелёк не вернуть назад, а проведенная операция не может быть отменена. Отдельно стоит отметить безопасность смарт-контрактов и протоколов межсетевых взаимодействий. Для исследователей безопасности сегодня это настоящий Клондайк», – уверен Данила Луцив, руководитель отдела развития Security Vision.

«Растет интерес к системам по управлению операционными рисками (класс решений SGRC). Такие продукты (например, R-Vision SGRC) не только позволяют управлять ИБ-инцидентами, контролировать IT-активы, обеспечивать соответствие IT-системы ИБ-требованиям, в том числе законодательства, но и наводят порядок во многих внутренних системах заказчика. При этом ЦБ является важным драйвером этого процесса, что связано, в частности, с требованиями Положения 716-П.

Мы наблюдаем интерес к защите инвестиций, или, как минимум, к инструментам внутреннего аудита у тех компаний, которые вкладывают в ИБ значительные финансовые средства. И здесь в топ востребованных решений выходят простые и доступные средства для мониторинга и самоконтроля, позволяющие в моменте оценить, как организация выглядит снаружи, с точки зрения злоумышленников. Такие продукты (например, от ImmuniWeb) осуществляют проверку доменов, анализируют упоминание в средах Интернет (в т.ч. пресловутый дарк-веб), находят скомпрометированные учетные записи, пароли, RDP и т.д. Стоит отметить, что клиентов подкупает простота и легкость пилотирования таких продуктов. Плюсом идет понятный и детальный отчет.

Третий тренд связан с дефицитом квалифицированных кадров, из-за которого банки все чаще проявляют интерес к решениям по автоматизации процессов (класс IRP). Еще два-три года назад мы часто слышали, что автоматизировать внутренние процессы работы с событиями может и штатный специалист, написав, например, несколько скриптов на типовые задачи. Однако такой способ уходит в прошлое, компании постепенно переходят на коммерческие продукты с качественной поддержкой.

Еще одна безусловно значимая для финансовой отрасли тенденция –организация процесса безопасной разработки. И здесь на первый план выходят концепции DevSecOps, позволяющие встраивать практики безопасности во все этапы разработки. Axoft, являясь центром компетенций практики DevSecOps, отмечает повышенный спрос со стороны партнёров по содействию в решении DevSecOps-задач своих клиентов – компаний из финансовой сферы», – рассказал Андрей Юрченко, руководитель отдела продвижения решений компании Axoft.

«Для нас одним из ключевых вызовов является постепенный переход к использованию облачных решений.  И здесь мы видим два ключевых вопроса: насколько достаточно мер информационной безопасности самого «облака», и как разделить ответственность за соблюдение требований законодательства, отраслевых стандартов и регуляторов.

Чаще всего, средств, предоставляемых облаком, недостаточно для защиты процессов заказчика по обработке информации заказчиком. Поэтому заказчику, особенно, если это поднадзорная с точки ИБ организация, необходимо проверять, что именно предлагает провайдер, насколько это соответствует его внутренним задачам в области ИБ и требованиям регуляторов. Если провайдер «не дотягивает» — заказчику нужно формулировать дополнительные требования к предустановленной провайдером системе защиты и формально закреплять их в доп. соглашениях к договору между провайдером и заказчиком.

Если компания обязана соответствовать требованиям законодательства и регуляторов, – то именно она подлежит проверке и несет ответственность за выполнение соответствующих нормативных документов или стандартов. Такая компания, пользующаяся услугами облачного провайдера, она должна предусмотреть в договоре обязанность провайдера выполнять эти требования (в своей части). Провайдер должен обеспечить оценку соответствия этим требованиям и подтверждать это документально», – резюмировал Коммерческий директор RuSIEM Александр Булатов.

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *