Олжас Сатиев: Персонал – самое слабое звено в структуре кибербезопасности
Президент ЦАРКА о требованиях информационной безопасности«С переходом на удаленную работу человек становится основной мишенью хакеров. В связи с чем многократно возрастают риски утечки конфиденциальных данных компании, перекочевавших на личные устройства сотрудников», – замечает президент ОЮЛ «Центр анализа и расследования кибератак» (ЦАРКА) Олжас Сатиев. В интервью корреспонденту «Капитал.kz» он рассказал, насколько в этом плане отечественные организации были адаптированы к дистанционному режиму, какие виды кибератак на финансовый сектор самые распространенные и что необходимо банкам для того, чтобы от них защититься.
- Олжас, расскажите, с какими рисками в плане информационной безопасности (ИБ) столкнулись казахстанские компании во время карантина?
- Прежде всего это риски, связанные с использованием собственных ноутбуков, ПК, отсутствием контроля за устанавливаемым ПО, а также выход в сеть через незащищенные соединения и посещение вредоносных веб-ресурсов.
При этом хочу отметить, что особую опасность приобретают атаки с использованием методов социальной инженерии. Здесь успех злоумышленников во многом зависит от уровня грамотности и осведомленности персонала компании в вопросах информационной безопасности.
В то же время нельзя забывать, что мошенники – творческие люди: мы помним случаи, когда они активно использовали «горячую» тему пандемии для запуска фишинговых атак и даже умудрились создать сайт «Антивирус от Коронавируса», который распространял вирусы. К сожалению, пользователи охотно переходят по вредоносным ссылкам.
Очевидно, что пока во всем мире продолжается борьба с эпидемией, злоумышленники и дальше будут атаковать уязвимые группы населения и организации.
В свою очередь для снижения таких рисков в компаниях должны внедряться решения по обучению осведомленности пользователей и проводиться тренинги по кибергигиене.
- Насколько отечественные компании были адаптированы в данном контексте к удаленному режиму?
- Следует понимать, что компании переходили на удаленную работу «в авральном режиме». Первоочередной задачей тогда стояла перенастройка ИТ-инфраструктуры для обеспечения бесперебойной работы критически важных бизнес-процессов. Соблюдение требований ИБ, конечно, учитывалось, однако смещалось на второй план.
Зачастую мощностей, средств, требуемых знаний для этого реально не хватало ни у ИТ-специалистов, ни у пользователей. Некоторые компании до введения режима самоизоляции даже не рассматривали возможность когда-либо практиковать удаленный доступ для полноценной работы своих сотрудников.
Все это сказалось на том, что дистанционные рабочие места, созданные в короткие сроки, не отвечали требованиям информационной безопасности, а выстроенная система не обеспечивала достаточный уровень защиты.
На сегодняшний день до сих пор не все организации внедрили достаточные средства защиты и не выстроили свои ИТ-процессы для обеспечения безопасного удаленного доступа сотрудников. Следовательно, это создает «благоприятные» возможности для успешной реализации атак злоумышленников на корпоративные системы.
Не говоря уже о том, что некоторые компании используют публичные сервисы и передают рабочие документы «для удобства» через мессенджеры и соцсети, а важная информация зачастую хранится в личных облаках сотрудников.
В дальнейшем такая схема работы может привести к крупным утечкам корпоративных данных, существенным денежным потерям и даже репутационным крахам компаний.
- Сильно ли мы в этом вопросе отличаемся от мирового сообщества?
- Исходя из лучших практик и международных стандартов, организации должны определить свои требования к управлению непрерывностью информационной безопасности в неблагоприятных ситуациях, в данном случае во время кризиса или ЧС.
Могу предположить, что у западных компаний был более или менее разработан и протестирован план «Б». Вместе с тем необходимо учитывать такие факторы, как наличие больших ресурсов с точки зрения квалификации персонала, мощностей инфраструктуры и т.д.
- Можете ли вы выделить самые распространенные виды кибератак на финансовый сектор? Были ли в Казахстане зафиксированы подобные случаи?
- Еще раз отмечу, что большая часть атак реализовывается с использованием методов социальной инженерии. Также наиболее распространенными методами атак на финансовый сектор являются: вредоносное ПО и фишинг, эксплуатация веб-уязвимостей, проникновение в локальную сеть, компрометация учетных записей сотрудников, контроль над веб-приложением, проведение атак на посетителей сайтов.
Из международных примеров могу вспомнить громкий случай, связанный с известной северокорейской группой хакеров Lazarus. Эта группировка подозревается в ограблении Центрального банка Бангладеш на сумму $81 млн и по сей день продолжает атаковать банки по всему миру.
Кстати, с недавних пор российские компании также стали жертвами Lazarus, что считается беспрецедентным случаем, так как до этого злоумышленники были нацелены в основном на Южную Корею и Японию.
В Казахстане тоже было зафиксировано несколько инцидентов, когда хакеры выводили из банков более миллиона долларов. Но, к сожалению, данные случаи не публичные.
Могу только добавить, что банковский сектор никогда не должен ослаблять бдительность.
- Тем не менее, я знаю, что ЦАРКА проводил исследование на предмет того, как казахстанские банки обеспечивают безопасность своих веб-ресурсов…
- Да, главной целью исследования была оценка уровня безопасности публично доступных банковских ресурсов в соответствии с мировыми практиками. Мы попытались выяснить, какие потенциальные векторы атак могут быть доступны злоумышленникам. Работа не подразумевала проведения явных атак на ресурс. Все данные были собраны таким образом, как это мог бы сделать обычный пользователь.
Так вот, по результатам нашего анализа выяснилось, что у 88% казахстанских банков существует риск эксплуатации веб уязвимостей, 23% - не прошли проверку настроек SSL/TLS, у половины БВУ выявлены в общей сложности 386 утечек информации. Кроме того, 8 банков имели открытые порты, что гипотетически могло привести к неправомерному доступу и получению контроля над внутренними информационными ресурсами злоумышленниками.
При этом средний показатель Email security, который характеризует некорректную настройку почтового сервера веб-ресурса, составил 76%. Между тем только у 46% доменов выявлена высокая скорость загрузки сайта, у 23% доменов - высокая оценка защищенности заголовков HTTP и CSP.
Исследование также показало, что у всех банков имелись проблемы с обеспечением защиты персональных данных клиентов.
Таким образом, мы пришли к главному выводу: многие БВУ пренебрегали даже самыми распространенными и простыми в реализации советами по повышению безопасности веб-ресурсов.
- Существуют ли в РК какие-то единые стандарты и требования, которых должны придерживаться все банки?
- Да, на сегодняшний день определены требования, регламентирующие информационную безопасность в банковской сфере. Какие-то из них носят рекомендательный характер, какие-то регулируются нормативно-правовыми актами, в том числе Законом о персональных данных и их защите.
Также имеется ряд постановлений правления Национального банка РК по обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций.
Помимо этого существует международный стандарт PCI DSS – стандарт безопасности данных индустрии платежных карт.
- Что необходимо БВУ, чтобы обеспечить защиту от утечек информации, кибератак, фишинга и т.п.?
- Для обеспечения защиты важен комплексный подход. С технической стороны – это могут быть такие средства защиты, как использование многофакторной аутентификации, разграничение прав доступа, готовые продукты для защиты веб-приложений (WAF). Например, у нас есть продукт, который позволяет обеспечивать проактивную защиту от киберугроз, предотвращать взломы, оценивать и управлять риски кибербезопасности. Со стороны менеджмента – это обучение персонала, повышение грамотности и осведомленности в вопросах ИБ.
К тому же следует принимать во внимание, что хакерские группировки это давно уже не группа из нескольких человек, а организованная преступная команда, которая может насчитывать до 100 человек. Они также продолжают развиваться и внедрять новые технологии. Еще в таких группировках есть определенные люди, которые занимаются поиском банковских работников, чтобы с их помощью проникнуть в инфраструктуру банка.
Поэтому доступные готовые решения по кибербезопасности должны дополнять комплекс мероприятий по повышению осведомленности сотрудников о масштабах последствий небрежности или незнания требований информационной безопасности. Персонал – самое слабое звено, когда речь идет о структуре кибербезопасности любой организации.
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.