Атака хакеров причинила омскому ИТ-банк не только ущерб, она стала угрозой и для остальных игроков. После целенаправленного проникновения в систему небольшого банка, хакеры могут успешно атаковать и более крупные финорганизации, являющиеся его партнерами. По словам экспертов, небольшие расходы на безопасность и высокий уровень уязвимости маленьких банков давно стали комплексной проблемой, требующей разработки недорогих пакетных решений и ввода ответственности собственников и руководства, не заботящихся о высоком уровне информационной безопасности.
Дело в том, что на прошлой неделе хакеры атаковали небольшой банк города Омска - ИТ-банк, работающий по базовой лицензии. С помощью платежной системы ЦБ злоумышленникам удалось вывести из кредитной организации примерно 25 млн руб. Вполне возможно, хакерам помогла проникнуть в банк фишинговая рассылка группировки Silence. В итоге, атака полностью "уложила" банк, и это вполне закономерный исход, так как в банке вообще не выделяли средства на безопасность. Судя по его отчетности на сайте ЦБ на 1 января 2019 года, ежегодно расходы на связь, телекоммуникационные и информационные системы в течение трех лет подряд не доходили до 2 млн руб. По мнению экспертов по информбезопасности, это крацне маленькая сумма, она не может обеспечить минимальную защиту. Представители ИТ-банке не комментируют ситуацию.
Формально небольшая сумма ущерба от кибератаки для этого банка весьма ощутима. По словам младшего директора по банковским рейтингам «Эксперт РА» Ивана Уклеина, за период с 2014 по 2018 гг. у банка не было чистой прибыли, размер которой мог бы перекрыть ущерб. Но более существенным является то, что если хакеры выбрали для атаки даже небольшой банк (ИТ-банк находятся на 294-м месте по активам), опасности подвергается вся система.
По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, хакеры, взломав недостаточно защищенную кредитно-финансовую организацию, вполне могут использовать это в виде промежуточного этапа, чтобы позже атаковать другой, более крупный банк. Как сказал руководитель по информбезопасности в одном большом банке, маленьких игроков могут использовать для атак на «крупных» при таргетированных атаках. Мы недавно провели эксперимент, создав качественное фишинг-письмо, направили его контрагенту и поняли, что 9 из 10 адресатов такие сообщения открывают. К тому же, хакеры отрабатывают свои приемы на небольших игроках, усовершенствуя их для дальнейшего применения. Открытие качественного целевого фишингового письма происходит в 93% случаев. Как пример этого можно вспомнить недавнюю атаку на банк «Юнистрим», которая причинила ущерб игрокам, находящимся даже за пределами России.
По мнению экспертов, необходимо комплексное решение проблемы. Как сказал консультант по интернет-безопасности компании Cisco Алексей Лукацкий, запущенные сегодня в действие требования по информбезопасности не по силам исполнять небольшим банкам. Участниками технического комитета 122 Росстандарта, занимающегося разработкой требований по информбезопасности для банков, являются только крупные игроки. В итоге выполнение ГОСТовских требований разработанных ими для небольших банков - задача невыполнимая — они попросту не располагают необходимыми ресурсами и людьми.
По мнению главы Комитета Госдумы по финрынкам Анатолия Аксакова, решить этот вопрос можно, присоединив такие банки к платформе «Бизон» или другому решению. Как считает директор по маркетингу «Ростелеком-Solar» Валентин Крохин, пока единственное решение для небольших банков заключается в том, чтобы они передавали функции информбезопасности на аутсорсинг. Но и за это, по самым скромным подсчетам, придется выкладывать ежегодно от 300 тыс. до 2 млн руб. По словам главы рабочей группы для банков с базовой лицензией АБР Михаила Дралина, в диалоге с ЦБ запланировано обсуждение вопроса об информабезопасности в банках, которым выдана базовая лицензия, в том числе, чтобы выработать комплексные недорогие решения.
Столь же важно подумать о том, чтобы собственники и топ-менеджеры банков отвечали за уровень безопасности, ведь именно они занимаются распределением бюджета. По словам Лукацкого, мы неоднократно озвучивали этот вопрос. В России, когда происходит подобный инцидент, ответственными становятся именно безопасники, которые, не имея выделенного бюджета, не в состоянии изменить положение.
По словам представителей ЦБ, работа над решением проблемы продолжается: Банк России заканчивает подготовку к выпуску нового документа, регулирующего информбезопасность в кредитно-финансовых организациях с установлением базовых требований к ним. Риски, с которыми обычно сталкиваются крупные финансовые организации, весьма отличаются от рисков, присущих небольшим банкам, поэтому требования к информбезопасности разномасштабных кредитных организаций будут дифференцированными.
