О ВЗАИМОДЕЙСТВИИ ОРГАНИЗАЦИЙ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента РФ В.В. Путина 5.12.2016 года, констатируется, что состояние информационной безопасности характеризуется постоянным повышением сложности, увеличением масштабов и ростом скоординированности компьютерных атак на объекты информационной инфраструктуры [2]. В соответствии с поручением Совета Безопасности Российской Федерации в структуре Главного управления безопасности и защиты информации (ГУБиЗИ) Банка России в июне 2015 года создан Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере - ФинЦЕРТ. Деятельность Центра базируется на соблюдении законодательства РФ в области защиты банковской тайны и обеспечении конфиденциальности, целостности и доступности хранимой и передаваемой информации [1]. Основными задачами Центра являются:

- организация и координация обмена информацией с финансовыми организациями и правоохранительными органами;

- мониторинг открытых ресурсов сети Интернет для обнаружения информационных атак;

- проведение компьютерных исследований (форензика);

- разработка рекомендаций и аналитических материалов в области обеспечения защиты информации.

Участие в информационном обмене является добровольным. Участником может стать любое юридическое лицо, которое осуществляет финансовую деятельность и имеет лицензию Центробанка, либо являющееся производителем программного или аппаратного обеспечения или выполняющее иные работы в области защиты информации.

Сотрудничество с ФинЦЕРТ дает возможность финансовым (и не только) организациям оперативно узнавать об основных типах и механизмах реализации кибератак, а также об успешных методах противодействия подобного рода атакам.

Ранее многие банки не сообщали в Банк России об успешных хакерских атаках, если речь не шла о значительных суммах. Главная причина этого - репутационные риски, поскольку в случае утечки информации возможен отток клиентов. В 2016 году Банк России разработал обязательное для всех участников платежной системы Банка России положение, согласно которому вводится обязанность в течение трех часов информировать ФинЦЕРТ о выявленных или возможных инцидентах, связанных с нарушениями требований к обеспечению защиты информации в платежной системе. Согласно тексту проекта документа, клиенты Банка России должны обеспечить исполнение требований к 30 июня 2017 года.

Результаты деятельности ФинЦЕРТ обобщаются в годовых отчетах [6]. Среди основных показателей деятельности ФинЦЕРТ в 2017 году отмечено, что число кредитных организаций - участников информационного обмена достигло 418, общее число участников информационного обмена - 526. В информационном обмене с Центром участвуют коммерческие организации, разработчики программного обеспечения, органы государственной власти, небанковские коммерческие организации и операторы связи.

ФинЦЕРТ выявил основные недостатки в области информационной безопасности у организаций кредитно-финансовой сферы, которые привели к удачным кибератакам:

- отсутствие сегментирования локальных вычислительных сетей;

- низкая осведомленность персонала в области информационной безопасности;

- отсутствие в ряде случаев блокировки автоматического запуска макросов в документах Microsoft Office;

- присвоение пользователям избыточных прав локального администратора;

- отсутствие средств антивирусной защиты либо устаревшие вирусные базы;

- ненадлежащий контроль руководством кредитной организации установленной технологии подготовки, обработки и передачи данных.

К основным задачам ФинЦЕРТ в рамках проведения компьютерных исследований относится анализ вредоносного программного обеспечения и подозрительных URL-ссылок и выработка мер противодействия.

Основными типами атак, зарегистрированными ФинЦЕРТ, были:

- рассылка сообщений электронной почты, содержащих вредоносное ПО;

- DDoS - атаки и угрозы DDoS-атак;

- атаки на устройства самообслуживания (банкоматы).

Рассылка сообщений электронной почты, содержащих вредоносное ПО, является наиболее распространенным типом атаки. При этом используются методы социальной инженерии, в частности, в качестве отправителя указываются органы исполнительной власти или Банк России (фишинг). Наибольшее количество рассылок (58 %) фишинговых писем содержит вредоносное программное обеспечение типа Trojan.Downloader, целью которого является загрузка и установка на компьютер различных вредоносных и “троянских” программ. При этом необходимо отметить, что наиболее эффективным способом борьбы со спамом является обязательная проверка и фильтрация электронной почты на шлюзе.

С 1 января 2017 года по 1 сентября 2017 года ФинЦЕРТ отправил регистраторам информацию о 481 домене различной мошеннической тематики, 367 доменов по итогам рассмотрения были заблокированы.

В апреле 2017 года ФинЦЕРТ разослал участникам информационного обмена информацию о методах выявления рассылаемого по почте вредоносного программного обеспечения (ПО) WannaCry типа “шифровальщик” и рекомендации по установке пакета обновлений безопасности для операционных систем Microsoft Windows. 12 мая 2017 года была зафиксирована кибератака с использованием данного типа вредоносного ПО. После обнаружения этого события ФинЦЕРТ повторно направил всем участникам бюллетень с рекомендациями по установке обновления безопасности. По итогам атаки были зафиксированы лишь единичные инциденты, связанные с компрометацией ресурсов кредитных организаций, последствия которых были устранены в кратчайшие сроки.

8 ноября 2016 года онлайн - ресурсы Сбербанка подверглись мощным DDoS- атакам. DDoS (Distributed Denial of Service) означает распределенную атаку типа “отказ в обслуживании”. Атаки были организованы с ботнетов, включающих десятки тысяч компьютеров, территориально распределенных по разным странам. Ботнет - это сеть компьютеров, скрытно зараженных вредоносными программами и находящаяся под контролем злоумышленников.  Система защиты Сбербанка вовремя обнаружила и локализовала кибератаку, сбоев в работе сервиса не было. При этом зафиксированная мощность DDoS-атак в 2017 году по сравнению с началом 2016 года выросла в 10 раз.

За отчетный период ФинЦЕРТ отмечает рост логических и физических атак на банкоматы. При логических атаках все операции злоумышленник выполняет через удаленный доступ с использованием программных средств. В 2016 - 2017 годах зарегистрированы, по крайней мере, две атаки, связанные с подменой файлов обновлений на сервере, с которого скачивалось программное обеспечение для банкоматов. Физическая атака на устройства самообслуживания - это установка злоумышленниками дополнительных аппаратных компонентов или подключение внешних устройств для удаленного управления банкоматом. Основной вид атаки - скимминг - установка специальных технических средств для хищения данных, записанных на магнитной ленте платежной карты.

Анализ инцидентов информационной безопасности, приведенный в отчетах ФинЦЕРТ, полностью согласуется с опытом разработки информационных систем [3, 4], подтверждая тот факт, что наибольшими возможностями для нанесения ущерба организации обладает её собственный персонал [5, 6].

Список литературы:

1. Федеральный закон от 27 июля 2006 года №149-ФЗ (ред. от 19.12.2016) “Об информации, информационных технологиях и о защите информации”// СПС КонсультантПлюс. - [электронный ресурс] - Режим доступа.- URL: http://www.consultant.ru/document/cons_doc_LAW_61798/
2. Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 05.12.2016 №646) // СПС КонсультантПлюс. - [электронный ресурс] - Режим доступа.- URL: http://www.consultant.ru/document/ cons_doc_LAW_208191/
3. Николаев В.В. Информационная система мониторинга фактического уровня защищенности образовательных учреждений // Информационное развитие России: состояние, тенденции и перспективы. Сб. науч. статей всерос. науч.-практ. конф. / Орел: Изд-во Среднерусского института управления - филиала РАНХиГС, 2017.- С.120-126
4. Николаев В.В. Аспекты информационной безопасности при программировании на языке Java // Наука вчера, сегодня, завтра / Сб. ст. по материалам XLVIII междунар. науч.-практ. конф. №7(41).- Новосибирск: Изд. АНС «СибАК», 2017.- С. 11-15
5. Стандарт Банка России СТО БР ИББС-1.0-2014 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации”. - [электронный ресурс] - Режим доступа.-  URL: http://www.cbr.ru/credit/Gubzi_docs/st-10-14.pdf
6. Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России. 1 июня 2016 - 1 сентября 2017. - [электронный ресурс] - Режим доступа.-  URL: http://www.cbr.ru/StaticHtml/File/14435/GUBZI-4.pdf