Сегодня в хакерской среде вирусы-шифровальщики — суперхит, «новый черный». С их помощью злоумышленники атакуют бизнес из самых разных сфер: IT-компании, медицинские и государственные учреждения, производителей техники, электроники и, конечно, финансовые организации. На днях в СМИ появилась информация о том, что уже ЦБ РФ обеспокоен возможными кибератаками на банки через участников их экосистем. В чем особенность шифровальщиков и чем они опасны для банков и их клиентов, рассказывает генеральный директор финтех-компании RBK.money и фаундер IT-компании Osnova Денис Бурлаков.
Принцип работы вымогателей, распространяющих вирусы этого типа, прост. На компьютер компании или учреждения попадает троян, который получает доступ к файлам на жестком диске и шифрует информацию, делая ее недоступной пользователю. После чего злоумышленники требуют выкуп за расшифровку данных, а иногда и за то, чтобы не слить их в публичное поле.
Компания Group-IB в конце 2020 года оценивала ущерб от вирусов-шифровальщиков во всем мире в 1 млрд долларов в год. По факту ущерб может быть еще больше, потому что пострадавшие компании, мягко говоря, не стремятся афишировать подробности своих промахов.
Из недавних атак на финансовую инфраструктуру можно вспомнить, например, историю с американской страховой компанией CNA Financial, которая вынуждена была заплатить вымогателям 40 млн долларов. Вирус-шифровальщик проник во внутреннюю сеть фирмы и зашифровал большой массив данных, в результате чего работа компании встала. Сначала CNA Financial пыталась дешифровать информацию своими силами, но после безуспешных попыток справиться с вирусом вынуждена была заплатить хакерам. США, кстати, после ряда инцидентов с крупными компаниями и госучреждениями приравняли атаки с помощью вирусов-шифровальщиков к международному терроризму и запустили специальный сайт для борьбы с такими программами. На нем разместили список ресурсов, содержащих вирусы, которым могут пользоваться и бизнес, и госструктуры, и частные лица.
В России банковский сектор тоже регулярно подвергается атакам вирусов-шифровальщиков. Об этом говорится в обзоре Банка России «Основные типы компьютерных атак в кредитно-финансовой сфере в 2019—2020 годах». Особенно активным в этом смысле был 2019 год — тогда участники рынка сообщали регулятору о большом количестве атак программ-вымогателей. Основная часть случаев была связана с распространением шифровальщиков семейства Troldesh (также известного как Shade или Purga). Чаще всего это была рассылка сообщений по электронной почте якобы от имени известной финансовой организации или другой крупной компании с вложением в виде вредоносного файла или со ссылкой в тексте на скачивание этого файла. Впрочем, как отмечает Банк России, попытки распространить вирус к ущербу на данный момент не привели.
Разработка вирусов-шифровальщиков поставлена на поток — сейчас это целая индустрия. Вирусы становятся мультиплатформенными — недавно появились вирусы для Linux, а эта операционная система, к слову, активно используется в электронике. Еще в даркнете существует такая услуга, как покупка шифровальщика. Злоумышленники приобретают у разработчиков вредоносное ПО и после успешной атаки и последующей дешифровки делятся с ними полученными от пострадавшей компании деньгами.
В целом обеспокоенность Банка России, даже с учетом того, что в 2019—2020 годах атаки не нанесли ущерба российскому банковскому сектору, объяснима. А если учесть, что сейчас многие компании развиваются по модели финансовых групп и экосистем, пристальное внимание регулятора к теме кибербезопасности становится вполне закономерным.
Точки уязвимости
В финансовых организациях и банковских группах существует несколько потенциально проблемных мест, которые могут стать объектами атаки со стороны злоумышленников. Первая — сами компании, входящие в группу. Часто это различные онлайн- и офлайн-сервисы из других, нефинансовых отраслей. У каждой из таких компаний свои подходы к обеспечению кибербезопасности, при этом все они взаимодействуют между собой через общую информационную систему. Чем больше количество интеграций, тем выше риски — через системы компаний, входящих в группу, злоумышленники могут получить доступ к системам головной компании. Если говорить про банковские экосистемы, то к системам головного банка группы.
Вторая проблемная точка — подрядные организации, которые выполняют некие работы для банка или для одной из компаний группы. Здесь ситуация аналогичная: многие подрядчики взаимодействуют с компаниями по удаленным каналам, единые стандарты кибербезопасности на них распространить сложнее, чем на компании экосистемы, поэтому здесь тоже возникает потенциальный риск атаки.
Третья и, наверное, самая сложно контролируемая точка риска — это сотрудники центральной компании финансовой группы плюс сотрудники всех других компаний группы, а также подрядчиков. Хакеры пишут вирусы, придумывают новые лазейки, у них появляются новые технические возможности, но человеческий фактор по-прежнему остается в топе потенциальных уязвимостей. Особенно остро стоит этот вопрос сейчас, когда многие компании перевели сотрудников на полную или частичную удаленную работу. Рядовой пользователь может не соблюдать политики безопасности, использовать рабочий компьютер или смартфон для личных целей, заходить с него на неслужебные ресурсы, открывать сомнительные письма и т. д. Или, например, упомянуть в соцсетях, что работает в крупной финансовой компании, и тем самым дать повод злоумышленникам выбрать его компьютер как потенциальный канал атаки.
Как защититься
В периоды активного роста финансовой группы и появления новых компаний в ее периметре необходимо прогонять все интеграции между компаниями через специалистов по инфобезопасности, чтобы они дали свое заключение и помогли разработчикам защитить слабые места. Важно, чтобы все компании группы были одинаково защищены и соблюдали единые стандарты кибербезопасности, потому что степень защищенности всегда измеряется по самому слабому звену в цепочке. То же самое относится и к интеграциям с подрядчиками. В крупных компаниях этот момент иногда становится формальной процедурой — современный рынок диктует высокую скорость принятия решений, и информационная безопасность может отходить на второй план. Но вряд ли такой подход можно назвать правильным. Создание единой информационной системы для нескольких компаний можно сравнить с выпуском продукта: в процессе разработки появляются новые фичи, а вместе с ними могут появляться и новые уязвимости, поэтому тестирование финального продукта специалистами по информационной и кибербезопасности жизненно необходимо.
Важно строить IT-инфраструктуру по принципам риск-ориентированного подхода, просчитывать потенциальные риски атак и принимать меры по их предотвращению. И чем больше в финансовой группе становится участников обмена данными, тем тщательнее должен быть этот процесс. Плюс необходимо наращивать собственные компетенции в кибербезопасности и по возможности стремиться к тому, чтобы делать эту работу силами собственных внутренних служб. Да, это будет стоит достаточно больших ресурсов, и чем больше группа компаний, тем дороже это обойдется. Но безопасность никогда не бывает дешевой, особенно если речь идет о защите данных в финансовой организации. Важно понимать, что потенциальный ущерб от хакерских атак гораздо больше.
В случае с сотрудниками необходимо регулярно проводить тренинги, рассказывать про принципы информационной безопасности. Важно, чтобы ваш коллега знал, почему нельзя логиниться, например, в рабочей почте с незащищенного ноутбука, какие риски может нести письмо с неизвестного адреса и как распознать потенциального злоумышленника. Можно, конечно, пойти по принципу «все запретить», но он, как показывает практика, не работает — грамотный в вопросах безопасности сотрудник является гораздо меньшей угрозой, чем тот, которому все запретили.
При всех этих рисках сегодня нельзя сказать, что банковские экосистемы испытывают глобальные проблемы с безопасностью. Напротив, у крупных компаний обычно большой штат высококлассных специалистов. Главное — вопрос кибербезопасности нужно всегда держать на первом месте.
Мнение автора может не совпадать с мнением редакции