В Positive Technologies проанализировали динамику защищенности кредитно-финансового сектора. Каждая вторая атака на этот сектор осуществляется с использованием вредоносного ПО — шифровальщика. Кроме этого, эксперты фиксируют двукратный рост продаж доступов к корпоративным сетям финансовых организаций в дарквебе на фоне снижения их стоимости в 4 раза.
Как сообщается в исследовании, по итогам трех первых кварталов 2022 года общее число продаж доступов к корпоративным сетям банков в дарквебе выросло в два раза по сравнению с аналогичным периодом 2021 года. Стоимость варьируется от 250 до 30 000 долл. США в зависимости от организации и привилегий в сети, которые получает покупатель. По мнению экспертов, такой рост активности может быть обусловлен четырехкратным снижением минимальной цены: с 1000 до 250 долл. США.
Анализ Positive Technologies показал, что в атаках на финансовые организации злоумышленники чаще всего используют методы социальной инженерии (47% случаев) и реже прибегают к эксплуатации уязвимостей, чем при атаках на другие отрасли. По мнению экспертов, это связано с лучшей защищенностью сетевого периметра организаций финансовой отрасли. Преступникам дешевле и проще найти нелояльных сотрудников банков, которые готовы предоставить им доступ к системам или конфиденциальную информацию, чем взламывать периметр компании путем эксплуатации уязвимостей.
По итогам первых трех кварталов 2022 года общее количество атак на финансовые организации снизилось на 16% по сравнению с аналогичным периодом 2021 года. Доля кибератак на финансовую отрасль в последние годы в целом сокращалась и сейчас составляет около 5% от числа всех кибернападений на организации. Эксперты объясняют это тем, что банки традиционно вкладываются в безопасность и следуют отраслевым стандартам ИБ.
«Хотя финансовый сектор лучше всего подготовлен к атакам по сравнению с остальными отраслями экономики, в целом уровень защищенности организаций от внутреннего и внешнего злоумышленника остается недостаточно высоким, — комментирует советник генерального директора Positive Technologies Артем Сычев. — Об этом говорят результаты тестирований на проникновение и верификации недопустимых событий, проведенные нашими экспертами с 2021 по 2022 год для финансовых учреждений 1. Так, в рамках внутреннего пентеста во всех случаях экспертам удалось установить полный контроль над инфраструктурой, а также продемонстрировать возможность получения доступа к критически важным системам. В случае успешного использования злоумышленником векторов атак, задействованных нашими специалистами, компании может грозить серьезный ущерб от кибератаки».
Сычев также отметил, что в России, как и во всем мире, финансовый сектор является одним из наиболее заинтересованных в обеспечении достаточного уровня защищенности: постоянно совершенствуется нормативно-правовая база, поддерживается непрерывный информационный обмен между ФинЦЕРТ и организациями (число которых составляет более 800), проводятся форумы по информационной безопасности. Positive Technologies рекомендует финансовым организациям уделить особое внимание не только регулярным тестированиям на проникновение, но и верификации тех событий, которые могут повлечь серьезный ущерб и недопустимы для их деятельности.
«Сегодня bug bounty нового типа, ориентированная на проверку возможности реализации недопустимых событий, это единственный способ проверить работоспособность своей системы информационной безопасности за счет непрерывного обучения и развития экспертизы продуктов опытным путем, — отмечает Артем Сычев. — Кредитно-финансовая отрасль традиционно самая продвинутая в России в части кибербезопасности и ожидаемо, что именно эта отрасль одна из первых определила недопустимые для нее события и стала первопроходцем в программах bug bounty».
По данным Positive Technologies, за три квартала 2022 года финансовые организации чаще всего сталкивались с кражей конфиденциальных данных (51% случаев) и остановкой бизнес-процессов (42%). В результате 7% атак компании несли финансовые потери.
Эти данные коррелируют со списком недопустимых для финансовых организаций событий, полученных в ходе проектов по верификации рисков, выполненных за 2021–2022 год:
- Вывод денежных средств определенной суммы со счетов организации или клиентов.
- Остановка операционных процессов на срок более определенного количества часов из-за недоступности поддерживающих информационных систем.
- Недоступность цифровых финансовых сервисов для клиентов на срок более определенного количества часов.
- Искажение или уничтожение информации в базах данных (включая резервные копии), используемых в операционной деятельности.
- Использование инфраструктуры и цифровых сервисов финансовой организации для выполнения атак на клиентов и партнеров.
- Утечка баз данных, содержащих персональные данные клиентов, банковскую тайну и иную конфиденциальную информацию.
1 В выборку вошли внешние и внутренние тестирования, выполненные для организаций кредитно-финансового сектора, при проведении которых заказчики не вводили существенных ограничений на тестируемые сети и системы.