февраля
На прошлой неделе хакерской атаке подвергся омский банк с базовой лицензией — ИТ Банк. Через платежную систему ЦБ злоумышленники вывели из кредитной организации порядка 25 млн рублей. При этом атака нанесла ущерб не только самой кредитной организации, но и угрожает остальным игрокам, пишет «Коммерсант».
«Предположительно, хакеры проникли в банк через фишинговую рассылку группировки Silence, — отметил собеседник издания, знакомый с ситуацией. — Банк полностью «лег» в результате атаки, что вполне закономерно, на безопасность деньги тут не выделялись — она была на нуле». Согласно отчетности банка на сайте ЦБ на 1 января 2019 года, его ежегодные траты на услуги связи, телекоммуникационных и информационных систем три года подряд составляли около 2 млн рублей. Эксперты по информбезопасности полагают, что этой суммы недостаточно для обеспечения минимальной защиты.
Формально небольшой ущерб от атаки для самого банка весьма ощутим. Но еще более существенно, подчеркивают эксперты по информбезопасности, что хакерская атака даже на небольшого игрока представляет опасность и для всей системы.
«Взлом недостаточно защищенной организации кредитно-финансового сектора вполне может быть использован как промежуточный этап атаки на другую компанию», — поясняет директор экспертного центра безопасности Positive Technologies Алексей Новиков. По словам руководителя по информбезопасности одного из больших банков, маленькие игроки могут быть использованы для атаки на «крупную рыбу» при таргетированных атаках. «Мы сами ставили эксперимент: создавали качественное фишинговое письмо, направляли контрагенту — девять из десяти адресатов открывают такое сообщение, — отметил он. — Кроме того, хакеры могут отработать приемы на небольших игроках, усовершенствовать их и использовать». По словам Новикова, качественное целевое фишинговое письмо открывается в 93% случаев.
Решать проблему необходимо комплексно, отмечают эксперты. По словам консультанта по интернет-безопасности компании Cisco Алексея Лукацкого, действующие требования по информбезопасности непосильны для небольших банков. «В техническом комитете 122 Росстандарта, разрабатывающем требования по информационной безопасности для банков, участвуют лишь крупные игроки, — сказал он. — В итоге требования разработанных ими ГОСТов небольшие, банки их выполнить не могут — у них просто нет необходимых ресурсов и людей».
Глава комитета Госдумы по финрынкам Анатолий Аксаков считает, что выходом может стать присоединение таких банков к платформе «Бизон» или иному решению. По мнению директора по маркетингу «Ростелеком-Solar» Валентина Крохина, пока единственным решением для небольших банков выглядит передача функций информбезопасности на аутсорсинг. Но и это обойдется, по самым скромным оценкам, в сумму от 300 тыс. до 2 млн рублей в год.