В 2018 году Банк России зафиксировал 687 кибератак на кредитно-финансовые организации, из них 177 атак были целевыми. При этом в большинстве случаев рассылки вредоносного программного обеспечения (ВПО) злоумышленники применяли спуфинг – подмену электронных почтовых адресов. Наибольшее количество атак было выявлено в IV квартале 2018 года, что связано с началом работы автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ Банка России.
Такие данные приводятся в Обзоре основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году. Документ подготовлен Банком России совместно с компаниями, работающими в сфере информационной безопасности и участвующими в информационном обмене с ФинЦЕРТ. Привлечение к работе над докладом независимых экспертов позволяет сформировать более полную картину киберрисков и способствует объединению усилий рынка в борьбе с киберпреступностью.
Регулятор получил от участников рынка через АСОИ более 500 образцов ВПО, которое злоумышленники использовали при организации атак. Более половины выявленного ВПО относится к программам-вымогателям и шифровальщикам. По результатам анализа полученных сведений специалисты ФинЦЕРТ подготовили и направили финансовым организациям и другим участникам информационного обмена 155 оперативных бюллетеней с индикаторами компрометации систем и сетей – это почти в 4 раза больше, чем годом ранее. Бюллетени позволяют участникам информационного обмена быть в курсе наиболее актуальных киберугроз на финансовом рынке и вырабатывать эффективные меры по противодействию им.
В обзоре также сообщается, что в 2018 году в результате анализа данных, полученных от участников информационного обмена через АСОИ, выявлено свыше 540 интернет-ресурсов, которые распространяли ВПО или являлись его управляющими серверами. При этом более 500 из этих ресурсов зарегистрировано за пределами России. Расположение подобных ресурсов в доменных зонах, на которые не распространяются полномочия ФинЦЕРТ как организации, компетентной в определении нарушений, осложняет возможность приостановки деятельности этих сайтов. В настоящее время ко второму чтению в Государственной Думе готовится законопроект, наделяющий Банк России правом досудебной блокировки таких ресурсов на территории Российской Федерации вне зависимости от географической привязки доменного имени. Регулятор рассчитывает на принятие этого законопроекта.
Авторы обзора рекомендуют организациям кредитно-финансовой сферы уделять внимание как минимум двум направлениям работы. Во-первых, взаимодействию со своими клиентами и партнерами в части повышения осведомленности сотрудников в области безопасности (security awareness) и обеспечения необходимого уровня защиты на их стороне. Во-вторых, банкам следует сосредоточиться на обеспечении безопасности во внутренней сети и внедрении средств защиты, которые позволят оперативно выявлять следы атак в инфраструктуре.
Информация из обзора может быть использована руководителями и специалистами финансового рынка при планировании мероприятий по информационной безопасности и для ознакомления персонала с основными видами актуальных угроз.