Сергей Голованов, «Лаборатория Касперского»: Казахстан поставил антирекорд в СНГ по безопасности корпоративных данных
Вопросы информационной безопасности стоят в Казахстане весьма остро — эксперты бьют тревогу.
Вопросы информационной безопасности стоят в Казахстане весьма остро — эксперты бьют тревогу и призывают обратить внимание на эту тему. Под особым ударом бизнес — по данным представителей «Лаборатории Касперского», в республике наблюдается наиболее быстрый рост инцидентов именно в корпоративном сегменте. Подробнее о том, как обстоят дела в сфере ИБ и какие тенденции будут задавать тон, в интервью Profit.kz рассказал Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
— Сергей, одна из важных тем сегодня — это информационная безопасность в финансовой сфере. Что происходит в этом вопросе в Казахстане и в СНГ? Какие вы видите тенденции?
— В Казахстане мы наблюдаем самый быстрый рост инцидентов в корпоративном секторе во всем регионе. Если в 2015 году приходилось в среднем пять сообщений о попытке заражения на один корпоративный компьютер, то в 2016 году мы наблюдаем существенное увеличение инцидентов — до 16 атак на один ПК. Это максимальный показатель, он существенно выше, чем в России, Азербайджане или Белоруссии.
Что касается количества компаний, которые столкнулись с потерей критических данных в результате инцидентов: этот показатель составляет 39%. То есть, это означает, что 39% компаний теряли данные, которые относятся к категории важных.
И несколько слов о тенденциях. Тут есть два основных вектора. Первый — атаки на финансовые структуры становятся более сложными и изощренными. Второй — это шифровальщики, то есть, программы, которые шифруют что угодно и где угодно, а потом требуют выкуп. Несмотря на то, что второй вектор несколько проще, да и потери от него не такие большие, этот пласт вредоносного ПО показывает большой рост. Например, в 2015 году он составил +70%, а в 2016 году показывает еще большие темпы.
Если посмотреть на финансы: по количеству атак на онлайн-банкинг в Казахстане показатель составляет 6% — это максимальное значение по СНГ. Также для Казахстана характерен устаревший парк рабочих станций в корпоративном сегменте. Компьютеров, которые работают под управлением операционной системы Windows 10, не так много. Заметно, что компании, оптимизируя свои расходы, мало внимания уделяют апгрейду парка ПК и миграции на новые операционные системы. Например, ряд ПК все еще работает под управлением Windows XP, а между тем, поддержка этой операционной системы уже давно закончилась. А это значит, что Microsoft не будет больше выпускать патчи и заплатки в области безопасности для этой ОС. Это может стать реальной угрозой: учитывая, что злоумышленники об этом знают, они продолжат искать бреши в этой ОС, зная, что они никогда не будут закрыты.
При этом если вернуться к ДБО (дистанционному банковскому обслуживанию), то в Казахстане не так много удаленных систем, поэтому ожидать, что количество таргетированных атак на эти системы будет расти, не стоит.
— Есть тренд — банки уходят в онлайн. И это не только дистанционное обслуживание, но и все операции с клиентами, которые осуществлялись ранее в офлайне. Уже отмечалось, что сейчас вектор интересов злоумышленников смещается с конечных пользователей на банки. Как эти факторы повлияют на ландшафт информационной безопасности в финансовой сфере?
— Банки уходят в онлайн потому, что на них давят экономические факторы — сейчас не выгодно содержать офис, сотрудников. Проще и дешевле купить сервер, какие-то информационные системы, красивый интерфейс. И люди из любой точки планеты могут пользоваться банковскими услугами. И с любого устройства. При этом злоумышленники тоже понимают эти тренды. Они уходят «внутрь», то есть, на уровень приложений. Таких историй уже много по миру. В каком-то особом случае банки могут потерять даже денежные средства, необходимые для ведения операционного дня. Если банк их теряет, то у директора по информационной безопасности есть очень хорошая причина, чтобы запросить средства у совета директоров на современные системы защиты.
— Получается, в какой-то степени подобные инциденты могут быть даже выгодны директорам по ИБ...
— Напрямую — вряд ли, директора по ИБ просто могут уволить. Но банки хорошо умеют просчитывать свои расходы, поэтому всегда необходимо обоснование. ИТ-директор может говорить сколько угодно, пугать, объяснять, и часто это тщетно. А вот после таких инцидентов, если его не уволили, то говорить с бизнесом становится проще. Появляются, наконец, деньги. Тут есть еще тренд — ассоциации. Банки, понимая опасность, объединяются в группы, создают «зонтики», которые работают в рамках группы. В Казахстане такой пример — CERT, который как раз и создан для создания таких «зонтиков безопасности». И в этом есть логика — маленький банк просто не справится с современными угрозами. Единственный путь — объединяться. Ведь если злоумышленники щелкают как орешки большие банки, и даже, как в Бангладеш — Центробанк, то что тут говорить о небольших банках?
— Недавно была громкая история с системой SWIFT. И «тонким» звеном в этом кейсе как раз были названы банки. А какова вероятность подобных крупных инцидентов в СНГ?
— Вероятность есть. Что касается «тонкого» звена, то очень внимательно следует изучать договора, договорные отношения. Кто должен был проверить легитимность транзакции, кто согласовал ее, кто проверил ее на мошенничество? Почему это важно? Да потому, что деньги придется возвращать. И в этом процессе это делает тот, по чьей вине это произошло. В СНГ центробанки могут участвовать в прямом обмене информацией. Разумеется, это касается каких-то очень нетривиальных ситуаций, как те, о которых мы говорим.
— На одной из конференций вы рассказывали о ситуации, когда злоумышленники похитили большие суммы, поменяв данные в информации о счетах. Расскажите, пожалуйста, подробнее об этом кейсе.
— В любом банке есть база данных — примерно она выглядит как таблица Excel. Получив доступ к такой базе, преступники могут модифицировать эту таблицу, подставляя нужные значения. Подменив остаток по счету, они совершенно спокойно превратили 100 долларов в 100 тысяч. И совершенно спокойно сняли эти деньги через банкоматы. Почему это произошло? Потому, что банки сводят баланс не в режиме реального времени. В некоторых случаях — вообще раз в неделю. После первого происшествия банк стал сводить баланс быстрее, ну, скажем, раз в 2 часа. Злоумышленники поняли, что им просто не хватает времени, чтобы снять с банкомата столько денег, и они решили модифицировать другую колонку в этой таблице — регистрационные данные. Они нашли группу клиентов, у которых на счету лежали большие суммы и просто поменяли имена этих клиентов на имена подставных лиц. После этого те абсолютно легально приходили в банк с паспортом и снимали средства со счета. А когда приходил настоящий владелец счета, он удивлялся тому, что на счету нет денег, и ему приходилось доказывать, что он владелец счета, предъявляя договор и прочие физические документы с печатями. Получается, что только благодаря этим бумажным документам владельцы счетов могли доказать свои права. После этого банк ежечасно стал проверять контрольную сумму регистрационных данных. Если она неожиданно менялась, то счет блокировался. Этот случай, кстати, произошел с банком в СНГ.
— Судя по всему, это достаточно нетипичный случай?
— Да, нетипичный. Еще нетипичен он и тем, что случился в новогодние каникулы.
— А что делать банкам в нынешних реалиях? Как можно защититься? Ведь сложно предугадать, что придумают злоумышленники в следующий раз.
— Схема атаки практически во всех случаях одинакова: заражается сначала один компьютер, например, в службе поддержки. Допустим, туда приходит такое письмо: «Хочу перевести деньги туда-то, подробности в прикрепленном письме». Сотрудник открывает письмо и заражает свой ПК. Злоумышленники начинают заражать компьютер за компьютером, доходит до администратора. Смотрят, куда имеет доступ этот администратор. И заражают ближайшую финансовую систему. Причем, злоумышленникам наплевать что это: если это онлайн-банкинг, то пойдет вал электронных платежей; если речь идет о банкомате, то они начнут «выплевывать» деньги «на улицу»; если это система межбанковского перевода, значит, транзакции начнутся там. Но всегда есть одно правило — в большинстве случаев хакеры берутся за самое простое, то, что ближе всего.
— Какие рекомендации вы могли бы дать? Что делать?
— Если банк не справляется своими силами, нужно идти к сторонним специалистам. «Самолечением» заниматься не нужно — можно сделать только хуже.
— В таком случае совет директоров может задать резонный вопрос: «А что у нас делает департамент ИБ, если рекомендует нам обратиться к сторонним специалистам в случае „болезни“?».
— Есть ситуации, когда они сами прекрасно понимают, что им нужна помощь специалистов. В какие-то моменты, в каких-то экстраординарных ситуациях без внешних специалистов просто не справиться. И тогда приезжает группа с рюкзаками и ноутбуками, спокойно раскладывает ситуацию по полочкам, и все становится понятно: кто виноват, что делать, какие предпринять меры.
— Считается, что любая, даже самая сложная и продвинутая, система уязвима. Это так?
— Да, это так. Невзламываемых систем не бывает. Но всегда есть возможность здорово усложнить злоумышленникам жизнь.