Платежные системы защищены?

Исследование "Информационная безопасность в финансовом секторе"

04.12.2017
10:10

Компания Qrator Labs совместно с Валарм провела аналитическое исследование финансовой отрасли (российские банки и платежные системы) по теме проблематики, масштаба и динамики угроз DDoS-атак и взломов. Работы в рамках настоящего исследования проводились в формате полевого опроса.

Респондентам предлагалось ответить на вопросы анкеты. Опрос был организован среди банков и платежных систем, работающих в России. В выборку включены банки из рейтинга ТОП 200 по размеру активов. В опросе участвовали руководители ИТ-подразделений, их заместители, а также руководители департаментов, отвечающих за вопросы информационной безопасности.

Результаты исследования

 

I.  ПОНИМАНИЕ РИСКОВ

 

Бюджет на ИБ

Отрасль информационной безопасности закономерно продолжает расти. По данным проведенного опроса, более трети (32%) респондентов из финансовой отрасли подтвердили увеличение своего ИБ-бюджета в 2016 г., а еще 39% отметили сохранение инвестиций в безопасность в прежнем объёме.

 

Осознание рисков

Более половины опрошенных отмечают в числе наиболее существенных последствий от инцидентов ИБ финансовые и репутационные риски. Повышение риска отзыва лицензии фиксируют около четверти респондентов (годом ранее – более 60%). Важно, что специалисты по банковской безопасности начинают всё более приоритезировать защиту бизнеса и репутации, а не только соответствие требованиям регулятора.

 

Замена используемых средств защиты

Более четверти респондентов видят для себя необходимость в замене используемых средств защиты при переходе на новые инфраструктуры (облака, микросервисы и пр.), где используемые решения перестают быть эффективными.

Заметную роль при принятии решения об обновлении используемых средств защиты играет вопрос происхождения закупаемых продуктов: около 13% респондентов ответили, что в первую очередь склонны заменять импортные решения на российские аналоги.

 Приобретение решения WAF

В качестве основного фактора для покупки решения WAF респонденты отметили защиту от уязвимостей 0 дня – 37%. Такой возможностью обладают только решения нового поколения, использующие бессигнатурный подход для детектирования атак. По-прежнему значительная часть компаний использует WAF для соответствия стандарту PCI DSS – 27%. По мнению экспертов Валарм, использование коробочного решения без предварительной настройки и обучения персонала не может гарантировать корректную защиту веб-приложений и соответствие стандарту.

II. ТИПЫ УГРОЗ
 
Уровень угроз в 2016 году 

Более половины респондентов из финансового сектора (55%) отмечают, что за последний год уровень угроз DDoS вырос. По-прежнему DDoS-атаки на организации финансового сектора устраиваются чаще, чем на компании из других отраслей, например, ритейл, СМИ. Запустив DDoS-атаку в качестве отвлекающего фактора, злоумышленники с помощью вредоносных программ могут произвести захват системы управления безналичными платежами и, таким образом, получают возможность переводить деньги между любыми счетами до момента своего обнаружения. Отсюда следует, что системы защиты, применяемые в финансовых организациях, несовершенны, и подходы к развитию ИТ-инфраструктуры требуют пересмотра и обновления.

DDoS-атаки 

Угроза атак на отказ в обслуживании продолжает расти: почти половина опрошенных испытывала по крайней мере одну DDoS-атаку в 2016 году. Столкнувшись с наличием мер по защите от атак, злоумышленники обычно переключают своё внимание на иные цели. При этом, около 20% компаний находятся в фокусе злоумышленников и вынуждены применять продвинутые методы защиты.

Таким образом, по мере широкого внедрения различных решений для борьбы с DDoS-атаками ландшафт рынка может меняться. В частности, ожидаемое усложнение “пробных” атак продолжит приводить к эволюции средств защиты и к росту угрозы для организаций и предпринимателей, не планирующих адекватные вызовам инвестиции в ИБ.

Инциденты ИБ в 2016 году 

Наиболее часто опрошенные компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). Угроза фишинга существенно выросла (с 21% в 2015 году до 30% в 2016-м) в связи с компаниями, выходящими на ICO. Смещение фокуса в сторону фишинга – одно из следствий развития инструментов, доступных киберпреступникам. Среднее количество атак на веб-приложения в финансовой сфере, по данным Валарм, составляет 1500 в день. Основная часть из них – это автоматизированные инструменты и сканеры.

По статистике Валарм, основные векторы атак на веб-приложения - это внедрение SQLi операторов – 26,8% и межсайтовая подделка запросов (XSS) – 25,6%. Повышенный интерес к этим типам атак связан с возможностью получения информации о базах данных клиентов и персональной информации пользователей. При этом основная часть инцидентов – 60% – связана с удалённым выполнением кода.

III. ТИПЫ ИСПОЛЬЗУЕМЫХ РЕШЕНИЙ

Большинство респондентов (68%) считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети). Однако, по мнению Александра Лямина, генерального директора Qrator Labs, комбинированные системы не могут обеспечить защиту от целых классов атак.

Передача трафика внешнему поставщику услуг

Почти 2/3 опрошенных заявляют, что пропускают трафик через внешнее решение постоянно или поинцидентно. За прошедший год процент банков, использующих сторонние решения для защиты от атак, вырос кардинально – почти в 2 раза.

Существенную роль в изменении подходов к защите ИТ-инфраструктуры организаций банковской отрасли сыграли рекомендации Центрального банка РФ, который “развернул” банковскую безопасность от формального соответствия требованиям регуляторов в сторону защиты бизнеса и разъяснил необходимость переосмысления политик безопасности, качественной оценки рисков и применения прогрессивных геораспределенных удаленных решений для противодействия DDoS-атакам.

ВЫВОДЫ

-   Как показало исследование, информационная безопасность остается значимым приоритетом для организаций финансового сектора, и этот приоритет неуклонно растет: отрасль находится в стадии пробуждения.

 

-  В индустрии хорошо понимают репутационные риски инцидентов ИБ. Во многом это происходит благодаря действиям регуляторов: многие финансовые организации начинают более серьезно относиться к угрозам и принимать меры по противодействию сетевым атакам.

 

-  Все больше финансовых организаций осознают, что собственных мощностей их оборудования недостаточно для организации полноценной защиты, и начинают привлекать внешние решения. Сегодня акцент уже сместился от применения CPE-решений в сторону комбинирования решений на стороне клиента с другими – облачными и операторскими.