Три четверти банков не готовы к хакерским атакам

Group-IB

Эксперты международной компании Group-IB, специализирующейся на предотвращении кибератак, подготовили отчет о высокотехнологичных преступлениях, к расследованию которых в 2018 г. привлекались сотрудники компании. Среди прочего в отчете говорится о крайне низкой готовности банков к кибератакам.

По данным Group-IB, на банки в прошлом году пришлось порядка 70% хакерской активности. При этом 74% атакованных банков оказались не готовы к кибератакам, у 29% были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом.

Эксперты также пришли к выводу, что более 60% атакованных банков не могут централизованно управлять своей сетью, особенно в территориально-распределенной инфраструктуре, около 80% не имеют достаточной глубины журналирования событий протяженностью более месяца, свыше 65% тратили на согласование работ между подразделениями более 4 часов. Среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента, составляло 12 ч.

Кроме несогласованности в работе внутренних подразделений и слабой проработки организационных процедур, необходимых для установления источника заражения, масштаба компрометации и локализации инцидента, в Group-IB выявили и слабую техническую подготовку персонала банков. Так, профильные навыки по поиску следов заражения и несанкционированной активности в сети у персонала 70% организаций отсутствуют или недостаточны. Более 60% пострадавших банков не могут в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка.

В отчете также говорится, что схемы для обналичивания денежных средств хакерами остались прежними: через заранее открытые «под обнал» банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и SIM-карты. Однако скорость обналичивания похищенных средств в России выросла в несколько раз: если три года назад вывод суммы в 200 млн руб. занимал около 25-30 ч, то в 2018 г. в Group-IB зафиксировали случай, когда такая же сумма была обналичена менее чем за 15 мин. Деньги выводились одновременно в разных городах России.

Наконец, в 2018 г. командой реагирования Group-IB были зафиксированы случаи, когда киберинцидент приводил к созданию резко негативного фона вокруг банка, что провоцировало информационную атаку, репутационные потери, а в отдельных случаях и уход с рынка.

Вокруг банка намеренно или уже по факту создается негативный фон: оценки потенциального ущерба, недопустимо низкий уровень защиты, вероятный отзыв лицензии... Это приводит к оттоку клиентов и партнеров, банк сталкивается с недостаточной капитализацией. Использование кибератаки как инструмента нанесения урона репутации и вытеснения конкурента с рынка — еще один опасный вектор, который потенциально может получить дальнейшее развитие, так как уровень кибербезопасности небольших банков по-прежнему остается крайне низким.