Вячеслав Касимов: «DDoS — не про разрушение, а про репутацию. Порой это страшнее»

Банковский сектор традиционно остается одной из главных целей киберпреступников. Какие атаки представляют сегодня наибольшую угрозу для финансовых организаций?

Наибольшую опасность представляют атаки, связанные с удаленным управлением. При этом не имеет значения, каким способом злоумышленники получают доступ: это может быть доставка вредоносных файлов в инфраструктуру (через электронную почту или мессенджеры) или эксплуатация различных уязвимостей — от zero-day до некорректных настроек в интернет-сервисах или устаревших уязвимостей.

Подобные атаки имеют высокий потенциал развития. Например, злоумышленники могут похищать средства, увеличивая остатки на заранее подготовленных картах или напрямую манипулируя банковскими системами и платежными шлюзами. Возможна эксфильтрация клиентских данных. В завершение атаки, чтобы скрыть следы или нанести дополнительный ущерб, преступники все чаще уничтожают инфраструктуру, в том числе с помощью шифрования данных.

DDoS-атаки распространены, но не столь разрушительны, хотя могут нанести репутационный ущерб, что в условиях высокой конкуренции среди банков также представляет проблему.

Недооцененным остается CEO fraud (мошенничество с использованием поддельных обращений от имени руководства). Этот метод может использоваться как самостоятельный инструмент атаки — например, для получения данных о клиенте, — так и в качестве первой стадии более сложной атаки.

Кроме того, социальная инженерия в отношении клиентов остается серьезной проблемой. Банки сами от нее не страдают, но стремятся защитить своих клиентов, что требует значительных усилий.

Считается, что любая защита — это лишь вопрос времени для атакующих. С какими атаками вам приходится сталкиваться чаще всего?

Скорее, это вопрос ресурсов. Один из подходов к обеспечению информационной безопасности — сделать атаку дороже, чем возможная выгода от нее.

Защита от DDoS-атак: как избежать репутационных и финансовых потерь?

Наиболее частые угрозы — DDoS-атаки и попытки эксплуатации уязвимостей в приложениях. Уязвимости, в том или ином виде, всегда существуют, и если в каком-то сервисе отсутствует двухфакторная аутентификация, его пытаются взломать с помощью перебора паролей. Именно поэтому мы последовательно переводим всех пользователей на двухфакторную аутентификацию абсолютно везде.

Кто чаще всего стоит за DDoS-атаками на банки: конкуренты, мошенники или кто-то еще?

Как правило, это хактивисты или хакеры, финансируемые недружественными государствами. В доказательствах здесь нет необходимости — они сами публично заявляют об атаках, если удается хотя бы на короткое время заблокировать работу компании. В случае неудачи они собирают и распространяют негативные отзывы, чтобы подчеркнуть неэффективность защиты.

Ранее банки сталкивались с ситуацией, когда DDoS-атаки сопровождали кражу средств через системы дистанционного банковского обслуживания (ДБО). Однако со временем злоумышленники отказались от этой практики.

Что касается конкуренции в банковском секторе, она удивительно честная, и это приятно.

Можно ли полностью защититься от мощной DDoS-атаки, или единственная стратегия — минимизация ущерба?

Защититься можно и нужно, но для этого необходим системный подход.

Во-первых, стоит отказаться от стандартных каналов связи в пользу специализированных сервисов фильтрации DDoS-трафика — это первый уровень защиты.

Во-вторых, важно защищать не только сетевые уровни (L3/L4), но и приложения (L7). Для этого можно передавать сертификаты и закрытые ключи для публикуемых web-сервисов, что является не самым правильным путем, или, как в нашем случае, передавать логи веб-приложений по отдельным каналам связи, что позволяет эффективно выявлять аномалии.

Понятно, что отправка логов и начало очистки занимают время. Поэтому в самой защищаемой инфраструктуре должна быть предусмотрена высокопроизводительная фильтрация.

Существуют эффективные решения, и без них не обойтись.

Также важно уметь временно сокращать поверхность атаки, например, отключая тестовые сервисы. Некоторые организации вводят географические ограничения, но они малоэффективны, поскольку злоумышленники давно используют российские хостинг-провайдеры.

И, конечно, необходимо регулярно тестировать защитные механизмы. Даже если схема выглядит безупречной, практика выявит нюансы, требующие корректировки.

Как регуляторные изменения влияют на управление киберрисками?

Это зависит от зрелости процессов информационной безопасности в банке. Для менее подготовленных организаций регуляторные требования могут стать единственно возможным ориентиром. Более зрелые банки уже осознают ключевые риски, но, как и все, вынуждены выделять дополнительные ресурсы на выполнение требований регуляторов. В отдельных случаях это приводит к формальному подходу, но намерения регулятора при этом остаются правильными.

Искусственный интеллект помогает в мониторинге угроз, но при этом создает новые риски. Что, по-вашему, перевешивает — польза или вред?

ИИ скорее уравновешивает ситуацию, помогая начинающим специалистам работать на уровне более опытных коллег.

ИИ в киберзащите финсектора: проактивно и реактивно

На основе ИИ можно автоматизировать многое из выполняемого информационной безопасности, с учетом развития LLM можно автоматизировать аналитиков, сопровождающих задачи ИТ-развития в рамках концепции security by design, даже без LLM можно автоматизировать всю первую линию SOC. Но, как правило, защищающаяся сторона более реактивна. Поэтому я ставлю на преимущество у нападающих и оптимальное использование ИИ в автоматизации их деятельности — например, в ускорении написания и отладки тех же эксплойтов.

Уже зафиксированы случаи использования ИИ в кибератаках. Как изменился ландшафт угроз?

Скорее не изменился, а оптимизировался. ИИ позволяет собирать больше информации о цели, ускорять подготовку атак, валидировать план атак и даже автоматизировать определенные этапы.

Единственное действительно новое направление — усиление атак социальной инженерии за счет дипфейков. Голосовое сообщение от «CEO» или видеозвонок, создающий ощущение общения с топ-менеджером, выглядят гораздо убедительнее, чем обычное письмо. Однако это лишь развитие существующего метода атак.

Как понять, что информационная безопасность в компании работает эффективно? Есть ли универсальные показатели зрелости?

В МКБ мы решили не ориентироваться на рыночные бенчмарки, так как они не дают полной картины. Вместо этого провели аудит по методологии NIST Cybersecurity Framework, поскольку она фокусируется на способности организации противостоять инцидентам, корректно реагировать на них и эффективно восстанавливаться.

Результаты аудита, проведенного по семи доменам фреймворка, позволяют понять, в том числе насколько зрелые те или иные процессы в информационной безопасности.

Из интересного: сейчас рабочая группа по ИБ при АФТ предлагает банкам пройти самооценку по CSF, чтобы составить отраслевой бенчмарк. Мы примем участие — всегда полезно понимать свою позицию.

Многие компании заявляют о «нулевых утечках» данных. Это показатель надежной защиты или просто удачное стечение обстоятельств?

Если таких заявлений стало много, возможно, дело в манипуляции статистикой. Есть компании, которые действительно избегают утечек — это заслуга их команд ИБ. Но таких компаний немного.

Можно ли сказать, что финансовые организации сегодня лучше защищены, чем, например, 10 лет назад?

Да, безусловно. За последнее десятилетие уровень защиты финансовых организаций значительно вырос. Например, 10 лет назад, когда я работал в одном из российских банков, была успешно предотвращена одна из первых целенаправленных атак. Это стало возможным благодаря своевременному тестированию защитных механизмов и профессиональной интуиции. Однако на тот момент еще не были полностью выстроены системные процессы, позволяющие предотвращать инциденты без доли удачи.

Сегодня в МКБ реализована принципиально иная, архитектурно выверенная модель информационной безопасности. Она гибкая, адаптируемая и ориентирована на эффективное противодействие как известным, так и прогнозируемым видам атак.

Какие новые киберугрозы вас тревожат больше всего? Возможно, есть такие, о которых еще не говорят на каждом углу, но вы уже их видите?

Одной из потенциальных угроз можно считать развитие квантовых технологий. Успехи Google и Microsoft в создании устойчивых квантовых компьютеров — основной повод для тревоги.

Давайте представим себе, что они смогут выпустить квантовые компьютеры, доступные крупным корпорациям. Это означает, что примерно через пару дней после начала продаж у злоумышленников будет возможность подделывать те же самые электронные подписи клиентов в рамках интернет-банкинга или сертификаты сайтов, используемых для построения https-соединений. Примерно половина из всех доверенных механизмов обеспечения безопасности станет неэффективной. Напоминает цифровой Армагеддон, и к этому тоже надо готовиться.

Это серьезный вызов для всей отрасли, и подготовка к нему требует детального обсуждения. Пока универсального решения нет, но работа в этом направлении ведется.

Как изменится работа директора по ИБ через 5–10 лет? Какие новые компетенции понадобятся?

Вероятно, роль директора по информационной безопасности будет все больше пересекаться с функциями руководителя разработки. Это связано с активным развитием искусственного интеллекта и упрощением процессов программирования и тестирования. В перспективе может сложиться ситуация, когда значительная часть инструментов контроля будет разрабатываться индивидуально, с учетом специфики конкретной организации. Возможно, компании будут использовать готовые программные платформы, но не исключено, что для построения эффективных механизмов защиты придется разрабатывать собственные решения.

При этом ключевые принципы информационной безопасности останутся неизменными. Важным навыком для успешных CISO станет глубокое понимание цифровой среды и процессов, лежащих в основе современных технологий. Эта тенденция уже заметна, и в будущем она, вероятно, только усилится.