Банки активизировали проведение киберучений в прошлом году

На фоне возросших рисков и атак на информационные системы российских банков в 2022 г. участники финрынка начали активно проводить киберучения, рассказали руководители подразделений информационной безопасности Сбербанка, Промсвязьбанка (ПСБ) и Газпромбанка в ходе Уральского форума Банка России «Кибербезопасность в финансах». Причем подготовка распространилась на служащих всех уровней – от сотрудников колл-центра до топ-менеджеров.

Массовое вирусное заражение

В «Сбере» киберучения охватывают всех сотрудников и подразделения, начиная от руководства и заканчивая операторами колл-центра, рассказал начальник отдела реагирования на киберугрозы Сбербанка Кирилл Вальтц. Их задача – не только научить самих безопасников реагировать на угрозы, но и отработать взаимодействие других отделов между собой и с департаментом информационной безопасности.

Один из сценариев киберучений внутри Сбербанка – массовое вирусное заражение, говорит Вальтц. У банка есть имитатор вируса-шифровальщика, который он распространяет на рабочие станции реальных сотрудников. После этого банк начинает процедуры обнаружения угрозы, отключения различных систем от сети и восстановления рабочих станций. Параллельно с этим проводятся процедуры непрерывности процессов, рассказал Вальтц. Этот метод атаки недавно применялся для киберучений в колл-центре Сбербанка в Екатеринбурге.

Также есть учения с командой атакующих (red team – нанятые извне или собственная команда хакеров, которые пытаются проникнуть в инфраструктуру организации «нелегальными» способами), отмечает Вальтц: они проводятся на регулярной основе по заранее определенному плану, который знает только руководство банка. В сценариях таких атак моделируются ситуации, не только когда злоумышленники атакуют компанию извне, но и когда вредителем может быть один из сотрудников.

В ПСБ тоже есть своя команда нападающих, которая обучается не только обнаруживать и отражать целенаправленные атаки на инфраструктуру, но и выявлять случаи социальной инженерии, рассказал директор департамента информационной безопасности банка Дмитрий Миклухо. Также всех сотрудников банка на постоянной основе обучают через рассылку им фишинговых писем, приглашений на нелегальные сайты и т. д.

В Газпромбанке в 2022 г. были больше сосредоточены на проведении качественных расследований после инцидентов, говорит начальник департамента мониторинга информационной безопасности банка Александр Бабкин. Например, если вдруг хакеру удалось пробраться в инфраструктуру, нужно уметь собирать все цифровые артефакты, которые помогут понять, как и куда именно проник злоумышленник, пояснил он. Также нужно правильно оформить доказательную базу, чтобы потом ее можно было предоставить правоохранительным органам или в международные организации.

Внешние учения

Помимо собственных проверок банки участвуют в киберполигонах и внешних учениях с ЦБ и различными ведомствами. Как показывают произошедшие в последние годы атаки, одна организация не в силах справиться с серьезной организованной кибергруппировкой, говорит Бабкин. Кроме того, именно при киберучениях хорошо можно наладить взаимодействие между разными инстанциями, полагает он.

Атаки внешних команд также помогают сотрудникам информационной безопасности увидеть, где и какие прорехи есть в системе, понять, как они возникли, и сделать так, чтобы это не повторилось, отмечает Миклухо.

Банк России проводит киберучения с кредитными организациями с 2020 г. В 2021 г. в них участвовало 70 банков, а в прошлом году учения проходили со всеми поднадзорными организациями. Они идут по самым разным сценариям – для каждого банка моделируется свой уровень угроз, рассказал журналистам директор департамента информационной безопасности ЦБ Вадим Уваров. По итогам этих учений Банк России оценивает готовность команды информационной безопасности, скорость реагирования на инциденты, процессы восстановления процедур и т. д. Такие киберучения нацелены на то, чтобы показать банкам, на что целесообразно обратить внимание с точки зрения защиты, отметил Уваров.

Основные угрозы

В прошлом году российские банки столкнулись с колоссальным уровнем атак на свою инфраструктуру.

В октябре 2022 г. Сбербанк подвергся крупнейшей DDoS-атаке, говорил зампред правления банка Станислав Кузнецов: в атаке на 440 сервисов «Сбера» участвовало 104 000 хакеров, которые действовали с 30 000 устройств из-за рубежа. В декабре о крупнейшей атаке рассказывал и ВТБ – из-за нее в приложениях банка могли быть сбои. В банке заключили, что источник атаки находился за рубежом, она носила спланированный характер, и назвали ее широкомасштабной.

Сбербанк в прошлом году также столкнулся с ростом фишинговых сайтов, которые использовали его символику, рассказал Вальтц. Чаще всего такие сайты регистрировались на доменных зонах стран Африки: Мали, Габон и т. д. Также все чаще стали происходить атаки через партнеров банка и их экосистему, добавил Вальтц. По его словам, этот тренд продолжится и в 2023 г.

По словам Миклухо, ПСБ попал под атаки еще в 2021 г., но после внесения банка в санкционные списки они усилились. Это были как низкоуровневые DDoS-атаки, так и атаки на приложения, интернет-банкинг и страницы с 3D-Secure (предназначен для безопасной оплаты картой товаров и услуг в интернете). Основная цель, по словам Миклухо, – сделать так, чтобы банк перестал функционировать, соответственно нарушив работу гособоронзаказа.

Летом атаки на Газпромбанк усилились и приобрели целенаправленный характер, часто совмещая в себе сразу несколько векторов и механизмов воздействия, отмечает Бабкин. В частности, в начале осени банк подвергся беспрецедентной DDoS-атаке, которая «шла по всем фронтам»: на все сервисы и бизнес-процессы. Это привело к тому, что клиенты начали звонить в колл-центр банка и обрушили его, отмечает Бабкин. В это же время злоумышленники также стали атаковать IP-телефонию (телефонная связь, которая работает через интернет) банка, а затем добрались до системы sms-информирования клиентов, добавил он.