0

Информационная безопасность сбербанка россии

Каждодневная деятельность банковских систем тесно связана с применением современных компьютерных технологий и находится в очень большой зависимости от надежной и бесперебойной работы электронно-вычислительных систем. Как показывает мировая практика, есть очень много фактов, которые свидетельствуют о достаточно сильной уязвимости практически любой компании, так как киберпреступлениям не мешают государственные границы. Поэтому хакеры имеют потенциальную возможность в равной степени угрожать информационным системам в любой стране и в любой точке мира.

Основными инструментами кибермошенников являются:

  1. Вирусные программы
  2. DDoS-атаки
  3. Мошеннические схемы воровства денег с дебетовых и кредитных карт.

Противодействие DDoS-атакам

В качестве примера можно привести Сбербанк, который в 2018 году отразил 90 DDoS -атак, из которых 25 имели очень высокую мощность. Об этом известил Сбербанк в отчете «Банковские тренды — 2018».

Из этого отчёта следует, что уровень DDoS-атак на электронные устройства Сбербанка вырос в полтора раза по сравнению с 2017 годом. Почти каждую неделю на электронные адреса банка приходит примерно 14,5 тыс. писем с вирусными программами. В течение 2018 года Сбербанк подвергался в среднем двумя DDoS-атакам в неделю. Эти атаки фактически являются посторонними воздействиями на электронику банка, которые вызывают сильные перегрузки. В результате таких атак, вполне вероятна полная остановка работы всех систем Сбербанка.

Попробуй обратиться за помощью к преподавателям

В ноябре прошлого года поступило сообщение, что Сбербанк огласил результаты своей работы в 2018 году в области кибернетической безопасности. Согласно этому отчёту службы банка не позволили кибернетическим мошенникам украсть 32 млрд рублей со счетов клиентов банка.

Согласно данным на конец 2018 года, одним из основных видов кибермошенничества является социальная инженерия. Подавляющее большинство обнаруженных Сбербанком в 2018 году попыток оказались по сути именно таким способом прорыва к закрытым данным. Он базируется на знании слабых сторон человеческой натуры. Наиболее распространённым способом обмана клиентов Сбербанка из большинства выявленных случаев социальной инженерии являются так называемые «самопереводы» денег, которыми полностью управляют мошенники. Наиболее распространенным способом «самопереводов» является мошенничество на общедоступных сайтах, где публикуются объявления о продаже. Продавец публикует своё объявление на сайте, от якобы «покупателя» поступает телефонный звонок, в ходе беседы продавец сам даёт ему данные своей банковской карты, а в некоторых случаях и SMS-пароли якобы для того, чтобы покупатель выполнил необходимые процедуры от имени продавца.

Задай вопрос специалистам и получи
ответ уже через 15 минут!

Кроме того, Сбербанк начал применять специальную систему фонд-мониторинга, которая основана на использовании искусственного интеллекта. Система фонд-мониторинга контролирует и обрабатывает более 150 млн операций за сутки и блокирует недопустимые транзакции.

Лаборатория кибернетической защиты банка ежедневно отслеживает более 3 млрд различных действий и непосредственно борется с различными вирусными программами.

Вирусные программы

27 июня 2017 года кибернетическая атака с применением вирусной программы «PETYA.A» поразила почти все континенты, при этом заразив компьютерные системы более чем 64 стран, хотя, однозначно и безусловно, наибольший ущерб был нанесён именно Украине. Согласно данным Microsoft, в Украине было заражено вирусом PETYA.A более 12 тысяч компьютеров.

В Украине, кроме компаний, жертвами вируса стали органы государственной инфраструктуры, энергетические компании и банки, то есть системообразующие элементы. По данным СМИ от атаки понесли ущерб такие банки как «Ощадбанк», «Укрсоцбанк», «Укргазбанк», «ОТП Банк» и «Приватбанк».

Опасность этой кибернетической атаки заключалась в том, что ее целью было явно не получение прибыли, как изначально могло показаться на первый взгляд. Атака была направлена прежде всего на создание затруднений в работе предприятий и стирание баз данных и отдельных файлов, ведь вирус, изначально, не предусматривал возможность их восстановления.

Личные данные сотрудников Сбербанка попали в открытый доступ

В октябре прошлого года были похищены личные данные 421 тыс. работников Сбербанка. В файле небольшого объёма были записаны ФИО сотрудников и вся их секретная информация. Этот файл кто-то поместил на одном из профильных сайтов. Он доступен для скачивания всеми пользователями. Подтвердил подлинность этой базы данных один из работников Сбербанка, а также сотрудник фирмы, занимающейся информационной безопасностью банка. В этом файле есть информация и о работниках нескольких фирм, также принадлежащих Сбербанку, среди них и те, которые расположены за пределами РФ. Кроме того, есть данные и о некоторых уже не работающих в банке работниках. Но службы Сбербанка утверждают, что данная проблема никак не угрожает безопасности средств клиентов и электронным устройствам. Кроме того, известно, что доступ к книге адресов имеют все работники банка. Однако, как произошла фактически кража файла, так и осталось неизвестным.

Безопасность Сбербанка соответствует международным стандартам

Следует отметить, что в Российской Федерации Сбербанк в числе самых первых стал соответствовать международному стандарту ISO/IEC по информационной безопастности.

В этом документе прописаны основополагающие моменты, которые должны соблюдаться при проектировании, сдаче в эксплуатацию, а также сопровождению и постоянному наращиванию возможностей всей системы безопасности программного обеспечения Сбербанка. В документе также отражены необходимые условия, на основании которых можно предположить возможный уровень рисков в системе кибербезопасности конкретного банка.

Так и не нашли ответ
на свой вопрос?

Просто напиши с чем тебе
нужна помощь

Наша главная задача — сохранность ваших денег и личных данных

Мы постоянно блокируем новые угрозы и используем самые современные средства защиты

Но самая надёжная защита — это ваша осведомленность, бдительность и осторожность

В мобильном приложении

Нажмите иконку телефона в левом верхнем углу

На номер 900

С мобильного телефона, звонки по России бесплатные

На номер +7 495 500-55-50

для звонков из любой точки мира, по тарифам оператора

Давайте бороться
с мошенниками вместе

Вы столкнулись с чем-то подозрительным — например, обнаружили
поддельный сайт или аккаунт в соцсетях с логотипом Сбербанка?
Или стали свидетелем действий мошенников — например,
они под видом сотрудников позвонили вашим родственникам?
Напишите нам, мы примем меры.

Правила личной кибербезопасности

Это должен знать каждый, кто не хочет быть обманутым и лишиться денег
Узнать правила

Узнайте о распространённых приёмах злоумышленников и не дайте им себя обмануть
Узнать

Вы столкнулись с незаконными действиями
сотрудников Сбербанка?
Сообщите нам!

Если вам стало известно о причастности сотрудников банка к мошенничеству или коррупционным схемам, сообщите нам любым удобным способом:

​​

Напишите на горячую линию Управления внутрибанковской безопасности Сбербанка

​ ​

Позвоните на номер

Отправьте бумажное письмо по адресу: Москва, 117997, ул. Вавилова, д. 19, ПАО Сбербанк, Управление внутрибанковской безопасности

Срочно позвоните в контактный центр Сбербанка на номер 900 (с мобильного телефона) или зайдите в Сбербанк Онлайн, выберите карту и нажмите «Заблокировать карту», после чего позвоните в банк.

  • Посмотрите, с какого номера пришло СМС:
  • • Если сообщение пришло с номера 900, позвоните в банк любым
  • удобным способом:
  • — в контактный центр Сбербанка из мобильного приложения Сбербанк Онлайн
  • — с мобильного телефона на номер 900
  • — или с любого телефона на номер, указанный на обратной стороне
  • карты. Сотрудник банка сообщит вам дальнейшие действия.
  • • Если сообщение пришло с другого номера, вероятнее всего, его
  • отправили мошенники. Перезванивать на этот номер
  • «для разблокировки» нельзя. Если появились сомнения, действительно
  • ли ваша карта заблокирована, вы можете позвонить в банк по номеру
  • 900 и уточнить информацию.
Читайте также:  Зарегистрироваться в гто для школьников 6 класс

В этой ситуации вам нужно обратиться в банк и попросить временно заблокировать СМС-банк. Затем заблокируйте свою сим-карту у сотового оператора.

Если вам звонит сотрудник банка, он не будет запрашивать номер вашей карты, ПИН-код или CVV2/CVC2-код, логин, пароль от Сбербанк Онлайн или код из СМС. В этой ситуации прекратите разговор и позвоните в банк любым удобным способом:

— в контактный центр Сбербанка из мобильного приложения Сбербанк Онлайн,

— с мобильного телефона на номер 900,

— или с любого телефона на номер, указанный на обратной стороне карты.

При звонке клиенту сотрудник Сбербанка всегда обращается по имени-отчеству; никогда не просит конфиденциальные сведения: полные реквизиты карты (номер карты, ПИН- и CVV-код), СМС-пароли банка; никогда не требует совершать операций с картой.

Помните, что задача мошенника — застать вас врасплох и не дать времени проанализировать ситуацию, поэтому он будет настаивать, чтобы вы выполнили его требования как можно быстрее.

Таким банкоматом пользоваться нельзя. Отмените текущую операцию, нажав кнопку «Отмена», и дождитесь возврата карты.

Если банкомат не возвращает карту, позвоните на номер 900 или по телефону, указанному на банкомате. Не отходите от банкомата, пока не выполните рекомендации сотрудника банка.

Позвоните на номер 900 или по телефону, указанному на банкомате. Не отходите от банкомата, пока не выполните рекомендации сотрудника банка.

Нет, устанавливать приложения по ссылкам из СМС-сообщений или электронной почты нельзя, даже если в сообщении утверждается, что оно из банка. Используйте только официальные приложения банка для Android, iPhone, iPad и Windows Phone.

Нет. Для входа в Сбербанк Онлайн нужен только логин, личный пароль или одноразовый пароль из СМС. Если на сайте запрашивают любую другую персональную информацию, например, номер банковской карты или мобильного телефона, покиньте сайт и срочно обратитесь в банк.

Не соглашайтесь, её могут использовать в мошеннических целях. Правоохранительные органы в первую очередь будут проверять владельца карты на причастность к преступлению.

В первую очередь обратите внимание на почту отправителя. Как правило, мошенники используют общедоступные почтовые домены или покупают домены, похожие на официальные доменные имена компаний, чтобы ввести получателя письма в заблуждение.

Вас должно насторожить, если тема, контент письма или название файлов побуждают вас к немедленному действию: перейти по ссылке, нажать на кнопку, открыть файл, немедленно ответить на письмо.

Важно также обратить внимание на обращение и подпись в письме: если они безличные, высока вероятность обмана. Контакты для обратной связи в таком письме могут быть недостоверны, поэтому проверьте их на официальном сайте компании.

Не переходите по ссылкам и не кликайте на подозрительные объекты. Наведите курсор мыши на подозрительную ссылку или объект, чтобы увидеть, куда она ведёт на самом деле. Сравните адрес с адресом официального сайта компании.

Будьте осторожны с вложениями: открывайте только те из них, которые вы ждали от своих адресатов.

Не вводите свои конфиденциальные данные, логин и пароль на подозрительных сайтах или в какие-либо анкетные формы.

Не отвечайте на подозрительные письма.

Нет. Никогда не вводите «пароли для отмены операции» и не сообщайте никому СМС-коды. Об этом могут попросить только мошенники. Если вы с этим столкнулись, покиньте сайт и срочно обратитесь в банк.

Ни в коем случае. Это распространенная схема мошенничества, когда от имени банка мошенники направляют ссылки на фишинговые сайты. Не переходите по подозрительным ссылкам, при любой оплате в интернете проверяйте адрес сайта и вводите данные только если домен точно совпадает с официальным названием сайта.

Напишите по адресу fraud@sberbank.ru , если стали свидетелем любой мошеннической деятельности, например:

если вы обнаружили сайт с сомнительными финансовыми предложениями,

где мошенники скрываются под брендом Сбербанка и вводят в заблуждение потребителей;

если вам пришло подозрительное СМС сообщение, якобы от банка,

о проведении операции и требованием позвонить;

если вам звонили мошенники и пытались получить персональные данные;

если вы получили сомнительное письмо, возможно содержащее вирус или ссылку на источник распространения вируса;

если вам известны номера карт, используемые мошенниками для хищения денег;

если вы обнаружили уязвимость на одном из публичных онлайн-сервисов Сбербанка: Сбербанк Онлайн, Сбербанк Бизнес Онлайн, сайт sberbank.ru и других.

Если вы потеряли карту или подозреваете, что ваш счёт атакуют мошенники, срочно её заблокируйте. Для этого позвоните в контактный центр Сбербанка на номер 900 с мобильного телефона. Или зайдите в интернет-банк или мобильное приложение Сбербанк Онлайн — найдите нужную карту и нажмите «Заблокировать»

Содержание статьи

Об управлении безопасностью

Сегодня существует два основных подхода к управлению безопасностью: регуляторный и риск-ориентированный. Регуляторный подход — «должно быть вот так, делаем все по инструкции». Но, к сожалению, когда появляются новые технологии, технологические вызовы и потребности бизнеса, сторонники такого подхода сразу говорят вам «нет» и внутренние документы говорят вам «нельзя». И что тогда делать? Нужно включать глубокую техническую экспертизу, принимать решения самостоятельно либо делать это на уровне вышестоящего руководителя, обходя существующие правила?

Самый простой пример — облака. Как запустить облачный сервис, если никто не дает тебе гарантий, что это безопасно? Все говорят: «Мы только будем нести ответственность в рамках договорных обязательств, но ничего не гарантируем». Это разные понятия. Как хранить чувствительную, конфиденциальную информацию в облаках, как управлять этой информацией? Как вообще организовывать управление доступом технических служб поставщиков сервиса к вашей конфиденциальной информации или полностью доверять используемым ими механизмам безопасности?

Есть и более сложные примеры, связанные со сложностью самих технологий. Скажем, что такое облачный сервис, якобы не требующий интеграции в инфраструктуру компании? Например, Office 365. На практике это означает, что у вас есть куча «дырок» в инфраструктуре, которые обеспечивают коммуникации со всем миром. И каждой такой «дырочкой» нужно управлять. И далеко не все из них можно контролировать в традиционном смысле. У некоторых закрытый протокол для фильтрации, некоторые криптографически защищены, другие имеют динамически измененяемые порты. Встает очень сложная задача — управление относительно «неизвестными» облачными информационными потоками.

Появляются новые термины и знания, которыми каждый современный специалист должен владеть. Если раньше специалисты оперировали такими привычными терминами, как IP-адреса, порты, протоколы, DNS-имена, то сейчас возникает много новых терминов. Таких как UEBA,TI, EPP, PAM, IRP, SDS и так далее. Мы внимательно следим за всеми новыми знаниями и полезными инструментами и хотим развивать команду таким образом, чтобы иметь лучшую компетенцию в обеспечении кибербезопасности нашего цифрового банка.

Об образовании и его недостатках

В декабре 2017 года мы открыли Академию кибербезопасности. В Корпоративном университете Сбербанка прошел двухдневный семинар «Роль кибербезопасности в цифровой организации». В семинаре приняли участие представители рабочих групп программы правительства России «Цифровая экономика», технологических компаний, вузов и дочерних компаний Сбербанка.

Видение Академии следующее: есть классическая пирамида безопасности — правила, процессы, технологии. Кибербезопасность значительно расширяет эту пирамиду по каждому основанию. Такое расширение знаний — это именно то, чем мы хотим делиться и, конечно, усиливать свои компетенции.

Мы организовали работу и партнерские отношения с семью вузами в Москве. Мы помогаем им по всем направлениям. Образование — это очень важно. Я сам десять лет преподавал на кафедре ИУ8 (информационная безопасность. — Прим. ред.) МГТУ им. Баумана.

Проблема нашего образования заключается в том, что специалистов по безопасности не учат IT-технологиям. Нет базы для того, чтобы вообще с ними разговаривать. В свою очередь, IT’шникам ничего не рассказывают про безопасность. Получается, что у нас недоученные IT’шники с точки зрения безопасности и очень слабые безопасники, потому что нет фундамента для IT.

Читайте также:  Бесплатное приложение для планирования бюджета

Это огромная проблема. Если сравнить программы вузов, посмотреть, чем занимаются схожие специальности, это абсолютно разные вещи. Какие компетенции есть у преподавателей в вузе, те и наращивают, а обо всем остальном забывают. Это глобальная проблема, которая связана в том числе с низкими зарплатами наших педагогов. Чтобы получать достойную зарплату, нужно иметь загрузку 200% и все возможные ученые степени.

Поэтому ваш журнал — один из «лучей света». Нужно пытаться ликвидировать эту проблему своими силами, силами самих читателей журнала. Чтобы выйти на следующий уровень технической грамотности.

Первый пробел образования — это технические знания, которым никого не учат. Здесь в основе должны быть предложенные рынку интенсивные практические центры подготовки и тренировки. Когда можно на несколько дней погрузить всю команду безопасности и ее руководителей в среду с высокой интенсивностью информационных событий, потоков, атак. Это даже могут быть полигоны реально существующих предприятий, банков, энергетических компаний.

Второй пробел образования — вопросы кибербезопасности в менеджменте современной организации. Раньше менеджмент любой современной компании заключался в том, что руководителю нужно было знать, что собой представляет его продукт, склад, маркетинг, финансы и кадры. В принципе, этого было достаточно, чтобы управлять компанией. Сегодня, с возникновением новых киберугроз, новых форм организации коммуникаций и коллаборации, появляются новые сущности, которыми руководителям любого уровня тоже нужно управлять.

Одна из точек внимания руководителя — управление рисками кибербезопасности. Как предмет для изучения она представляет собой нечто совершенно новое в современном мире, требующее осознания как техническими специалистами, так и самыми высокими руководителями. В середине, между технологиями и менеджментом организации, мы видим большой провал и отсутствие необходимых знаний о безопасности новых услуг и технологий, организации соответствующих процессов и функций. Это может быть тот же блокчейн, облака, безопасность искусственного интеллекта, машинное обучение, биометрия или новые регуляторные требования, например GDPR. Об этом много говорят, но мало кто в России готов прийти и рассказать, что конкретно для этого нужно делать именно в вашей организации.

Очевидно, что у нас также существует множество других пробелов. Простой пример, который я очень часто привожу при разговоре с регуляторами. Наши регуляторы очень часто говорят: «У нас все есть, все документы есть, просто берите и начинайте работу». Я отвечаю: «Хорошо, я представляю маленький или средний бизнес, хочу сделать политику безопасности. Куда мне идти?» Оказывается, идти нужно в американский SANS Institute, один из старейших в сфере информационной безопасности. Шаблоны документов на компанию — все на английском языке. И почему я должен доверять этим документам, их полноте покрытия применительно к моему бизнесу? Почему я не могу найти этого в России?

О квалификации в сфере ИБ

По моему глубокому убеждению, специалист по безопасности — прежде всего эксперт в IT. Для IT-компаний существует стандартный подход: сотруднику нужно сдать экзамены, тесты и таким образом подтвердить квалификацию. Но в случае секьюрити-команды это сделать достаточно сложно. Дело в том, что сначала ты должен хорошо знать IT-технологии, а уже потом говорить, что умеешь что-то в сфере безопасности. Иначе это приводит к ситуациям, когда, например, специалист по межсетевым экранам умеет эксплуатировать только само устройство, но не знает, как работает канал связи, как пакеты трансформируются и передаются между сегментами, как происходит сетевая трансляция адресов, обработка трафика на межсетевом экране.

Оценить качество команды кибербезопасности, по моему мнению, очень тяжело. Потому что стандартные тесты — это для IT’шников. Для безопасников тоже существует широкий круг тестов, но областей, где их можно проверить, настолько много, что нет некоего универсального подхода.

У нас в компании разработана своя система. Мы отошли от проверки при помощи тестов и внедрили систему сертификации. «Коллеги, в течение какого-то времени вы должны предоставить сертификаты по соответствующим вашей позиции компетенциям. Где и как вы будете учиться, решать вам. Обучение мы оплатим». И у каждого сотрудника есть четкое понимание, как он подтвердит свою квалификацию. В результате это, конечно, увеличило стоимость обучения сотрудника в разы, но банк пошел нам навстречу, разрешив внедрить такую систему.

Но это все равно очень тяжелый труд. Мы оценили, что подтверждать квалификацию сертификатами на длительном промежутке времени — это тоже достаточно долго, дорого и тяжело. Поэтому следующий способ — это подтверждение квалификации «с рынка». Чтобы экспертное сообщество сказало нам, что мы компетентны. Как это можно сделать? Конференции, журналы, публикации и другая «внешняя жизнь».

Такой путь кажется мне наиболее интересным и жизнеспособным. Хотя в конечном счете все зависит от качества «материала», с которым мы работаем. Например, у сетевых инженеров уходит примерно пять лет, чтобы соответствовать всем стандартам безопасности, которые мы внедрили и приняли. То есть инженер пришел в банк, начал работать, и через пять лет он соответствует тому, что мы хотим видеть с точки зрения экспертизы безопасности. В то же время участие в различных внешних мероприятиях может ускорить этот процесс, создать некую систему ценностей внутри коллектива.

Два года назад первые статьи давались нашим сотрудникам чуть ли не со слезами. Причем это грамотные и умные люди, которые управляют крупнейшей инфраструктурой в стране, но, оказалось, они не могут доступно изложить свои знания. Отчасти это связано с тем, что целеполагание у них направлено на поддержание систем, а не на управление рисками, понимание технических процессов в системе и технических стандартов. Это вопрос повышения технической экспертизы в общем стриме повышения компетенции команды, и это одна из самых главных наших задач. Зачем это нужно? Затем, что мы — крупнейшая цифровая компания и нам очень важно иметь технические компетенции, соответствующие тому бизнесу, которым банк занимается.

Мы повышаем грамотность наших специалистов за счет хакерских скиллов. Для этого мы проводим различные тренинги с российскими и международными центрами, пишем технические тексты и хотим писать еще больше. Мы взаимодействуем с вузами по этим направлениям, и у нас есть собственная RedTeam, которая должна изнутри помогать, усиливать нас своим знанием и пониманием современных угроз и вызовов, а с другой стороны, она же должна нас «раскручивать» и «расшатывать».

RedTeam

В этом году мы впервые создали в России RedTeam. Эта команда ломает нашу же службу безопасности, по согласованным методам и сценариям. Есть очень интересные результаты.

Команда RedTeam — это подразделение, которое работает по собственному плану, тестирует безопасность IT-систем, проверяет качество работы нашей собственной службы кибербезопасности. Существует план работы этой команды. Он согласован с нашим курирующим зампредом, Станиславом Кузнецовым. Задача RedTeam — найти уязвимости, реализовать их, не нарушив непрерывность работы банка, показать их. Если служба кибербезопасности отработала, обнаружила уязвимость или «атаку» — все молодцы. Если нет, нужно разобраться, почему так произошло.

В прошлом году мы провели обучение всего коллектива в Москве и частично в регионах. Мы привлекли к этому несколько центров: Pentestit, лабораторию безопасности МГУ, IBM’овский киберцентр в Дублине. Также мы ведем переговоры с несколькими исследовательскими компаниями. Задача — научить наших инженеров, как стать хакерами. Чтобы они думали, как хакеры, и понимали, как действуют злоумышленники.

Если говорить о процессах, то раньше у нас был один процесс, а сейчас двадцать семь процессов в рамках операционной деятельности. В качестве основы мы выбрали операционную модель Security Operation Center, разработанную компанией IBM. Перед этим мы изучили все существующие в мире модели, глубоко погрузились в решения Hewlett-Packard, Dell, Microsoft, Cisco и в итоге выбрали модель IBM, как наиболее зрелую и способную к жизни.

Читайте также:  Как включить цифровое телевидение на телевизоре philips

Работа RedTeam очень важна, потому что в прошлом году мы запустили крупнейший в Европе проект по строительству Security Operation Center. Для нас SOC — это не экраны и не консоли управления. Для нас это прежде всего процессы и правила действия наших сотрудников. Для нас это огромная трансформация сознания. Если раньше задача дежурной службы заключалась в том, чтобы подсчитать и доложить, сколько операций на средствах защиты, связанных с внесением изменений, они провели за сутки, то относительно недавно мы начали действительно управлять рисками безопасности в нашей инфраструктуре, и RedTeam помогает отлаживать наши же процессы.

О проведении ИБ-учений и их важности

Мы на постоянной основе проводим учения для всех наших сотрудников. Самое распространенное — это фишинговые атаки. Об этом много писали в интернете. Когда приходит письмо от имени главы компании, никто не смотрит на адрес, письмо открывают все подряд. А потом получают уведомление, что это были учения службы кибербезопасности. И всем «двоечникам» назначается наш курс «Агент кибербезопасности». Это четырехчасовой игровой курс, состоящий из нескольких модулей и построенный на геймификации по нашему сценарию.

Также у нас есть командно-штабные учения, в которых участвует все руководство банка. Все сотрудники и руководители банка по специальному сигналу собираются в центре кризисного управления. Мы отрабатываем несколько вводных. Например, одна из вводных — масштабное заражение вирусом-шифровальщиком. Мы смотрим, как наша IT-служба будет планировать восстановление данных. Это поможет расставить приоритеты и понять, что и в какой последовательности нужно восстанавливать. Также руководители должны принять меры по управлению бизнесом в ситуации, когда часть IT-систем или ряд компьютеров пользователей не работают.

В этом году мы дважды проводили такие учения. Учения были полностью засекречены, причем мы начали «атаку» не с обычных пользователей, а с администраторов. У администратора на экране вылетает окно: «Все зашифровано, плати деньги». На самом деле наша программа ничего не шифровала, она только блокировала экраны и имитировала шифрование. То есть, если ввести секретную комбинацию, компьютер возвращался в строй. Об этом мы, конечно, никого не предупреждали заранее.

Несколько сотен администраторов выехали в резервный центр управления, где на специально созданных позициях восстанавливали инфраструктуру. Когда администраторы научились это делать, мы перешли к следующему этапу.
Поначалу администраторы, конечно, и компьютеры отключали-подключали, и из розетки их выдергивали. Теперь, если такая атака повторится, если произойдет что-то подобное, мы знаем, что действия администраторов будут осознанными, это будет не стихийное делание всего подряд.

Киберучения для нас очень полезны. Благодаря таким учениям сегодня мы точно знаем, сколько дней у нас занимает восстановление той или иной части инфраструктуры, в зависимости от масштабов и зараженных элементов, если нас накроет какой-либо шифровальщик. Нужно понимать, что никто не застрахован от подобного, уязвимости есть всегда, особенно уязвимости нулевого дня.

Мы отрабатываем различные сценарии на пользователях. К примеру, это может быть проверка соблюдения правил безопасности при работе с носителями информации. Мы специально разбрасываем флешки, на которых записана специальная программа. И если пользователь откроет содержащийся на носителе файл, мы всегда узнаем об этом. У нас бывают учения в области социальной инженерии, связанные со звонками по телефону и выуживанием конфиденциальной информации. Для этого мы специально обзваниваем наших сотрудников.

Также мы проводим много тренировок с участием нашей RedTeam. Здесь существует много направлений, начиная от несанкционированного подключения к Ethernet и различных действий внутри локальной сети. Мы определяем, через какое время наша служба кибербезопасности обнаружит злоумышленника и обнаружит ли вообще. Какими средствами его обнаружат, как будут работать процессы, какие меры будут приняты.

Есть и более сложные сценарии, например когда не просто имеет место подключение к инфраструктуре, а происходит реальная атака. У нас бывали случаи, когда с помощью одной простой атаки «вскрывали» какую-то другую «незаметную» уязвимость и подрывали устойчивость инфраструктуры, эксплуатируя нечто элементарное.

Работа в Сбербанке

Мы приглашаем на работу ребят, которые имеют опыт исследования технологий. Но стоит сказать, что мы ждем «белых» хакеров, «черные» хакеры нам не нужны. Людям с криминальным прошлым тяжело встать на «светлый путь».

Конечно, мы понимаем и признаем необходимость таких высокотехнологичных хакерских компетенций. Именно по этой причине в прошлом году Сбербанк создал дочернюю компанию BI.Zone («Бизон», Безопасная Информационная Зона). Задача этой компании и ее команды — постоянно тестировать наши сервисы, системы и продукты за периметром банка. Там собраны очень интересные специалисты. Я считаю, что это одна из лучших команд в России. В частности, на прошедшей недавно конференции ZeroNights проводился один из крупнейших CTF под эгидой BI.Zone.

BI.Zone была создана специально для того, чтобы иметь внешнюю компетенцию. Эта команда не должна знать ничего об инфраструктуре Сбербанка. При проведении исследований их задача — смотреть на систему так же, как на нее смотрят хакеры. Они не знают о нас ничего и помогают нам следить за всеми нашими «дочками», ведь сегодня в группе компаний их насчитывается более трехсот. Примерно половина из них имеют IT-составляющие и свои сервисы, за которыми тоже нужно присматривать.

Непосредственно Сбербанк — это огромная компания. Говоря о Сбербанке, мы подразумеваем его мобильное приложение, веб-сайт. Но на самом деле Сбербанк — это множество сервисов, которые распространены по всей России и за которыми тоже нужно следить. У нашей компании одна из крупнейших лабораторий в мире для исследования информационных систем. Она имеет специальную лабораторную базу, построенную на оборудовании различных производителей. Она проводит исследования безопасности различных продуктов, как для нас самих, так и для рынка.

Наше будущее и перспективы

Основа интернета (TCP/IP, архитектура операционных систем), по сути, не сильно изменилась с начала его существования. Но с точки зрения информационной безопасности проблем будет становиться все больше. Потому что сейчас новая функциональность появляется за счет наращивания объемов кода, вычислительных возможностей, но нет никаких базовых и фундаментальных решений, связанных с безопасностью самой основы. Мы не переходим на IPv6, новые архитектуры, стандарты и протоколы. Поэтому можно сказать, что наша работа будет востребована еще долго.

Нас ждут новые уязвимости, новые атаки, новые интересные события. И конечно, в таких условиях единственное «лекарство» — это технические компетенции и правильно организованная система управления операционной безопасностью. На самом деле в этом нет ничего сложного.

Когда заканчивалась эпоха Windows XP, лично у меня возникло ощущение, что Windows наконец-то стала безопасной. Новых уязвимостей тогда долгое время не обнаруживали, все было спокойно. Но как только поддержка Windows XP прекратилась, начался переход на новую Windows, и вместе с ней появились новые ОС, мобильные платформы. Получили развитие клоны Android, вновь стали находить 0day-уязвимости.

Сейчас появляются новые сущности для управления. И пока не все понимают, что они собой представляют. Та же безопасность смарт-контрактов, о которых многие говорят, но еще больше людей даже не знают, что это такое. Появляются и обсуждаются новые темы, такие как безопасность искусственного интеллекта, безопасность киберфизических систем. К примеру, если с беспилотным автомобилем произошла авария, кто должен нести ответственность? Тот, кто сидел в машине, тот, кто писал программу, или тот, кто разработал этот автомобиль? В этом смысле сфера наших знаний и области профессиональной компетенции будут только расширяться, а значит, нас ждет много интересной работы.

admin

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *