В якості спікерів запрошені:

• Сергій Недзельський, начальник управління інформаційної безпеки Укргазбанка;
• Артем Кобець, старший консультант відділу консультування з управління ризиками KPMG в Україні;
• Яків Шишков, керівник департаменту інформаційної безпеки IBM.

В програмі круглого столу:

• Навіщо тестувати компанію на вразливість інформаційної системи? Аналітика ризиків і загроз кіберпроникнення.
• Ключові виклики управління вразливостями у банках. Тактика, методологія, інструменти. Провідні кейси розбудови кіберзахисту.
• Останні тренди цифрового шахрайства у банках та ефективні методи боротьби - превентивні та детективні.
• Чи може тестування на проникнення (пенетрейшн тест) спричинити збій у бізнес – процесах і виток конфіденційної інформації?
• Складові надійного кіберзахисту компанії.

Модератором круглого столу виступив керуючий партнер «Фінансового клубу» Руслан Чорний.

– Доброго дня! Сьогодні «Фінансовий клуб» проводить круглий стіл на тему «Щеплення проти кібератак як сучасний підхід управління ризиками». Ми поговоримо про те, наскільки важливо для фінансових установ захищатися від будь-яких вторгнень, зламів, витоку інформації. Нагадаю, що сьогодні річниця враження українських банків вірусом Petya. Від нього майже всі банки постраждали і оговтувалися не один тиждень. Як саме банки та фінансові компанії мають захищатися, яких заходів вживати першою чергою і що робити постійно – сьогодні ми будемо говорити про кібератаки і захист від них. На круглому столі присутні: Сергій Недзельський – начальник управління інформаційної безпеки Укргазбанку; Артем Кобець – старший консультант відділу консультування з управління ризиками KPMG в Україні; Яків Шишков – керівник департаменту інформаційної безпеки IBM.

Артеме, наскільки ваша компанія захищає від кібератак? Які ви бачите основні ризики для фінансових компаній зараз?

Артем Кобець: Доброго дня! Дякую за запитання. Цифрові технології дуже стрімко проникають у наше повсякденне життя, бізнес і роботу. Такі технології, як Big Data, штучний інтелект, блокчейн, інтернет речей, – це вже не просто теорія, а абсолютна реальність, з якою ми стикаємося кожного дня. На жаль, часто так трапляється, коли за допомогою технології ми намагаємося вирішити якісь проблеми, які також можуть принести ризики у наше життя.

Насамперед треба зазначити, що в основі будь-якої технології, яка використовується в банках зокрема, лежить програмне та апаратне забезпечення, яке розробляється звичайними людьми, і воно може мати вразливість. Чому так відбувається? Насправді немає нічого складного, щоб зробити безпечний продукт. Є стандарти, практики, рекомендації.

– Проблема в розробниках продуктів?

Артем Кобець: Частково. Розробники сьогодні працюють в умовах щільної конкуренції. Умови диктують їм необхідність випускати продукти дуже швидко. Якщо ти не встигнеш до дедлайну, твоя компанія понесе збитки.

– Самі компанії нічого не роблять для того, щоб захиститися від кібератак.

Артем Кобець: Так, з одного боку ми бачимо вразливе програмне забезпечення. З другого – ми бачимо компанії, які так чи інакше з цим програмним забезпеченням працюють, які не стежать за оновленнями, не дотримуються рекомендацій з налаштування і парольних політик. Звідси маємо багато проблем.

– Чому так відбувається? Хто саме з програмних розробників найбільш вразливий?

Артем Кобець: Найбільша кількість вразливостей міститься у програмному забезпеченні найбільших виробників: Oracle, Microsoft, Google тощо. Це не означає, що всі компанії такі погані й там працюють криворукі розробники. Причина в тому, що ці продукти є надто популярними у користувачів, серед бізнесу зокрема. Тому вони більше уваги привертають і з боку бекхантерів, серед яких, на жаль, багато тих, хто працює не на користь користувачів, а на користь кіберкриміналітету.

– Дякую. Сергію, у вашому банку багато комп’ютерів були вражені вірусом Petya, як і більшість банків України. Який висновок зробили банкіри тоді і що робиться для захисту зараз?

Сергій Недзельський: Управління вразливостями – процес не статичний, а динамічний. Якщо вчора програмне забезпечення або код були убезпечені, то наступного дня, коли ці протоколи шифрування вже зламані, воно вже вразливе. Його треба постійно оновлювати, сканувати ПЗ на наявність вразливостей.

Після подій 27 червня 2017 року вжито додаткових заходів, впроваджено комплекси з інформаційної безпеки, збільшено штат працівників інформаційної безпеки, частіше проводяться тести на вразливість – як внутрішні, так і зовнішні. Наш банк тепер більш захищений.

– Дякую. Прошу підключитися Якова. Розкажіть, як ви бачите ситуацію зараз. Які заходи зараз передбачає Нацбанк і що буде впроваджено в українських банках?

Яків Шишков: Насправді ситуація значно не змінилася. Був інцидент, у який потрапили майже всі банки України. Деякі організації зробили висновки, але дехто вважає, що снаряд двічі в одне місце не потрапляє. Нацбанк зробив те, що мав зробити – випустив розпорядження, яке має стимулювати банки та обумовлює їх розвиток у стані інформаційної безпеки та антивірусної безпеки зокрема. Якщо культура інформаційної безпеки буде розвиватися, стан захищеності організації буде значно кращим, ніж був до інциденту.

– Мені розповідали айтішники, що банки ставали вразливими, бо не оновлювали програмне забезпечення. А це могло їх врятувати від цієї хакерської атаки.

Яків Шишков: Petya використовував вразливість, яка не охоплювалася антивірусними базами виробників на той момент взагалі. Була використана вразливість нульового дня, тому що до неї ніхто не був підготовлений. Такий рівень атаки був можливий завдяки, так би мовити, колективній безвідповідальності і виробників, і кастомерів.

Моя презентація присвячена пенетрейшн-тестам – «Чи може тестування на проникнення спричинити збій у бізнес-процесах і виток конфіденційної інформації?». Пенетрейшн-тест, або тестування на проникнення, – це така активність, яка має імітувати діяльність угруповань кіберзлочинців, спрямована на отримання доступів до інформації та інформаційних систем користувачів, що може спричинити шкоду для них. Основна мета тесту – повна імітація дій кіберзловмисників. Але тест намагається не нанести шкоду, а дійти до тієї межі, коли шкоду можна нанести, та показати це користувачу.

Я є представником «етичних» хакерів. Більшість хакерів відносяться до проміжного прошарку – до «сірих» хакерів.

Стосовно тестування кодів. Статистично підраховано, що на кожні 1000 рядків будь-якого коду припадає від 15 до 50 дефектів і помилок. У великих вендорів Microsoft, Apple цей показник – половина дефекту на 1000 рядків коду. Це дуже низький показник, але якщо ми візьмемо загальну кількість рядків коду Windows 10 – 50 млн, то загальна прогнозована кількість помилок буде близько 250 тисяч. Все одно це дуже низький показник.

Далі по якості тестування кодів йдуть такі організації, як НАСА. Але ми всі знаємо про катастрофи боїнгів, які сталися через помилки у коді програмного забезпечення. Також знаємо про катастрофи марсоходів. Тобто складність виявлення та закриття помилок у коді зростає експоненційно з кількістю знайдених помилок. Це каже про те, що помилки будуть завжди.

Якщо помилки є, то хтось їх знайде. Краще нехай їх знайде кастомер чи представник, якого він знайде, ніж криміналітет.

Пенетрейшн-тести – це процеси, які складаються зазвичай з декількох фаз.

– Ми не будемо на цьому зупинятися. Презентацію кожен зможе скачати.

Яків Шишков: Чи може пенетрейшн-тест спричинити виток інформації? Пен-тест починається з процедури перемовин із замовником. Тобто замовник запрошує організацію, яка проводить для нього пен-тести, і домовляється про всі деталі. По-перше, він має окреслити мету, яку хоче досягнути. Бути захищеним – це надто загально. Мета має бути більш конкретною, наприклад: знайти невідповідності у архітектурі якоїсь системи або знайти помилки у веб-сайті, протестувати дії персоналу. Також визначається обсяг пен-тесту. Зазвичай ця тривалість – один-два тижні. Це все коштує грошей, кастомер не бажає платити багато. Перелік систем і мереж має бути чітко окреслено.

– Нагадаю історію минулого року, коли був скандал з ПриватБанком щодо нібито витоку інформації до ФСБ. Виявилося , що це були тести у ПриватБанку. Чи дійсно був виток інформації?

Яків Шишков: Щодо витоку інформації дуже важко сказати, був він чи не був. Якщо вона була опублікована, наприклад на WikiLeaks, то виток, звичайно, був. Пен-тести показують не витік інформації, а можливість цього. А якщо був витік, то цією інформацією користуються організації, структури, які власне і були замовниками такого витоку.

– Тобто за допомогою пен-тесту можна домогтися витоку інформації.

Яків Шишков: За допомогою пен-тесту можна домогтися не витоку інформації, а імітації витоку. Були кастомери, які вважали, що був витік інформації, та хотіли впевнитися, так це чи ні. Пен-тестери говорили, що, можливо, так, був витік.

– Тобто компанії, які проводять такий тестинг, повинні мати беззаперечну репутацію, щоб до них зверталися. І якщо їм мало замовляють таких тестів, то, можливо, їм просто не довіряють.

Яків Шишков: Це так. Треба наймати компанії з позитивною репутацією, з дуже досвідченим персоналом, який працює в правовому полі, має необхідні сертифікації та рекомендації від клієнтів. Але ми всі розуміємо, що неможливо гарантувати чесність і надійність будь-якого індивідуалу.

– Будь-яку людину можна купити, це питання ціни…

Яків Шишков: Так. Тому коли проводяться тести з дуже чутливою інформацією в системах, така інформація не публікується в пен-тестах, тобто пен-тестер не повинен мати навіть можливість доступу до неї. Тоді база даних, витік якої, можливо, був, тимчасово переноситься на інший сервер. Замість неї кладеться звичайний текстовий файл з якоюсь хеш-сумою. Якщо пен-тестер зміг дістатися до нього, це означає, що він також міг дістатися до інформації у цій базі. Таким чином, ми підтверджуємо, що пенетрейшн-тест пройшов успішно, але, звичайно, це не є успішним для замовника. Але пен-тестер не мав можливості ознайомитись з конфіденційною інформацією, і замовник може бути спокійним за свої конфіденційні дані.

– У фінансових компаній і банків найчастіше крадуть гроші. Артеме, що має відбуватися, щоб у них не крали гроші?

Артем Кобець: Якщо ми розглядаємо цифрові технологїї як один з можливих інструментів для викрадення грошей та для фроду, то банкам в першу чергу треба розуміти, як ці інформаційні технології мають використовуватися безпечним шляхом.

KPMG проводила дослідження щодо найбільших цифрових ризиків, з якими стикаються сьогодні банки в усьому світі. Дослідження стосувалися трьох найбільших ринків: Америка, Європа та Азія. Тенденція така, що цифрові ризики в цих трьох регіонах більш-менш схожі. По-перше, це витоки даних, по-друге, соціальна інженерія, і по-третє, стрімкий розвиток нових каналів і так званих швидких платежів. Як з цим боротися? Напевно, кожен з цих ризиків має розглядатися індивідуально. Немає єдиного рецепту, яким чином банкам захиститися від них.

Досить популярний варіант шахрайства – соціальна інженерія, коли зловмисники примушують користувачів видавати їм конфіденційну інформацію. Це спільна відповідальність і клієнтів банку, і самого банку. Завдання банку – в першу чергу сприяти підвищенню обізнаності користувачів про те, що можна робити, що ні, як визначити, що ти можеш стати жертвою шахрайства. Не можна на комп’ютері відкривати спливаючі вікна, треба відрізняти фішингові листи тощо.

– Сергію, це справді спільна відповідальність клієнтів і банку. Як ви навчаєте клієнтів, щоб убезпечити їх від шахрайства?

Сергій Недзельський: Основна причина шахрайських дій – це соціальна інженерія. Не вразливість програмного забезпечення, а неуважність клієнтів, які віддають логіни, паролі від мобільних додатків Клієнт-банку. Це потрібно доносити, мабуть, вже на шкільному рівні. Банки це роблять і в месенджерах, і на своїх сайтах. Цю інформацію треба доводити до людей, як це робиться на рівні медицини, коли навчають: мийте руки перед їжею.

– Як банки вчать своїх клієнтів захищатися?

Сергій Недзельський: Усіма можливими методами: через соціальні мережі, СМС-повідомлення, брошури тощо.

– Останнім часом Фонд гарантування став найбільшим власником активів банків і розробив низку освітніх роликів… Чи банки збираються те ж саме робити?

Сергій Недзельський: Так, під егідою Асоціації ЕМА робляться ролики.

Я хочу ще прокоментувати щодо пен-тестів. Банки зобов’язані раз на рік проводити їх згідно з вимогами Нацбанку, виявляти вразливості, не потрібно цього боятися. Цей процес контролюється банком. Ті ж хакери не питатимуть, коли і як проводити ці дії, які призведуть до витоку інформації. Краще це буде під контролем.

– А які зараз основні тренди у шахрайстві та що саме є популярним цього року?

Сергій Недзельський: Соціальна інженерія: СМС – «зверніться до банку, до служби безпеки Нацбанку…» І вже у телефонних розмовах шахраї виманюють логіни, паролі до мобільного додатку Клієнт-банку. Також працює така річ, як перехват номера мобільного телефону. А оскільки ідентифікація зав’язана на мобільні номери, то спочатку здійснюється крадіжка мобільного номера, а потім виводяться кошти з банківського рахунку.

– Особисто двом моїм знайомим вже надходили такі дзвінки нібито від служби безпеки банків, але вони обізнані в цьому... Таких випадків побільшало?

Сергій Недзельський: Окремої статистики немає. ЕМА консолідує цю інформацію.

– Що на другому місці після соціальної інженерії?

Сергій Недзельський: Соціальна інженерія – це найголовніша причина витоку коштів. Таких спроб побільшало. Безготівкових розрахунків стає більше, люди більше користуються мобільними додатками, і шахраї теж рухаються у цьому напрямку.

– Хоча це не є темою сьогоднішньої бесіди, але також збільшенню таких випадків сприяє й те, що на гарячих лініях банків клієнт спочатку має вислухати довгий текст про рекламні акції замість того, щоб швидко заблокувати картку. Це не є добре і це буде збільшувати кількість таких шахрайств в цілому.

Сергій Недзельський: Я можу сказати, що робиться у нас для того, щоб таких випадків шахрайств було якомога менше. Ми вживаємо заходів, щоб шахраям було якомога важче це робити. Ставимо такі запобіжники, щоб це не залежало від людини.

– А щодо вікового цензу ваших клієнтів, наскільки старше покоління вразливе?

Сергій Недзельський: Так, воно менш обізнане і більш вразливе.

– Дякую. Якове, могли б щось додати щодо тенденцій шахрайства саме зараз?

Яків Шишков: Україна наздоганяє світ. Соціальна інженерія дійсно набирає обертів. Шахраї мотивовані отримати гроші. Крадіжка грошей з персонального рахунку клієнта – бабусі чи дідуся є не дуже цікавою для шахраїв. Вони не оперують такими сумами. Якщо мова йде про крадіжку грошей одного, двох або сотні клієнтів банку, це навіть не організована злочинність, а якісь студенти, індивідуали.

– Так, були гучні скандали в США, коли одночасно була вкрадена інформація про 250 тис. клієнтів і у них зникли всі гроші. В тому числі були хакери з України.

Яків Шишков: Буває таке. Стосовно хакерів з України – це важко довести.

– Це офіційна інформація.

Яків Шишков: Будь-яка особа, яка знає, що таке анонімайзер і проксі-сервер, має п’ять доларів на власному рахунку, може купити собі IP-адресу хоч Китаю, хоч Японії, хоч США, хоч Канади. Відслідкувати активність з таких адрес, звичайно, можливо, а це вже в компетенції ФБР, АНБ, і навіть вони не завжди можуть встановити такий ланцюжок, особливо якщо таких переходів між IP-адресами кілька десятків. І ці адреси відносяться до різних юрисдикцій, регіонів. Ми знаємо напевно, що Китай не буде ділитися інформацією з американськими спецслужбами. Росія, мабуть, також. Купити IP-адреси в цих країнах – це питання грошей, і дуже невеликих. Тобто були ці хакери з України чи ні, стверджувати напевно не можна. Але хакери в Україні дійсно є, і вони досить талановиті.

Щодо трендів. Підростає юне покоління хакерів, які не лінуються читати книжки і прагнуть зайняти ту нішу, де перебувають досвідчені хакери. Дехто з останніх, можливо, виїхали за кордон і перестали представляти Україну у хакерському просторі або стали «білими» хакерами. Ця ніша зараз заповнюється, і на щастя, дуже повільно, але є така тенденція. Соціальна інженерія, яку ці хакери практикують на клієнтах банків, – це також індикатор розвитку хакерського простору України.

– Питання до всіх учасників: що мають робити банки і будь-які компанії, щоб краще забезпечити захист від кібератак?

Сергій Недзельський: Треба проводити пенетрейшн-тести, виявляти вразливості та оперативно проводити дії щодо їх усунення.

– Згідно постанови Нацбанку, це треба робити кожного року.

Сергій Недзельський: Так. Але, наприклад, якщо банк сертифіковано за PCI DSS, то тести на вразливість мають виконуватися щоквартально. Є посилені міжнародні вимоги із захисту. Коли виявляються вразливості, треба проводити додаткове оновлення програмного забезпечення, апаратних засобів захисту. Треба вкладати в це людський ресурс, все залежить від людей.

Артем Кобець: Я вважаю, що фундаментом у вирішенні проблеми кібербезпеки чи то банку, чи то іншої організації в першу чергу є усвідомлення того, що кібербезпека – це не проблема виключно IT, а бізнесу в цілому. Це має усвідомити вище керівництво компаній.

Для вирішення цієї проблеми, напевно, потрібні три головні компоненти: по-перше, найняти потрібних людей, по-друге, побудувати правильні процеси, по-третє, використати ефективні технології та інструменти.

Яків Шишков: Доповню щодо частоти тестувань. Пен-тести – це хороша перевірка реальної готовності організації до кібератак. Нацбанк дійсно вимагає тестувати середовище банків щонайменше один раз на рік. PCI DSS – це стандарт безпеки даних, розроблений міжнародною організацією PCI Security Standards Council, підтримується усіма міжнародними платіжними організаціями: Visa, MasterCard, American Express, JCB и Discover. Цей стандарт вимагає від банків та інших організацій, які працюють з картковими даними клієнтів – чи то випускають картки, чи приймають (термінали), – дотримуватися його. Стандарт дуже суворий.

– Адже картки випускають усі українські банки. Майже у половини є свої процесингові центри. Усі банки мають відповідати цим стандартам?

Яків Шишков: Гарне запитання, хоча воно поза рамками нашої дискусії. Я можу дуже багато про це говорити. Так, усі банки, які працюють з картковими даними, повинні показати відповідність цьому стандарту. Це вимоги міжнародних платіжних систем. Але вони дають період адаптації.

– Я правильно розумію, що сьогодні не більше двох десятків банків відповідають цим стандартам?

Яків Шишков: Так. На 2016 рік таких банків було 13-14. Якщо банк не відповідає цим стандартам, це привід для міжнародних організацій накласти санкції на ці банки, які виражені в досить таки відчутних штрафах – від $25 тис. – і зростають експоненційно.

Якщо банк зазнав втрат внаслідок шахрайства, пов’язаного з картковими даними, і банк не був сертифікований за PCI DSS, він несе посилену відповідальність перед міжнародними платіжними системами і може бути оштрафований на сотні тисяч доларів.

Сергій Недзельський: Я можу прокоментувати: перший штраф, якщо не помиляюся, – $50 тис., далі дається термін на усунення вразливості, потім через місяць – $150 тис., далі $250 тис., і повне відключення.

– Чи були такі випадки відключення?

Сергій Недзельський: В нашому банку не було, про інші не можу сказати.

Яків Шишков: В Україні дійсно таких банків не було, але були банки, покарані міжнародними платіжними системами США. Я чув, що кілька років тому банки США були вимушені виконувати вимоги цього стандарту, незважаючи на те, що стандарт американський. Вони дуже добре рахують гроші, а імплементація стандарту – недешева річ.

– Зараз в Україні менше 20 банків виконують цей стандарт, до 10 – не випускають картки, працюють тільки з юрособами. Тобто 50 банків з року в рік не виконують цей стандарт, і від Visa та MasterCard їм нічого немає.

Яків Шишков: Але потенційна можливість отримати є. Скажу з власного досвіду: Visa та MasterCard приділяли велику увагу картковій безпеці банків навіть тоді, коли PCI DSS ще не було – на початку 2000-х років. Visa та MasterCard направляли своїх офіцерів безпеки для перевірки реального стану безпеки банків. Це стосувалося Укргазбанку, наскільки я знаю. У 2001 чи 2002 році він пройшов усі перевірки, тому що створювали там безпеку розумні люди. Але відтоді міжнародні платіжні організації стандартизували ці вимоги безпеки і просувають їх у банківське середовище. Також вони розуміють: якщо сильно тиснути на банки, вони будуть протестувати. Триває така собі гра: з одного боку, необхідно забезпечити безпеку карткових даних клієнтів, з другого – банки не бажають витрачати великі гроші. Поступово ваги схиляються в бік безпеки. Мине, мабуть, років три-п’ять, і цей стандарт стане обов’язковим для всіх банків. За невідповідність йому будуть дуже суворі санкції.

– Через три-п’ять років карта банків сильно зміниться. Якщо банки не вкладаються в IT, то через два роки їх просто не буде. Їх поглинуть ті, хто йтиме в ногу з технологіями. Що ще ви могли б порадити тим 50 банкам, які зараз не відповідають тим стандартам, які мають бути?

Яків Шишков: Банки – це насамперед бізнес, фінанси. Керівники банків та фінансові керуючі цими структурами повинні мати фінансові плани на найближчі три-п’ять років. Можливо, вони не планують продовжувати свою діяльність.

– Я не знаю. Вони кажуть, що не будуть виконувати 95-у постанову, бо їм це дорого.

Яків Шишков: Я беру гіпотетичну ситуацію, коли банк планує попрацювати два-три роки та закритися, або відкритися під новим брендом, або відкрити інший напрямок бізнесу. Але ті банки, які планують продовжувати свою діяльність у банківській сфері, вони обов’язково повинні замислитись над безпекою своїх клієнтів, тому що відсутність якихось інцидентів в інформаційній безпеці – це лише питання часу. Вони трапляються постійно. Іноді їх вдається приховати, іноді ні. Така інформація серед банків постійно циркулює. Якщо б вони виплили у пресу, це був би скандал.

Банки балансують на дуже тонкій грані. Економія може обернутися втратою репутації та бізнесу.

Що менше банків залишається у банківському середовищі України, то більшою стає ймовірність, що конкретний банк буде атаковано якимось абстрактним угрупованням хакерів. Якщо цілей стає менше, щільність атак на них зростає.

– Спеціалісти, які працювали в банках і пішли з них, наскільки потрібні в інших банках, які існують зараз?

Яків Шишков: Дуже потрібні. Банки кажуть, що немає грошей на інформаційну безпеку, розвиток IT, оновлення, але на нові банківські продукти – є. Саме ця реклама може бути запущена при зверненні клієнта у кол-центр, коли фактор часу відіграє вкрай важливу роль. Банки повинні вирішити для себе: або вони будують бізнес надійно та безпечно і з меншими вигодами для себе, або намагаються заробити якомога більше грошей, але тільки на цей час, і не вкладаються у стратегію.

– Банки зараз немов «бігають у зачарованому колі». Бідкаються, що мало грошей, тому що не можуть заробляти. Щоб більше заробляти, треба видавати більше кредитів. Щоб видавати їх, вони не мають бути такими дорогими. Щоб не були такими дорогими, Нацбанк має зменшити облікову ставку. НБУ її не зменшує, тому що він бореться з інфляцією. Він стримує ті ризики, на які нас наражає Верховна Рада і Кабмін, щоб не було зайвих грошей в економіці. А без грошей немає кредитування. Банки ходять у цьому колі. Сергію, я правий?

Сергій Недзельський: Нацбанк у 95-й постанові запровадив ризик-орієнтований підхід до побудови інформаційної безпеки. Є вимоги обов’язкові, є рекомендовані. Банки можуть приймати ці ризики, але топ-менеджмент у випадку інцидентів повинен повертати кошти, якщо у клієнта вони будуть вкрадені.

– До сьогодні я не знав про таку річ. Виявляється, запровадження 95-ї постанови, яка зобов’язує банки враховувати ризики і убезпечувати себе від кібератак, було спровоковано вірусом Petya. Для того щоб банки ще серйозніше підходили до захисту коштів клієнтів, потрібен ще один Petya?

Яків Шишков: Насправді передумови для появи цієї постанови виникли ще за два роки до неї. Але для того щоб передумови були реалізовані у вигляді якогось конкретного документа, необхідний був стартер, яким виявився Petya.

– Тобто я правильно кажу: має бути ще один Petya.

Яків Шишков: Ще одного Petya банківські установи не переживуть.

– Але, наскільки я пам’ятаю, не всі банки тоді постраждали, в тому числі з російським капіталом, які вкладали великі гроші в IT.

Яків Шишков: За моєю інформацією, постраждали банки, які не мали сегментації мережі, не виконували своєчасного патчингу систем. Стосовно Petya, патчі були важливими після нього, але до нього це ніби показувало культуру IT: розуміють IT-спеціалісти та керівники департаментів, що якщо система не оновлюється, то вона стає вразливішою з часом, або не розуміють. Це індикатор того, чи мають ці люди працювати на своїх посадах, чи ні. Це не питання інформаційної безпеки, а питання розуміння IT-тенденцій в цілому.

– Чомусь я не пам’ятаю, що багато голів тоді полетіло.

Яків Шишков: Полетіло. Просто така інформація не дуже поширюється. Я вас запевняю: таке дійсно було. І не тільки по банках.

Сергій Недзельський: Хочу прокоментувати. Є вимоги з оновлення. Критичні оновлення мають встановлюватися протягом місяця. Але якщо їх встановлювати, банківське програмне забезпечення там не працюватиме, і треба оновлювати той самий мобільний банкінг тощо. Час оновлення розтягується від місяця до року, щоб після встановлення все далі працювало.

Артем Кобець: Я вважаю, що оновлення – це не єдиний спосіб виправлення вразливостей, існують інші способи. Дуже часто ті інформаційні системи, які є в наявності, розгортаються з коробки і зовсім не конфігуруються. Тому, можливо, варто подумати над питанням правильної конфігурації, слідування кращим практикам стосовно використання програмного забезпечення тієї чи іншої системи. Також існує низка різних компенсуючих контролів, наприклад, як сказав Яків, можна влаштувати коректну сегментацію мережі, дати доступ до вразливих систем тільки тим користувачам, яким ці системи потрібні, налаштувати файрволи тощо.

Ще хочу додати стосовно скрутного становища з кібербезпекою. Колеги згадали про регуляторні штрафи і репутаційні втрати. Це не єдині ризики, які несуть кібератаки. Якщо зловмисник потрапляє до інформаційної системи банку, то можливі й прямі фінансові втрати. Кіберінциденти можуть призвести до збоїв у роботі інформаційної системи, що може негативно позначитися на бізнес-процесах у банку, а будь-який простій – це також додаткові гроші.

– Про що ми ще забули поговорити і що ви можете додати наприкінці нашого круглого столу?

Яків Шишков: Я, мабуть, коротко закінчу презентацію. Пен-тест – це найкращий індикатор вразливості системи.

Коли організація вважає за необхідне залучити пен-тестерів до тестування інформаційної безпеки своїх систем, вона може ознайомити свій персонал з таким бажанням або ні – це анонсовані чи неанонсовані пен-тести. Якщо організація вважає за необхідне протестувати персонал у складних ситуаціях, коли існує хакерська загроза, то вона не анонсує пен-тест. Мета його – протестувати швидкість реагування на інцидент. Якщо необхідно протестувати саму систему, персонал треба проінформувати, щоб не заважали роботі пен-тестерів.

А тепер про те, чому присвячена уся презентація: можливий чи ні витік інформації та який вплив на бізнес-процеси організації протягом пен-тесту? І ні, і так. Неможливий тому, що пен-тестер розуміє, що він має досягати мети, заради якої його найняли, – протестувати безпеку, а не зламати систему. Але реальність завжди буває набагато цікавішою. Є чотири можливості, коли пен-тест може спричинити якусь шкоду бізнес-середовищу.

Перше – це непередбачуваний вплив пен-тесту або дій пен-тестерів на інформаційне середовище замовника. Це пов’язано з мережевим обладнанням, програмним забезпеченням, яке може неадекватно реагувати на достатньо нешкідливі дії пен-тестера, наприклад, сканування портів.

Друге – це передбачуваний вплив на середовище IT. Час від часу пен-тестер стикається з ситуацією, коли він бачить вразливість системи, та для того щоб просунутись далі за сценарієм пен-тесту, йому треба застосувати деякий експлойд (спеціальний код чи скрипт, який переводить систему в режим, який не був передбачений її розробниками та який дозволяє пен-тестеру отримати деякі привілеї). Це потрібно для того, щоб показати замовнику, що система дійсно вразлива. Без таких кроків неможливо завершити пен-тест і доповісти замовнику, чи можливий був виток інформації. Такі дії можуть вплинути на бізнес-процеси, але зазвичай вони не можуть спричинити витік інформації.

Третє – це наявність довготривалих загроз. Коли пен-тестер починає тестувати якусь систему і бачить за непрямими ознаками, що там вже присутні інші хакери – «чорні». Тобто система вже зламана, з неї качають інформацію. Система вже скомпрометована. Ті хакери, які вже присутні в цій системі, також можуть зафіксувати присутність в ній інших хакерів. Вони не знають, хто це: чи це безпека банку, чи конкуренти. В результаті можуть бути досить «цікаві» дії. Хакеру потрібен час, щоб приховати свої сліди і не бути пійманим. На це не лишається часу, тому хакери часто вирішують «натиснути червону кнопку».

Четверте – це досить кумедна річ. Недостатньо досвідчений хакер приділяє багато уваги проникненню в систему, але не приділяє уваги захисту своїх власних систем від інших хакерів. А Інтернет – це велике сміттєзвалище, там є багато різних хакерів, фрілансерів.

Що можна зробити, щоб уникнути цих проблем? Наймати хакерські команди з позитивною репутацією та досвідом, вірніше, команди пен-тестерів. Пен-тестер має виконати свою роботу на користь клієнта та показати, чи вразливий клієнт, чи ні. Іноді IT чи безпека організації прагне показати своєму роботодавцю, що вони недарма свій хліб їдять, і намагаються упіймати тих, хто від них не ховається. Йде якась учбова атака на систему, IT починає відключати порти, вмикати файрволи, які завжди були вимкнені тощо. Організації Approved Scanning Vendor, яким дозволено проводити пенетрейшн-тести на користь PCI DSS, відразу вимагають вимкнути всі IDS, веб-аплікейшн файрволи і пристрої, які перешкоджатимуть доступу пен-тестерів до кінцевих систем.

– Мені якось розповідав мій знайомий – адміністратор, як його запросили в одну велику компанію. Він з’ясував, що там стоять великі сервера, шумлять, споживають електроенергію, і вони не підключені ні до чого. Чого вони там стоять, ніхто не знає. Хоча й змінилися власники. Хтось працює з цими серверами, щось закачує, але до компанії це не має ніякого відношення. І таких випадків багато.

Яків Шишков: Так, таких випадків достатньо у кожній організації.

Закінчую. Фактори успіху пенетрейшн-тесту – підтримати мотивацію пен-тестерів, тому що вони постійно перебувають у гіршому становищі, ніж «чорні» хакери, які не обмежені часом, бюджетними грошима. Наймач пен-тестерів вказує їм, які рамки не можна переходити: не використовувати деструктивні атаки, експлойди. У «чорного» хакера мета одна – дістатися інформації та грошей. Наймачу пен-тестерів має бути вигідно урівняти пен-тестерів і хакерів у можливостях, якимось чином граючи часовими рамками чи бюджетом, методологією.

Артем Кобець: Хотів би дещо додати до слів Якова. Я погоджуюсь з паном Яковом. Але самі результати пенетрейшн-тесту є конфіденційними даними, тому що вони містять інформацію про вразливості в інформаційних системах компанії, зокрема банку. Компанії, яка надає послуги з пенетрейшн-тестування, також потрібно дотримуватися певних вимог до інформаційної безпеки. Напевно, варто десь в надійному місці зберігати результати пенетрейшн-тесту і передавати їх надійними каналами зв’язку.

Сергій Недзельський: Як я вже говорив, не треба боятися пен-тестів. Проблему краще попередити, ніж потім вживати заходів для її усунення. Результати пен-тестів тільки допомагають, показують реальний стан справ в організації, куди потрібно направити всі ресурси для усунення вразливостей. Пен-тести показують ризики критичні, середні, низькі. На основі їх результатів можна вже побудувати роботу відділу інформаційної безпеки.

– Дякую! Підіб’ємо підсумки. Українські банки і компанії досить вразливі до кібератак. І перше, на що треба звертати увагу, – це саме проведення пенетрейшн-тестів, попередження цих загроз, тестування, виявлення недоліків та усунення їх. Зараз більше половини компаній не займаються цим, що наражає їх на ризики. Можливо, що з’явиться якийсь черговий вірус Petya або якийсь інший, і компанії постраждають. І це змусить їх вкладатися в IT, щоб убезпечити себе від кібератак, від втрати своїх грошей та грошей клієнтів. Тому будемо захищатися. До нових зустрічей!

 Підписуйтеся на новини FinClub в Telegram, Viber, Twitter і Facebook.