Регулятор может прийти в банки с кнутом — кредитные организации ждёт наказание за халтурное отношение к поступающей к ним спам-рассылке, в которой могут быть обнаружены вирусы. Получение подобного почтового мусора будет являться инцидентом, о котором следует докладывать в ФинЦЕРТ.
Напомним, что с 1 июля в России вступили новые нормы законодательства, согласно которым кредитные организации обязаны отчитываться перед ЦБ обо всех случаях кибернападений на них и вирусных атаках на системы безопасности. Однако ранее речи о том, что финансовые учреждения должны ещё уведомлять и о спам-рассылке не было. Даже обычному юзеру понятно, что объём таких писем огромен, а на то, чтобы отследить весь спам, отсортировать его и отправить на проверку в ЦБ, уйдёт много времени и ресурсов — как у самих банков, так и у представителей регулятора.
News.ru решил опросить экспертов, а также представителей банков и разобраться, как будет происходить взаимодействие с ЦБ и осуществляться борьба с хакерами, что считать спамом, а что — нет.
Согласно отчёту «Лаборатории Касперского», уровень спама в российском сегменте интернета снижался с 56,72% в январе до 52,14% в марте. Средняя доля спама в Рунете составила 54,33%, что, однако, выше общемирового показателя. В I квартале наибольшая доля спама была зафиксирована в январе — 54,5%. Средний процент спама в мировом почтовом трафике составил 51,82%, что на 4,63 процентного пункта ниже показателя последнего квартала 2017 года.
Как рассказал бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий, нагрузка на обе стороны взаимодействия будет действительно очень большой.
«Но если для банков задача пересылки каждого спам-сообщения может быть легко автоматизирована, то для ФинЦЕРТ такой возможности пока не предусмотрено», — заявил эксперт.
По его словам, сотрудникам регулятора придётся анализировать каждое приходящее сообщение с целью выявления в нем вредоносных признаков и подготовки на их основе соответствующих бюллетеней.
Бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий
Возможно, ЦБ уже сейчас разрабатывает систему машинного обучения для анализа больших данных, чтобы автоматизировать эту задачу, считает Лукацкий, или же по мере получения ежедневно миллионов легальных спам-сообщений пересмотрит свой подход к получению уведомлений по данному виду инцидентов.
Со своей стороны, замдиректора Digital Security Алексей Антонов назвал спам-рассылки весьма эффективным методом проникновения во внутреннюю инфраструктуру организаций.
«Для злоумышленника такая рассылка стоит копейки, а результатом её может стать успешная реализация атаки, при удачном раскладе, получение финансовых средств. Очень часто такие рассылки могут содержать самые технологичные методы атак, новейшие и ещё не детектируемые», — подчеркнул эксперт.
Он считает, что усиление мер по защите от спам-рассылок — это грамотный шаг. Также положительный эффект будет иметь тот факт, что ФинЦЕРТ будет получать информацию о таких методах, быстро обрабатывать и уведомлять всю отрасль.
Говорят, царь — ненастоящий!
Заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин заявил, что здесь, по всей видимости, идёт банальная подмена понятий.
«Речь идёт не о спаме, а о spear-phishing рассылках с вредоносными вложениями. Именно с их помощью чаще всего атакуют банки, заражают компьютеры сотрудников и выводят миллионы», — подчеркнул он.
Эксперт отметил, что ежедневно жертвами финансового фишинга в России становятся более 900 клиентов различных банков, что в три раза превышает ежедневное количество жертв от вредоносных программ.
В России, по оценкам Group-IB, действуют 15 групп, занимающиеся фишингом под финансовые учреждения, а около 10-15% посетителей финансовых фишинговых сайтов вводят свои данные.
«С нашей точки зрения, о рассылках с вредоносными вложениями, конечно, нужно сообщать в ФинЦЕРТ, а ещё желательно тестировать на «песочницах» (sandbox) с режимом блокирования, чтобы такие письма не доходили адресатам», — сказал Никитин.
Согласно его мнению, если бы у банков были бы «песочницы», которые автоматически запускают и анализируют поведение файлов в безопасной среде (как показала практика, антивирусы на почтовых серверах против целевых рассылок бессильны), то заражений и успешных атак было бы значительно меньше. Плюс можно было бы автоматизированно сообщать о подобных рассылках, об их адресатах, и адресах управляющих серверов вредоносных программ, предлагает эксперт.
Специалист антивирусной компании «Доктор Веб» Александр Вураско также склонен считать, что в данном случае речь идёт не о спам-рассылках в целом, а о рассылке вредоносных программ в электронных письмах. Такие рассылки часто используются в процессе атак, как на сами банки, так и на их клиентов.
«Как правило, большая часть подобных писем отфильтровывается почтовыми антивирусами, но некоторые могут дойти до конечных адресатов, например, сотрудников банка. Запуск вредоносного вложения сотрудником может иметь серьёзные последствия», — отметил он.
Через заражённый компьютер может быть атакована внутренняя сеть кредитной организации, как это было недавно с ПИР-Банкам, у которого хакеры похитили 58 млн рублей. В таком случае это будет являться компьютерным инцидентом.
Именно поэтому важно правильно конфигурировать антивирусную защиту почтовых серверов и рабочих станций, а также проводить обучение сотрудников и выстраивать политики безопасности, направленные на недопущение подобных инцидентов.
Управляющий директор по IT и технологиям Абсолют Банка Наталья Поздеева также призвала не путать спам и вирусные атаки, т.к. это не одно и тоже, и степень их опасности существенно разная.
«ЦБ предписывает всем банкам выявлять вирусные атаки и информировать об этом ФинЦЕРТ. Это нормальная рабочая практика, которая помогает другим участникам рынка получить оперативную информацию об атаке и организовать противодействие», — заявила она.
В свою очередь директор департамента информационной безопасности Московского Кредитного Банка Вячеслав Касимов сообщил, что кредитная организация будет переадресовывать коллегам из регулятора даже спам-рассылки с вложениями. «Очень надеюсь, что коллеги будут в состоянии обработать такого рода потоки данных», — отметил он.
Говоря о вредоносных файлах, получаемых через почту, Касимов сообщил, что таких событий банк фиксирует иногда несколько десятков или сотен в день, а иногда — единицы.
«Вреда они IT-системам МКБ вследствие принимаемых мер не приносят. Но есть большой вопрос в классификации содержимого письма как вредоносного: если верить только стандартным средствам защиты, то они могут давать как ложно-позитивные срабатывания, так и, наоборот, ложно-негативные», — сказал представитель банка.
Для усиления защиты необходим более чёткий регламент (например, кредитная организация может сообщить об одном событии в месяц — и уже вроде как и наказывать не за что). Во-вторых, совершёных механизмов идентификации вредоносов не существует, а расследования инцидентом занимает достаточно много времени.
По его словам, это также необходимо учитывать при доработке нормативной документации.
В банке «Открытие» подчеркнули, что кредитная организация не может повлиять на количество спама.
«Но в банке работает антиспам-система, которая отфильтровывают спам-письма в автоматическом режиме таким образом, что они не доходят до почтовых ящиков сотрудников», — пояснил директор департамента информационной безопасности «Открытия» Владимир Журавлёв.
Вредоносные вложения также в автоматическом режиме выявляются и блокируются антивирусной системой и системой защиты от целевых атак.
