Николай Гончаров (Security Vision) о ландшафте киберугроз в банках

В 2024 году количество DDoS-атак в России выросло на 53% по сравнению с годом ранее. Почему они становятся все более распространенными и почему их больше, чем кибератак других типов?

Сейчас наблюдается смена тактики киберпреступников и их мотивации (политический или идеологический саботаж, протестные акции, создание репутационных рисков, остановка работы инфраструктуры и т.д.). Процентное увеличение DDoS-атак еще можно связать с тем, что они становятся все более доступными и дешевыми.

Новые защитные меры, регуляторные инициативы также играют свою роль в этом вопросе, как и повышение зрелости отечественных решений по защите. 

Финансовые организации активно внедряют антифрод-системы, обучают персонал и клиентов. В ответ на растущие киберугрозы крупные банки значительно усилили свою защиту, создав центры мониторинга кибербезопасности и внедрив инструменты для оперативного реагирования, включая DDoS-атаки, что также могло повлиять на их выявление, отражение и изменения всей статистики в целом. 

Повышение «киберзрелости» и опыт в отражении таргетированных атак уменьшил количество успешных попыток проникновения с помощью вредоносного ПО и фишинга.

Снижение числа атак фишинга может свидетельствовать о том, что многие атаки стали более адресными или скрытыми.

Атаки с использованием социальной инженерии никуда не уходят, а приобретают все более массовый характер, нацеленный все больше на людей, нежели на различные организации, компании и банки. Это подтверждается постоянными новостями о новых схемах и статистикой пострадавших.

В 2024 году в Сеть утекли более 710 млн записей о россиянах. Какие факторы способствуют утечкам данным в банках, несмотря на высокий уровень защиты?

Взломы и утечки персональных данных — сегодня одна из острейших проблем в сфере информационной безопасности. Банковские организации обычно имеют высокий уровень защиты (жесткие регуляторные требования, собственные центры мониторинга кибербезопасности, внутренние стандарты, современные средства защиты и т. д.), однако общая картина по массовым утечкам показывает, что даже крупнейшие и защищенные компании и организации подвержены этому риску. Несмотря на высокий уровень защиты, в утечках очень часто виноват человеческий фактор, а именно некорректная настройка доступа, устаревшие процессы, слабое обучение персонала, наличие внутреннего инсайдера под видом наемного сотрудника, который решил подзаработать.

Банки активно сотрудничают с финтех-компаниями, платежными сервисами, онлайн-агрегаторами. Это облегчает развитие цифровых услуг, но может сильно усложнить саму безопасность, так как часть утечек происходит через нападение на партнеров или подрядчиков, имеющих доступ к банковским данным, но при этом не обладающими должным уровнем защиты.  Не все финтех-компании могут имеют столь же строгие регламенты и бюджеты на кибербезопасность, как сами банки. Заключая договоры с третьими сторонами, банк обязывает партнера соблюдать требования к защите ПД (включая положение 152-ФЗ и внутренние стандарты). Но на практике не всегда есть полный контроль за тем, действительно ли партнер выполняет все меры. Необходимо усиливать контроль таких организаций, хорошей практикой является проведение различных аудитов и тестов информационной безопасности, проведение совместных киберучений и подключение их к центрам мониторинга кибербезопасности.

Вступление в силу нового закона об утечках ПД делает тему защиты данных еще более приоритетной для банков и финтех-компаний. Можно ожидать, что компании будут стараться, внедряя более жесткие правила обращения с ПД и улучшая процессы мониторинга и реагирования на утечки.

Сочетание регуляторных норм, технологических решений,  строгих внутренних процессов и их исполнение, обучение персонала, повышение его киберграмотности, степени ответственности и наказания будут способствовать сильному снижению риска утечки персональных данных.

Какую пользу могут принести генеративные нейросети для защиты от киберугроз? Могут ли они сократить время, затрачиваемое экспертами по кибербезопасности на рутинные операции?

Применение генеративных нейросетей в сфере кибербезопасности может дать ощутимые преимущества — от автоматизации рутинных аналитических операций до выстраивания новых подходов к тестированию и реагированию на угрозы. Они могут обобщать разрозненные логи, формулировать гипотезы по источнику и вектору атаки, а также выдавать рекомендации по первоочередным действиям. При расследовании инцидента нейросеть может подсказывать, что означают конкретные поля в логах, какие типичные техники используют схожие векторы атак, подбирать релевантные данные. Это сильно позволяет экономить время экспертов по кибербезопасности за счет сокращения рутинных операций, ускорять проведение расследований, повышать их эффективность и экспертизу.

Крупные российские банки уже используют нейросети в своей работе, а некоторые активно занимаются собственными разработками.   Но массовое использование и развитие этих технологий еще впереди.

Каково влияние искусственного интеллекта на современный ландшафт кибербезопасности? Не повлияла ли доступность технологий ИИ на увеличение числа киберпреступлений?

В современных условиях искусственный интеллект перестает быть эксклюзивным инструментом защитников и активно осваивается киберпреступниками. ИИ позволяет им автоматизировать и усложнять атаки, делать их более тонкими и адаптивными.

Сильно снижается «порог входа» для потенциальных злоумышленников. Раньше проведение различного рода кибератак требовали от них существенных знаний и опыта, теперь даже начинающему злоумышленнику в этом деле может не требоваться специализированных знаний, поскольку появляется достаточно большое количество онлайн сервисов и приложений, которые помогают ему в этом.  Особенно сейчас это становится видно в социальной инженерии и при создании дипфейков, а также в генерации фишинговых материалов, автоматизации создания вредоносных программ и т.д. 

Для выстраивания эффективной защиты технологии искусственного интеллекта и машинного обучения также активно начинают применяться в работе различные решения и средства по обеспечению защиты информационной безопасности.

Конечно и на стороне защиты есть инструменты и средства обеспечения информационной безопасности, которые используют технологии искусственного интеллекта и машинного обучения.

Это перерастает в некое соревнование — кто быстрее адаптируется и перехитрит другую сторону.

В таких условиях для стороны защиты ключевым становится гибкий, многоуровневый подход к кибербезопасности, поддерживаемый регулярными улучшениями технологий и компетенций.