Введите запрос для поиска

Скрыть поиск
Курсы валют

У хакеров дело за малыми

Хакерская атака на омский ИТ-банк не только нанесла ущерб самой кредитной организации, но и угрожает остальным игрокам. Целенаправленно проникнув в систему небольшого банка, хакеры повышают шансы на успешную атаку на более крупные кредитные организации из числа его партнеров. Эксперты отмечают, что мизерные расходы на безопасность и высокая уязвимость маленьких банков — комплексная проблема, требующая дешевых пакетных решений и введения ответственности для собственников и руководства за низкий уровень информбезопасности.

Как стало известно “Ъ”, на прошлой неделе хакерской атаке подвергся омский банк с базовой лицензией ИТ-банк. Через платежную систему ЦБ злоумышленники вывели из кредитной организации порядка 25 млн. руб. «Предположительно, хакеры проникли в банк через фишинговую рассылку группировки Silence (см. “Ъ” от 21 января),— отметил собеседник “Ъ”, знакомый с ситуацией.— Банк полностью "лег" в результате атаки, что вполне закономерно, на безопасность деньги тут не выделялись — она была на нуле». Согласно отчетности банка на сайте ЦБ на 1 января 2019 года, его ежегодные траты на услуги связи, телекоммуникационных и информационных систем три года подряд составляли около 2 млн. руб. Опрошенные “Ъ” эксперты по информбезопасности полагают, что этой суммы недостаточно для обеспечения минимальной защиты. В ИТ-банке от комментариев отказались.

Формально небольшой ущерб от атаки для самого банка весьма ощутим. «За 2014–2018 годы банк не показал чистую прибыль, размер которой способен перекрыть такие потери»,— отметил младший директор по банковским рейтингам «Эксперт РА» Иван Уклеин. Но еще более существенно, подчеркивают эксперты по информбезопасности, что хакерская атака даже на небольшого игрока (ИТ-банк занимает 294-е место по активам) представляет опасность и для всей системы.

«Взлом недостаточно защищенной организации кредитно-финансового сектора вполне может быть использован как промежуточный этап атаки на другую компанию»,— поясняет директор экспертного центра безопасности Positive Technologies Алексей Новиков. По словам руководителя по информбезопасности одного из больших банков, маленькие игроки могут быть использованы для атаки на «крупную рыбу» при таргетированных атаках. «Мы сами ставили эксперимент: создавали качественное фишинговое письмо, направляли контрагенту — 9 из 10 адресатов открывают такое сообщение,— отметил он.— Кроме того, хакеры могут отработать приемы на небольших игроках, усовершенствовать их и использовать». По словам Алексея Новикова, качественное целевое фишинговое письмо открывается в 93% случаев. Примером этого может служить недавняя атака на банк «Юнистрим», жертвами которой стали игроки даже за пределами РФ (см. “Ъ” от 21 декабря 2018 года).

Решать проблему необходимо комплексно, отмечают эксперты. По словам консультанта по интернет-безопасности компании Cisco Алексея Лукацкого, действующие требования по информбезопасности непосильны для небольших банков. «В техническом комитете 122 Росстандарта, разрабатывающем требования по информационной безопасности для банков, участвуют лишь крупные игроки,— отметил он.— В итоге требования разработанных ими гостов небольшие банки выполнить не могут — у них просто нет необходимых ресурсов и людей».

Глава Комитета Госдумы по финрынкам Анатолий Аксаков считает, что выходом может стать присоединение таких банков к платформе «Бизон» или иному решению. По мнению директора по маркетингу «Ростелеком-Solar» Валентина Крохина, пока единственным решением для небольших банков выглядит передача функций информбезопасности на аутсорсинг. Но и это обойдется, по самым скромным оценкам, в 300 тыс.–2 млн. руб. в год. Глава рабочей группы для банков с базовой лицензией АБР Михаил Дралин заверил, что в диалоге с ЦБ будет подниматься вопрос об информационной безопасности в банках с базовой лицензией, в том числе для выработки комплексных недорогих решений.

Не менее важно ввести ответственность собственников и топ-менеджеров банков за уровень безопасности, поскольку именно они распределяют бюджет, добавляет Анатолий Аксаков. «Этот вопрос поднимался не раз,— уточняет Алексей Лукацкий.— В России в случае инцидента ответственность лежит именно на безопасниках, которые без выделения бюджетов изменить ситуацию не могут».

В ЦБ “Ъ” подтвердили, что работают над проблемой: «Банк России готовит к выпуску новый документ, регулирующий информационную безопасность в организациях кредитно-финансовой сферы. Он устанавливают базовые требования к кредитно-финансовым организациям». Риски, характерные для крупной финансовой организации, сильно отличаются от присущих небольшому банку, поясняют в ЦБ, поэтому требования к информационной безопасности кредитных организаций разного масштаба устанавливаются дифференцированные.

Вероника Горячева

Источник: Газета "Коммерсантъ" №25 от 12.02.2019
Тэги:

Читайте также

ВТБ запустил новую программу автокредитования
ВТБ запустил специальное предложение «АвтоРалли», в рамках которого ставки по кредитованию новых автомобилей снижены до 9,5% годовых
Райффайзенбанк запустил вклад «Время действовать»
С 22 февраля Райффайзенбанк запустил новый вклад – «Время действовать»
Сотрудники Банка России провели день финансовой грамотности в одной из школ в Азнакаево
Деловую игру «С финансами на ты» для учеников одиннадцатого класса, а также занятие по финансовой грамотности с учащимися девятого класса провели сегодня сотрудники Банка России в школе № 1 г. Азнакаево
Альфа-Банк запустил мобильное приложение для самозантых
Альфа-Банк предложил самозанятым клиентам встать на учет в ФНС, используя мобильное приложение банка
Выпуск от 22.02.2019: Инфляционные поддавки и ТОП-3 программ рефинансирования кредитов
Цены на продовольственные товары должны расти и ТОП-3 кредитов на рефинансирование
Вчера рубль консолидировался в узком диапазоне 65,40 -65,60 руб./долл
Валютный прогноз от банка «Восточный»
ВТБ Капитал Инвестиции запустил первый биржевой фонд российских корпоративных облигаций на Московской бирже
21 февраля на Московской бирже начались торги паями «ВТБ-Российские корпоративные облигации смарт бета»
В Госдуме предложили передавать пенсии по наследству
В Госдуме рассмотрят законопроект «О внесении изменений в федеральный закон «О страховых пенсиях»
Восстановления деловой репутации добились в ЦБ в 2018 году 77 финансовых топ-менеджеров
В 2018 году 225 жалоб поступило в комиссию Банка России
МФО объединяются для борьбы с мошенниками
Крупнейшие микрофинансовые организации (МФО), выдающие займы через Интернет, объединятся в рабочую группу на базе СРО «МиР», являющейся промежуточным звеном между ЦБ и МФО