«Юнистрим» подал сигнал SOC

Многократно атакованный хакерами в 2018 году «Юнистрим» объявил о создании центра мониторинга и реагирования на кибератаки силами компании «Ангара». Эксперты указывают, что создание центра может не просто решить часть технических вопросов информационной безопасности банка, но и положительно повлиять на деловую репутацию в глазах регулятора и других участников рынка. Однако на это может уйти еще один год.

В среду, 20 ноября, на форуме по информационной безопасности глава службы информационной безопасности банка «Юнистрим» Сергей Коханько объявил о создании в банке центра мониторинга и реагирования на кибератаки (SOC). Центр был запущен банком в марте 2019 года силами аутсорсера — компании «Ангара». Он будет обеспечивать киберзащищенность банка в режиме 24/7.

Год назад, 19 ноября 2018 года, ФинЦЕРТ Банка России в своем бюллетене сообщал о рассылке писем по адресной книге банка с вредоносными программами с легального почтового сервера кредитной организации (см. «Ъ-Онлайн» от 20 ноября 2018 года). Уже после выявления инцидента хакеры вновь совершили рассылку с почтовых адресов банка (см. “Ъ” от 23 ноября 2018 года). В итоге вредоносных рассылок пострадал один из бывших партнеров банка — ВТБ (Грузия), из которого злоумышленники вывели несколько сотен тысяч долларов (см. “Ъ” от 21 декабря 2018 года). По словам собеседников “Ъ”, знакомых с ситуацией, после множественных инцидентов в банке была проведена проверка с участием специалистов ФинЦЕРТ, банк получил предписание об устранении нарушений.

В свете прошедших событий эксперты указывают, что решение создать SOC, причем силами сторонней организации, является верным решением, особенно с точки зрения деловой репутации.

«Коммерческий SOC для компаний, которые были атакованы, это не только важное решение с точки зрения технических компетенций, но и возможность опереться на имя другого игрока»,— указывает технический директор Qrator Labs Артем Гавриченков. По словам руководителя центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет» Алексея Мальнева, чаще крупные банки предпочитают строить SOC собственными силами. В данном случае аутсортинг является более верным решением как с точки зрения компетенций и затрат, так и с точки зрения репутации, поскольку к качеству собственного SOC у многократно атакованного игрока могло быть недоверие у рынка, отмечает он. По словам директора центра мониторинга и реагирования на кибератаки JSOC «Ростелеком-Солар» Владимира Дрюкова, наличие SOC не является стопроцентной гарантией от инцидентов, однако в договоре заказчика с аутсорсером обычно закрепляется ответственность последнего за инциденты.

В «Юнистриме» указывают, что прошлогодние атаки на банк и SOC — вещи не связанные. При этом в банке указали, что требования ЦБ были выполнены.

Сергей Коханько сообщил “Ъ”, что задача построения SOC ему была поставлена еще летом 2018 года. В то же время гендиректор «Ангары» Оксана Васильева сообщила “Ъ”, что компания пришла в банк в начале 2019 года. При этом госпожа Васильева отметила, что в данном случае были чуть выше параметры SLA (соглашение об уровне услуг), чем у остальных заказчиков.

Восстановит ли банк свою деловую репутацию в глазах контрагентов после создания SOC и публичного сообщения о нем — вопрос. В прошлом году часть игроков отказались от сотрудничества с «Юнистрим» (см. “Ъ” от 21 ноября 2018 года). Кроме того, негативный информационный фон в отношении банка в связи с атаками нашел отражение в релизе «Эксперт РА», которое 29 ноября 2018 года понизило рейтинг банка до ruB+ с негативным прогнозом (остающийся до сих пор). По словам предправления НП НПС Алмы Обаевой, прошлогодние кейсы нанесли «существенный урон деловой репутации "Юнистрима"» и сегодняшние сообщения «как минимум повысят репутацию игрока в глазах регулятора, который крайне обеспокоен безопасностью банков и платежных систем». По мнению бизнес-консультанта по безопасности CISCO Алексея Лукацкого, «создание SOC не вернет одномоментно доверие других игроков», однако желание вкладывать средства в эту систему покажет рынку, что банк начал движение в верном направлении. Официально банки взаимодействия с «Юнистримом» не комментируют. В неофициальных комментариях они указали, что само по себе создание SOC не является достаточным основанием для возврата к сотрудничеству. Как указывает Артем Гавриченков, лишь через два года после инцидента при грамотно проведенной работе над ошибками информация об инциденте забывается, так что банк сможет восстановить репутацию в глазах контрагентов через год.