CC BY
99ФИНАНСЫ. НАЛОГООБЛОЖЕНИЕ. КРЕДИТ
Риски информационной безопасности банка
Булаенко Ольга Сергеевна,
Финансовый университет при Правительстве Российской Федерации
Козлов Андрей Николаевич,
Финансовый университет при Правительстве Российской Федерации
В статье рассмотрены основные причины, из-за которых возникает критическая потребность в использования информационной безопасности в банковском секторе на сегодняшний день, а также основы ее формирования. С ростом хакерских атак на российские банки за последние годы число уязвимых мест в системах безопасности непрерывно растет. С каждой успешной атакой, проведенной со стороны хакеров, банковский сектор теряет миллионы и миллиарды рублей, что приносит ущерб экономике всей страны. Для решения данной проблемы необходимо использовать индивидуальный подход к каждому банку для выявления наиболее эффективных методов борьбы с киберпреступностью. На данный момент невозможно обеспечить безупречную защиту всех банковских данных, но, соблюдая определенный перечень правил, можно минимизировать риски.
Ключевые слова: информационная безопасность, хакерские атаки, атаки на банки, методы хакерских атак.
В быстро меняющемся и развивающемся мире информационные технологии играют важнейшую роль. В нынешних реалиях сложно представить человека, который бы не слышал и не пользовался интернет-магазинами, различными социальными сетями, онлайн-банкингом. По мере увеличения спектра данного рода технологий, защита банковских данных становится основной проблемой. Ведь чем активнее совершаются транзакции через программы и приложения, тем сложнее их отследить банкам, а следовательно, информационные технологии становятся уязвимыми. Поэтому информационная безопасность играет важнейшую роль в жизни банков и других организаций. Информационная безопасность - состояние защищенности информации, при котором обеспечиваются ее конфиденциальность, доступность и целостность. Нужно учитывать целесообразность применения систем информационной безопасности, потому что они не должны приносить никакого ущерба производительности организации и мешать ее деятельности [7,9].
Существует множество различных классификаций принципов информационной безопасности. Наиболее используемой является классическая триада CIA, состоящая из следующих принципов:
1. Конфиденциальность - свойство информации быть доступной только авторизированным пользователям;
2. Целостность - полнота и неизменность исходных данных
3. Доступность - возможность получать надежную и достоверную информацию зарегистрированным пользователям [14]. Актуальность проблемы информационной безопасности подтверждается статистикой хакерских атак. Многие организации, в первую очередь банки, становятся жертвами вредоносных программ (вирусов и червей, троянских программ, программ-вымогателей), фишинга или кражи личности.
Фишинг - это ряд действий злоумышленника, позволяющий украсть персональные данные (например, пароли, паспортные данные, данные кредитной карты) путем введения в заблуждения или обмана жертвы. Кража личности - термин, обозначающий незаконные действия, когда преступники представляются от лица жертвы и совершают различные манипуляции с данными.
На 2018 год наиболее серьёзными считались угрозы, связанные с «преступлением как услугой». Опытные хакеры, заинтересованные в минимизации своих рисков, продают программы, ко-
сз о
со £
m Р
сг
от А ш
торые позволяют совершать киберпреступления. По данным Group-IB, данные программы продаются на андеграунд-форумах, и спрос на них со временем продолжает расти (число активных продавцов увеличилось на 120% в 2019, по сравнению с 2018 годом) [12].
В текущем 2020 году был зафиксирован всплеск хакерских атак вначале весны по причине введенных изоляционных мер, а также ухудшения экономической ситуации в стране. По статистике Group-IB, за текущую осень было зафиксировано свыше 11 000 писем, отправленных на почты государственных учреждений, содержащих троянский вирус. По той же статистике, каждое из данных вирусных писем приносит хакерам, в среднем, 1.1 млн рублей [8].
Одним из наиболее показательных случаев является пример с программой TeamViewer. Мошенники представлялись от имени выше уполномоченных должностных лиц и убеждали жертву в наличие неполадок в используемом устройстве. Они требовали установить данную программу, чтобы исправить неполадки. После завершения установления программы TeamViewer, мошенники получали полный доступ к устройству жертвы, что позволяло красть личные данные и имеющиеся на банковских картах деньги. Средняя сумма ущерба для крупных банков, от данного вида мошенничества, составила от 6 до 10 млн рублей в месяц [13].
Текущая статистика указывает, что наиболее подвержены хакерским атакам крупные банки. Доход хакеров от целенаправленных атак на банки перекрыл суммарный заработок от всех остальных способов хищений. Более 99% хищений за 2020 год связаны с хищением денежных средств. Целевые атаки представляют для банков наибольшую опасность - ущерб финансовых организаций от подобного рода атак 2019 году вырос почти на 300%. Одна из атак обошлась российскому банку в 140 млн рублей, а общая сумма хищений за год выросла до 2,5 млрд. рублей [3].
Одним из успешных примеров отражения ха-керских атак является пример со Сбербанком. Только за прошлый год число атак увеличилось на 20%. Ежедневно банк сталкивается, в среднем, с 300 попытками атак на его системы.
2 января 2020 года произошла крупнейшая DDoS-атака на систему Сбербанка, за всю его историю. По оценке специалистов, данная атака была в 30 раз мощнее, чем последняя самая мощная атака за время существования банка. Сбербанк сумел отразить атаку без негативных последствий для своей деятельности. Станислав Кузнецов, зампред банка, сделал прогноз, что в будущем подобного типа атаки станут большой проблемой для компаний. Также, по прогнозам Сбер-"ё банка, действия кибермошенников в 2020 году е вырастут на 40% - до 3,5-3,6 трлн рублей [5]. ^ Из приведённых примеров можно сделать вы-S вод, что потребность в защите информационных Ц технологий растет с каждым годом по мере увели-
чения качества и количества хакерских атак. Поэтому для наиболее эффективного противодействия преступности выделяют пять ключевых этапов формирования защиты информационных технологий внутри организации:
1. Оценка стоимости;
2. Разработка политики безопасности;
3. Реализация политики;
4. Квалифицированная подготовка специалистов;
5. Аудит.
Из перечисленных этапов стоит уделить отдельное внимание первым двум. Оценка стоимости является важнейшим из этапов. Информационная безопасность требует особенных систем обеспечения ее деятельности. Для построения наиболее эффективной системы оценки информационной безопасности (СОИБ) необходимо большое количество финансовых ресурсов. Должна быть проведена оценка рисков и рациональность подобных инвестиций [1,14].
Второй этап предполагает разработку политики безопасности. Для того, чтобы СОИБ оправдывала инвестированные в нее ресурсы необходимо учитывать, что информационная безопасность не будет эффективной без соответствующей политики внутри организации. Для того, чтобы грамотно построить политику информационной безопасности внутри организации следует учитывать следующие требования:
1. Следует обеспечивать полную безопасность для информационно обрабатывающих систем внутри организации;
2. Важно регулярно отслеживать и обновлять имеющуюся систему безопасности информации;
3. Необходимо обеспечивать безопасность информации во время ее обработки, передачи по различным каналам связи.
Для обеспечения вышеперечисленных требований необходимо придерживаться следующих этапов при построении системы информационной безопасности:
1. Выявление информационных ресурсов, подлежащих защите;
2. Выявление потенциальных рисков и каналов утечки информации;
3. Оценка рисков в случае утечки или повреждения информации;
4. Определение требований к системе защиты;
5. Внедрение требуемых мер защиты внутрь организации;
6. Контроль осуществления информационной безопасности.
В процессе формирования защиты также необходимо пользоваться методами, которые разработаны специально для противодействия угрозам и информационным рискам. Они позволяют значительно сократить число хакерских атак и минимизировать негативное воздействие на информацию организации.
К данным способам относятся: 1. Усиление мер безопасности - соблюдение всех имеющихся мер и требований по безопасно-
сти и инвестирование в улучшение имеющихся систем по информационной безопасности позволит существенно сократить риски;
2. Передача или распределение рисков - аутсорсинг наиболее рискованных проектов позволит и задач тоже снизит риски внутри организации
3. Формирование резервов - необходимо учитывать, что любую систему безопасности возможно обойти, следовательно важно быть заранее подготовленным к рискам утечки или утраты информации;
4. Сокращение рисков - сокращение рискованной деятельности позволит снизить возможные риски утраты или повреждения имеющихся данных [1,2].
Отдельного внимания заслуживает настоятельная рекомендация создания резервных копий для послеаварийного восстановления. События современности доказывают, что даже наиболее безопасные системы могут быть взломаны, поэтому наличие резервных данных является первичной задачей любого банка, т.к. утрата данных может повлечь не только к финансовым потерям, но и к невозможности функционирования.
Литература
1. Беседина Т.В., Сидельникова Н.В. Информационная безопасность // Образование. Карьера. Общество. 2018. № 1 (56). URL: https:// cyberleninka.ru/article/n/informatsionnaya-bezopasnost-4
2. Горячева Е.А. Информационная безопасность // The Newman in Foreign policy. 2020. № 54 (98) Vol. 3 URL: https://cyberleninka.ru/ article/n/informatsionnaya-bezopasnost-5
3. Калюков Е. Сбербанк предсказал рост ущерба экономике России от кибератак на 40% [Электронный ресурс] // 2019. РБК. URL: https://www. rbc.ru/finances/21/01/2020/5e26e6a79a7947798 bc80db7?utm_source=amp_textincutes
4. Малофеев С.Н. Проблемы защиты информации в банковской сфере // Инновации и инвестиции. 2019. № 12. URL: https://cyberleninka. ru/article/n/problemy-zaschity-informatsii-v-bankovskoy-sfere/viewer
5. Нагиев К. Сбербанк сообщил о мощнейшей в его истории DDoS-атаке [Электронный ресурс] // РБК. 2020. URL: https://yandex.ru/turbo/ rbc.ru/s/business/21/01/2020/5e26a8a69a79475c b4f039a5
6. Нефедова М. Group-IB фиксирует всплеск мошенничества с р2Р-платежами [Электронный ресурс] // Хакер. 2020. URL: https://xakep. ru/2020/07/10/p2p-fraud/
7. Р 50.1.053-2005. Рекомендации по стандартизации. Информационные технологии. Основные термины и определения в области технической защиты информации [электронный ресурс]// Техэксперт. URL: http//docs.cntd.ru/ document/1200039555
8. Рогачев С. Осеннее обострение: как хакеры из RTM устроили масштабную атаку на банки и предприятия от лица госучреждений [Электронный ресурс] // Хабр. 2018. URL: https://m. habr.com/ru/company/group-ib/blog/432256/
9. Соколинская Н.Э., Куприянова Л.М. Риски развития информационных технологий в банковском секторе // Мир новой экономики. 2020. № 3, с. 44-54. URL: https://doi. org/10.26794/2220-6469-2020-14-3-44-53
10. Чернышова Е. Эксперты назвали основные способы взлома российских банков [Электронный ресурс] // РБК. 2020. URL: https://www.rbc. ru/finances/18/02/2020/5e4a95e39a79472a3cb8c 22e
11. Юджин Бэсик. Безопасность как базовая характеристика микроядро QNX Neutrino. 2016. URL: https://www.swd.ru/print.php3?pid=784 (дата обращения: 07.10.2020)
12. Group-IB зафиксировал бум на рынке фишинг-китов в 2019 году [Электронный ресурс] // BISjournal. 2020. URL: https://ib-bank.ru/ bisjournal/news/13201
13. Group-IB: ущерб от мошенничества через удаленный доступ может стоить банкам до 10 млн.рублей ежемесячно [Электронный ресурс] // Журнал ПЛАС. 2019. URL: https:// plusworld.ru/daily/cat-security-and-id/group-ib-ushherb-ot-moshennichestva-cherez-udalennyj-dostup-mozhet-stoit-bankam-do-10-mln-rub-ezhemesyachno/
14. Suhail Qadir Mir, Syed Mohammad Khurshaid Quadri. Information Availability: An Insight into the Most Important Attribute of Information Security // Journal of Information Security. 2016. URL: https://www.researchgate.net/ profile/Suhail_Mir4/publication/301319816_ Information_Availability_An_Insight_into_the_ Most_Important_Attribute_of_Information_ Security/links/5bcf5298299bf1a43d9b328c/ Information-Availability-An-Insight-into-the-Most-Important-Attribute-of-Information-Security. pdf?origin=publication_detail
RISKS OF BANK INFORMATION SECURITY
Bulaenko O.S., Kozlov A.N.
Financial University under the Government of Russian Federation
In the article we have shown what is causing the critical need for information security in the banking sphere. What is forming information security was also shown in the article. Subject of search: rise of hackers in the banking sphere and weak places of different organizations and banks. Aim: find a solution which will form a reliable protection of virtual information for banks. Conclusion: there is no single solution to grant a full protection from everything, however there is a method which includes special steps to help minimize risks of loosing information due to hackers which attack the organization through the working activity.
Keywords: Information security, hacks, hacking banks, methods of hacking.
References
1. Besedina T.V., Sidelnikova N.V. IT security // Education. Carier. Society. 2018. № 1 (56). URL: https://cyberleninka.ru/article/n7 informatsionnaya-bezopasnost-4
C3
о
CO
от m Р от
от А
=Е
2. Goriacheva E.A. IT security // The Newman in Foreign policy. 2020. № 54 (98) Vol. 3 URL: https://cyberleninka.ru/article/n/ informatsionnaya-bezopasnost-5
3. Kalukov E. Sberbank has made a forecast that the damage caused by hackers to the Russian economi will grow by 40% [WEB resource] // 2019. РБК. URL: https://www.rbc. ru/finances/21/01/2020/5e26e6a79a7947798bc80db7?utm_ source=amp_textincutes
4. Malofeev S.N. Difficulties with protecting the information in the banking sphere // Innovations and investments. 2019. № 12. URL: https://cyberleninka.ru/article/n/problemy-zaschity-informatsii-v-bankovskoy-sfere/viewer
5. Nagiev K. Sberbank announced the most powerful cyber-attack in its history DDoS-атаке [WEB resource] // RBC. 2020. URL: https://yandex.ru/turbo/rbc.ru/s/busi-ness/21/01/2020/5e26a8a69a79475cb4f039a5
6. Nefedova M. Group-IB detected a rise in fraud with P2P-pay-ments [WEB resource] // Hacker. 2020. URL: https://xakep. ru/2020/07/10/p2p-fraud/
7. Р 50.1.053-2005. Recommendations on standartisation. IT. Basic terminology on IT security topic [WEB resource]// Techex-pert. URL: http//docs.cntd.ru/document/1200039555
8. Rogachev S. Autumn aggravation: hackers from RTM organized an attack on banks and organizations pretending to be government organisations [WEB resource] // Habr. 2018. URL: https://rn.habr.com/ru/company/group-ib/blog/432256/
LQ S Q.
e
CM
о
CM
9. Sokolinskaya N.E., Kupriyanova L.M. Information Technology Development Risks in the Banking Sector. The world of new economy// World of new economy. 2020. № 3, c. 44-54. URL: https://doi.org/10.26794/2220-6469-2020-14-3-44-53
10. Chernishova E. Experts called main methods to hack Russian banks [WEB resource] // RBC. 2020. URL: https://www.rbc.ru/ finances/18/02/2020/5e4a95e39a79472a3cb8c22e
11. Ujin Basic. Security as the main characteristic of a micro-core QNX Neutrino. 2016. URL: https://www.swd.ru/print. php3?pid=784 (data requested on: 07.10.2020)
12. Group-IB recorded a boom on the fishing-kit market on year 2019 [WEB resource] // BISjournal. 2020. URL: https://ib-bank. ru/bisjournal/news/13201
13. Group-IB: damage from fraud can cost up to 10 mln rubles to banks monthly [WEB resource] // Magazine PLAS. 2019. URL: https://plusworld.ru/daily/cat-security-and-id/group-ib-ushherb-ot-moshennichestva-cherez-udalennyj-dostup-mozhet-stoit-bankam-do-10-mln-rub-ezhemesyachno/
14. Suhail Qadir Mir, Syed Mohammad Khurshaid Quadri. Information Availability: An Insight into the Most Important Attribute of Information Security // Journal of Information Security. 2016. URL: https://www.researchgate.net/profile/Suhail_Mir4/publica-tion/301319816_Information_Availability_An_Insight_into_the_ Most_Important_Attribute_of_Information_Security/links/5b-cf5298299bf1a43d9b328c/Information-Availability-An-Insight-into-the-Most-Important-Attribute-of-Information-Security.pdf?-origin=publication_detail
