Вход | Регистрация
Регистрация | Забыли пароль?

Использование «Penetration Test» для предупреждения последствий кибернетических атак на информационную инфраструктуру финансовых институтов

Богомолов Алексей
Автор: Богомолов Алексей, Генеральный Директор и Партнер "Национального Центра Управления Рисками"
Дата публикации: 11.01.2021

Соавтор материала – Семен Долгов, Партнер "Национального Центра Управления Рисками"

В последнее десятилетие развитие современных IT-технологий и средств информационной безопасности оказывают все большее положительное влияние на сохранность и целостность конфиденциальной информации компаний из разных секторов экономики и становятся серьезной преградой на пути кибер-преступности. Тем не менее, наряду с совершенствованием систем информационной безопасности банков, страховых компаний и предприятий нефинансового сектора техническая грамотность и оснащенность злоумышленников также продолжает расти и развиваться, совершенствуя методы взлома внутрикорпоративных контуров информационной безопасности, информационных систем и кражи различных баз данных и денежных средств.

В силу специфики своей деятельности наиболее чувствительными к кибер-атакам оказались компании финансового сектора, в частности банки и страховые компании, которые оперируют с все возрастающими потоками конфиденциальной коммерческой информации, клиентскими базами и персональными данными, а также с внутренней информацией, связанной с операционной и административно-хозяйственной деятельностью компании.

Устойчиво нарастающий новостной фон в отношении несанкционированного проникновения злоумышленников в информационные системы российских компаний свидетельствует о том, что сейчас мы находимся практически на пике количества кибер-преступлений. При этом, значительное число банков, страховых и финансовых компаний уже понесли определенные финансовые и, что особенно опасно, репутационные потери, связанные с воровством средств со счетов компаний и клиентов, взломом конфиденциальных баз данных, мошенничеством, а также с попытками физического разрушения информационных систем объектов атаки в том числе и в целях конкурентных войн.

Многие руководители банков и страховых компаний уже давно осознали, что обеспечение безопасности своих информационных ресурсов стало неотъемлемой частью стратегии развития компании, а также одной из важнейших составляющих их деловой репутации. Да и в самом деле, кто из клиентов банка или страховой компании захочет продолжить сотрудничество с ними после кражи своих средств со счетов или утраты конфиденциальной информации, связанной с персональными данными клиентов, тем более что информация о хакерских атаках и взломах информационных систем компаний практически сразу же попадает в прессу и подрывает доверие контрагентов, бизнес-партнеров и клиентов.

Следует заметить, что в последнее время с учетом новых реалий обеспечение информационной безопасности бизнеса не должно ограничиваться только лишь локальными мерами, а требует реализации комплексного подхода в противодействии хакерским атакам. В поисках слабых и наиболее уязвимых мест в системе информационной безопасности злоумышленники постоянно совершенствуют свой инструментарий, технологии и тактику. Единственным эффективным способом сделать вывод о надежности периметра информационной безопасности компании является его постоянное тестирование на прочность и резистентность к внешним атакам.

По своей сути тестирование сводится к целенаправленной и санкционированной руководством той или иной компании попытке взлома их информационных систем. Такие действия носят общее название “penetration test”. Целью этих действий является поиск наиболее слабых мест и уязвимостей информационных систем и баз банных компании с точки зрения риска взлома контуров ее информационной безопасности, риска утраты конфиденциальной корпоративной информации, а также рисков прямых хищений денежных средств со счетов клиентов. Проводятся такие тесты с согласия со стороны руководства компании и не несут никаких угроз целостности информационных систем и баз данных тестируемого объекта, а также рисков утраты корпоративной информации или денежных средств. Для руководства компании успешное прохождение “penetration test” является показателем защищенности корпоративных информационных систем и ресурсов в случае возникновения реальных хакерских атак злоумышленников.

“Penetration test” представляет собой достаточно сложный контролируемый комплекс процедур, в результате которого нельзя допустить каких-либо неосторожных и неквалифицированных действий, приводящих к деструктуризации или декомпозиции информационного ресурса объекта тестирования или неумышленному удалению важной корпоративной информации. Выполнение работ по проведению “penetration test” с подготовкой соответствующего отчета о его направленности и выявленных слабых местах в системе информационной безопасности компании должно проводиться высокопрофессиональными и добропорядочными экспертами, имеющими значительный опыт работы в сфере ИТ-безопасности и цифровых технологий, которые прекрасно понимают, как возможно «взломать» информационную систему компании и, при этом, не нанести ущерба объекту тестирования.

Как было отмечено выше минимизация операционных рисков, связанная с проведением “penetration test” весьма актуальна как для банков, страховых компаний, так и для нефинансовых компаний. Специфика работы банков и страховых компаний состоит в том, что информационные потери могут приводить к огромным убыткам. Это связано с тем, что финансовые компании хранят не только материальные активы своих клиентов, но и конфиденциальную информацию – данные о вкладчиках и заемщиках, их счетах и различных финансовых сделках. Утечка такой информации в результате хакерских атак несет существенный риск не только финансовых, но и серьезных репутационных проблем.

Для компаний нефинансового сектора взлом корпоративной системы информационной безопасности может привести к утечкам данных по их инновационным и технологическим разработкам, финансовым показателям, основным контрагентам и заказчикам, ценам на сырье, продукты и услуги и т.д., что крайне негативно сказывается на финансовых результатах деятельности компании и ее репутации на рынке.

Все перечисленные выше факторы приобретают особую значимость в случае организации и проведения различных тендеров и государственных закупок для компаний с государственным участием. К сожалению, в нашей стране лишь некоторые коммерческие и государственные организации регулярно осуществляют полноценный “penetration test”, чтобы быть уверенными в стабильной защите своих информационных систем, правильно полагая, что подобного рода тестирование представляет собой по сути инвестицию в безопасность и многолетнюю стабильность бизнеса. Зачастую, финансовые организации, которым предписано регулярное проведение “penetration test”, подходят к нему достаточно формально, теряя при этом реальную возможность оценки устойчивости своих IT-систем к хакерским атакам.

Комплекс мер, направленных на проведение “penetration test” целесообразнее проводить не своими силами и собственными ресурсами (в силу возможного субъективизма в трактовках результатов), а заказывать эту процедуру у независимых экспертов, неработающих внутри тестируемой организации. ООО «Национальный Центр Управления Рисками» предлагает своим клиентам проведение комплексных мероприятий по выявлению слабых и максимально уязвимых мест в ИТ-инфраструктуре и информационных системах финансовых институтов и компаниях производственного сектора для минимизации рисков успешных атак на IT-инфраструктуру заказчика.

Проводимое экспертами «НЦУР» тестирование позволит нашим клиентам:

· Оценить вероятность реализации потенциальных угроз корпоративной ИТ-инфраструктуре, системе информационной безопасности, базам данных и конфиденциальной информации;

· Оценить возможные последствия хакерских атак и глубину проникновения злоумышленника во внутрикорпоративную информационную систему;

· Выявить слабые места в системе информационной безопасности и оценить эффективность действующего комплекса мер по обеспечению информационной безопасности;

· Оценить современные методы «атак» на ИТ-инфраструктуру и, как следствие, заранее предпринять необходимые меры противодействия им;

· Выработать комплекс мер для минимизации перечисленных рисков информационной безопасности, а также разработать меры профилактического воздействия на IT-инфраструктуру компании с целью снижения потенциального ущерба в случае успешной реализации реальных хакерских атак.

· Обеспечить снижение потенциального ущерба в случае успешной реализации реальных хакерских атак на периметр информационной безопасности.

По запросу клиентов возможно проведение перманентных дискретных “penetration tests” для обеспечения уверенности руководства компании в постоянном и надлежащем уровне защиты информационных систем и конфиденциальной информации от кибернетических атак. В частности, для банков и финансовых институтов может быть предложено проведение тестирования защищенности информационных систем банка, различных мобильных и web- приложений, в том числе в целях выполнений регуляторных требований Банка России.

Успешно организованная система информационной безопасности любой компании стала существенным фактором стабильного, долгосрочного и высоко-репутационного бизнеса и является неотъемлемой составляющей общекорпоративной системы управления рисками.


Комментариев (0)


Комментировать:

Комментарии могут оставлять только зарегистрированные пользователи Регистрация





Роль страховых компаний в развитии рынка синдицированного кредитования в России

Богомолов Алексей

Генеральный Директор и Партнер "Национального Центра Управления Рисками"

Итоги года для малого и среднего предпринимательства (МСП)

Хандриков Илья

Председатель «Всероссийского движения за честный рынок»

Как пандемия коронавируса влияет на рынок страхования жизни?

Ванчек Штефан

Директор по продажам ООО «ППФ Страхование жизни»

Интернет вещей для медицины

Костевич Сергей

Исполнительный директор Perenio IoT

Нужны ли стандарты для сельхозстрахования (оценка риска, продукт, экспертиза убытка, расчёт выплаты)?

Цветков Дмитрий

Руководитель управления андеррайтинга и методологии корпоративного бизнеса СК «Сбербанк страхование»

К 100-летию агростраховых экспериментов в России

Разуваев Алексей

Инициатор создания Национального музея российского страхования

Развитие экологического страхования в нефтяной отрасли

Александрова Елена

Исполнительный директор — статс-секретарь АО «СОГАЗ», член Комитета ВСС по связям с государственными органами

Биллинг в энергетике

Шевцов Олег

Генеральный директор АО «Трансэнерком»

Как из-за пандемии придется измениться рынку страхования грузоперевозок

Редько Антон

Основатель MUSTINS.RU

Достижения и перспективы российской науки в сфере энергетики

Шевцов Олег

Генеральный директор АО «Трансэнерком»

Молодые кадры для «зеленой» энергетики

Евланов Артём

Генеральный директор ООО «Интэк-Строй»

Образование для нужд ТЭК

Шевцов Олег

Генеральный директор АО «Трансэнерком»

Цифровые двойники в энергетике

Шевцов Олег

Генеральный директор АО «Трансэнерком»

Подъем МСП: технологии важнее денег

Редько Антон

Основатель MUSTINS.RU

Когда и кому нужны общества взаимного страхования

Турбина Капитолина

Специалист по страхованию, доктор экономических наук, профессор

ОСАГО: общественная экспертиза, материалы, эксперты, сотрудничество

Моржаретто Игорь

Автоэксперт, член рабочей группы ОНФ «Защита прав автомобилистов»

Умные счётчики

Евланов Артём

Генеральный директор ООО «Интэк-Строй»

Цифровизация электросетей. На страже электросетей: современные системы РЗА

Шевцов Олег

Генеральный директор АО «Трансэнерком»
НАШИ ЭКСПЕРТЫ
Агапов АлександрАгапов
Александр
Аксаков АнатолийАксаков
Анатолий
Александрова ЕленаАлександрова
Елена
Алексеев ВикторАлексеев
Виктор
Андриевская НатальяАндриевская
Наталья
Анохина ОльгаАнохина
Ольга
АСТ КомпанияАСТ
Компания
Бавыкина ОльгаБавыкина
Ольга
Белый ВалерийБелый
Валерий
Бирюков ДмитрийБирюков
Дмитрий
Богомолов АлексейБогомолов
Алексей
Бондаренко АндрейБондаренко
Андрей
Борис ДрыгинБорис
Дрыгин
Ботвинко ОльгаБотвинко
Ольга
Бугаев ЮрийБугаев
Юрий
Букреев СергейБукреев
Сергей
Вавилов ЮрийВавилов
Юрий
Ванин ДмитрийВанин
Дмитрий
Ванчек ШтефанВанчек
Штефан
Вербицкий ВиталийВербицкий
Виталий
Ветошкина ТатьянаВетошкина
Татьяна
Волков АлексейВолков
Алексей
Волков ТимофейВолков
Тимофей
Волобуев АлександрВолобуев
Александр
Володин АлексейВолодин
Алексей
Воробьёва АннаВоробьёва
Анна
Гаврилова ГалинаГаврилова
Галина
Гадлиба ЮлияГадлиба
Юлия
Газизов АлександрГазизов
Александр
Гай ТатьянаГай
Татьяна
Голубкина ТатьянаГолубкина
Татьяна
Горяинов АлександрГоряинов
Александр
Гречман МаринаГречман
Марина
Гришина НинаГришина
Нина
Гурьев ЕвгенийГурьев
Евгений
Давыдов ИванДавыдов
Иван
Данилов ПавелДанилов
Павел
Дешевых ЕвгенийДешевых
Евгений
Дубровин ВикторДубровин
Виктор
Евланов АртёмЕвланов
Артём
Епифанцев НиколайЕпифанцев
Николай
Еременко ВалерийЕременко
Валерий
Ефимкина СветланаЕфимкина
Светлана
Жук ИгорьЖук
Игорь
Жулёв ЮрийЖулёв
Юрий
Знаменский АндрейЗнаменский
Андрей
Зоркина АннаЗоркина
Анна
Зубарев ЛеонидЗубарев
Леонид
Зубец АлексейЗубец
Алексей
Казаченко АлександрКазаченко
Александр
Калинина МарияКалинина
Мария
Калякин АлексейКалякин
Алексей
Качалина ЕкатеринаКачалина
Екатерина
Киселев ИгорьКиселев
Игорь
Кисляк ВладимирКисляк
Владимир
Клементьева ИринаКлементьева
Ирина
Климов ВикторКлимов
Виктор
Климов РафаэльКлимов
Рафаэль
Ковальский ВадимКовальский
Вадим
Козлов ВасилийКозлов
Василий
Колесников НиколайКолесников
Николай
Колесникова ОльгаКолесникова
Ольга
Копитайко МихаилКопитайко
Михаил
Костевич СергейКостевич
Сергей
Коченков АндрейКоченков
Андрей
Кувшинов ЮрийКувшинов
Юрий
Кудряков АлександрКудряков
Александр
Кулакова ЕленаКулакова
Елена
Кулева КсенияКулева
Ксения
Кучерова ЕвгенияКучерова
Евгения
Лавренченко ЮлияЛавренченко
Юлия
Лайков АлексейЛайков
Алексей
Левцов ВениаминЛевцов
Вениамин
Лисин СергейЛисин
Сергей
Литвинова ЕкатеринаЛитвинова
Екатерина
Лопатина ЕленаЛопатина
Елена
Лукьянова ИринаЛукьянова
Ирина
Мальковская МарияМальковская
Мария
Мартьянов АндрейМартьянов
Андрей
Мигунова НинаМигунова
Нина
Миллерман АлександрМиллерман
Александр
Митягин ПетрМитягин
Петр
Мишель А. ХалафМишель
А.
Халаф
Момотов ВикторМомотов
Виктор
Моржаретто ИгорьМоржаретто
Игорь
Мормулевская ЛидияМормулевская
Лидия
Морозов АлександрМорозов
Александр
Морозов ДмитрийМорозов
Дмитрий
Мусин Денис Мусин
Денис
Мякина ЗинаидаМякина
Зинаида
Мясникова ЕленаМясникова
Елена
Ненашева НатальяНенашева
Наталья
Нестерова ЕкатеринаНестерова
Екатерина
Никитина ТатьянаНикитина
Татьяна
Оганезов ДавидОганезов
Давид
Озеров ПавелОзеров
Павел
Ознобин ОлегОзнобин
Олег
Окромчед­<br>лишвили ТамараОкромчед­
лишвили
Тамара
Останин МаксимОстанин
Максим
Параничев ДмитрийПараничев
Дмитрий
Перепелица СветланаПерепелица
Светлана
Печников СергейПечников
Сергей
Питтс МаркПиттс
Марк
Платонова ЭллаПлатонова
Элла
Покидов АлександрПокидов
Александр
Попков ЕвгенийПопков
Евгений
Попов АлексейПопов
Алексей
Попов ДмитрийПопов
Дмитрий
Протасов АнатолийПротасов
Анатолий
Пучкова ТатьянаПучкова
Татьяна
Пылов КонстантинПылов
Константин
Разуваев АлексейРазуваев
Алексей
Раковщик ДмитрийРаковщик
Дмитрий
Редько АнтонРедько
Антон
Резниченко АндрейРезниченко
Андрей
Реймерс МаксимРеймерс
Максим
Робулец ТатьянаРобулец
Татьяна
Романовский СергейРомановский
Сергей
Ромащук МаринаРомащук
Марина
Руденко ДмитрийРуденко
Дмитрий
Рустамова ОксанаРустамова
Оксана
Савельев АлексейСавельев
Алексей
Свашенко СергейСвашенко
Сергей
Скороходова ВалерияСкороходова
Валерия
Скуратова ОльгаСкуратова
Ольга
Смирнов СергейСмирнов
Сергей
Смолянинова ЛюдмилаСмолянинова
Людмила
Солдатова АллаСолдатова
Алла
Соломатин ИльяСоломатин
Илья
Солопова ЕленаСолопова
Елена
Страховик<br><br>Страховик

Сухоруков ДенисСухоруков
Денис
Тарнавский АлександрТарнавский
Александр
Тарсиа НатальяТарсиа
Наталья
Тарханов АнтонТарханов
Антон
Тимофеев ВладиславТимофеев
Владислав
Тихоненко РоманТихоненко
Роман
Тупицын ИгорьТупицын
Игорь
Турбина КапитолинаТурбина
Капитолина
Тутинас АлександрТутинас
Александр
Хандриков ИльяХандриков
Илья
Худяков СергейХудяков
Сергей
Цветков ДмитрийЦветков
Дмитрий
Цебула ПавелЦебула
Павел
Цикало АлександрЦикало
Александр
Чернин МаксимЧернин
Максим
Чуб АлексейЧуб
Алексей
Швецов СергейШвецов
Сергей
Шевцов ОлегШевцов
Олег
Шелехов ПетрШелехов
Петр
Шелищ ПетрШелищ
Петр
Шеховцова СветланаШеховцова
Светлана
Шрейдер ВикторШрейдер
Виктор
Шупляков АлексейШупляков
Алексей
Щербакова Наталья ВикторовнаЩербакова
Наталья
Викторовна
Щербухин ДмитрийЩербухин
Дмитрий
Юргенс ИгорьЮргенс
Игорь
Юрьев АндрейЮрьев
Андрей
Яковлева ДарьяЯковлева
Дарья
Якунина КатеринаЯкунина
Катерина
Янин АлексейЯнин
Алексей
Ярцева ИринаЯрцева
Ирина
Реклама партёров