Использование «Penetration Test» для предупреждения последствий кибернетических атак на информационную инфраструктуру финансовых институтов

Богомолов Алексей
Автор: Богомолов Алексей, Генеральный Директор и Партнер "Национального Центра Управления Рисками"
Дата публикации: 11.01.2021

Соавтор материала – Семен Долгов, Партнер "Национального Центра Управления Рисками"

В последнее десятилетие развитие современных IT-технологий и средств информационной безопасности оказывают все большее положительное влияние на сохранность и целостность конфиденциальной информации компаний из разных секторов экономики и становятся серьезной преградой на пути кибер-преступности. Тем не менее, наряду с совершенствованием систем информационной безопасности банков, страховых компаний и предприятий нефинансового сектора техническая грамотность и оснащенность злоумышленников также продолжает расти и развиваться, совершенствуя методы взлома внутрикорпоративных контуров информационной безопасности, информационных систем и кражи различных баз данных и денежных средств.

В силу специфики своей деятельности наиболее чувствительными к кибер-атакам оказались компании финансового сектора, в частности банки и страховые компании, которые оперируют с все возрастающими потоками конфиденциальной коммерческой информации, клиентскими базами и персональными данными, а также с внутренней информацией, связанной с операционной и административно-хозяйственной деятельностью компании.

Устойчиво нарастающий новостной фон в отношении несанкционированного проникновения злоумышленников в информационные системы российских компаний свидетельствует о том, что сейчас мы находимся практически на пике количества кибер-преступлений. При этом, значительное число банков, страховых и финансовых компаний уже понесли определенные финансовые и, что особенно опасно, репутационные потери, связанные с воровством средств со счетов компаний и клиентов, взломом конфиденциальных баз данных, мошенничеством, а также с попытками физического разрушения информационных систем объектов атаки в том числе и в целях конкурентных войн.

Многие руководители банков и страховых компаний уже давно осознали, что обеспечение безопасности своих информационных ресурсов стало неотъемлемой частью стратегии развития компании, а также одной из важнейших составляющих их деловой репутации. Да и в самом деле, кто из клиентов банка или страховой компании захочет продолжить сотрудничество с ними после кражи своих средств со счетов или утраты конфиденциальной информации, связанной с персональными данными клиентов, тем более что информация о хакерских атаках и взломах информационных систем компаний практически сразу же попадает в прессу и подрывает доверие контрагентов, бизнес-партнеров и клиентов.

Следует заметить, что в последнее время с учетом новых реалий обеспечение информационной безопасности бизнеса не должно ограничиваться только лишь локальными мерами, а требует реализации комплексного подхода в противодействии хакерским атакам. В поисках слабых и наиболее уязвимых мест в системе информационной безопасности злоумышленники постоянно совершенствуют свой инструментарий, технологии и тактику. Единственным эффективным способом сделать вывод о надежности периметра информационной безопасности компании является его постоянное тестирование на прочность и резистентность к внешним атакам.

По своей сути тестирование сводится к целенаправленной и санкционированной руководством той или иной компании попытке взлома их информационных систем. Такие действия носят общее название “penetration test”. Целью этих действий является поиск наиболее слабых мест и уязвимостей информационных систем и баз банных компании с точки зрения риска взлома контуров ее информационной безопасности, риска утраты конфиденциальной корпоративной информации, а также рисков прямых хищений денежных средств со счетов клиентов. Проводятся такие тесты с согласия со стороны руководства компании и не несут никаких угроз целостности информационных систем и баз данных тестируемого объекта, а также рисков утраты корпоративной информации или денежных средств. Для руководства компании успешное прохождение “penetration test” является показателем защищенности корпоративных информационных систем и ресурсов в случае возникновения реальных хакерских атак злоумышленников.

“Penetration test” представляет собой достаточно сложный контролируемый комплекс процедур, в результате которого нельзя допустить каких-либо неосторожных и неквалифицированных действий, приводящих к деструктуризации или декомпозиции информационного ресурса объекта тестирования или неумышленному удалению важной корпоративной информации. Выполнение работ по проведению “penetration test” с подготовкой соответствующего отчета о его направленности и выявленных слабых местах в системе информационной безопасности компании должно проводиться высокопрофессиональными и добропорядочными экспертами, имеющими значительный опыт работы в сфере ИТ-безопасности и цифровых технологий, которые прекрасно понимают, как возможно «взломать» информационную систему компании и, при этом, не нанести ущерба объекту тестирования.

Как было отмечено выше минимизация операционных рисков, связанная с проведением “penetration test” весьма актуальна как для банков, страховых компаний, так и для нефинансовых компаний. Специфика работы банков и страховых компаний состоит в том, что информационные потери могут приводить к огромным убыткам. Это связано с тем, что финансовые компании хранят не только материальные активы своих клиентов, но и конфиденциальную информацию – данные о вкладчиках и заемщиках, их счетах и различных финансовых сделках. Утечка такой информации в результате хакерских атак несет существенный риск не только финансовых, но и серьезных репутационных проблем.

Для компаний нефинансового сектора взлом корпоративной системы информационной безопасности может привести к утечкам данных по их инновационным и технологическим разработкам, финансовым показателям, основным контрагентам и заказчикам, ценам на сырье, продукты и услуги и т.д., что крайне негативно сказывается на финансовых результатах деятельности компании и ее репутации на рынке.

Все перечисленные выше факторы приобретают особую значимость в случае организации и проведения различных тендеров и государственных закупок для компаний с государственным участием. К сожалению, в нашей стране лишь некоторые коммерческие и государственные организации регулярно осуществляют полноценный “penetration test”, чтобы быть уверенными в стабильной защите своих информационных систем, правильно полагая, что подобного рода тестирование представляет собой по сути инвестицию в безопасность и многолетнюю стабильность бизнеса. Зачастую, финансовые организации, которым предписано регулярное проведение “penetration test”, подходят к нему достаточно формально, теряя при этом реальную возможность оценки устойчивости своих IT-систем к хакерским атакам.

Комплекс мер, направленных на проведение “penetration test” целесообразнее проводить не своими силами и собственными ресурсами (в силу возможного субъективизма в трактовках результатов), а заказывать эту процедуру у независимых экспертов, неработающих внутри тестируемой организации. ООО «Национальный Центр Управления Рисками» предлагает своим клиентам проведение комплексных мероприятий по выявлению слабых и максимально уязвимых мест в ИТ-инфраструктуре и информационных системах финансовых институтов и компаниях производственного сектора для минимизации рисков успешных атак на IT-инфраструктуру заказчика.

Проводимое экспертами «НЦУР» тестирование позволит нашим клиентам:

· Оценить вероятность реализации потенциальных угроз корпоративной ИТ-инфраструктуре, системе информационной безопасности, базам данных и конфиденциальной информации;

· Оценить возможные последствия хакерских атак и глубину проникновения злоумышленника во внутрикорпоративную информационную систему;

· Выявить слабые места в системе информационной безопасности и оценить эффективность действующего комплекса мер по обеспечению информационной безопасности;

· Оценить современные методы «атак» на ИТ-инфраструктуру и, как следствие, заранее предпринять необходимые меры противодействия им;

· Выработать комплекс мер для минимизации перечисленных рисков информационной безопасности, а также разработать меры профилактического воздействия на IT-инфраструктуру компании с целью снижения потенциального ущерба в случае успешной реализации реальных хакерских атак.

· Обеспечить снижение потенциального ущерба в случае успешной реализации реальных хакерских атак на периметр информационной безопасности.

По запросу клиентов возможно проведение перманентных дискретных “penetration tests” для обеспечения уверенности руководства компании в постоянном и надлежащем уровне защиты информационных систем и конфиденциальной информации от кибернетических атак. В частности, для банков и финансовых институтов может быть предложено проведение тестирования защищенности информационных систем банка, различных мобильных и web- приложений, в том числе в целях выполнений регуляторных требований Банка России.

Успешно организованная система информационной безопасности любой компании стала существенным фактором стабильного, долгосрочного и высоко-репутационного бизнеса и является неотъемлемой составляющей общекорпоративной системы управления рисками.


Встроенное страхование поможет автоконцернам выиграть технологическую гонку

Редько Антон

Основатель платформы MUST по управлению рисками коммерческих автопарков

ВЦИОМ: Расширение тарифного коридора ОСАГО поддерживает 85% автовладельцев

ОСАГО: общественная экспертиза

Информационный проект

Итоги взаимодействия ВСС, РСА и НССО с палатами ФС РФ (2021-2022). Часть 4

Юргенс Игорь

Президент Всероссийского союза страховщиков

Эксперт уверен, что продажа ОСАГО в рассрочку станет полезной опцией

ОСАГО: общественная экспертиза

Информационный проект

Итоги взаимодействия ВСС, РСА и НССО с палатами ФС РФ (2021-2022). Часть 3

Юргенс Игорь

Президент Всероссийского союза страховщиков

О современной модели развития страхового рынка России в новых условиях

Злобин Евгений

Кандидат исторических наук, доцент кафедры ЭДАТ ИАИ РГГУ, член-корр. РАЕН, RCDS

Итоги взаимодействия ВСС, РСА и НССО с палатами ФС РФ (2021-2022). Часть 2

Юргенс Игорь

Президент Всероссийского союза страховщиков

Итоги взаимодействия ВСС, РСА и НССО с палатами ФС РФ (2021-2022). Часть 1

Юргенс Игорь

Президент Всероссийского союза страховщиков

Популярность ОСАГО растет вопреки кризису? Статистика подтверждает!

ОСАГО: общественная экспертиза

Информационный проект

В Службе финансового уполномоченного рассказали, на что обратить внимание при страховании багажа

Крайнова Ольга

Руководитель АНО «Служба обеспечения деятельности финансового уполномоченного»

Расширение тарифного коридора позитивно скажется на стоимости полисов ОСАГО

ОСАГО: общественная экспертиза

Информационный проект

Полный онлайн. Эксперты обсудили перспективы удаленного урегулирования в ОСАГО

ОСАГО: общественная экспертиза

Информационный проект

Эксперты рассказали, что ждет сегмент ОСАГО в ближайшей перспективе

ОСАГО: общественная экспертиза

Информационный проект

Стабильность стоимости ОСАГО зависит от ширины тарифного коридора?

ОСАГО: общественная экспертиза

Информационный проект

Почему в Крыму ОСАГО дешевле? Стоимость полиса зависит от региональных властей

ОСАГО: общественная экспертиза

Информационный проект

Управление расходами (лучшие практики и автоматизация процесса)

Эльдаров Муратхан

Управляющий партнер "Партнерство профессионалов»

Доступность ОСАГО растет из года в год

ОСАГО: общественная экспертиза

Информационный проект

Онлайн-полис для бизнеса

Мелёхин Дмитрий

Директор департамента корпоративного бизнеса СПАО «Ингосстрах»
НАШИ ЭКСПЕРТЫ
Аксаков АнатолийАксаков
Анатолий
Александрова ЕленаАлександрова
Елена
Алексеев ВикторАлексеев
Виктор
Альмендеев ОлегАльмендеев
Олег
Андриевская НатальяАндриевская
Наталья
Анохина ОльгаАнохина
Ольга
АСТ КомпанияАСТ
Компания
Бавыкина ОльгаБавыкина
Ольга
Белый ВалерийБелый
Валерий
Биждов КорнейБиждов
Корней
Бирюков ДмитрийБирюков
Дмитрий
Богомолов АлексейБогомолов
Алексей
Бондаренко АндрейБондаренко
Андрей
Борис ДрыгинБорис
Дрыгин
Ботвинко ОльгаБотвинко
Ольга
Бугаев ЮрийБугаев
Юрий
Букреев СергейБукреев
Сергей
Вавилов ЮрийВавилов
Юрий
Ванин ДмитрийВанин
Дмитрий
Ванчек ШтефанВанчек
Штефан
Васильев НиколайВасильев
Николай
Вербицкий ВиталийВербицкий
Виталий
Ветошкина ТатьянаВетошкина
Татьяна
Власов ЯнВласов
Ян
Волков АлексейВолков
Алексей
Волков ТимофейВолков
Тимофей
Волобуев АлександрВолобуев
Александр
Володин АлексейВолодин
Алексей
Воробьёва АннаВоробьёва
Анна
Гаврилова ГалинаГаврилова
Галина
Гадлиба ЮлияГадлиба
Юлия
Газизов АлександрГазизов
Александр
Гай ТатьянаГай
Татьяна
Голубкина ТатьянаГолубкина
Татьяна
Горовцов ДмитрийГоровцов
Дмитрий
Горяинов АлександрГоряинов
Александр
Гращенкова ЕленаГращенкова
Елена
Гречман МаринаГречман
Марина
Григорьянц ИгорьГригорьянц
Игорь
Гришина НинаГришина
Нина
Гурьев ЕвгенийГурьев
Евгений
Давыдов ИванДавыдов
Иван
Данилов ПавелДанилов
Павел
Дешевых ЕвгенийДешевых
Евгений
Дубровин ВикторДубровин
Виктор
Дужинский СтаниславДужинский
Станислав
Евланов АртёмЕвланов
Артём
Епифанцев НиколайЕпифанцев
Николай
Еременко ВалерийЕременко
Валерий
Ефимкина СветланаЕфимкина
Светлана
Жук ИгорьЖук
Игорь
Жулёв ЮрийЖулёв
Юрий
Журавлева МаринаЖуравлева
Марина
Завадский АлексейЗавадский
Алексей
Злобин ЕвгенийЗлобин
Евгений
Знаменский АндрейЗнаменский
Андрей
Зоркина АннаЗоркина
Анна
Зубарев ЛеонидЗубарев
Леонид
Зубец АлексейЗубец
Алексей
Казаченко АлександрКазаченко
Александр
Калинина МарияКалинина
Мария
Калякин АлексейКалякин
Алексей
Качалина ЕкатеринаКачалина
Екатерина
Кириллова НадеждаКириллова
Надежда
Киселев ИгорьКиселев
Игорь
Кисляк ВладимирКисляк
Владимир
Климов ВикторКлимов
Виктор
Ковальский ВадимКовальский
Вадим
Кожевников РусланКожевников
Руслан
Козлов ВасилийКозлов
Василий
Колесников НиколайКолесников
Николай
Колесникова ОльгаКолесникова
Ольга
Копитайко МихаилКопитайко
Михаил
Костевич СергейКостевич
Сергей
Коченков АндрейКоченков
Андрей
Крайнова ОльгаКрайнова
Ольга
Круглый ВладимирКруглый
Владимир
Кувшинов ЮрийКувшинов
Юрий
Кудряков АлександрКудряков
Александр
Кулакова ЕленаКулакова
Елена
Кулева КсенияКулева
Ксения
Кулешова АннаКулешова
Анна
Кусайко ТатьянаКусайко
Татьяна
Кучерова ЕвгенияКучерова
Евгения
Лавренченко ЮлияЛавренченко
Юлия
Лавров ВасилийЛавров
Василий
Лайков АлексейЛайков
Алексей
Ларионов АнтонЛарионов
Антон
Левцов ВениаминЛевцов
Вениамин
Лисин СергейЛисин
Сергей
Литвинова ЕкатеринаЛитвинова
Екатерина
Лопатина ЕленаЛопатина
Елена
Лукьянова ИринаЛукьянова
Ирина
Мальковская МарияМальковская
Мария
Мартьянов АндрейМартьянов
Андрей
Мелёхин ДмитрийМелёхин
Дмитрий
Мигунова НинаМигунова
Нина
Миллерман АлександрМиллерман
Александр
Митягин ПетрМитягин
Петр
Мишель А. ХалафМишель
А.
Халаф
Момотов ВикторМомотов
Виктор
Моржаретто ИгорьМоржаретто
Игорь
Мормулевская ЛидияМормулевская
Лидия
Морозов АлександрМорозов
Александр
Морозов ДмитрийМорозов
Дмитрий
Мусин Денис Мусин
Денис
Мякина ЗинаидаМякина
Зинаида
Мясникова ЕленаМясникова
Елена
Недогода СергейНедогода
Сергей
Ненашева НатальяНенашева
Наталья
Нестерова ЕкатеринаНестерова
Екатерина
Никитина ТатьянаНикитина
Татьяна
Овчаренко СергейОвчаренко
Сергей
Оганезов ДавидОганезов
Давид
Озеров ПавелОзеров
Павел
Ознобин ОлегОзнобин
Олег
Окромчед­<br>лишвили ТамараОкромчед­
лишвили
Тамара
ОСАГО: общественная экспертизаОСАГО:
общественная
экспертиза
Останин МаксимОстанин
Максим
Параничев ДмитрийПараничев
Дмитрий
Перепелица СветланаПерепелица
Светлана
Петров МихаилПетров
Михаил
Печников СергейПечников
Сергей
Питтс МаркПиттс
Марк
Платонова ЭллаПлатонова
Элла
Покидов АлександрПокидов
Александр
Попков ЕвгенийПопков
Евгений
Попов АлексейПопов
Алексей
Попов ДмитрийПопов
Дмитрий
Протасов АнатолийПротасов
Анатолий
Пучкова ТатьянаПучкова
Татьяна
Пылов КонстантинПылов
Константин
Разуваев АлексейРазуваев
Алексей
Раковщик ДмитрийРаковщик
Дмитрий
Редько АнтонРедько
Антон
Резниченко АндрейРезниченко
Андрей
Робулец ТатьянаРобулец
Татьяна
Романовский СергейРомановский
Сергей
Ромащук МаринаРомащук
Марина
Савельев АлексейСавельев
Алексей
Свашенко СергейСвашенко
Сергей
Свинцова КираСвинцова
Кира
Скороходова ВалерияСкороходова
Валерия
Скуратова ОльгаСкуратова
Ольга
Смирнов СергейСмирнов
Сергей
Смолянинова ЛюдмилаСмолянинова
Людмила
Солдатова АллаСолдатова
Алла
Соломатин ИльяСоломатин
Илья
Солопова ЕленаСолопова
Елена
Сорокин КириллСорокин
Кирилл
Сухоруков ДенисСухоруков
Денис
Тарнавский АлександрТарнавский
Александр
Тарсиа НатальяТарсиа
Наталья
Тарханов АнтонТарханов
Антон
Тен НигинаТен
Нигина
Тимофеев ВладиславТимофеев
Владислав
Тихоненко РоманТихоненко
Роман
Тупицын ИгорьТупицын
Игорь
Турбина КапитолинаТурбина
Капитолина
Тутинас АлександрТутинас
Александр
Урлин СергейУрлин
Сергей
Уфимцев ЕвгенийУфимцев
Евгений
Феоктистова ЕленаФеоктистова
Елена
Финансовый уполномоченныйФинансовый
уполномоченный
Хандриков ИльяХандриков
Илья
Худяков СергейХудяков
Сергей
Цветков ДмитрийЦветков
Дмитрий
Цебула ПавелЦебула
Павел
Центр социального проектирования «Платформа»Центр
социального
проектирования
«Платформа»
Цикало АлександрЦикало
Александр
Чернин МаксимЧернин
Максим
Чуб АлексейЧуб
Алексей
Швецов СергейШвецов
Сергей
Шевцов ОлегШевцов
Олег
Шелехов ПетрШелехов
Петр
Шеховцова СветланаШеховцова
Светлана
Шрейдер ВикторШрейдер
Виктор
Шупляков АлексейШупляков
Алексей
Шуппо ОльгаШуппо
Ольга
Щеглов и ПартнерыЩеглов
и
Партнеры
Щербакова Наталья ВикторовнаЩербакова
Наталья
Викторовна
Щербухин ДмитрийЩербухин
Дмитрий
Эльдаров МуратханЭльдаров
Муратхан
Юргенс ИгорьЮргенс
Игорь
Яковлева ДарьяЯковлева
Дарья
Якунина КатеринаЯкунина
Катерина
Янин АлексейЯнин
Алексей
Янышева ВераЯнышева
Вера
Ярцева ИринаЯрцева
Ирина


НАШИ КАНАЛЫ




Реклама партёров

ПОДПИСКА

Новости страхового рынка
Интересно и актуально