Использование «Penetration Test» для предупреждения последствий кибернетических атак на информационную инфраструктуру финансовых институтов

В последнее десятилетие развитие современных IT-технологий и средств информационной безопасности оказывают все большее положительное влияние на сохранность и целостность конфиденциальной информации компаний из разных секторов экономики и становятся серьезной преградой на пути кибер-преступности. Тем не менее, наряду с совершенствованием систем информационной безопасности банков, страховых компаний и предприятий нефинансового сектора техническая грамотность и оснащенность злоумышленников также продолжает расти и развиваться, совершенствуя методы взлома внутрикорпоративных контуров информационной безопасности, информационных систем и кражи различных баз данных и денежных средств.

В силу специфики своей деятельности наиболее чувствительными к кибер-атакам оказались компании финансового сектора, в частности банки и страховые компании, которые оперируют с все возрастающими потоками конфиденциальной коммерческой информации, клиентскими базами и персональными данными, а также с внутренней информацией, связанной с операционной и административно-хозяйственной деятельностью компании.

Устойчиво нарастающий новостной фон в отношении несанкционированного проникновения злоумышленников в информационные системы российских компаний свидетельствует о том, что сейчас мы находимся практически на пике количества кибер-преступлений. При этом, значительное число банков, страховых и финансовых компаний уже понесли определенные финансовые и, что особенно опасно, репутационные потери, связанные с воровством средств со счетов компаний и клиентов, взломом конфиденциальных баз данных, мошенничеством, а также с попытками физического разрушения информационных систем объектов атаки в том числе и в целях конкурентных войн.

Многие руководители банков и страховых компаний уже давно осознали, что обеспечение безопасности своих информационных ресурсов стало неотъемлемой частью стратегии развития компании, а также одной из важнейших составляющих их деловой репутации. Да и в самом деле, кто из клиентов банка или страховой компании захочет продолжить сотрудничество с ними после кражи своих средств со счетов или утраты конфиденциальной информации, связанной с персональными данными клиентов, тем более что информация о хакерских атаках и взломах информационных систем компаний практически сразу же попадает в прессу и подрывает доверие контрагентов, бизнес-партнеров и клиентов.

Следует заметить, что в последнее время с учетом новых реалий обеспечение информационной безопасности бизнеса не должно ограничиваться только лишь локальными мерами, а требует реализации комплексного подхода в противодействии хакерским атакам. В поисках слабых и наиболее уязвимых мест в системе информационной безопасности злоумышленники постоянно совершенствуют свой инструментарий, технологии и тактику. Единственным эффективным способом сделать вывод о надежности периметра информационной безопасности компании является его постоянное тестирование на прочность и резистентность к внешним атакам.

По своей сути тестирование сводится к целенаправленной и санкционированной руководством той или иной компании попытке взлома их информационных систем. Такие действия носят общее название “penetration test”. Целью этих действий является поиск наиболее слабых мест и уязвимостей информационных систем и баз банных компании с точки зрения риска взлома контуров ее информационной безопасности, риска утраты конфиденциальной корпоративной информации, а также рисков прямых хищений денежных средств со счетов клиентов. Проводятся такие тесты с согласия со стороны руководства компании и не несут никаких угроз целостности информационных систем и баз данных тестируемого объекта, а также рисков утраты корпоративной информации или денежных средств. Для руководства компании успешное прохождение “penetration test” является показателем защищенности корпоративных информационных систем и ресурсов в случае возникновения реальных хакерских атак злоумышленников.

“Penetration test” представляет собой достаточно сложный контролируемый комплекс процедур, в результате которого нельзя допустить каких-либо неосторожных и неквалифицированных действий, приводящих к деструктуризации или декомпозиции информационного ресурса объекта тестирования или неумышленному удалению важной корпоративной информации. Выполнение работ по проведению “penetration test” с подготовкой соответствующего отчета о его направленности и выявленных слабых местах в системе информационной безопасности компании должно проводиться высокопрофессиональными и добропорядочными экспертами, имеющими значительный опыт работы в сфере ИТ-безопасности и цифровых технологий, которые прекрасно понимают, как возможно «взломать» информационную систему компании и, при этом, не нанести ущерба объекту тестирования.

Как было отмечено выше минимизация операционных рисков, связанная с проведением “penetration test” весьма актуальна как для банков, страховых компаний, так и для нефинансовых компаний. Специфика работы банков и страховых компаний состоит в том, что информационные потери могут приводить к огромным убыткам. Это связано с тем, что финансовые компании хранят не только материальные активы своих клиентов, но и конфиденциальную информацию – данные о вкладчиках и заемщиках, их счетах и различных финансовых сделках. Утечка такой информации в результате хакерских атак несет существенный риск не только финансовых, но и серьезных репутационных проблем.

Для компаний нефинансового сектора взлом корпоративной системы информационной безопасности может привести к утечкам данных по их инновационным и технологическим разработкам, финансовым показателям, основным контрагентам и заказчикам, ценам на сырье, продукты и услуги и т.д., что крайне негативно сказывается на финансовых результатах деятельности компании и ее репутации на рынке.

Все перечисленные выше факторы приобретают особую значимость в случае организации и проведения различных тендеров и государственных закупок для компаний с государственным участием. К сожалению, в нашей стране лишь некоторые коммерческие и государственные организации регулярно осуществляют полноценный “penetration test”, чтобы быть уверенными в стабильной защите своих информационных систем, правильно полагая, что подобного рода тестирование представляет собой по сути инвестицию в безопасность и многолетнюю стабильность бизнеса. Зачастую, финансовые организации, которым предписано регулярное проведение “penetration test”, подходят к нему достаточно формально, теряя при этом реальную возможность оценки устойчивости своих IT-систем к хакерским атакам.

Комплекс мер, направленных на проведение “penetration test” целесообразнее проводить не своими силами и собственными ресурсами (в силу возможного субъективизма в трактовках результатов), а заказывать эту процедуру у независимых экспертов, неработающих внутри тестируемой организации. ООО «Национальный Центр Управления Рисками» предлагает своим клиентам проведение комплексных мероприятий по выявлению слабых и максимально уязвимых мест в ИТ-инфраструктуре и информационных системах финансовых институтов и компаниях производственного сектора для минимизации рисков успешных атак на IT-инфраструктуру заказчика.

Проводимое экспертами «НЦУР» тестирование позволит нашим клиентам:

· Оценить вероятность реализации потенциальных угроз корпоративной ИТ-инфраструктуре, системе информационной безопасности, базам данных и конфиденциальной информации;

· Оценить возможные последствия хакерских атак и глубину проникновения злоумышленника во внутрикорпоративную информационную систему;

· Выявить слабые места в системе информационной безопасности и оценить эффективность действующего комплекса мер по обеспечению информационной безопасности;

· Оценить современные методы «атак» на ИТ-инфраструктуру и, как следствие, заранее предпринять необходимые меры противодействия им;

· Выработать комплекс мер для минимизации перечисленных рисков информационной безопасности, а также разработать меры профилактического воздействия на IT-инфраструктуру компании с целью снижения потенциального ущерба в случае успешной реализации реальных хакерских атак.

· Обеспечить снижение потенциального ущерба в случае успешной реализации реальных хакерских атак на периметр информационной безопасности.

По запросу клиентов возможно проведение перманентных дискретных “penetration tests” для обеспечения уверенности руководства компании в постоянном и надлежащем уровне защиты информационных систем и конфиденциальной информации от кибернетических атак. В частности, для банков и финансовых институтов может быть предложено проведение тестирования защищенности информационных систем банка, различных мобильных и web- приложений, в том числе в целях выполнений регуляторных требований Банка России.

Успешно организованная система информационной безопасности любой компании стала существенным фактором стабильного, долгосрочного и высоко-репутационного бизнеса и является неотъемлемой составляющей общекорпоративной системы управления рисками.