Продолжая пользоваться данным сайтом или нажав "Принимаю", Вы даёте согласие на обработку файлов cookie и принимаете условия Политики конфиденциальности.
Кибербезопасность в финансовом секторе: как восстановить данные, когда существующая защита не срабатывает. Решение от Dell Technologies
20 апреля 2023
1140
Юрий Донченко, Territory Account Executive компании Dell Technologies, для Banker.ua
Кибермошенничество существует очень давно, однако сейчас оно приобрело значительные объемы. Еще до полномасштабного вторжения в Украину фиксировались активные кибератаки, в частности, в финсекторе. Целью мошенников всегда являются данные, которыми владеет финансовая структура, чтобы с их помощью извлечь выгоду, или удалить их, или скомпрометировать их так, чтобы организация не смогла определенное время обслуживать клиентов и несла репутационные, а также финансовые потери.
Практически каждый день разные бизнесы противостоят кибератакам, попыткам зашифровать данные и т.д. Однако, проведя десятки разговоров с представителями компаний в разных странах, я могу сказать, что далеко не все понимают важность защиты своих данных. В украинских финансовых учреждениях многое было сделано для IТ-безопасности, они используют очень хорошие инструменты, но на самом деле им не всегда удается спасти всю информацию.
Сейчас уже многие украинские банковские учреждения используют оборудование компании Dell Technologies и наше решение по резервному копированию, на котором у нас все построено. В начале войны Нацбанк разрешил банкам переходить в публичные Облака. Финучреждения переносили туда данные для их защиты, сделали резервные копии. Мы помогали им, предоставляли лицензии на использование систем в публичных облаках. В настоящее время банки уже покупают их на нормальных условиях. Но к тому времени некоторые риски банки смогли снять именно благодаря нашему решению по резервному копированию.
Решение для восстановления данных
Решение, которое мы предлагаем, позволяет заказчикам, в случае, если вся защита, выстроенная их IТ-безопасностью, не сработала, продолжить предоставлять услуги клиентам, имея возможность восстановить утраченные данные. По сути, мы являемся последней линией обороны.
В мире есть общепринятые стандарты IТ-безопасности – так называемый NIST Framework. Этот документ включает в себя пять пунктов. По четырем из них наши IТ-специалисты по безопасности прекрасно работают, но о пятом часто забывают. Этим последним пунктом является Recovery – восстановление данных.
Обычно все происходит следующим образом: когда ничего не сработало, IТ-безопасность приходит в службу IТ и говорит: «Не сработало. Восстанавливайтесь». А откуда восстанавливать данные? Неоткуда, потому что все зашифровано или удалено. Поэтому именно об этом мы разговариваем с нашими заказчиками и стараемся их подтолкнуть к тому, что не нужно забывать об одной из главных вещей – как вы будете восстанавливать данные, когда вся защита не сработала.
В мире есть общепринятые стандарты ИТ-безопасности – так называемый NIST Framework. Этот документ включает в себя пять пунктов. По четырем из них наши ИТ-специалисты прекрасно работают, но о пятом часто забывают. Этим последним пунктом является Recovery – восстановление данных
Все данные, критические для финансового учреждения, должны храниться секьюрно. Но мы все, в частности, коллеги из банков должны понимать, что если они сами могут добраться до своих данных удаленно, то кто угодно сможет это сделать также. А еще почему-то все забывают о самой неприятной вещи – это инсайдеры. Человек может быть финансово, политически, религиозно мотивирован и предоставить доступ к любым данным внутри организации.
Чтобы такого не случилось, есть только один выход – ограничить доступ к данным для кого-угодно. И дать возможность эти данные определенным образом анализировать на предмет наличия возможных вмешательств, компрометаций и т.д. Доступ к информации должен контролировать не один человек, а несколько. Главное условие реализации вышеуказанного – наличие закрытой, недоступной, удаленной среды, из которой конкретные люди смогут работать.
Предупредить и защитить
Кибермошенники каждый день придумывают новые способы получения платежных и персональных данных. В Даркнете даже есть услуга Hacking as a service (HaaS). Тот, у кого есть достаточно средств, может обратиться к определенным людям и заказать такой сервис, чтобы навредить какой-то организации.
И это не происходит в один момент – атака может продолжаться в течение месяца, трех, полугода, года. Какой-нибудь человек или группа людей будут пытаться проникнуть в учреждение и завладеть его данными. И рано или поздно они это сделают. Или они уже там и шифруют данные в течение года, и никто этого не замечает, потому что заметить это невозможно до наступления часа Х, когда все произошло так, чтобы компания вообще не могла работать. Наша цель – заранее выявить несанкционированные действия и предотвратить их.
Прежде всего, предприятия должны понимать, что для них критически важно. Перед тем, как начать работать над проектом заказчика, мы даем им «домашнее задание», которое они должны решить. Следует понять, какие именно данные и сколько этих данных для них являются суперкритическими. Не нужно защищать все. Если заказчики нормально подходят к этому вопросу, то из всех резервных копий те, которые нужно защищать, обычно составляют 15-30%. Поэтому прежде всего это работа не в одном направлении, а разносторонняя. Заказчики также должны проделать определенную работу со своей стороны.
Опыт западных банков в работе украинских финучреждений
В Украине достаточно много банков используют наш инструмент резервного копирования, на котором мы базируем наше решение по Cyber Recovery. Если организация использует наши системы для резервного копирования – это уже 50% Cyber Recovery.
Но, к сожалению, до начала полномасштабного вторжения многие даже с бекапами (англ. backup – резервное копирование – ред.) просто «играли». С этого года бизнесы (и не только финучреждения) начали больше беспокоиться о защите своих данных от киберугроз, шифровальщиков и т.д. Мы только в начале пути в этом направлении. Несмотря на то, что мы сильно отстаем от западных коллег, но вектор нашего развития верен. Я думаю, что за этот и следующий год Украина подтянется до надлежащего уровня. Мы начнем догонять Европу, Штаты. Но там это внедряется уже давно, и у нашего решения по безопасности практически нет аналогов и конкурентов. Dell с этим инструментом на рынке уже 8 лет.
Перед тем как начать работать над проектом заказчика, мы даем им «домашнее задание», которое они должны для себя решить. Следует понять, какие именно данные и сколько этих данных для них являются суперкритическими. Не нужно защищать все
В США есть интересная организация Sheltered Harbor – своеобразный профсоюз финансовых учреждений. Эта организация сертифицировала решение Dell Technologies – Cyber Recovery – для своих членов. Оно единственное, которое сертифицировано для защиты данных с точки зрения восстановления, анализа и т.д. Это не обязательное требование для всех участников, но факт довольно интересный, потому что в США финансовые учреждения относятся к своим данным и их защите более серьезно.
Как показывает практика, наши финучреждения развиваются быстрее, если сравнивать их с западными. Мы стартовали позже, но начали свой путь с того уровня, до которого коллеги доходили эволюционным путем не один год. Поэтому нам немного легче, но рисков у нас сейчас больше. На Западе знают, что им нужно обеспечить защиту конкретных данных, и они делают это последовательно и профессионально. У нас эту необходимость еще нужно доказать на всех уровнях, и, возможно, в будущем большинство отечественных организаций дойдет до того, что это необходимо сделать.
Механизмы безопасности в практической плоскости
Говоря о практической стороне, следует признать, что заказчиков много, но открытых нет, потому что никто из клиентов не хочет показывать, как они защищают свои данные, что они для этого сделали, поскольку все уже будут понимать, куда «лезть». Решение Dell Technologies надежно, архитектурно оно так построено, что добраться до него практически невозможно.
Внедряя Cyber Recovery, мы видим, как выглядит стабилизационный период системы, когда мы только начинаем анализировать данные у заказчика. Практически у всех это выглядит так: система начинает впервые анализировать информацию и происходит alert за alert’ом, т.е. тревожные сигналы. Пока система еще не обучена, первые 3-5 анализов выдают достаточно много false positive ошибок.
У нас были заказчики, у которых в течение двух недель постоянно что-то происходило, какие-то аллерты. Думали, что проблема заключается в «новизне» системы, а оказалось, что заказчика шифровали уже некоторое время, и представьте: мы распознали это еще на этапе внедрения нашего решения. Когда мы проходим стабилизационный период, заказчик отвечает за работу системы самостоятельно.
Мы крайне серьезно относимся к Cyber Recovery. Это решение внедряется только инженерами Dell и проходит очень строгую валидацию нашими техническими специалистами и специалистами по безопасности. Внедрение занимает достаточно много времени. Всегда есть этот стабилизационный период от нескольких недель до 1-1,5 месяцев, когда мы с заказчиком совершенствуем эту систему, чтобы наладить процесс анализа, и, что еще важнее, алгоритм восстановления – то, ради чего это вообще происходит. Только после всего вышеперечисленного мы передаем документацию заказчику и отпускаем его в свободное плавание.
На ближайшие несколько лет задача Dell, а именно команды, занимающейся решениями по безопасности данных, – это очень плодотворная работа с заказчиками по построению такой защиты. Важно защитить от киберугроз не только финучреждения, но и другие компании, для которых данные чего-то стоят. И Cyber Recovery соответствует этой цели на 150%. Сознательный бизнес – это тот, где оберегают данные клиентов, и мы в этом всегда готовы помочь.