Кібербезпека у фінансовому секторі: як відновити дані, коли наявний захист не спрацьовує. Рішення від Dell Technologies

20 Квітня 2023

Юрій Донченко, Territory Account Executive компанії Dell Technologies, для Banker.ua

Кібершахрайство існує дуже давно, проте зараз воно набуло значних обсягів. Ще до повномасштабного вторгнення в Україні фіксувалися активні кібератаки, зокрема, у фінсекторі. Ціллю шахраїв завжди є дані, якими володіє фінансова структура, щоб за їхньою допомогою отримати вигоду, або видалити їх, або скомпрометувати їх так, щоб організація не змогла певний час обслуговувати клієнтів і несла репутаційні, а також фінансові втрати.

Головний Telegram-канал банкірів

Практично кожен день різні бізнеси протистоять кібератакам, спробам зашифрувати дані тощо. Проте, провівши десятки розмов із представниками компаній у різних країнах, я можу сказати, що далеко не всі розуміють важливість захисту своїх даних. В українських фінансових установах багато було зроблено для ІТ-безпеки, вони використовують дуже гарні інструменти, але насправді їм не завжди вдається врятувати всю інформацію.

Наразі вже чимало українських банківських установ використовують обладнання компанії Dell Technologies і наше рішення з резервного копіювання, на якому у нас все будується. На початку війни Нацбанк дозволив банкам переходити у публічні Хмари. Фінустанови переносили туди дані для їхнього захисту, зробили резервні копії. Ми допомагали їм, надавали ліцензії для використання систем в публічних хмарах. Зараз банки вже купують їх на нормальних умовах. Але на той час певні ризики банки змогли зняти саме завдяки нашому рішенню з резервного копіювання.

Рішення для відновлення даних

Рішення, яке ми пропонуємо, дозволяє замовникам, у випадку, якщо весь захист, який побудувала їхня ІТ-безпека, не спрацював, продовжити надавати послуги клієнтам, маючи можливість відновити втрачені дані. По суті, ми є останньою лінією оборони.

У світі існують загальноприйняті стандарти ІТ-безпеки – так званий NIST Framework. Цей документ включає п’ять пунктів. По чотирьом із них наші ІТ-безпекарі прекрасно працюють, але про п’ятий часто забувають. Цим останнім пунктом є Recovery – відновлення даних.

Зазвичай все відбувається наступним чином: коли нічого не спрацювало, ІТ-безпека приходить в службу ІТ і каже: «Не спрацювало. Відновлюйтесь». А звідки відновлювати дані? Немає звідки, бо все зашифровано або видалено. Тому саме про це ми спілкуємося з нашими замовниками і намагаємося їх підштовхнути на те, що не треба забувати про одну з головних речей – як ви будете відновлювати дані, коли весь захист не спрацював.

У світі існують загальноприйняті стандарти ІТ-безпеки – так званий NIST Framework. Цей документ включає п’ять пунктів. По чотирьом із них наші ІТ-безпекарі прекрасно працюють, але про п’ятий часто забувають. Цим останнім пунктом є Recovery – відновлення даних

Усі дані, що є критичними для фінансової установи, повинні зберігатися секʹюрно. Але ми всі, зокрема, колеги з банків, повинні розуміти, що якщо вони самі можуть дістатися до своїх даних віддалено, то будь-хто зможе це зробити також. А ще, чомусь, всі забувають про найнеприємнішу річ – це інсайдери. Людина може бути фінансово, політично, релігійно мотивована, і надати доступ до будь-яких даних всередині організації.

Аби такого не трапилося, є тільки один вихід – обмежити доступ до цих даних для будь-кого. І надати змогу ці дані певним чином аналізувати на предмет наявності можливих втручань, компрометацій тощо. Доступ до інформації повинна контролювати не одна людина, а декілька. Головна умова реалізації вищенаведеного – наявність закритого, недоступного, віддаленого середовища, з якого конкретні люди зможуть працювати.

Попередити і захистити

Кібершахраї кожен день вигадують нові способи отримання платіжних і персональних даних. У Даркнеті навіть є послуга Hacking as a service (HaaS). Той, хто має достатньо коштів, може звернутися до певних людей і замовити такий сервіс, щоб нашкодити певній організації.

І це не відбувається в один момент – атака може тривати протягом місяця, трьох, півроку, року. Якась людина або група людей будуть намагатися проникнути в установу і заволодіти її даними. І рано чи пізно вони це зроблять. Або вони вже там і шифрують дані протягом року, і ніхто цього не помічає, тому що помітити це неможливо аж до настання години Х, коли все відбулося так, щоб компанія взагалі не могла працювати. Наша мета – заздалегідь виявити несанкціоновані дії і запобігти їм.

Перш за все, підприємства повинні розуміти, що для них є критично важливим. Перед тим, як почати працювати над проєктом замовника, ми даємо їм «домашнє завдання», яке вони мають для себе вирішити. Слід зрозуміти, які саме дані і скільки цих даних для них є суперкритичними. Не треба захищати все. Якщо замовники нормально підходять до цього питання, то з усіх резервних копій ті, що треба захищати, зазвичай складають 15-30%. Тому, насамперед, це робота не в одному напрямі, а різнобічна. Замовники також повинні зробити певну роботу зі свого боку.

Досвід західних банків в роботі українських фінустанов

В Україні доволі багато банків використовують наш інструмент резервного копіювання, на якому ми базуємо наше рішення по Cyber Recovery. Якщо організація використовує наші системи для резервного копіювання – це вже 50% від Cyber Recovery.

Але, нажаль, до початку повномасштабного вторгнення багато хто навіть з бекапами (англ. backup – резервне копіювання, – ред.) просто «грався». З цього року бізнеси (і не тільки фінустанови) почали більше турбуватися про захист своїх даних від кіберзагроз, шифрувальників тощо.  Ми лише на початку шляху у цьому напрямі. Попри те, що ми сильно відстаємо від західних колег, але вектор нашого розвитку вірний. Я думаю, що за цей і наступний рік Україна підтягнеться до належного рівня. Ми почнемо наздоганяти Європу, Штати. Але там це впроваджується вже давно, і в нашого безпекового рішення практично немає аналогів і конкурентів. Dell із цим інструментом на ринку вже 8 років.

Перед тим, як почати працювати над проєктом замовника, ми даємо їм «домашнє завдання», яке вони повинні для себе вирішити. Слід зрозуміти, які саме дані і скільки цих даних для них є суперкритичними. Не треба захищати все

У США є цікава організація Sheltered Harbor – своєрідна профспілка фінансових установ. Ця організація сертифікувала рішення Dell Technologies – Cyber Recovery – для своїх членів.Воно єдине, яке сертифіковане для захисту даних з точки зору відновлення, аналізу тощо. Це не є обов’язковою вимогою для всіх учасників, але факт доволі цікавий, тому що у США фінансові установи ставляться до своїх даних і їхнього захисту більш серйозно.

Як показує практика, наші фінустанови розвиваються швидше, якщо порівнювати їх із західними. Ми стартували пізніше, але розпочали свій шлях з того рівня, до якого колеги доходили еволюційним шляхом не один рік. Тому нам трохи легше, але ризиків у нас зараз більше. На Заході знають, що їм треба забезпечити захист конкретних даних, і вони це роблять послідовно та професійно. У нас цю необхідність ще треба довести на всіх рівнях, і, можливо, у майбутньому більшість вітчизняних організацій дійде до того, що це конче необхідно зробити.

Механізми безпеки у практичній площині

Говорячи про практичний бік, слід визнати, що замовників багато, але відкритих немає, тому що ніхто із клієнтів не хоче показувати, як вони захищають свої дані, що вони для того зробили, оскільки всі вже будуть розуміти, куди «лізти». Рішення Dell Technologies є надійним, архітектурно воно так побудоване, що дістатись до нього практично неможливо.

Упроваджуючи Cyber Recovery, ми бачимо, як виглядає стабілізаційний період системи, коли ми тільки починаємо аналізувати дані, які є в замовника. Практично у всіх це виглядає так: система починає вперше аналізувати інформацію, і відбувається alert за alert’ом, тобто тривожні сигнали. Поки система ще не навчена, перші 3-5 аналізів видають достатньо багато false positive помилок.

У нас були замовники, в яких протягом двох тижнів постійно щось відбувалося, якісь алерти. Думали, що проблема полягає у «новизні» системи, а виявилося, що замовника шифрували вже деякий час, і уявіть: ми розпізнали це ще на етапі впровадження нашого рішення. Коли ми проходимо стабілізаційний період, замовник відповідає за роботу системи самостійно.

Ми вкрай серйозно ставимося до Cyber Recovery. Це рішення впроваджується тільки інженерами Dell і проходить дуже сувору валідацію нашими технічними і безпековими спеціалістами. Упровадження займає доволі багато часу. Завжди є цей стабілізаційний період від декількох тижнів до 1-1,5 місяців, коли ми із замовником вдосконалюємо цю систему, щоб налагодити процес аналізу, і, що ще важливіше, алгоритм відновлення – те, заради чого це взагалі відбувається. Тільки після усього вищенаведеного ми передаємо документацію замовнику і відпускаємо його у вільне плавання.

На найближчі кілька років задача Dell, а саме команди, яка займається рішеннями з безпеки даних, – це дуже плідна робота із замовниками з побудови такого захисту. Важливо захистити від кіберзагроз не тільки фінустанови, але й інші компанії, для яких дані щось вартують. І Cyber Recovery відповідає цій меті на 150%. Свідомий бізнес – це той, де оберігають дані клієнтів, і ми в цьому завжди готові допомогти.


Усе найцікавіше за тиждень у нашому дайджесті: