23 апреля Центральный банк РФ принял решение обязать банки ужесточить борьбу с киберпреступлениями. Среди причин называются увеличение числа кибератак на системы финансовых организаций и рост финансовых потерь клиентов.
Исследования, проводимые Positive Technologies, давно свидетельствуют о необходимости подобных мер. Важнейшие ИТ-системы крупных корпораций, в том числе банков, по-прежнему имеют низкий уровень защищенности. К примеру, для преодоления периметра корпоративной сети в среднем требуется использовать всего три уязвимости. Эксплуатация ошибок разработки и управления уязвимостями более чем в 80% случаев позволяет продемонстрировать получение несанкционированного доступа к ресурсам корпоративной сети.
Внутреннему нарушителю для доступа к критическим ресурсам организации потребуется семь шагов. На публичных ресурсах в Интернет, в 79% систем использовались словарные пароли, которые легко подобрать. Такие пароли используются как на уровне веб-приложений, так и для доступа к различному сетевому оборудованию и серверам.
Проводя в 2011-м и 2012 году исследование систем дистанционного банковского обслуживания, эксперты Positive Technologies обнаружили, что 37% систем ДБО позволяют осуществлять несанкционированные транзакции на уровне пользователей. Более того, в каждой третьей системе было возможно получение доступа к операционной системе или СУБД сервера, а в ряде случаев — полного контроля над ними.
В 2013 году ситуация существенно не изменилась. Каждая вторая система ДБО содержала уязвимости высоко уровня риска. Требованиям стандарта PCI DSS, который аккумулирует лучшие практики по защите информации, полностью не соответствовала ни одна из исследованных систем ДБО.
Как отмечают эксперты, информационные системы банков защищены относительно неплохо — но только если сравнивать их с системами в других отраслях. В целом же средний уровень защиты корпоративный сетей все еще достаточно низок. Однако и финансовые риски, и количество атак, и мотивация злоумышленников в случае с атаками на банки гораздо выше, и это заставляет Центробанк реагировать.