Директор по развитию бизнеса группы компаний «Гарда» За 2024 год российские банки пережили не менее 750 целевых кибератак. Такие данные приводит ФинЦЕРТ Банка России. Злоумышленников интересует не только непосредственно хищение денег, но и нарушение работы банковских сервисов. Почти каждая вторая атака — DDoS: хакеры намеренно перегружают серверы, делая онлайн-сервисы недоступными для клиентов. Но гораздо опаснее то, что десятки атак остаются незаметными месяцами — и начинаются они вовсе не в дата-центре банка, а у подрядчика, поставляющего ему IТ-услуги Удар через цепочку поставок Один из самых тревожных трендов — атаки на IТ-компании, работающие с банками. Зафиксировано как минимум 17 инцидентов, когда взлом подрядчика привел к компрометации 70+ финансовых организаций. Например, в феврале ФинЦЕРТ уведомил финансовые компании о возможной компрометации компаний «Лантер» и «ЛАН АТМсервис», которые обслуживают банковскую инфраструктуру. Это подтверждает и аналитическая справка «Гарда» о DDoS-атаках в первом квартале 2025 года, где IТ-компании стали главной мишенью злоумышленников — 37% всех зафиксированных атак (11% год назад). Более чем трехкратный рост — следствие цифровизации и того, что IТ все чаще становится точкой входа в экосистемы других интересных для хакеров компаний. По оценке специалистов, с таких атак часто начинается подготовка к выводу средств, внедрению вредоносного ПО или нарушению операционной деятельности. Пример — кейс в Поволжье: злоумышленники получили доступ к системе мониторинга, используемой несколькими региональными банками, и длительное время наблюдали за внутренней сетью, оставаясь незамеченными. Государство требует решений здесь и сейчас В соответствии с Указом Президента РФ № 166 от 30 марта 2022 года в стране действует режим приоритетного использования отечественного программного обеспечения в критической информационной инфраструктуре (КИИ). Эта мера направлена на снижение зависимости от зарубежных IT-продуктов и усиление технологического суверенитета. В развитие указа Постановление Правительства РФ № 1236 устанавливает запрет на использование иностранного ПО в государственных органах и организациях, отнесенных к субъектам КИИ, начиная с 1 января 2025 года. Банки, как участники финансовой КИИ, подпадают под это требование. Переход предполагает замену используемых систем решениями из реестра российского ПО с особым вниманием к продуктам в сферах информационной безопасности, операционных систем, СУБД, офисных пакетов и средств виртуализации. Отечественные технологии уже способны закрывать критичные направления: от защиты трафика до предотвращения утечек. В частности, используются системы классов NDR, DBF, DAM, Deception, Anti-DDoS и другие продукты. Что можно сделать уже сейчас Важно, что на рынке есть решения, которые можно внедрить быстро (за 2–6 недель) и которые реально повышают уровень киберустойчивости. Защита от DDoS-атак. Банки — одни из немногих организаций, работа которых предполагает непрерывный онлайн-доступ в режиме 24/7. Атака может совпасть с периодом массовых операций (например, в дни выплат), что увеличивает эффект. А даже кратковременный отказ в обслуживании может повлечь миллионные убытки и отток клиентов. Кроме того, DDoS-атаки часто используется как отвлекающий маневр: одновременно с ними злоумышленники могут пытаться взломать инфраструктуру, использовать фишинг или вредоносное ПО. В середине 2024 года сервисы Сбера находились под самой мощной в истории банка DDoS-атакой, которая длилась 13 часов. Специалистам банка удалось успешно отразить атаку. В тот же период пользователи сообщали о проблемах с сервисами ВТБ, Росбанка, Альфа-Банка и Газпромбанка. Для защиты банков от DDoS-атак необходим комплексный подход, сочетающий технологические решения и грамотную организацию процессов. В первую очередь важно обеспечить способность систем быстро распознавать и блокировать вредоносный трафик, чтобы не допустить сбоев в работе онлайн-сервисов. Современные anti-DDoS-платформы позволяют обнаруживать атаки на ранней стадии и минимизировать их последствия. Чтобы сохранить устойчивость даже при серьезных сбоях, банки используют резервные каналы связи и распределяют ресурсы между несколькими дата-центрами. На организационном уровне важны готовность персонала к реагированию, регулярные учения, сотрудничество с отраслевыми центрами обмена информацией об угрозах и выполнение требований регулятора. В условиях перехода на отечественное ПО особое внимание уделяется выбору решений, соответствующих требованиям Банка России. Использование специализированных решений вкупе с сетевой аналитикой и взаимодействием с регулятором позволяет минимизировать последствия и сохранить доступность ключевых сервисов даже в условиях масштабной атаки. Защита корпоративной сети (решения класса NDR). Системы класса NDR (Network Detection & Response) помогают выявлять скрытые угрозы, включая атаки, не распознаваемые традиционными средствами защиты на основе прослушивания сетевого трафика. Например, в одном из крупных частных банков Поволжья решение позволило выявить подозрительную активность — внутреннее сканирование сетей с IТ-аккаунта подрядчика. Благодаря этому атака была пресечена на раннем этапе. В отличие от классических средств, NDR отслеживает поведение устройств, приложений и людей внутри сети: кто с кем обменивается данными, насколько это типично и не свидетельствует ли о компрометации. Это особенно важно для обнаружения атак, когда злоумышленник уже находится в сети, действует осторожно и долго остается незамеченным. Для банков, где критичны как внешние угрозы, так и риски инсайда, NDR-системы позволяют существенно сократить время обнаружения инцидентов, повысить прозрачность инфраструктуры и обеспечить проактивную защиту от сложных атак. Кроме того, использование NDR помогает выполнять требования регулятора в части мониторинга и контроля внутреннего трафика. Защита баз данных (DBF и DAM). Базы данных — один из главных объектов атак в банковском секторе, поскольку содержат персональные данные клиентов, платежную информацию и другую чувствительную информацию. Защита этих систем требует специализированных решений, таких как DBF (Database Firewall) и DAM (Database Activity Monitoring). DBF контролирует все входящие запросы к базам данных и блокирует подозрительные или несанкционированные действия. Это снижает риск компрометации информации еще на этапе попытки вторжения. DAM отслеживает всю активность внутри баз данных — кто, когда и какие операции выполнял. Это позволяет выявлять аномалии, в том числе действия инсайдеров или злоумышленников, уже получивших доступ к системе. Такие решения обеспечивают прозрачность операций и формируют доказательную базу при расследовании инцидентов. Так, одна из федеральных кредитных организаций обнаружила попытку прямого обращения к базе данных с критической информацией из подсети офиса во время тестирования нового защитного решения. Благодаря DBF угрозу устранили без последствий. Для банков применение DBF и DAM — это не только вопрос безопасности, но и соответствие требованиям регулятора к защите критичных данных и контролю внутренней активности. Система ловушек для хакеров и ложной инфраструктуры (Deception). Deception-системы — это технологии активной защиты, основанные на создании в сети банка фальшивых ресурсов: поддельных серверов, рабочих станций, файлов и учетных записей. Их задача — привлечь внимание злоумышленника и зафиксировать его действия до того, как он нанесет реальный ущерб. В банковском секторе deception-технологии особенно эффективны в борьбе с целевыми и скрытыми атаками. Они не заменяют традиционных средств защиты, а дополняют их, усиливая общий уровень киберустойчивости. Кроме того, такие решения позволяют улучшить внутренний мониторинг и продемонстрировать зрелость системы безопасности при проверках регулятора. Работа системы Deception наглядно видна на примере: в одном из крупных региональных банков система была развернута в рамках усилий по проактивной защите внутреннего периметра. Специалисты по ИБ настроили фальшивую базу данных с фиктивной клиентской информацией и создали ряд поддельных учетных записей с «привлекательными» привилегиями доступа. Через несколько месяцев после внедрения система зафиксировала подозрительную активность: неизвестный пользователь начал сканировать сеть и вскоре попытался подключиться к ловушке, приняв ее за реальный сервер. Это дало команде безопасности возможность мгновенно отследить маршрут атаки, заблокировать активность злоумышленника и проанализировать использованные инструменты. Расследование показало, что взлом был осуществлен через скомпрометированную учетную запись подрядчика. Благодаря раннему срабатыванию deception-системы удалось предотвратить доступ к реальным клиентским данным и минимизировать последствия инцидента. Этот случай стал основанием для пересмотра политики управления доступом и дополнительных проверок поставщиков. Кстати, Deception отлично дополняет системы NDR, гарантируя обнаружение информации об угрозе и незамедлительную автоматическую блокировку хакера. Аналитика (потоки данных об угрозах — TI, Threat Intelligence). Threat Intelligence — это сбор и использование информации о киберугрозах, которая помогает банкам заранее узнавать о новых методах атак и быстро на них реагировать. Например, если TI-сервис сообщает о вредоносных сайтах, с которых идут фишинговые атаки, банк может заранее их заблокировать и обезопасить клиентов. Если появляются данные о взломах через конкретное программное обеспечение, IТ-служба может вовремя обновить или усилить защиту нужных систем. Для бизнеса это означает снижение рисков потерь, связанных с атаками, защиу репутации и соответствие требованиям регулятора. Использование TI также помогает банкам обмениваться актуальной информацией с другими организациями и отраслевыми центрами, что усиливает коллективную безопасность всего финансового сектора. Защита от утечек данных (DLP, Data Leak Prevention). DLP — это набор технологий и правил, которые помогают банкам не допустить случайного или преднамеренного выхода важной информации за пределы организации. Такие системы контролируют, как и куда отправляются данные — по электронной почте, через мессенджеры, на внешние носители и другие каналы. В российских банках мессенджеры (WhatsApp, Telegram, корпоративные мессенджеры и другие) часто используются для рабочих коммуникаций, но одновременно становятся каналом утечки данных. DLP помогают контролировать и блокировать передачу конфиденциальной информации через эти каналы. На примере мессенджеров система действует следующим образом: в первую очередь осуществляется постоянный мониторинг всех пересылаемых файлов — система автоматически проверяет вложения в Excel, PDF и других форматах на наличие конфиденциальной информации, такой как номера банковских карт, паспортные данные или иные чувствительные сведения. При попытке передачи защищаемых данных система мгновенно реагирует — либо полностью блокирует отправку сообщения, либо направляет уведомление в службу безопасности для принятия соответствующих мер. Особое внимание уделяется анализу текстовых сообщений: даже если конфиденциальная информация замаскирована в обычной переписке (например, фразы типа «переведи 1000 на карту 1234…»), современные алгоритмы распознавания позволяют выявить и предотвратить потенциальную утечку данных. Такой многоуровневый подход обеспечивает надежную защиту информации во всех возможных каналах коммуникации. Киберзащита как обязательная инвестиция Банковская система становится все более цифровой, а значит, все более уязвимой. Киберугрозы меняются, адаптируются, и игнорировать их становится опасно не только для репутации, но и для устойчивости бизнеса. Подход «внедрим, когда будет время» больше не работает. Работает только одно: быть готовыми заранее к атаке. Source: https://bosfera.ru/bo/shchit-i-mech-kiberbeza