На фоне возросших угроз для информационных систем российские банки и другие финансовые организации в 2022 году активно проводили киберучения среди своих сотрудников. В масштабных мероприятиях принимали участие служащие всех уровней — от специалистов кол-центров до топ-менеджеров, пишут «Ведомости» со ссылкой на руководителей подразделений информационной безопасности Сбербанка, Промсвязьбанка (ПСБ) и Газпромбанка.
Как проходят учения
Как пояснили в Сбербанке, учения направлены не только на обучение сотрудников верным действиям при угрозах, но и на взаимодействие других отделов между собой. Одним из сценариев для отработки является массовое вирусное заражение (у банка есть имитатор вируса-шифровальщика, которым заражают рабочие станции реальных сотрудников). После этого банк начинает необходимые процедуры, при этом не прерывая процесс обслуживания клиентов.
Второй сценарий — учения с командой атакующих. Как правило, это хакеры, которые либо являются частью команды банка, либо их нанимают специально для таких учений. Задача нападающих — получить информацию различными нелегальными способами. При этом их план действий знает только руководство Сбербанка. Прорабатывается также вариант, когда компанию атакуют не только извне, но и когда атака проводится одним из сотрудников.
В ПСБ есть аналогичная команда атакующих. Сотрудников учат не только реагировать на киберугрозы, но и выявлять случаи социальной инженерии. Также всех сотрудников банка на постоянной основе обучают через рассылку им фишинговых писем, приглашений на нелегальные сайты и так далее.
В Газпромбанке больше были сконцентрированы на качественных расследованиях после атак. Сотрудников учили собирать все цифровые артефакты и доказательную базу. Это необходимо не только для того, чтобы выявить, откуда было совершено нападение и какие именно файлы и системы были повреждены, но и для предоставления необходимых данных правоохранительным органам и регуляторам.
Совместные полигоны
Помимо собственных проверок банки нередко участвуют во внешних учениях с ЦБ РФ и различными ведомствами. Как показывают произошедшие в последние годы атаки, одна организация не в силах справиться с серьезной организованной кибергруппировкой, уточняют эксперты. Также такие массовые учения являются хорошим способом наладить коммуникацию между разными инстанциями.
Подобные совместные учения помогают также сотрудникам увидеть прорехи в системе защиты, понять причину и способы их возникновения и разобраться, как именно их можно ликвидировать в кратчайшие сроки. ЦБ РФ проводит подобные учения с 2020 года, для каждого банка моделируется свой уровень опасности и свой индивидуальный сценарий.
Что грозило банкам?
В 2022 году банкам пришлось столкнуться с колоссальным уровнем атак на свои инфраструктуры. К примеру, в октябре Сбербанк подвергся массовой хакерской атаке, в которой принимали участие 104 тыс. злоумышленников из-за рубежа. В ВТБ подобный инцидент произошел в декабре, из-за этого в приложении банка были сбои. Кроме того, Сбербанк также столкнулся с использованием своего логотипа на фишинговых сайтах, чаще всего такие домены регистрировались в Африке. Помимо этого, атаки происходили и через партнеров кредитной организации.
ПСБ попал под атаки еще в 2021 году, однако с внесением в санкционные списки давление на учреждение только росло. Это были как низкоуровневые DDoS-атаки, так и атаки на приложения, интернет-банкинг и страницы с 3D-Secure (предназначен для безопасной оплаты картой товаров и услуг в Интернете). Хакеры пытались разрушить слаженную работу банка, чтобы в последствии нарушить выполнение гособоронзаказа.
На Газпромбанк атаки усилились летом, при этом злоумышленники пытались полностью прекратить функционирование всех систем. В частности, в начале осени банк подвергся беспрецедентной DDoS-атаке, которая «шла по всем фронтам»: на все сервисы и бизнес-процессы. Это привело к тому, что клиенты начали звонить в кол-центр банка и обрушили его. Атака также велась на IP-телефонию (телефонная связь, которая работает через Интернет) и на систему СМС-информирования клиентов.
