Европейский Центробанк (ЕЦБ) объявил о запуске программы проверки на кибербезопасность банковской системы. Помимо штатных сотрудников тестировать системы на прочность будут и специально нанятые команды хакеров, которые попытаются обнаружить недочеты, моделируя реальные попытки взлома.
Фото: Kai Pfaffenbach, Reuters
Сегодня ЕЦБ сообщил о начале работы первой общеевропейской программы, в ходе которой участников финансового рынка будут проверять на прочность к кибератакам. Проект называется «Европейская программа по отражению угроз с использованием специальных экспертов, атакующих систему извне» (European Framework for Threat Intelligence-based Ethical Red Teaming — TIBER-EU). Программа носит рекомендательный характер — ЕЦБ отмечает, что страны-члены ЕС могут сами решать, когда и как проводить подобные проверки своих финансовых учреждений. При этом ЕЦБ подчеркивает, что по итогам проверок не будут выставляться «удовлетворительные» или «неудовлетворительные» оценки — только дадут рекомендации по совершенствованию конкретной системы безопасности того или иного финансового учреждения.
ЕЦБ отмечает, что киберзащиту проверят на прочность как штатные сотрудники, так и независимые специалисты по кибербезопасности. При этом в пояснениях к программе TIBER-EU указано, что «власти будут признавать прохождение тестов только в том случае, если в них будут участвовать не только внутренние специалисты, но и внешние стороны». ЕЦБ считает, что «внешний испытатель дает свежий и независимый взгляд на решение проблемы, которую могут не видеть команды внутренних специалистов… Кроме того, внешние испытатели дают больше ресурсов и опыта при проверке системы на прочность, что только служит на пользу проверяемому учреждению».
Как сообщила “Ъ” координатор команды ЕЦБ по цифровому контенту Лена-Софи Демут, сроки проверки будут определяться отдельно в зависимости от каждого конкретного финансового учреждения, однако, судя по опыту, «срок в 10-12 недель является разумным периодом для подобной проверки». В ходе тестов предлагается использовать «полный спектр приемов, которые применяют реальные хакеры». В частности, ЕЦБ предлагает подвергнуть условным кибератакам критически важные системы финансовых учреждений, в том числе ключевые подразделения, пытаясь «взломать» их или «помешать» их работе. По итогам будут подготовлены доклады как со стороны «нападавших», так и со стороны «отражавших» кибератаки. Госпожа Демут отметила, что результаты проверок не будут публиковаться.
Поиск ошибок и уязвимостей в программных продуктах и компьютерных сетях при помощи хакеров уже давно используется западными компаниями. В США подобные проверки носят общее название Bug Bounty. В числе тех, кто приглашал хакеров для проверки систем — такие корпорации как Microsoft, Facebook, AT&T, Bosch, Cisco и другие. Подобную программу реализует и Tesla, предлагая вознаграждения от $100 до $10 тыс. За время ее проведения выявлены 285 уязвимостей, а размер среднего вознаграждения составил $650.
В последнее время интерес к таким проверкам появился и у государственных учреждений. В апреле 2016 года управление цифровой защиты при Минобороны США запустило месячную программу «Взломай Пентагон». Приглашенные к участию в ней специалисты по безопасности компьютерных систем и сетей занимались поиском уязвимых мест на внешних сайтах министерства, а также поиском решений по устранению этих уязвимостей. В рамках программы хакеры — 1400 участников — обнаружили 138 незащищенных мест. 58 участников получили вознаграждения на общую сумму $71 200. Самая крупная премия в размере $15 тыс. была выплачена одному из хакеров, который выявил сразу несколько уязвимостей.
В ноябре того же года Минобороны запустило аналогичную по задачам программу «Взломай армию», в рамках которой хакеры проверяли сайты, через которые идет набор на службу, и базы данных с личной информацией новобранцев и служащих. В ходе проверок участники обнаружили более 100 слабых мест и получили в общей сложности около $100 тыс.