ЦБ собирается проверить деятельность систем информбезопасности банков по новому сценарию. В прежние годы регулятор заранее предупреждал об учениях. На этот раз он собирается провести внезапную проверку, отправив сотрудникам банков письма с вредоносным ПО. Специалисты по информбезопасности говорят о рисках того, что в результате к учениям подключатся реальные злоумышленники.
Фото: Александр Миридонов, Коммерсантъ
Фото: Александр Миридонов, Коммерсантъ
В третьем квартале ЦБ планирует провести очередные учения по информбезопасности в банках, следует из письма регулятора от 7 августа (с ним ознакомился “Ъ”). Для этого Банк России просит направить ему не менее 30 адресов электронных почт сотрудников, отдавая приоритет тем, кто не работает в службе информационной безопасности (ИБ). «Для формирования условий, приближенных к реальности, участники не будут уведомлены о точной дате проведения киберучений»,— пишет ЦБ.
По сценарию, прописанному в приложении к документу, работники банков, чьи электронные почты направлены в ЦБ, получат письма с вложенным вредоносным программным обеспечением (ВПО).
После открытия файла происходит «исходящее соединение скомпрометированного автоматизированного рабочего места с управляющим сервером». После проведения анализа инцидента банк должен направить информацию о нем в ФинЦЕРТ (подразделение ЦБ, которое выдает рекомендации о противодействии рискам).
Учения проводятся с 2020 года (например, в прошлом году ЦБ проверял банки в том числе на защищенность отечественных аналогов ПО), однако подобный сценарий используется впервые. Раньше регулятор предупреждал банки о «негативном развитии событий», они запускали механизмы реагирования, которые ЦБ контролировал, а затем подводил итоги.
Эксперты отмечают, что киберучения в принципе полезны.
«Результатом учения может быть как открытие файла с ВПО (с последующим разбором инцидента), так и отказ сотрудника банка открыть подозрительный файл. Это важная метрика, поскольку по количеству открытых писем можно судить об осведомленности сотрудников организации о правилах кибергигиены»,— отмечает коммерческий директор компании SafeTech Дарья Верестникова.
Ведущий консультант по ИБ Aktiv Consulting Александр Моисеев добавляет, что сценарии направлены на тренировку противодействия таргетированным (целевым) компьютерным атакам, способы и инструменты которых достаточно слабо детектируемы условными средствами антивирусной защиты, поскольку атакующие применяют техники их обхода.
Банкиры официально беспокойства не проявляют. Так, в МКБ и Газпромбанке отмечают, что не первый год участвуют в учениях и обладают средствами защиты, в частности, для электронных почт.
Вместе с тем специалисты по информбезопасности предупреждают о рисках предложенного сценария.
Разосланное банкам письмо не грифованное, вследствие чего оно активно обсуждается в профессиональных чатах и среди специалистов, чем могут воспользоваться злоумышленники, отмечает собеседник “Ъ” из числа представителей отрасли. При этом банки не будут извещаться, когда придет письмо от ЦБ и как оно будет выглядеть. Но будут ждать его на конкретных адресах, чем могут воспользоваться злоумышленники, которые в курсе учений.
Когда кто-то из специалистов заметит подозрительную активность и решит предупредить коллег, что рассылка от ЦБ началась, злоумышленники могут включиться в процесс и начать рассылку своего вредоносного ПО, в результате службы ИБ могут пропустить настоящую атаку, поясняет собеседник “Ъ”.
Впрочем, управляющий RTM Group Евгений Царев полагает, что вряд ли адреса электронных почт сотрудников выберут случайно, да еще и не сообщат получателям ничего. Если это даже будут реальные адреса сотрудников, то их обязательно предупредят, что будет рассылка. Также возможна ситуация, когда сисадмин просто создаст 30 учетных записей под эту активность, которые не принадлежат реальным работникам, именно для проведения «образцовых» учений. Пройдет рассылка, будет видно, что сообщения доставлены, а открыты не будут, поясняет он.
Вместе с тем в ЦБ отмечают, что заблаговременное раскрытие информации о конкретных мероприятиях, предусмотренных киберучениями, не позволит получить объективный и достоверный результат. Впрочем, регулятор обещает не применять меры надзорного реагирования к участникам киберучений.