Согласно результатам исследования «СёрчИнформ», с начала 2017 года каждая четвертая кредитно-финансовая организация в России столкнулась с утечкой данных. Чаще других – в 61% случаев – конфиденциальную информацию пытались украсть рядовые сотрудники. В первом приближении кажется, что банковские инсайдеры потеснили внешних злоумышленников в списке главных угроз информационной безопасности. Однако опыт подсказывает: инсайдеры не всегда действуют по доброй воле.

ИБ-аналитики фиксируют методичный рост целенаправленных атак на финансовые и банковские институты с 2015 года. Одновременно с ростом инцидентов эксперты по информационной безопасности наблюдают эволюцию атак, когда в качестве «точки входа» злоумышленники используют конечных пользователей.

Инсайдер как средство атаки на банки

Вектор атаки зависит от доступного хакерского инструментария и «аппетитов» мошенников. Целью преступников становятся и частные клиенты, и клиенты – юридические лица, и сами банки, и глобальные платежные системы.

Частных клиентов у банков больше, чем корпоративных, они менее защищены с точки зрения информационной безопасности, но и «прибыль» редко превышает десятки тысяч рублей. Корпоративные клиенты лучше «обороняются», атаковать их – более затратный и трудоемкий процесс, зато «дивиденды» достигают миллионов рублей. Согласно отчету Банка России, в 2016 году регулятор получил информацию о 717 несанкционированных транзакций со счетов юридических лиц на общую сумму 1,9 млрд рублей.

Банки – наиболее сложная цель, достижение которой требует длительной и дорогостоящей подготовки, хотя успешная реализация плана в перспективе приносит многомиллионной доход. Например, в результате атаки на центральный банк Бангладеш преступникам удалось похитить 81 млн долларов.

Кражу из банка в Бангладеш называют крупнейшим хищением средств, совершенным с помощью нелегального доступа к международной банковской системе SWIFT. Важная деталь громкого дела: в пособничестве преступникам подозревают инсайдеров из IT-отдела.

Ни одна внешняя атака, особенно сложная, не обходится без сообщника внутри с легальным доступом к корпоративной инфраструктуре.

Социальная инженерия и другие способы управлять инсайдерами

В кредитно-финансовых учреждениях работают обычные люди со своими достоинствами и слабостями, а значит, на 100% исключить человеческих фактор невозможно – сотрудники, даже осторожные, становятся жертвами социальной инженерии и преступных манипуляций. Вот лишь несколько методов, с помощью которых мошенники превращают обычных пользователей в сообщников.

ФИШИНГ

Как правило, операция начинается с отправки жертве фишингового письма с прикрепленным вредоносным документом. Чаще всего это документ Word с эксплойтом. При открытии файла активизируется другое ПО, которое позволяет злоумышленникам получить контроль над компьютером. Этот «классический» прием социальной инженерии использовали организаторы атаки на российские банки, которые рассылали поддельные письма от имени FinCERT Банка России. Чаще всего на фишинг «клюют» рассеянные сотрудники, но и внимательные пользователи попадаются на удочку злоумышленников.

ШАНТАЖ

Компромат преступники ищут в социальных сетях или раннее украденных базах данных. Более изощренный способ заключается в том, чтобы «имплантировать» на ПК жертвы программу-шпион для сбора информации.

Полученные сведения используют для шантажа, но не с целью денежного выкупа, а для получения, например, данных рабочей учетной записи или связки «логин-пароль» от корпоративного почтового ящика. Таким образом злоумышленники «вербуют» неосмотрительных банковских служащих, которые становятся инсайдерами поневоле.

ОТКРЫТАЯ ВЕРБОВКА

С 2015 года в течение 12 месяцев объем переписки профессиональных мошенников с инсайдерами в «темном» интернете удвоился. Злоумышленникам требуются услуги разного рода. На «темных» досках объявлений ищут кассиров с доступом к данным банковских карт покупателей, сотрудников, готовых открыть доступ в IT-систему или назвать имена коллег, которых можно шантажировать.

ПРОГРАММЫ-ВЫМОГАТЕЛИ

Схема простая: установить программу-вымогатель, а за «лекарство» для зараженного компьютера потребовать деньги или… заразить несколько других компьютеров и бесплатно получить ключ для расшифровки данных.

Чем опасны инсайдеры?

Независимо то того, действуют инсайдеры поневоле или намеренно, их несанкционированные действия серьезно угрожают благополучию бизнеса.

Во-первых, приводят к оттоку клиентов и потере прибыли. Например, в одном из российских банков сотрудник отдела по работе с корпоративными клиентами передавал персональные данные конкурентам, которые предлагали более выгодные условия кредитования. Утечка данных обошлись банку в 108,5 млн рублей за год.

Во-вторых, возникает риск разглашения закрытой информации, например, о количестве ценных бумаг у акционеров, как это произошло у клиента «СёрчИнформ». Служба ИБ вовремя остановила сотрудника, который из мести собирался «слить» журналистам данные распределения долей с точностью до второго знака после запятой. Оперативная работа специалистов «сэкономила» банку минимум 72 млн рублей.

Практика клиентов «СёрчИнформ» показывает, что в стремлении заработать или отомстить сотрудники идут на любые ухищрения. Получают откаты за положительное решение о выдаче кредита; выводят деньги со счетов клиентов и взламывают банковские ячейки; публикуют в открытом доступе номера счетов и имена владельцев в надежде продать полную базу данных, «сливают» банковскую тайну.

Особо опасные инсайдеры

В 2014 году три сотрудника АФК «Система» использовали доступ к внутренней информации и закрыли сделки за несколько часов до того, как корпорация официально обнародовала данные и котировки снизились на 7%. Торговля на инсайдерской информации принесла предприимчивому трио десятки миллионов рублей.

Доля инсайдерской торговли на фондовом рынке достигает 30%. Банк России вплотную занялся решением проблемы и предложил игрокам финансового рынка отгородить инсайдеров «китайской стеной». Суть рекомендации в том, чтобы четко разделять сотрудников, которым клиенты сообщают инсайдерскую информацию, и сотрудников, которые отвечают за совершение операций на финансовом рынке.

Как защититься от действий инсайдеров в банковской сфере?

Эффективная защита от инсайдеров в банке строится по такой же схеме, что и в других бизнес-структурах. Стратегия включает несколько ключевых принципов:

• Взять под контроль максимально возможное количество каналов коммуникаций, в первую очередь – почту, Skype, мессенджеры, съемные устройства хранения.
• Анализировать трафик электронной почты. При взрывном росте количества сообщений между двумя пользователями, не связанными рабочими отношениями, стоит проверить содержимое переписки.
• Регистрировать все попытки сотрудников получить доступ к конфиденциальной информации.
• Следить за соблюдением графика работы. Регулярное присутствие на рабочем месте во внерабочие часы без веских причин может послужить «тревожным сигналом» для службы безопасности.
• Сформировать группы риска для более тщательного контроля. Сотрудники с финансовыми проблемами, алкогольной, наркотической или игровой зависимостью, с нелояльным отношением к работодателю – легкая мишень для социальной инженерии.

Банковские и финансовые организации больше других уделяют внимание защите данных и принимают повышенные меры информационной безопасности. В то же время совершенствуются мошеннические схемы и сценарии атак. Значит, банкам требуется «по косточкам» разбирать инциденты, внедрять эффективные способы защиты, использовать инструменты автоматизации ИБ, например, SIEM и DLP-решения. И, таким образом, предвосхищать новые угрозы и действия инсайдеров.