ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Хакеры атаковали Центробанк

Хакеры атаковали Центробанк

Сотрудники Центробанка больше не могут открывать на рабочих компьютерах письма с файлами, пришедшими из интернета. Это следует из отчета "О вирусных атаках на организации" замначальника главного управления безопасности и защиты информации Банка России Артема Сычева. Исключения составят только текстовые файлы и изображения размером не более 5 Мб. Все остальные письма с любыми архивами и исполняемыми файлами будут автоматически блокироваться уже на почтовом шлюзе ЦБ, указывает он. Виной тому участившиеся вирусные атаки, в том числе из-за рубежа.

"В настоящее время в Банке России участились случаи получения сообщений электронной почты, отправляемых через интернет и содержащих вредоносный код, – признает Артем Сычев. – Сообщения поступали как от организаций, так и о неизвестных отправителей в том числе иностранных. Вложенные в письма вредоносные программы являлись новейшими модификациями, которые не детектировались средствами защиты в день получения писем по причине отсутствия информации об этих модификациях в базах сигнатур средств защиты от воздействий вредоносного кода".

Как указывает Сычев, все вирусные атаки в ЦБ разделяются на два вида. Это специальные шифровальщики, цель которых – получить деньги за расшифровку пользовательских файлов, и вирусы-бэкдоры, позволяющие получить несанкционированный доступ во внутреннюю сеть регулятора для похищения конфиденциальных данных. При этом схожесть методик различных атак указывает на то, что планируется и реализуются они из единого центра, считает он.

"Приведенный анализ структуры осуществления вирусных атак может говорить об идентичности способов взаимодействия, представляющих собой сочетание методов нарушения информационной безопасности (атаки типа "вирусное заражение" и атаки типа "социальная инженерия"), используемых инструментов и подходов к организации атак, и подтверждает наличие единого источника планирования и осуществления атак. Можно предположить, что атаки целевые, злоумышленник продумывает возможности обхода систем защиты", – пишет он, не уточняя, впрочем, что это может быть за единый центр.

При этом вирусописатели имеют очень высокую квалификацию, отмечает Сычев. Во-первых, они умело скрывают следы источников атаки, регистрируя домены для рассылки писем за рубежом и незадолго до атаки, что затрудняет обращение к владельцам ресурса. Во-вторых, они отлично разбираются в технологиях "корпоративного шантажа". И, в-третьих, количество атакуемых объектов постоянно увеличивается.

Дополнительно замначальника главного управления уточняет, что кроме ЦБ мишенью вирусных атак являются коммерческие банки и другие финансовые институты. В августе 2015 года Центробанк оповестил о мошеннической рассылке от имени Сбербанка. Рассылка, рекламирующая новые карты "Мир", содержала вирус, который на тот момент не определялся ни одним из средств антивирусной защиты. Целью вируса были пароли клиентов банка к системам дистанционного банковского обслуживания.

"Уровень риска нарушения информационной безопасности для Банка России и кредитных организаций достаточно высок и продолжит возрастать вплоть до момента достижения злоумышленниками поставленных целей", – заключает Антон Сычев.

В пресс-службе регулятора отметили, что пока ни одна вирусная атака не достигла цели.

"Банк России считает, что эффективно бороться с подобными угрозами в современном мире можно только объединив усилия всех заинтересованных сторон, – заявил официальный представитель Центробанка. – Кибератаки в отношении информационных ресурсов Банка России фиксируются постоянно, однако в течение последних нескольких лет такие атаки не были результативными".

Эксперты подтверждают, что уровень опасности вирусного заражения в последнее время действительно, значительно вырос. При этом противодействие вирусам сводится не только к полной блокировке потенциально опасных писем, но и к кропотливой работе с пользователями.

"Мы фиксируем существенное увеличение угроз в области инфобезопасности, – говорит начальник управления IТ специализированного депозитария "Инфинитум" Сергей Киселев. – Если до этого меры по обеспечению инфобезопасности сводились к установке антивируса на рабочие станции пользователей, то сейчас система обеспечения безопасности превратилась в сложный и разветвленный процесс. В настоящее время, действительно, вирусы "нулевого" дня могут не определяться ни одним из антивирусов. Совершенствуются и методы социальной инженерии, с помощью которых преступники пытаются обойти системы безопасности. Поэтому для обеспечения высокого уровня информационной безопасности требуется постоянное обучение пользователей. В компании проводятся семинары по типовым угрозам и уловкам мошенников, периодически служба информационной безопасности тестирует знания пользователей, рассылая фиктивные письма сотрудникам и фиксируя, кто и как реагирует на них".

Впрочем, в компаниях – разработчиках антивирусов утверждают, что даже при отсутствии описания вируса в антивирусных базах их программы могут эффективно справляться с угрозами.

"Действительно, если какая-либо вредоносная программа была только что создана злоумышленниками или заново упакована специальным вирусным упаковщиком, ее сигнатура может отсутствовать в базах до тех пор, пока данный образец не попадет на анализ в вирусную лабораторию. Как следствие, в течение некоторого времени такие угрозы могут не детектироваться антивирусным ПО, – говорит, аналитик компании "Доктор Веб" Павел Шалин. – Вместе с тем в антивирусе Dr. Web существуют модули проактивной и превентивной защиты, которые призваны предотвратить деструктивные действия некоторых вредоносных программ, в том числе с использованием алгоритмов эвристического анализа".

"Современные антивирусные средства имеют ряд технологий, в том числе эвристического анализа, поведенческого анализа, анализа репутации и других, которые позволяют обнаружить вредоносную программу в момент ее запуска, даже если она не ловится обычными сигнатурами, – соглашается антивирусный эксперт "Лаборатории Касперского" Юрий Наместников. – Тем более что злоумышленники, организуя подобные целевые атаки, тщательно готовятся и стараются узнать, какие именно антивирусы установлены в банке, а затем модифицируют вредоносную программу таким образом, чтобы статичными сигнатурами она не обнаруживалась. Организовать безопасную среду в организации нужно с помощью комплекса мер. Во-первых, это административные меры (обучение персонала, регламенты, актуальная стратегия реагирования на инциденты). Во-вторых, меры, которые осуществляются на сетевом уровне, – прежде всего разграничение сетей внутри самой организации. В-третьих, это технические меры, которые обеспечиваются специальными программными и аппаратными средствами защиты".

Автор статьи: Александра Баязитова


Известия (20.08.2015 в 09:13) | вверх страницы | к списку статей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"