5 Декабря, 2016

Официальное сообщение Алексея Лукацкого по поводу возможной дестабилизации финансовой системы РФ

Алексей Лукацкий
Федеральная служба безопасности РФ выпустила сообщение о том, что получена информация о подготовке иностранными спецслужбами масштабных кибератак, целью которых является дестабилизация финансовой системы РФ, включая деятельность ряда крупнейших российских банков. Ожидается, что кибернападения будут сопровождаться массовыми рассылками SMS-сообщений и публикациями провокационного характера в социальных сетях (в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ведущих банков).

Я считаю, что данные в Интернете редкие рекомендации не имеют никакого отношения к действительности, так как исходят из привычной парадигмы "банк может быть атакован хакером, цель которого украсть деньги". В данном случае речь идет о совершенно иной мотивации у тех, кто стоит за планируемыми атаками, и хищения средств, скорее всего, не предвидится. Также малореализуемы и неконкретные рекомендации банкам по присоединению к ГосСОПКЕ, обращению в FinCERT, чтению отраслевых стандартов или реализации правил разработки безопасных приложений. Если вы этого не делали раньше, то сейчас уже поздно. Более того, когда федеральный орган исполнительной власти, уполномоченный в области национальной безопасности страны, публикует свою новость перед выходными и у целевой аудитории остается меньше суток на принятие каких-либо мер, то рекомендации должны быть очень конкретными и понятными.

Читая очень неконкретное сообщение ФСБ я бы предположил, что речь может идти о трех типах атак:
  • Распределенные атаки "отказ в обслуживании" (DDOS) на финансовые учреждения
  • Рассылка клиентам по SMS
  • Публикации в социальных сетях и форумах, рассчитанные на широкий круг лиц.
Мишенью для данной угрозы являются клиенты финансовых учреждений и сами кредитные организации. При этом, учитывая, что такую новость в обязательном порядке повторят, сопровождая не всегда удачными и верными комментариями (надо же быстро выпустить "горячую новость" раньше других - тут не до проверки и не до сбора качественных экспертных мнений) еще и СМИ, то я бы их тоже выделил в качестве целевой аудитории для выработки рекомендаций.

И, наконец, рекомендации должны учитывать не только вектор угрозы, но и описывать мероприятия, которые должны быть сделаны ДО реализации атаки, ВО ВРЕМЯ и ПОСЛЕ . Все-таки российские банки сталкиваются с такой угрозой уже не первый раз и поэтому можно сформулировать и некоторые best practices, которые позволят эффективно бороться и тем, кто с этим сталкивался, и тем, кто с этим еще не сталкивался.

В итоге получается вот такой вот "куб рекомендаций", где каждый из 27-ми блоков содержит свой совет по тому, как себя вести той или иной целевой аудитории в определенные моменты времени.



Причем эти рекомендации будут совершенно разноплановыми и как повторять то, что уже написано в том же СТОБР или 382-П (но более простым языком), так и быть совсем новыми (для тех же СМИ или клиентов, которым ни ЦБ, ни тем более ФСБ не уделяют пока должного внимания). В последнем случае очень не хватает "Основ госполитики в области формирования культуры ИБ", которые готовились в Совете Безопасности несколько лет назад.

Какие советы могут попасть в такой список? Не претендуя на полноту и охват, я бы включил следующие (советы СМИ давать не буду - все равно не следуют):
  • для банков:
    • до:
      • подготовить соответствующий пресс-релиз для клиентов, акционеров, СМИ (в случае если атака окажется успешной и на какое-то время инфраструктура банка окажется недоступной)
      • предварительно разослать клиентам SMS и e-mail с описанием ситуации и просьбой не паниковать раньше времени, а также указанием номеров и адресов, с которых могут приходить официальные сообщения банка по SMS и электронной почте
      • убедиться в способности своего Call Center работать при пиковых нагрузках и возможно увеличить на время число телефонных линий
      • провести краткое обучение персонала (операционистов и Call Center) для умения правильно отвечать на запросы клиентов
      • подготовить памятку для персонала с возможными вопросами клиентов и ответами на них (FAQ)
      • настроить сетевое оборудование для отражения базовых атак
      • проверить наличие резервного подключения в Интернет
      • зарезервировать ликвидность на непредвиденный случай (вот такой вариант , на мой взгляд, излишен)
      • взаимодействовать с FinCERT для получения рекомендаций от отраслевого регулятора
      • проверить настройки системы (систем) мониторинга ИБ и сети для обнаружения первых признаков DDoS-атак на банк
    • во время
      • не паниковать и не делать опрометчивых поступков
      • при первых признаках подключить услугу по отражению DDOS (по возможности)
      • сообщить в FinCERT (независимо от вашего подключения к нему)
    • после (не забывайте извлекать уроки из атак - это бывает не всегда )
      • подключиться к FinCERT (если вы этого еще не сделали) - это просто и бесплатно
      • проработать подключение услуги по отражению DDOS или приобрести оборудование для отражения DDOS и обучить персонал по работе с ним
      • проработать подключение услуги по мониторингу репутации в Интернет или приобрести соответствующее ПО и обучить персонал по работе с ним
      • быть готовым в следующий раз выполнить все, что написано в секции "до"
      • сформулировать и следовать стратегии общения с внешним миром , если атака против вас оказалась успешной
      • собрать цифровые доказательства атак на вас (номера телефонов из SMS, логи средств защиты с IP-адресами атакующих, иные артефакты) и передать их в FinCERT и, возможно, в правоохранительные органы (ЦБ скоро должен выпустить новую РС по сбору доказательств, где будут даны конкретные рекомендации по процедуре и инструментарию для решения этой задачи)
  • для клиентов
    • не паниковать и не поддаваться на провокации в соцсетях и SMS
    • заранее узнать контакты своего банка и способы, которые банк официально использует для коммуникаций с клиентами
    • не планировать серьезные покупки на день атаки (чтобы не было больно пролететь из-за недоступности платежного сервиса).

А вот уже по не столь публичным каналам (FinCERT или ГосСОПКУ, работающую с банками через корпоративные центры) можно рассылать соответствующие IOCи с IP-адресами и номерами автономных систем той же BlazingFast для использования их в системах и сервисах защиты.

А надо ли читать отраслевые стандарты, внедрять SDLC в процесс разработки, читать методические рекомендации и т.п.? Надо, только не во время атаки, когда заниматься самообразованием уже поздно. Тут уместно вспомнить заметки про цикл Бойда  и несовершенство PDCA , которые я написал больше полугода назад. Цикл Бойда помогает во время атаки (что нам сейчас и надо), а PDCA - до нее, когда надо выстроить систему ИБ на предприятии. Стандарты, SDLC, методички, политики, выстраивание взаимодействия с SOCами... это все в области размеренного PDCA, а не петли Бойда.

В заключение хочу повторить то, что я писал полгода назад о том, что регуляторам стоит поменять отношение к PR своей деятельности. И вот новый пример того, как не стоит сообщать всей стране о киберугрозах, заставляя всю страну в панике додумывать, что же имела ввиду ФСБ. В прошлый раз не очень удачный PR по свершившемуся кибер-преступлению, а в этот - по еще не начавшемуся. Кстати, на сайте МВД или ЦБ ни слова об этой угрозе. И если с МВД еще можно это как-то объяснить, то молчание сайта финансового регулятора выглядит странно :-(

ЗЫ. Интересно, что не все поставщики услуг отражения DDOS позволяет легко подключиться к своему сервису и не используют ту возможность, которую им предоставила ФСБ со своей страшилкой. Например, тот же Qrator  заявляет  о подключении всего за 20 минут и описывает процедуру, а вот у ЛК на  сайте  только маркетинговое описание услуги и нет кнопки "Я под атакой! Помогите!". Читать во время атаки листовки будут не все :-)

ЗЗЫ. А вот интересная реакция ЦБ на последние события с хищениями средств - массовые проверки и обязательная сертификация ДБО по требованиям безопасности.
или введите имя

CAPTCHA