18 Апреля, 2013

Обзор Центрального Банка по инцидентам информационной безопасности

Александр Бондаренко
Ознакомился с обзором ЦБ, подготовленным по результатам сбора отчетности в 2012 г. по форме 0403203.


Вообще надо сказать появление подобной статистики это уже огромный шаг вперед по сравнению с ее полным отсутствием ранее. Но все же есть в обзоре вещи которые лично меня смутили.

Во-первых, статистика отчетности. Почти 90% отчитавшихся не выявили ни одного инцидента, из оставшихся почти половина сообщила только об одном инциденте. 



На мой взгляд это говорит о том, что либо информация об инцидентах замалчивается (что более вероятно), либо для служб безопасности банков они проходят незамеченными. Говорю я так на основании того, что множество экспертов за последние годы отмечало рост кибер-преступности, хищений в ДБО и даже ходили разговоры об угрозе устойчивости банковской системы. А тут, раз, и вроде как только около 10% банков сталкиваются с инцидентами. Странно...

Во-вторых, смутила разбивка по типам инцидентов


Согласно статистике львиную долю инцидентов составляют переводы денежных средств лицами, не обладающими правом распоряжения этими денежными средствами. А вот, например, воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, всего 6%, т.е в 7 раз меньше. Если я правильно понимаю, то ко второму типу относятся инциденты подмены платежных поручений - один из основных способов атаки на юрлиц в настоящий момент. 

Получается что чаще всего пытаются украсть деньги за счет кражи данных банковских карт (номер, пин, CVV), либо самих карточек, либо паролей доступа к системе ДБО ? Или тут есть пересечение ? К какому типу относится инцидент при котором злоумышленник, используя вредоносный код, получает удаленный доступ к компьютеру бухгалтера и проводит несанкционированную транзакцию через банк-клиент ?  Вроде и вредоносный код используется, и платежное поручение не искажается, а просто создается новое преступником, не имеющим полномочия его создавать. 

Ну и в-третьих, статистика по объектам воздействия. Тут вообще все непонятно. 


В моем представлении автоматизированные системы, используемые для осуществления переводов денежных средств, это сочетание программного обеспечения и СВТ (если под этим понимать аппаратное обеспечение), и почему эти объекты разделены на 3 пункта я не очень понял. Если кто-то может пояснить, напишите в комментариях. 

Кстати, в новой форме отчетности, которая должна быть скоро принята и которая анонсировалась в конце прошлого года, все стало более структурировано и понятно, так что в будущем думаю что вопросов к статистике будет меньше. 

В завершение, снимаю шляпу перед коллегами из ЦБ, которые запустили работу по сбору информации об инцидентах информационной безопасности. Думаю, что механизмы контроля за корректностью отчетности ЦБ будет дальше совершенствовать (и может быть ужесточать), чтобы отчетность не превратилась в профанацию.
или введите имя

CAPTCHA
18 Апреля, 2013
Из этого отчета действительно однозначны лишь пункты по количествам выявленных инцидентов. Остальные, на мой взгляд, пока что слишком расплывчаты и часто пересекаются. Нужны либо дополнительные пояснения, либо другие формулировки. Иначе не то, чтобы правильно интерпретировать результаты, сложно самомому определиться к какому из представленных типов наиболее относится инцидент. А статистика не любит слова "наиболее", нужна однозначность. Но то, что эта статистика открыто публикуется, факт очень приятный и даже неожиданный.
0 |
  • Поделиться
  • Ссылка