Федеральная служба безопасности РФ выпустила сообщение о том, что получена информация о подготовке иностранными спецслужбами масштабных кибератак, целью которых является дестабилизация финансовой системы РФ, включая деятельность ряда крупнейших российских банков. Ожидается, что кибернападения будут сопровождаться массовыми рассылками SMS-сообщений и публикациями провокационного характера в социальных сетях (в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ведущих банков).
Я считаю, что данные в Интернете редкие рекомендации не имеют никакого отношения к действительности, так как исходят из привычной парадигмы "банк может быть атакован хакером, цель которого украсть деньги". В данном случае речь идет о совершенно иной мотивации у тех, кто стоит за планируемыми атаками, и хищения средств, скорее всего, не предвидится. Также малореализуемы и неконкретные рекомендации банкам по присоединению к ГосСОПКЕ, обращению в FinCERT, чтению отраслевых стандартов или реализации правил разработки безопасных приложений. Если вы этого не делали раньше, то сейчас уже поздно. Более того, когда федеральный орган исполнительной власти, уполномоченный в области национальной безопасности страны, публикует свою новость перед выходными и у целевой аудитории остается меньше суток на принятие каких-либо мер, то рекомендации должны быть очень конкретными и понятными.
Читая очень неконкретное сообщение ФСБ я бы предположил, что речь может идти о трех типах атак:
Причем эти рекомендации будут совершенно разноплановыми и как повторять то, что уже написано в том же СТОБР или 382-П (но более простым языком), так и быть совсем новыми (для тех же СМИ или клиентов, которым ни ЦБ, ни тем более ФСБ не уделяют пока должного внимания). В последнем случае очень не хватает "Основ госполитики в области формирования культуры ИБ", которые готовились в Совете Безопасности несколько лет назад.
Какие советы могут попасть в такой список? Не претендуя на полноту и охват, я бы включил следующие (советы СМИ давать не буду - все равно не следуют):
А вот уже по не столь публичным каналам (FinCERT или ГосСОПКУ, работающую с банками через корпоративные центры) можно рассылать соответствующие IOCи с IP-адресами и номерами автономных систем той же BlazingFast для использования их в системах и сервисах защиты.
А надо ли читать отраслевые стандарты, внедрять SDLC в процесс разработки, читать методические рекомендации и т.п.? Надо, только не во время атаки, когда заниматься самообразованием уже поздно. Тут уместно вспомнить заметки про цикл Бойда и несовершенство PDCA , которые я написал больше полугода назад. Цикл Бойда помогает во время атаки (что нам сейчас и надо), а PDCA - до нее, когда надо выстроить систему ИБ на предприятии. Стандарты, SDLC, методички, политики, выстраивание взаимодействия с SOCами... это все в области размеренного PDCA, а не петли Бойда.
В заключение хочу повторить то, что я писал полгода назад о том, что регуляторам стоит поменять отношение к PR своей деятельности. И вот новый пример того, как не стоит сообщать всей стране о киберугрозах, заставляя всю страну в панике додумывать, что же имела ввиду ФСБ. В прошлый раз не очень удачный PR по свершившемуся кибер-преступлению, а в этот - по еще не начавшемуся. Кстати, на сайте МВД или ЦБ ни слова об этой угрозе. И если с МВД еще можно это как-то объяснить, то молчание сайта финансового регулятора выглядит странно :-(
ЗЫ. Интересно, что не все поставщики услуг отражения DDOS позволяет легко подключиться к своему сервису и не используют ту возможность, которую им предоставила ФСБ со своей страшилкой. Например, тот же Qrator заявляет о подключении всего за 20 минут и описывает процедуру, а вот у ЛК на сайте только маркетинговое описание услуги и нет кнопки "Я под атакой! Помогите!". Читать во время атаки листовки будут не все :-)
ЗЗЫ. А вот интересная реакция ЦБ на последние события с хищениями средств - массовые проверки и обязательная сертификация ДБО по требованиям безопасности.
Я считаю, что данные в Интернете редкие рекомендации не имеют никакого отношения к действительности, так как исходят из привычной парадигмы "банк может быть атакован хакером, цель которого украсть деньги". В данном случае речь идет о совершенно иной мотивации у тех, кто стоит за планируемыми атаками, и хищения средств, скорее всего, не предвидится. Также малореализуемы и неконкретные рекомендации банкам по присоединению к ГосСОПКЕ, обращению в FinCERT, чтению отраслевых стандартов или реализации правил разработки безопасных приложений. Если вы этого не делали раньше, то сейчас уже поздно. Более того, когда федеральный орган исполнительной власти, уполномоченный в области национальной безопасности страны, публикует свою новость перед выходными и у целевой аудитории остается меньше суток на принятие каких-либо мер, то рекомендации должны быть очень конкретными и понятными.
Читая очень неконкретное сообщение ФСБ я бы предположил, что речь может идти о трех типах атак:
- Распределенные атаки "отказ в обслуживании" (DDOS) на финансовые учреждения
- Рассылка клиентам по SMS
- Публикации в социальных сетях и форумах, рассчитанные на широкий круг лиц.
Мишенью для данной угрозы являются клиенты финансовых учреждений и сами кредитные организации. При этом, учитывая, что такую новость в обязательном порядке повторят, сопровождая не всегда удачными и верными комментариями (надо же быстро выпустить "горячую новость" раньше других - тут не до проверки и не до сбора качественных экспертных мнений) еще и СМИ, то я бы их тоже выделил в качестве целевой аудитории для выработки рекомендаций.
И, наконец, рекомендации должны учитывать не только вектор угрозы, но и описывать мероприятия, которые должны быть сделаны ДО реализации атаки, ВО ВРЕМЯ и ПОСЛЕ . Все-таки российские банки сталкиваются с такой угрозой уже не первый раз и поэтому можно сформулировать и некоторые best practices, которые позволят эффективно бороться и тем, кто с этим сталкивался, и тем, кто с этим еще не сталкивался.
В итоге получается вот такой вот "куб рекомендаций", где каждый из 27-ми блоков содержит свой совет по тому, как себя вести той или иной целевой аудитории в определенные моменты времени.
Какие советы могут попасть в такой список? Не претендуя на полноту и охват, я бы включил следующие (советы СМИ давать не буду - все равно не следуют):
- для банков:
- до:
- подготовить соответствующий пресс-релиз для клиентов, акционеров, СМИ (в случае если атака окажется успешной и на какое-то время инфраструктура банка окажется недоступной)
- предварительно разослать клиентам SMS и e-mail с описанием ситуации и просьбой не паниковать раньше времени, а также указанием номеров и адресов, с которых могут приходить официальные сообщения банка по SMS и электронной почте
- убедиться в способности своего Call Center работать при пиковых нагрузках и возможно увеличить на время число телефонных линий
- провести краткое обучение персонала (операционистов и Call Center) для умения правильно отвечать на запросы клиентов
- подготовить памятку для персонала с возможными вопросами клиентов и ответами на них (FAQ)
- настроить сетевое оборудование для отражения базовых атак
- проверить наличие резервного подключения в Интернет
- зарезервировать ликвидность на непредвиденный случай (вот такой вариант , на мой взгляд, излишен)
- взаимодействовать с FinCERT для получения рекомендаций от отраслевого регулятора
- проверить настройки системы (систем) мониторинга ИБ и сети для обнаружения первых признаков DDoS-атак на банк
- во время
- не паниковать и не делать опрометчивых поступков
- при первых признаках подключить услугу по отражению DDOS (по возможности)
- сообщить в FinCERT (независимо от вашего подключения к нему)
- после (не забывайте извлекать уроки из атак - это бывает не всегда )
- подключиться к FinCERT (если вы этого еще не сделали) - это просто и бесплатно
- проработать подключение услуги по отражению DDOS или приобрести оборудование для отражения DDOS и обучить персонал по работе с ним
- проработать подключение услуги по мониторингу репутации в Интернет или приобрести соответствующее ПО и обучить персонал по работе с ним
- быть готовым в следующий раз выполнить все, что написано в секции "до"
- сформулировать и следовать стратегии общения с внешним миром , если атака против вас оказалась успешной
- собрать цифровые доказательства атак на вас (номера телефонов из SMS, логи средств защиты с IP-адресами атакующих, иные артефакты) и передать их в FinCERT и, возможно, в правоохранительные органы (ЦБ скоро должен выпустить новую РС по сбору доказательств, где будут даны конкретные рекомендации по процедуре и инструментарию для решения этой задачи)
- для клиентов
- не паниковать и не поддаваться на провокации в соцсетях и SMS
- заранее узнать контакты своего банка и способы, которые банк официально использует для коммуникаций с клиентами
- не планировать серьезные покупки на день атаки (чтобы не было больно пролететь из-за недоступности платежного сервиса).
А вот уже по не столь публичным каналам (FinCERT или ГосСОПКУ, работающую с банками через корпоративные центры) можно рассылать соответствующие IOCи с IP-адресами и номерами автономных систем той же BlazingFast для использования их в системах и сервисах защиты.
А надо ли читать отраслевые стандарты, внедрять SDLC в процесс разработки, читать методические рекомендации и т.п.? Надо, только не во время атаки, когда заниматься самообразованием уже поздно. Тут уместно вспомнить заметки про цикл Бойда и несовершенство PDCA , которые я написал больше полугода назад. Цикл Бойда помогает во время атаки (что нам сейчас и надо), а PDCA - до нее, когда надо выстроить систему ИБ на предприятии. Стандарты, SDLC, методички, политики, выстраивание взаимодействия с SOCами... это все в области размеренного PDCA, а не петли Бойда.
В заключение хочу повторить то, что я писал полгода назад о том, что регуляторам стоит поменять отношение к PR своей деятельности. И вот новый пример того, как не стоит сообщать всей стране о киберугрозах, заставляя всю страну в панике додумывать, что же имела ввиду ФСБ. В прошлый раз не очень удачный PR по свершившемуся кибер-преступлению, а в этот - по еще не начавшемуся. Кстати, на сайте МВД или ЦБ ни слова об этой угрозе. И если с МВД еще можно это как-то объяснить, то молчание сайта финансового регулятора выглядит странно :-(
ЗЫ. Интересно, что не все поставщики услуг отражения DDOS позволяет легко подключиться к своему сервису и не используют ту возможность, которую им предоставила ФСБ со своей страшилкой. Например, тот же Qrator заявляет о подключении всего за 20 минут и описывает процедуру, а вот у ЛК на сайте только маркетинговое описание услуги и нет кнопки "Я под атакой! Помогите!". Читать во время атаки листовки будут не все :-)
ЗЗЫ. А вот интересная реакция ЦБ на последние события с хищениями средств - массовые проверки и обязательная сертификация ДБО по требованиям безопасности.