Финансовый сектор — в пятерке самых атакуемых отраслей в мире
Несмотря на лидирующую позицию финсектора по количеству успешных кибератак на него, в 2024 году число инцидентов ИБ в этой отрасли по всему миру снизилось на 36% по сравнению с первой половиной 2023 года. Эксперты связывают это с повышением общего уровня защищенности компаний и сокрытием части атак, но подчеркивают, что многие ИТ-активы организаций все еще могут быть использованы для нанесения ущерба, в том числе клиентам. По данным ЦБ РФ, во II квартале мошенники украли со счетов граждан и компаний около 4,8 млрд рублей, что примерно на четверть больше среднего показателя за предыдущие четыре квартала.
«Финсектор поддерживает межотраслевой баланс и стабильность валюты, обеспечивает исполнение международных контрактов и решает другие важные для государства задачи, поэтому финансовые сервисы должны быть предельно киберустойчивы. Учитывая темпы появления новых киберугроз, организациям стоит использовать передовые инструменты ИБ, которые позволят на ранних этапах предотвращать реализацию неприемлемых рисков. Более того, необходимо обеспечивать защиту собственных продуктов в процессе разработки. Это особенно важно для приложений, в которых применяют популярные в финсекторе технологии на базе искусственного интеллекта, поскольку 77% компаний уже столкнулись [2] с инцидентами ИБ в подобных системах», - сказала Елена Козлова, директор по развитию бизнеса в финансовой отрасли, Positive Technologies.
В числе основных методов атак на финансовые организации — использование вредоносного ПО: в первой половине 2024 года его доля составила 56%, что на 12% больше, чем за аналогичный период 2023-го. Самым востребованным видом ВПО остаются шифровальщики, однако в этом году число публично раскрываемых атак программ-вымогателей на финансовые организации сократилось на 28% относительно первой половины 2023 года. На втором месте — программы для удаленного доступа (remote access trojan, RAT): их доля выросла в три раза и к середине года достигла 34%.
«Большинство RAT имеют функции шпионского ПО, которое используют АРТ-группировки. Такие сообщества во многих случаях целятся именно в финсектор, поскольку он тесно взаимодействует с госструктурами. Все чаще злоумышленники распространяют ВПО через электронную почту: в первой половине 2023 года — 49% случаев, в первом полугодии 2024-го — 66%. Чтобы вовремя и без риска человеческого фактора отражать атаки, можно автоматизировать работу security operations center и внедрить автопилот MaxPatrol O2, использующий многолетнюю экспертизу по защите российских компаний от киберугроз», - прокомментировала Анна Голушко, старший аналитик исследовательской группы Positive Technologies.
Число кибератак с использованием приемов социальной инженерии в первой половине 2024 года резко увеличилось до 65%: в первом полугодии 2023-го их доля составляла 29%, во втором — 35%. Например, в июне специалисты PT Expert Security Center обнаружили фишинговую рассылку, нацеленную на сотрудников российского банка. Электронные письма содержали вложения с популярной вредоносной программой AgentTesla с функциями шпионского ПО и RAT. Чтобы защититься от подобных атак, эксперты советуют использовать песочницу PT Sandbox, которая позволит вовремя обнаружить ВПО.
Анализ объявлений на теневых форумах[3] показал, что наибольшее число сообщений пришлось на страны Европы (27%), Азии (24%) и Северной Америки (17%). Доля упоминаний финансовых компаний из России и стран СНГ сократилась на 10% по сравнению с первой половиной 2023 года и составила 4%. В большинстве публикаций злоумышленники заявляли о факте совершения DDoS-атак (30%), а также о продаже или раздаче украденных баз данных (26%). В 65% случаев объявления на теневых форумах были связаны с банками, при этом в 54% таких сообщений раскрывались подробности проведения DDoS-атак.
Самое частое последствие кибератак на финсектор — утечки данных: в 2024 году их доля составила 80%. Затем идет нарушение основной деятельности (16%); это последствие остается одним из самых опасных для отрасли, несмотря на сокращение его доли. Кроме того, в 2023–2024 годах финсектор занял[4] второе место по размеру финансового ущерба в результате утечек данных. Эти последствия могут нанести неприемлемый ущерб компании и связанным с ней организациям. Чтобы подготовить ИТ-инфраструктуру к эффективному отражению атак и сделать реализацию неприемлемых рисков невозможной, эксперты рекомендуют придерживаться концепции результативной кибербезопасности. Знать уровень своей защищенности также поможет инструмент PT Dephaze для непрерывного внутреннего тестирования на проникновение, который дополняет классический ручной пентест.
[1] В исследовании представлен актуальный ландшафт киберугроз для финансового сектора в России и мире, основанный на данных об успешных кибератаках за период со второй половины 2023 года до середины 2024 года. В качестве финансовых организаций рассматривались банки, страховые компании, кредитные учреждения, платежные системы, инвестиционные фонды, валютные биржи, консалтинговые компании, микрофинансовые организации, аукционные площадки, сервисы ставок.
[2] По данным отчета компании HiddenLayer о ландшафте угроз ИИ за 2024 год — AI Threat Landscape Report.
[3] Эксперты проанализировали 330 источников на разных языках, среди которых телеграм-каналы и форумы в дарквебе различной тематики с общим количеством пользователей более 180 млн. Учитывались объявления, опубликованные в период со второй половины 2023 года до конца первого полугодия 2024-го.
[4] Согласно исследованию Cost of a Data Breach Report 2024, проведенному компанией IBM, в 2023 году ущерб от утечек данных для финансовых организаций составил 5,9 млн $, в 2024-м — 6,08 млн $. Сектор занимает второе место среди других отраслей, уступая сфере здравоохранения.
