Эксперты: отечественные банки защищены хорошо, но возможности хакеров также развиваются

Возможность хакерских атак на финансовые учреждения требует постоянного контроля системы безопасности. На вопрос редакции newsroom.su о том, насколько серьёзно защищены отечественные банки ответили эксперты. Они сошлись во мнении, что хакерские технологии развиваются быстрее, чем защита от них.

Вячеслав Георгиевский, директор филиала "БКС Премьер"

К сожалению, за последние годы "арсенал" хакеров существо возрос и появились технологии, которые позволяют аккумулировать большие ресурсы для организации довольно серьёзных атак на финансовые и государственные учреждения. Причём, не всегда атака проходит для банка заметно, их результаты всплывают только спустя долгое время, когда последствия уже не обратимы. Банки предпочитают скрывать эту угрозу, чтобы не допустить паники среди клиентов, но на текущий момент, они очень уязвимы, особенно для больших хакерских групп. Если говорить о российских банках, то они далеко не в списке самых защищённых в мире, но в то же время с начала 2016 года началось повальное внедрение инновационных продуктов, что может позволить улучшить ситуацию.

Ярослав Хараузов, компания "Аладдин Р.Д."

В целом внутренняя информационная безопасность банков на достойном уровне. Тем не менее, если раньше хакеры чаще атаковали счета клиентов банка, нежели внутренние системы самого банка, то сейчас картина меняется.

Первое, что хочется отметить: DDos-атаки теперь фактически превратились в некий инструмент, применяемый для нечестной конкурентной борьбы. При том, если раньше DDoS-атака считалась достаточно "дорогим удовольствием", сегодня они стали на порядок доступнее.

Также стоит отметить, что участились атаки, направленные на компрометацию учётных данных сотрудников, непосредственно внутри корпоративной системы организации. Что примечательно, инструментарий, который для этого применяется, вполне легальный, — антивирус на него никак не реагирует. Это стало неприятным сюрпризом для банков, которые используют парольную защиту, вместо инфраструктуры PKI и аутентификации по сертификатам.

Владимир Княжицкий, генеральный директор российского представительства "Фаст Лейн"

Несмотря на то, что в отечественных банках действуют системы информационной защиты, практика показывает, что их зачастую оказывается недостаточно. Тому есть несколько причин:

1. Современная информационная защита — это не только антивирус. С ними, как раз, в банках все хорошо. Информационная защита — это большой набор как технических, так и административных инструментов. Известно, что более половины атак на банки основано на социальном, поведенческом принципе воздействия на сотрудников (фишинговые письма, эвристический подбор паролей, перехват незащищённых соединений из публичных мест и т.д.). Это говорит о том, что за "воспитанием" сотрудников банки, похоже, не следят. По крайней мере, на тренингах по культуре информационной безопасности для сотрудников у нас ни разу не было групп от банков.
2. Технические подразделения банков — самые консервативные среди всех ИТ-служб мира. Золотое правило "если что-то работает, то не трогай это" в банках является аксиомой. Но информационная безопасность — это исключительно динамичная область знаний. Внедрять новые технологии и обучать сотрудников ИТ-служб необходимо постоянно. К сожалению, на данный момент банки не успевают за развитием технологий.
3. Очевидно, что в случае хакерской атаки, банку намного выгоднее аккуратно списать потери и не раздувать скандал об успешной атаке. Это позволяет избежать серьёзных репутационных рисков: доверие к банку стоит больше, чем понесённые финансовые убытки. Из этого можно сделать вывод, что мы знаем только о немногих успешных хакерских атаках на банки, на практике их намного больше.

Означает ли это, что все плохо? В какой-то мере. Но я не думаю, что клиентам банков следует беспокоиться. В России не самая худшая ситуация с информационной защитой банков, хотя уровень атак — один из самых высоких в мире. Остаётся только надеется, что банковские структуры станут более активно работать в направлении повышения квалификации своего ИТ-персонала в будущем.