«Защитим банк вместе» — под таким слоганом выходят регулярные выпуски корпоративного СМИ на актуальные темы в сфере ИБ от Департамента информационной безопасности @RSHB_tsyfra. В этой статье делаем обзор 12 выпусков — смотрим, какие ключевые темы затрагивали безопасники и какие рекомендации давали. Запустили голосование! Определите лучший выпуск с точки зрения важности и качества подачи информации в области ИБ для банков.

Почему это важно? По подсчётам компании McAfee и Центра стратегических и международных исследований (CSIS), только за 2023 год прямой ущерб от компьютерных инцидентов в мире составил более 1 трлн долларов (это 1% мирового ВВП). С начала 2022-го по август 2024 года в России было совершено около 1,5 млн преступлений в ИТ-сфере, при этом кибермошенники похитили у россиян более 350 млрд рублей, по данным следственного департамента МВД РФ. Согласно оценкам компании Positive Technologies, основными последствиями успешных атак на организации стали утечки конфиденциальной информации (41%)и сбои в их основной деятельности (37%). В случае атак на частных лиц чаще всего происходили утечки чувствительных данных (69%) и прямые финансовые потери (32%).

Голосуем за лучший выпуск в конце статьи.

1. Современные таргетированные атаки 

В этом выпуске безопасники рассказывают о том, что такое целевая атака, как она проходит и что нужно делать для противодействия. Проявлять осмотрительность при общении в социальных сетях, мессенджерах, на форумах, при заполнении различных анкет и опросов, не публиковать без необходимости информацию о своей должности, обязанностях, деталях технического оснащения и мерах безопасности, помнить, что фишинг остается одним из основных каналов проникновения вредоносного кода в сеть, не использовать внешние накопители, происхождение которых неизвестно, не заходить на посторонние сайты с рабочих компьютеров — основные рекомендации по этому блоку.

2. Правила безопасности при удалённой работе

В этом выпуске — об обеспечении необходимого уровня безопасности при удалённой работе  с использованием корпоративных и личных устройств. Важно регулярно устанавливать обновления безопасности, информировать о вирусных заражениях, защищать корпоративные гаджеты от утери и кражи, соблюдать правила подключения к беспроводной сети, к сети банка.

3. Актуальные угрозы цифрового мира

Знать правила безопасности в банке — это обязательно. В выпуске содержится обзор актуальных угроз информационной безопасности, с которыми сталкивается банк и его клиенты в цифровом мире — утечка конфиденциальной информации (кража данных о клиентах, сотрудниках и самом банке, которые могут быть использованы для мошенничества и шантажа), кражи и мошенничество (использование социальной инженерии, вирусов и других методов для хищения денежных средств со счетов клиентов и самого банка), атаки на инфраструктуру и кибервойны (целенаправленные атаки на критическую информационную инфраструктуру банка и других организаций, которые могут нанести серьезный ущерб), заражение вирусами, DDoS-атаки —  перегрузка каналов связи и систем банка с целью сделать их недоступными для клиентов.

4. Информационная безопасность и бизнес — новые реалии

Рассказываем о том, как обеспечить информационную безопасность и выполнение бизнес-целей с минимальными рисками. Полностью избавиться от риска невозможно, но его можно уменьшить до приемлемого уровня. Для снижения риска можно уменьшить вероятность или ущерб от реализации угрозы, либо оба показателя сразу (например, внедрение средств защиты, резервное копирование). Помимо прямого снижения риска, возможны варианты с перекладыванием его на третью сторону (страхование, неустойки). Если риск невозможно снизить до приемлемого уровня, можно устранить его причину (отказаться от использования критичных технологий). ИБ призывает сотрудников влиять на оценку рисков и эффективность мер информационной безопасности.

5. Какие формальные внешние требования регулируют деятельность нашего Банка в области информационной безопасности?

Выпуск информирует сотрудников о том, что требования по информационной безопасности (ИБ) в банковской сфере — это не ограничения, а инструкции для правильной организации и функционирования банковских процессов. Требования ИБ устанавливаются Банком России, а также платежными системами, они направлены на защиту информации, в том числе персональных данных клиентов и коммерческой тайны. Соблюдение требований ИБ является обязанностью всех сотрудников банка, а не только специалистов по ИБ.

6. Моя личная учётная запись

Выпуск рассказывает об основных параметрах обеспечения безопасности личной учётной записи. Учетная запись (идентификатор (логин), пароль, права доступа и другие данные) может быть заблокирована в случае длительного отсутствия пользователя на рабочем месте или при шести неверных попытках ввода пароля. Для обеспечения безопасности учетной записи важно не использовать очевидные и легко подбираемые пароли, не передавать пароли другим лицам, не хранить пароли в открытом виде, не открывать подозрительные файлы, не посещать небезопасные сайты. 

7. Социальная инженерия — как не стать проводником для киберпреступников

Основная идея этого выпуска — рассказать о самых распространенных сценариях социальной инженерии: 

• Запуск вредоносных макросов в документах (например, под видом продажи мебели, инвентаризации, новых методик расчета зарплаты).

• Требование ввода пароля (например, под видом приглашения на конференцию, оповещения о входе в аккаунт, записи на вакцинацию)

• Запуск вредоносных файлов (например, под видом установки нового мессенджера, программ, технологии удаленного доступа)

Кроме того, авторы выпуска обозначают признаки фишинговых писем: требование немедленного действия, кажущаяся выгода для пользователя, эксплуатация любопытства. ИБ рекомендует не разрешать запуск макросов, быть осторожными с подозрительными письмами, даже если они кажутся выгодными.

8. Что такое уязвимости?

Технические уязвимости постоянно выявляются и закрываются производителями ПО, но также активно мониторятся злоумышленниками, которые могут использовать их для атак. Уязвимости могут быть как техническими (ошибки в программном обеспечении), так и организационными (ошибки персонала). Организационные уязвимости возникают из-за ошибок сотрудников при настройке систем или их эксплуатации. Например, случайное предоставление излишних прав доступа. Банк проводит регулярные аудиты и тестирование на проникновение, чтобы выявлять технические и организационные уязвимости. Но для этого также нужна помощь всех сотрудников, которые должны сообщать о замеченных проблемах.

9. Онлайн-шоппинг

Основные акценты выпуска — рекомендации для защиты от кибермошенников, которые обманывают покупателей в сезон распродаж. 

• Проверяйте адрес сайта, на который переходите, чтобы он не был похож на фишинговый. Не регистрируйтесь на неизвестных мошеннических сайтах, это может привести к краже данных.

• Читайте отзывы о продавце, сайте.

• Следите за предупреждениями операционной системы, браузера и антивируса.

• Используйте отдельный email и банковскую карту для онлайн-покупок.

• Не совершайте покупки и банковские операции в публичных Wi-Fi сетях.

• По возможности используйте платежные сервисы вместо ввода данных карты.

10. Основы кибергигиены

В этом выпуске напоминают о правилах безопасности при использовании мессенджеров в мобильных устройствах. Не оставляйте телефон без присмотра  в общественных местах, обязательно установите пароль или биометрическую защиту, не повышайте привилегии на устройстве (jailbreak или root), не устанавливайте сторонние сертификаты, следите за актуальностью ОС и приложений, устанавливайте их только из официальных магазинов, используйте сложные пароли, меняйте их часто, используйте менеджеры паролей, пользуйтесь только необходимыми программами, ограничьте использование публичных Wi-Fi сетей.

11. Как избежать горя от ума

Выпуск предупреждает о рисках использования IoT-устройств. Основные проблемы безопасности IoT-устройств — возможность физического доступа и модификации устройств, использование уязвимого программного обеспечения с известными уязвимостями, использование производителями легко взламываемых паролей, применение небезопасных протоколов передачи данных. Пользователям IoT-устройств необходимо проверять отзывы о безопасности устройств перед покупкой, менять стандартные пароли на сложные и регулярно их обновлять, устанавливать последние обновления ПО, включать доступные функции безопасности в настройках устройств. 

12. К безопасности во всеоружии 

Выпуск призывает сотрудников узнавать больше о процессе обеспечения информационной безопасности, так как большинство атак на корпоративный сектор предполагает использование обычных пользователей в качестве точки проникновения. Предлагается использовать дополнительные внешние ресурсы для повышения уровня знаний в области информационной безопасности, помимо внутренних обучений и тренингов в компании:

Курс по основам информационной безопасности — курс для тех, кто хочет систематизировать свои знания в области информационной безопасности)

Портал Anti-Malware.ru — портал, в основном посвященный средствам защиты информации. Приводятся сравнения разных продуктов, в том числе ответы на вопрос «Какой антивирус лучше».

Курс по Безопасности АСУ ТП — рассматриваются различные атаки на промышленные системы и способы защиты от них.

Курс по безопасности веб-проектов — рассматриваются атаки на веб-сервисы и способы защиты, а также применяемые в веб-сервисах технологии.

Блог Алексея Лукацкого — рассказывается про изменения в действующем отечественном законодательстве, поясняются спорные моменты, описываются новые угрозы и тенденции.

Ресурс от Лаборатории Касперского — содержательный дайджест, рассказывающий о современных угрозах, технологиях, событиях простым и понятным языком.

Подборки публикаций компании R-Vision — здесь можно найти как официальные релизы, так и посты известных журналистов и блогеров, в том числе англоязычных.

Справочник законодательства РФ в области информационной безопасности — самый полный и постоянно обновляемый справочник.