Проблема защиты от финансового фрода актуальна в России последние лет семь. Банковские ограбления всегда были отдельным «жанром», при этом довольно сложным: преступникам нужно было хорошо подготовиться, предусмотреть пути отступления, продумать, как унести деньги, и вообще просчитать массу возможностей и нюансов.

Cегодня рынок вредоносного ПО предлагает готовые инструменты для онлайн-ограбления меньше чем за $1000.

С развитием онлайн-банкинга и дистанционных транзакций ситуация кардинально поменялась, и кража денег с банковского счета перешла в разряд легкой добычи. Почему? Да потому что сегодня рынок вредоносного ПО предлагает готовые инструменты для онлайн-ограбления меньше чем за $1000, а от преступника не требуется не только больших финансовых затрат, но даже специализированного технического образования и глубоких знаний. В результате в России, к сожалению, практически любой человек может организовать небольшой преступный бизнес, а количество инцидентов с мошенничеством в системах онлайн-банкинга постоянно растет.

Банки, страдающие от подобных преступлений, не обязательно теряют деньги напрямую. Последствия атак могут быть не столь прямолинейными, но от этого не менее затратными: простой в работе, недоступность ряда важных систем и сервисов, затраты на восстановление работоспособности атакованных компьютеров, недовольство клиентов — все это неприятные издержки, которые неизменно влечет за собой любое проникновение в корпоративную сеть.

Я убежден, что любая кибератака на банк обязательно должна быть расследована.

Я убежден, что любая кибератака на банк обязательно должна быть расследована. Это не только логично и разумно с правовой точки зрения. Расследование также поможет понять истинный «масштаб бедствия» и оценить реальный ущерб, который был нанесен компании вследствие инцидента.

Безусловно, расследование киберпреступления имеет свою специфику и поэтому должно быть поручено профильным специалистам — только они смогут выяснить, кто стоял за атакой, откуда она была осуществлена, какие средства использовались для проникновения в сеть банка и как злоумышленникам удалось обойти систему защиты, что именно было украдено, какие системы скомпрометированы и т. п. Все эти сведения позволят не только привлечь преступников к ответственности, но также помогут банку понять, каковы «слабые места» его IT-инфраструктуры и что нужно сделать для усиления информационной защиты и предотвращения подобных инцидентов в будущем.

Расследование киберинцидента в определенной мере напоминает расследование любого преступления, но, безусловно, имеет свою специфику. Для того чтобы расследование прошло максимально успешно и быстро, пережившему атаку банку следует соблюдать определенные правила, которые диктуются лишь одним обстоятельством: киберинцидент — это преступление, а компьютер, через который злоумышленники получили доступ к сети банка,— это место преступления. Следовательно, к месту преступления нельзя приближаться до прибытия специалистов, поскольку оно содержит массу улик.

Надо отключить от интернета компьютер, через который была совершена атака, чтобы преступники не могли «замести следы».

Итак, что же конкретно нужно сделать до прибытия экспертов. Во-первых, надо отключить от интернета компьютер, через который была совершена атака, чтобы преступники не могли «замести следы». Во-вторых, нужно ограничить доступ сотрудников к компьютеру. При этом крайне важно, чтобы компьютер оставался в рабочем состоянии — его нельзя выключать, чтобы не потерять информацию в оперативной памяти. В крайнем случае, если по каким-то причинам необходимо отключить питание, компьютер можно перевести в режим гибернации. Ну и, конечно же, необходимо заблокировать доступ к системам денежных онлайн-транзакций и приостановить обработку любых платежей.

Смысл всех этих действий — сохранить первичную информацию о киберинциденте. Не стоит пытаться самостоятельно определить, какой именно вредоносной программой был заражен компьютер, нельзя запускать антивирусные программы или любые лечебные утилиты, не стоит пробовать удалить зловред. Нельзя форматировать жесткий диск или переустанавливать операционную систему. В общем, как я уже говорил выше, главное — оставить компьютер в покое и отключить его от интернета.

Информация о специфике работы организации будет сильно способствовать успеху расследования.

Однако это не значит, что пострадавшая организация должна лишь со стороны наблюдать за тем, как ведется расследование. Наоборот, она должна активно в нем участвовать, помогая правоохранительным органам и экспертам по информационной безопасности составить полную картину происшествия. Только сами сотрудники компании смогут точно восстановить хронологию событий, зафиксировать обстоятельства, при которых произошел инцидент, определить всех причастных к этому людей и собрать электронные свидетельства, в частности журнальные файлы серверов. Впоследствии эта информация о специфике работы организации будет сильно способствовать успеху расследования.

Ну и еще один организационный момент. Параллельно с обращением в правоохранительные органы я крайне рекомендую пострадавшим от кибератак банкам также привлекать к расследованию экспертов в области информационной безопасности, специализирующихся на исследовании киберинцидентов. Дело в том, что в большинстве случаев сотрудники правоохранительных органов так или иначе потребуют провести экспертизу и оценить потери, понесенные вследствие проникновения в корпоративную сеть. Если же позаботиться об этом заранее, то ход расследования можно заметно ускорить. Ну и опять же, как я уже говорил, заключения экспертов помогут банку усилить систему защиты. А ведь, как известно, проблемы лучше предотвращать, нежели решать.