ЦБ РФ планирует провести проверку готовности банков к киберугрозам

10.08.2023 |

Александр Абрамов.

В отличие от предыдущих лет, проверка будет проводиться без предварительного предупреждения, путем отправки сотрудникам банков электронных писем с вредоносным программным обеспечением (ВПО). Однако специалисты по информационной безопасности высказывают опасения о возможности подключения реальных злоумышленников к этой проверке.

Центробанк планирует провести учения по информационной безопасности в банках в третьем квартале текущего года. В письме от 7 августа 2023 года Банк России просит кредитные организации предоставить не менее 30 адресов электронной почты сотрудников, отдавая приоритет работникам, не занятым в службе информационной безопасности. ЦБ сообщает, что участники не будут знать точную дату проведения учений, чтобы создать условия, максимально приближенные к реальной ситуации.

В соответствии с приложенным сценарием, работники банков, чьи электронные почты будут направлены в ЦБ, получат письма с приложенным вредоносным программным обеспечением. После открытия вложенного файла происходит соединение с компрометированным автоматизированным рабочим местом, где находится управляющий сервер. После анализа инцидента, банк должен сообщить информацию о нем в ФинЦЕРТ – подразделение ЦБ, которое занимается рекомендациями по противодействию рискам.

Такие учения проводятся уже с 2020 года, но использование столь реалистичной проверки предлагается впервые. Ранее Центробанк в рамках "тренировок" по кибербезопасности предупреждал банки об "отрицательном развитии событий", и затем проводил мониторинг и анализ результатов реакции банков.

Специалисты отмечают, что такие учения являются полезными. Результатом может быть открытие вложенного вредоносного файла с последующим анализом инцидента или отказ сотрудника банка открыть подозрительный файл. Количество открытых писем может свидетельствовать о кибер-безграмотности сотрудников.

Однако эксперты по информационной безопасности предупреждают о рисках данного сценария. Посланное банкам письмо не имеет официального грифа, что приводит к его активному обсуждению среди специалистов и в профессиональных чатах. Злоумышленники могут быть участниками данных виртуальных сообществ и получить весьма ценную для себя информацию, воспользовавшись которой попробуют запустить собственную рассылку вредоносного ПО под видом писем от ЦБ. Также возможна ситуация, когда специалисты заметят подозрительную активность и сообщат другим коллегам о начале рассылки от ЦБ, в тот момент злоумышленники могут начать отправлять свои зараженные письма, и службы информационной безопасности банков могут пропустить реальную кибератаку.

Официальные представители банков не считают нововведение ЦБ критичным и спокойно относятся к рассылке настоящих зараженных писем, так как они уже много лет принимают участие в учениях и располагают необходимыми средствами защиты, в том числе и от вредоносных файлов, полученных по электронной почте.

Эксперты по информационной безопасности также предупреждают о возможных рисках, связанных с предоставлением Центробанку адресов электронной почты сотрудников банков. Они указывают на вероятность утечки и дальнейшего использования этих адресов злоумышленниками, которые могут быть в курсе проводимых учений.