ИБ-гигиена для финансового блока

О славе «крутых хакеров» мечтают новички. Матерым же киберпреступникам нужна не шумиха, а деньги. Поэтому любой «подход» к компании они начинают с финансового контура. В ход идут «прощупывание» на уязвимости системы «банк-клиент», фальсификация платежных поручений, подмена реквизитов, липовые «срочные» письма от «руководства». Отсюда управленческий вывод: уверенность CEO в ИБ-гигиене финансистов должна быть железной.

В этом посте мы собрали лучшие практики клиентов «Нейроинформа». Эти практики ломают типовые схемы злоумышленников и делают атаку дорогой, шумной и бессмысленной. Часть мер внедряется вообще без капиталовложений - за счёт дисциплины и небольших, но важных изменений в имеющиеся процессы.

Если вы когда-либо пользовались банковской сейфовой ячейкой, то прекрасно знаете: чтобы получить доступ к ее содержимому, одного ключа недостаточно. Аналогичную практику следует внедрить и в отношении безопасности платежей. Помимо инициатора — финансового менеджера, который обрабатывает заявку на платеж, обязательно должен быть тот, кто утвердит денежный трансфер на своей стороне. Это не бюрократия. Это в буквальном смысле механическое разрушение сценария, где одного человека легко ввести в заблуждение.

Два способа усилить правило

Чтобы не дать преступникам шанса, добавьте к процессу два небольших, но важных действия.

• Первое — сверка новых реквизитов по второму каналу. На письмо с информацией об «обновлении счета» не отвечаем. Вместо этого звоним по номеру из карточки контрагента, которую берем из CRM. И голосом подтверждаем (или опровергаем!) факт смены реквизитов. Минутный звонок оградит от миллионных потерь – проверено!
• Второе — учредите платежные окна. Согласуйте с первым лицом компании и с линейными менеджерами конкретные промежутки времени в конкретные дни недели на оплату счетов. Совсем идеально – чтобы заявки на оплату поступали через портал. И не нарушайте эти условия, как бы кому ни хотелось отправить платеж «прямо сейчас». Всё, что приходит «срочно до 17:00» вне окна, автоматически уходит на эскалацию. Всю полноту ответственности на себя принимают другие люди.

Суть этого правила — управляемая пауза и прозрачный след. Вы исключаете всякую возможность манипуляции срочностью и тем самым ломаете любимый трюк злоумышленников — направить исполнителя по нужному им пути через имитацию «окрика сверху».

Здесь инвестиции в «железо» и средства защиты информации имеют смысл. Для того, чтобы отделить платёжный контур от повседневной рутины и тем самым сделать его устойчивым к фишингу и ошибкам «человеческого фактора», не грех и вложиться.

Как потратить

На самом деле, денег понадобится не так много.

• Первое — выделенные рабочие станции под банк-клиент и казначейство. Их имеет смысл настроить так, чтобы эти компьютеры нельзя было использовать ни для чего, кроме проведения оплат. В буквальном смысле: на столе у ответственного за деньги руководителя — два компьютера, На одном — офисная рутина, на другом — только софт для осуществления платежей. На таких ПК — никаких сторонних приложений, расширений браузеров и загрузок по умолчанию.
• Второе — сильная аутентификация с присущими ей аппаратными ключами/токенами. Сюда же - push-подтверждения. По возможности — без SMS: SIM-карту можно клонировать, а второй фактор из SMS - перехватить. Как правильно настроить двухфакторку, что она реально может, а от чего бессильна помочь, мы рассказывали здесь.
• Ревизия прав как минимум один раз за отчетный период (месяц или квартал). Срезает избыточные роли и «мертвые» доступы, которые незаметно превращаются в лазейки.
• Моментальный offboarding. Увольнение, отпуск или длительный больничный ключевого сотрудника — и доступы закрыты в тот же день.

Реализованное в полной мере, правило №2 резко сокращает поверхность атаки и делает любой несанкционированный доступ аудируемым: остаются журналы, сессии, события — всё, что позволяет быстро локализовать проблему и показать руководству, что контроль действительно работает.

PDF, таблицы и договоры часто становятся контейнером для вредоносов. «Открыл и поехали» — то, на что надеются киберпреступники. Давать им такую надежду - плохая стратегия с точки зрения защиты финансового блока.

Как защитить себя?

Опять-таки, вопрос решается грамотной конфигурацией софта.

• Вложения по умолчанию открывать в предпросмотре (viewer) или в изолированной среде, то есть на виртуальном сервере или виртуальном рабочем столе, он же VDI.
• Внешним файлам задавать режим «только просмотр».
• Там, где возможно, включить CDR (Content Disarm & Reconstruction): система пересобирает документ, вырезая активный контент, и отдаёт безопасную копию, которую уже можно скачать на рабочий ПК без опасений.

В чем смысл? Все просто: не занести «трояна» в среду, где выполняются платежи.

Финансовый блок — ведомство, где технологии обеспечивают сохранность денег в гораздо меньшей степени, чем привычки. А вот привычки, в свою очередь, формирует культура отношения к кибербезопасности.

Четыре ИБ-постулата для финблока

Вот некоторые полезные проявления этой культуры, которые отлично работают для финансового блока:

• Лимиты и пороги по суммам/странам/типам платежей. Если ваша внешняя торговля — это в основном Казахстан и Кыргызстан, то внезапный платёж в Катар — красный флаг до ручной проверки.
• Право на паузу. Любой сотрудник финансов имеет право сказать: «Стоп, проверяю» — и за это похвалят, а не накажут. Без этого остальные правила превращаются в декорацию.
• Обучение два раза в год по 30 минут. Разбор реальных писем и кейсов компании, а не общие лекции за все хорошее против всего плохого. Только на примерах пользователи начинают узнавать паттерны и примерять их на себя.
• Страница в корпоративной вики «ИБ для финблока». Перечень инструкций, как меняем реквизиты, как подтверждаем платежи, кто «вторая пара рук», если руководитель недоступен. Мы знаем примеры, когда «ИБ для финблока» открывается как домашняя страница для всех пользователей-финансистов. Если правила постоянно на виду, если они понятно сформулированы, а инструкции – доходчиво описаны, — ими пользуются.

Стартовая точка в формировании правильной культуры ИБ — в том, что излишняя бдительность не наказывается. Бдительный сотрудник никогда не фигурирует в разборах инцидентов, в отличие от беспечного. Владельцам компаний было бы неплохо постоянно об этом помнить.

Эти и ряд других мер сильно усложняют хакерам жизнь. Они делают атаку шумной, медленной и быстро распознаваемой по цифровым следам. А значит, у злоумышленника появляется сильный стимул пройти мимо и поискать цель попроще. Тем более что укрепить ИБ-гигиену финансов — не значит затевать дорогостоящий долгострой из модных программных и аппаратных решений.

Для реализации всего перечисленного — или его существенной части — не требуется огромное количество времени или гора денег. Проведите совещание с вашим CFO и руководителем ИБ-службы. Обсудите, что именно можно внедрить в вашей компании в следующем отчетном периоде, и что будет критерием успешности такого внедрения. А если не уверены, с чего начать, — оставьте заявку на бесплатный аудит ИБ-процессов вашего финблока.