11 мар 2013

В США вышел официальный документ о мерах предотвращения DDoS-атак для банков

Актуальность вопросов информационной безопасности набирает обороты с каждым днем. Пока в Украине информационной безопасностью, как на программном, так и на аппаратном уровне обеспокоены единицы, в США на государственном уровне уже принят официальный документ и целый ряд инструкций, в первую очередь, для банковских структур. В них содержатся рекомендации и разъяснения по отслеживанию DDoS-атак и эффективному их отражению, и предложены меры по снижению рисков, связанных с информационной безопасностью. (Источник: Office of the Comptroller of the Currency)

Компания «ITBiz» взяла на себя обязательство донести основные положения данного документа до участников украинского финансового и телекоммуникационного рынка.

 

Информационная безопасность: распределенные атаки типа «отказ в обслуживании» и мошенничество со счетами клиентов

Кому: главам всех национальных банков, директорам отделений иностранных банков и агентств, федеральных сберегательных ассоциаций, поставщикам технологических услуг, начальникам подразделений и отделов, всем проверяющим сотрудникам и другим заинтересованным сторонам

 

В последнее время различные группы квалифицированных нарушителей проводили распределенные атаки типа «отказ в обслуживании» (DDoS-атаки), направленные на национальные банки и федеральные сберегательные ассоциации (далее все вместе именуемые банками). Осуществляя подобные атаки, эти группы преследовали разные цели, от привлечения к себе общественного внимания до перенаправления банковских ресурсов, а проводимые в то же время онлайн-атаки были нацелены на создание возможностей для мошенничества или похищение конфиденциальной информации. В настоящем оповещении приводится общее описание атак, а также рекомендации по снижению рисков и соответствующие инструкции по управлению рисками. В оповещении также содержится напоминание о том, что Комиссия по регулированию деятельности коммерческих банков (Office of the Comptroller of the Currency, OCC) ожидает от банков реализации программ по управлению рисками с целью определения и надлежащего рассмотрения новых и возникающих угроз для онлайн-счетов, а также адаптации своих средств аутентификации клиентов, многоуровневой защиты и других средств управления в ответ на изменения уровня риска.

 

Описание атак

Целью DDoS-атаки является блокировка доступа к банковским услугам через Интернет путем направления на сайт банка больших объемов интернет-трафика с взломанных компьютеров. В некоторых случаях группы квалифицированных нарушителей меняют свою тактику в ходе атак, направляя их на поставщиков услуг Интернета. Также мошенники используют DDoS-атаки для отвлечения технических ресурсов и внимания персонала, когда они получают несанкционированный удаленный доступ к счету клиента и совершают мошеннические действия через автоматизированную клиринговую палату и банковские переводы (т. н. «перехват счета»). В данном сценарии DDoS-атака может проводиться непосредственно до, во время или после основной атаки. DDoS-атаки также используются для лишения клиентов банка возможности сообщить о подозреваемом мошенничестве, а также блокирования связи банков с клиентами в целях их предупреждения.

 

Определение рисков и управление ими

Банки должны проявлять повышенное внимание к описанным выше атакам и использовать надлежащие ресурсы для определения и снижения, связанных с ними рисков. Подготовительные меры могут включать в себя обеспечение достаточного количества персонала во время проведения DDoS-атак, а также привлечение сторонних поставщиков услуг, которые могут оказывать помощь в управлении потоком интернет-трафика, на договорных началах. Кроме того, банки должны обеспечивать эффективное вовлечение надлежащих специалистов и внешних партнеров в процесс реагирования на инциденты в различных сферах деятельности. Также банки должны рассмотреть возможность проведения надлежащей проверки поставщиков услуг (например, услуг Интернета или веб-хостинга), чтобы быть уверенными в принятии ими необходимых мер для определения и снижения рисков, связанных с потенциальными DDoS-атаками.

Поскольку группы, проводящие DDoS-атаки, могут менять тактику и цели в ходе самой атаки, банкам следует включать в свои стратегии снижения рисков обмен информацией с другими банками и поставщиками услуг. Членство в организациях, обеспечивающих обмен информацией, таких как Центр анализа и обмена информацией между финансовыми службами (Financial Services Information Sharing and Analysis Center, FS-ISAC), может помочь банкам наладить эффективный информационный обмен. FS-ISAC и Группу быстрого реагирования на компьютерные инциденты в США (United States Computer Emergency Readiness Team, US-CERT) можно считать надежными источниками сведений о методах, используемых для проведения атак и тактиках снижения риска, которые позволяют минимизировать ущерб от подобных атак. Например, организация FS-ISAC, опубликовала документы, связанные с DDoS-атаками и перехватом счетов.

Обеспечение своевременного и точного информирования клиентов о проблемах с веб-сайтом в чрезвычайных ситуациях, рисках, которым подвергаются клиенты, мерах предосторожности, которые они могут принимать, а также об альтернативных каналах доставки, которые будут удовлетворять их потребности в банковском обслуживании, должны стать неотъемлемой частью процесса планирования в банках. В рамках текущих программ по управлению рисками банкам следует учитывать особенности проведенных в последнее время DDoS-атак и случаев мошенничества со счетами клиентов. Следует уделить внимание всем аспектам применяемого в банке процесса управления рисками, включая оценку рисков, способы их снижения, планы реагирования, связанные с этим политики и процедуры, а также тестирование, профессиональное обучение и обучение клиентов.

 

Регулирующая документация

Существующая регулирующая документация определяет меры, которые банкам следует принимать для снижения рисков, связанных с информационной безопасностью. В брошюре Information Security из издания FFIEC Information Technology Examination Handbook (IT Handbook) рассматриваются общие принципы управления рисками, связанными с информационной безопасностью. Руководство по предупреждению атак на счета клиентов содержится в документе FFIEC Authentication in an Internet Banking Environment, опубликованном в 2005 году, а также в дополнении к нему (Supplement), которое было издано в 2011 году. Кроме того, при использовании сторонних услуг по смягчению последствий DDoS-атак банки должны руководствоваться брошюрой Outsourcing Technology Services издания IT Handbook.

OCC ожидает от банков, ставших жертвами DDoS-атак или испытавших на себе их негативные последствия, предоставления сведений о таких атаках правоохранительным структурам и соответствующему наблюдательному органу. Кроме того, банки должны самостоятельно подавать отчет о подозрительной операции (Suspicious Activity Report, SAR), если DDoS-атака затрагивает критически важную для банка информацию, в частности сведения о счете клиента, либо повреждает, блокирует или иным образом влияет на критически важные системы банка. События, связанные с перехватом счетов, могут требовать подачи SAR, как предусмотрено в руководстве Сети по борьбе с финансовыми преступлениями (Financial Crimes Enforcement Network), выпущенном в прошлом году.

 

«Сегодня то время, когда очень важно принять правильное решение по обеспечению информационной безопасности в будущем.

При не малом выборе разных решений на рынке Украины стоит понимать, что самодельные сервисы не смогут обеспечить требуемую надежность, предоставить необходимые гарантии, автономно отследить и заблокировать атаку без участия оператора, – предостерегает от ошибок, Владимир Гук, руководитель отдела корпоративных продаж компании «ITBiz». Мои рекомендации неизменны в отношении целесообразности работы над задачами такого масштаба с мировыми лидерами по сетевому управлению и безопасности. Их опыт сотрудничества с операторами связи по всему миру уже отметили ведущие производители сетевого оборудования и бизнес-приложений».

11 марта 2013


Опубликовано © Itbiz