Банковской системе Украины пришлось усилить киберзащиту после атаки вируса Petya.
«Относительно вируса Petya. После событий 27 июня 2017 года были приняты дополнительные меры», – сообщил начальник управления информационной безопасности Укргазбанка Сергей Недзельский в ходе круглого стола, проведенного «Финансовым клубом».
Речь идет о комплексе мер, которые пришлось внедрять всем банкам – и тем, кто пострадал, и тем, кого не затронула вирусная атака.
«Были внедрены комплексы по информационной безопасности, изменился подход к информационной безопасности, были увеличены штаты сотрудников информационной безопасности, чаще стали проводиться тесты на уязвимость – как внутренние, так и внешние», – перечислил он ключевые изменения.
НБУ готовил повышенные требования к информационной безопасности банков задолго до вирусной атаки, но именно появление Petya ускорило их внедрение на нормативном уровне, ведь в 2017 году жертвами вирусной атаки Petya стала треть украинских банков.
«На сегодняшний день по нашему банку можно сказать, что он более защищен. Постановлением НБУ были усилены требования к информационной безопасности», – подчеркнул Сергей Недзельский.
Банки теперь большее внимание уделяют своей информационной защите.
«Необходимо проводить penetration test (тестирование на проникновение), тесты на уязвимость, выявлять уязвимости и оперативно их устранять. По постановлению НБУ мы должны делать это раз в год, но если банк сертифицирован по PCI DSS, то тесты на важность должны проводиться каждый квартал», – рассказал Сергей Недзельский.
Хакерские атаки в будущем будут продолжаться, а сокращение количества банков на рынке повышает вероятность атаки на оставшиеся учреждения.
«Банки балансируют на тонкой грани экономии и потери репутации или даже всего бизнеса. Чем меньше становится банков в банковском секторе Украины, тем больше вероятность того, что конкретный банк подвергнется атаке группировки хакеров. Поскольку «целей» становится меньше, плотность атак на эти цели увеличивается», – поясняет руководитель департамента информационной безопасности IBM Яков Шишков.
Эксперты советуют не прекращать работу над защитой IT-систем.
«Обновление ПО – это не единственный способ устранить уязвимости, есть и другие способы. Очень часто информационные системы, которые есть в наличии, устанавливаются «с коробки» и совсем не конфигурируются. Поэтому надо подумать о безопасной конфигурации, следовании наилучшим практикам использования системы и т.д.» – рассказал старший консультант отдела консультирования по управлению рисками KPMG в Украине Артем Кобец.
Банки должны быть постоянно готовы к новым атакам.
«Еще один вирус Petya банковские учреждения, возможно, не переживут, – опасается Яков Шишков. – По моей информации, тогда пострадали банки, которые не имели сегментации сети, которые не выполняли своевременный патчинг систем. Это показывало культуру IT: если IT-специалисты банков не понимают, что система обновления становится более уязвимой со временем, то это индикатор того, должны ли эти люди работать на своих должностях или нет».
Источник: finclub
