1. Главная
  2. Статьи

Кибервойна за финансы: тенденции и меры противодействия

| статьи | печать
автор:
опубликовано:«Экономика и жизнь» №06 (10070) 2025

Минувший год стал продолжением напряженной борьбы с киберугрозами в финансовой сфере. В условиях быстрого развития цифровых технологий рост числа и сложности компьютерных атак на финансовые учреждения заставил экспертов пересмотреть подходы к обеспечению информационной безопасности.

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), структурное подразделение главного управления безопасности и защиты информации Банка России, активно работал над повышением осведомленности о защите от новых угроз. Результаты проделанной работы вместе с прогнозами на ближайший год ЦБ представил в исследовании «Обзор основных типов компьютерных атак в финансовой сфере в 2024 г.».

Анализируя развитие компьютерных атак в 2024 г., можно уверенно утверждать, что злоумышленники продолжили совершенствовать тактики и техники атак. Среди наиболее распространенных направлений выделяются эксплуатация уязвимостей, атаки типа «отказ в обслуживании» (DDoS), компрометация учетных записей вследствие слабого контроля парольной политики, а также атаки через скомпрометированные информационные инфраструктуры подрядных организаций.

Организации финансового сектора столкнулись с ростом числа компьютерных инцидентов, вызванных компрометацией подрядчиков (атаки на цепочку поставок), что потребовало принятия упреждающих мер реагирования.

Атаки на финсектор

В 2024 г. через Автоматизированную систему обработки инцидентов ФинЦЕРТ было получено более 750 сообщений о компьютерных атаках и инцидентах. Основные типы атак: DDoS, распространение вредоносного программного обеспечения (ВПО) и компрометация учетных данных.

За год увеличилась активность шифровальщиков типа Trojan-Ransom. Основная причина — публикация исходных кодов крупных вирусных группировок, таких как Babuk и Conti. При этом атака шифровальщиками часто осуществляется спустя несколько месяцев после компрометации системы, что затрудняет своевременное реагирование. В 2025 г. ожидается рост подобных атак.

Эволюция атак

С каждым годом злоумышленники совершенствуют методы, делая их более сложными и многоуровневыми, что требует от финансовых организаций постоянного повышения уровня информационной безопасности.

Сегодня киберпреступники активно развивают тактики сокрытия своей деятельности, что позволяет обходить традиционные системы защиты и значительно усложняет выявление атак и их оперативное пресечение.

Если ранее основная цель атак заключалась в прямом хищении денежных средств, то сегодня злоумышленники применяют более сложные, многоэтапные схемы. Учитывая высокий уровень защиты крупных финансовых организаций, преступники адаптируют свои цели и методы, смещая фокус с материальных активов на дестабилизацию бизнеса и манипуляцию данными.

За прошедший год были зафиксированы атаки с целью:

  • Дестабилизации бизнеса — утечки конфиденциальной информации, способные подорвать репутацию компании или создать юридические и регуляторные риски.

  • Создания общественного резонанса — распространения ложной или компрометирующей информации через социальные медиа для формирования паники или подрыва доверия к финансовым организациям.

  • Информационного давления на сотрудников — угрозы, шантаж, демонстрация контроля над внутренними процессами компании.

  • Блокировки данных и вымогательства — атаки с использованием шифровальщиков, ограничивающие доступ к критически важной информации.

Тенденции кибератак

В свете стремительного развития технологий и повышения уровня цифровизации организаций, кибератаки становятся все более разнообразными и сложными. С каждым годом злоумышленники совершенствуют свои методы воздействия, делая их менее заметными и более разрушительными. В 2025 г. можно ожидать ряд новых и усугубляющихся угроз, которые будут стремиться использовать уязвимости в различной инфраструктуре и системах. Рассмотрим более детально ключевые тенденции, которые могут доминировать в области киберугроз в 2025 г.

1. Рост атак через цепочку поставщиков

Цепочка поставщиков представляет собой уязвимый элемент, через который зло­умышленники могут проникать в защищенные сети и системы. В условиях глобализации и взаимозависимости бизнеса через цепочку поставок происходит обмен большим объемом данных, что делает их ценным объектом для атак. Эта тенденция продолжит набирать силу в 2025 г., и опасность будет заключаться не только в несанкционированном доступе к данным, но и в том, что даже крупные корпорации могут ста­ть жертвами атак через их менее защищенных поставщиков.

Прогнозируемые угрозы

  • Использование уязвимостей в ПО поставщиков: система обновлений или партнерские программные решения могут стать мостом для атаки, если они не будут должным образом защищены.

  • Проникновение через компрометированные каналы связи: нередко злоумышленники получают доступ к каналам связи между поставщиками и их клиентами, внедряясь в передачи данных, что позволяет им оставаться незамеченными.

  • Целенаправленные фишинговые атаки на поставщиков: злоумышленники могут использовать социальную инженерию, чтобы заставить сотрудников поставщика раскрыть конфиденциальную информацию, дающую доступ к критическим системам.

Рекомендации для защиты

  • Оценка зрелости и уровня безопасности поставщиков, а также создание системы для мониторинга безопасности третьих сторон.

  • Внедрение механизма управления доступом и соблюдение протоколов безопасности для взаимодействия с партнерами.

  • Применение подхода «нулевой доверительной модели» (Zero Trust) для всех участников цепочки поставок.

  • Регулярные аудиты безопасности и проверка на уязвимости во всей сети поставок и подрядчиков.

2. Смещение фокуса на малые и средние организации

До сих пор крупные корпорации оставались основной целью для большинства кибератак, однако в последние годы наблюдается тенденция к увеличению числа атак на малые и средние предприятия (МСП). Причина этому заключается в том, что многие из них имеют ограниченные ресурсы для защиты от современных угроз. Такие организации нередко упускают из виду важность кибербезопасности или откладывают внедрение нужных технологий и процессов.

Прогнозируемые угрозы

  • Уязвимости в старом программном обеспечении: МСП часто используют устаревшие версии ПО, которые содержат известные уязвимости. Зло­умышленники могут использовать это для атак.

  • Отсутствие резервных копий и восстановления данных: МСП часто недооценивают важность регулярного создания резервных копий и не имеют четких планов восстановления после атаки.

  • Необученные сотрудники: в малых и средних компаниях зачастую отсутствует системное обучение сотрудников по вопросам киберугроз, что делает их уязвимыми к фишинговым атакам и социальным манипуляциям.

Рекомендации для защиты

  • Внедрение базовых и доступных средств защиты, таких как антивирусные программы, системы EDR (Endpoint Detection and Response) и автоматизация мониторинга угроз.

  • Разработка и реализация обучающих программ для сотрудников, включая тренировки по выявлению фишинговых сообщений и основам безопасного поведения в интернете.

  • Применение многоуровневых стратегий защиты и регулярных резервных копий данных с тестированием восстановления.

3. Усиление тренда на деструктивное воздействие кибератак

Деструктивные кибератаки становятся все более значимой угрозой, направленной не только на похищение данных, но и на уничтожение инфраструктуры. В 2025 г. акценты сместятся на атаки, которые смогут повлечь серьезные последствия как для бизнеса, так и для репутации компаний.

Прогнозируемые угрозы

  • Утечка конфиденциальных данных и манипуляция с ними: особенно важными станут утечки данных с чувствительной информацией, которая может быть использована для шантажа или репутационных атак.

  • Атаки на финансовую и операционную отчетность: киберпреступники могут атаковать финансовые системы, фальсифицируя отчетность или заменяя данные в реальном времени.

  • Деструктивные программы-вымогатели: в отличие от обычных программ-вымогателей, новые версии могут использовать более разрушительные способы воздействия, например, полное уничтожение данных, шифрование инфраструктуры или блокирование критически важной деятельности.

Рекомендации для защиты

  • Разработка плана реагирования на инциденты, включая план восстановления после атак с использованием программ-вымогателей и других деструктивных атак.

  • Применение шифрования и защиты данных на всех уровнях — как на устройствах, так и в облачных сервисах.

  • Повышение осведомленности сотрудников и внедрение многофакторной аутентификации для защиты от несанкционированного доступа.

4. Трудности с обнаружением и атрибуцией атак

Современные атаки все чаще используют сложные цепочки промежуточных узлов и технологические подходы, чтобы скрыть свою активность. Это значительно усложняет как детектирование атак, так и атрибуцию, то есть установление источника угрозы. Злоумышленники могут использовать VPN, прокси-сервисы и сети с анонимными IP-адресами для маскировки своих действий, что создает проблемы для традиционных методов защиты и расследования инцидентов.

Прогнозируемые угрозы

  • Использование «переходных узлов»: злоумышленники могут использовать промежуточные серверы и анонимизаторы, чтобы маскировать происхождение атак, усложняя задачу по идентификации источника угроз.

  • Многоступенчатые атаки: процесс взлома может растягиваться на длительное время, с использованием различных атакующих векторов и методов, что затрудняет раннее выявление атаки.

  • Использование стеганографии и скрытых каналов: зло­умышленники могут внедрять скрытые сообщения в законные потоки данных, что делает обнаружение атак практически невозможным без глубокого анализа.

Рекомендации для защиты

  • Внедрение многоуровневых средств мониторинга и анализа трафика, которые используют методы машинного обучения для выявления аномальных действий.

  • Применение поведенческой аналитики для выявления аномальных паттернов в системах и сети.

  • Улучшение работы с провайдерами для отслеживания и анализа сетевых аномалий и вовлечения специалистов по атрибуции для более точного определения источника атак.

5. Рост атак с долгосрочным присутствием (Dwell Time)

Тенденция к увеличению времени присутствия злоумышленников в системах будет усиливаться в 2025 г. Злоумышленники, оставшись незамеченными в системе, могут изучить ее слабые места, получить доступ к критически важной информации и, в случае успеха, эксплуатировать это долгосрочное присутствие для более сложных атак, таких как саботаж или утечка данных.

Прогнозируемые угрозы

  • Необнаруженное пребывание в системе: долгое время нахождения злоумышленников в системе может привести к накоплению информации о внутренних процессах, конфиденциальных данных и уязвимостях, что создаст большую угрозу в будущем.

  • Использование «закладок»: после первоначальной компрометации система может быть подвержена дальнейшим атакам через уже существую­щие уязвимости, что позволяет злоумышленникам вернуться в систему через месяцы или годы.

Рекомендации для защиты

  • Регулярные аудиты и тесты на проникновение для выявления подозрительных активностей, включая скрытые каналы связи.

  • Применение более частых и комплексных мониторинговых процедур для выявления отклонений от нормального поведения пользователей и устройств.

  • Обучение персонала и улучшение практик реагирования на инциденты для сокращения времени реакции на атаки с долгосрочным присутствием.