Киберугрозы: как обезопасить себя финтеху
Программы-вымогатели стали большой проблемой в мире кибербезопасности, особенно для финтех-сектора. Хакеры выявляют слабые звенья в системах компаний, захватывают контроль и требуют деньги за «освобождение» данных. Это быстрый и простой способ заработка для киберпреступников. Что же можно сделать, чтобы защитить финтех-компании? Постараемся разобраться.
Программы-вымогатели стали большой проблемой в мире кибербезопасности, особенно для финтех-сектора.
Читается за
Киберугрозы: как обезопасить себя финтеху
Программы-вымогатели стали большой проблемой в мире кибербезопасности, особенно для финтех-сектора. Хакеры выявляют слабые звенья в системах компаний, захватывают контроль и требуют деньги за «освобождение» данных. Это быстрый и простой способ заработка для киберпреступников. Что же можно сделать, чтобы защитить финтех-компании? Постараемся разобраться.
Какова степень угрозы от программ-вымогателей для финтех-отрасли?
Только в этом году по всему миру с подобными атаками столкнулись 64% финансовых учреждений. С учетом того, что рынок финтеха продолжает расти и, по прогнозам, к 2030 году достигнет 1,5 триллиона долларов, эти компании становятся все более привлекательными целями для хакеров.
Атаки программ-вымогателей не просто парализуют работу компаний, заставляя их платить выкуп, но и могут полностью вывести из строя их системы и сети. Это, в свою очередь, приводит к утечке важных данных клиентов, наносит ущерб репутации компании и может обернуться большими финансовыми потерями.
С увеличением взаимодействия финтех-компаний с традиционным финансовым сектором растет и вероятность того, что уязвимости в системах одних компаний могут быть использованы для атак на другие. Неудивительно, что большинство традиционных банков уже считают кибербезопасность в финтехе вопросом номер один.
Самые громкие взломы финтех-компаний
Одной из самых громких кибератак в финтех-индустрии стала утечка данных Capital One в 2019 году. В результате взлома была раскрыта личная информация более 100 миллионов клиентов, включая их имена, адреса, кредитные рейтинги и номера банковских счетов. Нарушение было вызвано неправильно настроенным брандмауэром. Это значит, что финтех-компаниям необходимо принимать строгие меры безопасности и регулярно их обновлять.
Еще одним примером кибератаки в сфере финансовых технологий является взлом в 2020 году ведущей компании по обработке платежей Travelex. Услуги Travelex были отключены из-за заражения вредоносным ПО. Пострадали как сама компания, так и предприятия, использующие платформу для предоставления услуг по обмену валюты.
Blackbaud, поставщик программного обеспечения и решений для облачного хостинга, заявил, что остановил атаку программы-вымогателя, зашифровывающую файлы, но все равно был вынужден заплатить выкуп после того, как хакеры украли данные из сети компании и пригрозили опубликовать их в Интернете.
От программ-вымогателей пострадал и чилийский банк BancoEstado. Заражение сети произошло из-за вредоносного документа Office, полученного и открытого сотрудником. Файл установил бэкдор, после чего хакеры использовали его для доступа к сети банка и установки программы-вымогателя. Сотрудники банка, обнаружили атаку, когда не смогли получить доступ к своим рабочим файлам.
Это далеко не все примеры хакерских атак на финтех-компании. Давайте разберемся детальнее, кто виноват, и что делать?
Человеческий фактор большая проблема, но есть ли решение?
Прежде чем лезть в технические детали и разбираться в том, как противостоять программам-вымогателям, немаловажно понимать, что самая большая уязвимость в любой компании — это человеческий фактор. Иногда все начинается с простого недоразумения: кто-то из сотрудников кликает по вредоносной ссылке, и все — хакеры в деле.
Обучение персонала — это, конечно, хорошо, но ошибки случаются всегда и у всех. Даже самые заинтересованные и внимательные сотрудники не застрахованы от невнимательности, которая может стать "входной дверью" для киберпреступников.
Что можно сделать?
Различные технические решения, вроде систем обнаружения и реагирования на вредоносное ПО, как правило, "замечают" угрозу только тогда, когда она внутри. Как будто у тебя в доме сработала сигнализация, когда вор уже взломал сейф. Это особенно актуально в случае "атак нулевого дня", когда методы атаки еще не известны и, соответственно, непонятно, как от них защищаться.
Короче говоря, если атаки программ-вымогателей продолжают расти как грибы после дождя, это явный сигнал: текущие методы защиты не работают так, как надо. Смотреть нужно в обе стороны: и на человеческий фактор, и на технические решения. Оба аспекта важны, и оба требуют пересмотра и, возможно, коренного изменения подхода. Потому что если одна маленькая ошибка может обернуться большой проблемой, значит, надо двигаться в направлении, где эта одна ошибка не станет катастрофой.
Стратегии защиты от программ-вымогателей
Почему данная угроза особенно актуальна для финтех-отрасли? Ответ очевиден. Многие компании все больше полагаются на облачные решения для рентабельного расширения своих операций. Параллельно с этим, увеличение функциональных возможностей веб-браузеров приводит к росту их уязвимостей. Да, современные браузеры оборудованы различными механизмами безопасности, но они не являются панацеей от всех типов угроз.
Одним из эффективных способов борьбы с проблемой является использование технологии изоляции браузера. Она предоставляет возможность безопасного просмотра веб-страниц, защищая устройства от заражения вредоносным ПО через интернет. Это крайне полезно для обеспечения защиты от угроз типа фишинга, когда злоумышленники пытаются обмануть пользователей, предлагая им перейти по вредоносной ссылке.
Технология изоляции браузера создает эффективный фильтр между устройством пользователя и внешней сетью. Даже если пользователь случайно посетит сомнительный сайт, его устройство останется в безопасности. В качестве лучшей практики в этой области можно выделить методику Pixel Pushing. Этот подход позволяет преобразовать содержимое веб-страницы в пиксельное изображение, иными словами, создает нечто вроде интерактивного видео.
Важно отметить, что изоляция браузера работает на принципе "лучше перебдеть, чем недобдеть", предполагая, что весь внешний контент потенциально опасен до доказательства обратного. Этот метод не зависит от систем обнаружения угроз и обеспечивает непрерывную защиту, не затрагивая при этом удобство просмотра для конечного пользователя.
Роль привилегированного доступа в финансовом секторе
Ограничение доступа к чувствительной информации и системам является критически важным элементом кибербезопасности. Одним из ключевых моментов является управление привилегированным доступом.
Данный подход подразумевает выделение специальных прав и разрешений для определенных пользователей, которым необходимо выполнять важные функции, такие как системное администрирование. Однако этот метод имеет и свои риски. В случае если учетная запись с привилегированным доступом будет скомпрометирована, атакующие могут получить полный контроль над корпоративными данными и сетями.
Технология изоляции браузера может играть значимую роль, предоставляя дополнительный уровень защиты. Она может помочь компаниям соответствовать будущим регулятивным стандартам, которые, возможно, будут распространены на финансовую отрасль. Технология позволяет соблюдать высокие требования к безопасности, которые уже были установлены для телекоммуникационного сектора, и, таким образом, снижает риски, связанные с привилегированным доступом. Изоляция браузера является дополнительным фильтром между внешним миром интернета и корпоративными сетями, ограждая пользователей от потенциальных угроз.
Обеспечение безопасности в финтех-индустрии
Рост финтех-сектора ошеломляет, взять хотя бы такие компании как Revolut и Wise, численность клиентов которых растет с каждым годом. Этот рост, несомненно, положительный, но также он увеличивает "поверхность атаки" — широкий спектр возможных точек, через которые злоумышленники могут проникнуть в систему.
Когда речь идет о кибербезопасности, многие текущие практики выглядят устаревшими. Классический подход, ориентированный на обнаружение угроз, уже не работает так эффективно. Изоляция браузера и управление привилегированным доступом являются не просто хорошей идеей, они становятся жизненной необходимостью. Они перестраивают модель безопасности с обнаружения на защиту, предполагая, что любой контент может быть потенциально вредоносным, если не доказано обратное.
В мире финтех-инноваций безопасность не должна рассматриваться как последний пункт в списке задач. Она должна быть интегрирована в саму ткань организационных процессов и культуры. Мы должны перейти от реактивного подхода к безопасности к превентивному, чтобы уберечь не только финтех-компании, но и всю финансовую экосистему в целом от угроз, которые с каждым днем становятся все более изощренными.
Новые стратегии безопасности, ориентированные на защиту, являются не просто предпочтительными, но и неотъемлемыми для обеспечения безопасности финтех-компаний, всей финансовой индустрии и, конечно же, их клиентов.
Айдос Жумагулов
Рекомендации от Айдоса Жумагулова
Справка: Жумагулов Айдос Болатович – советник председателя совета директоров Freedom Bank и наш независимый эксперт в области финансовой грамотности и аналитики рынка финтех.
"История расходов на авто должна иметь оценку необходимости содержания и владения данным видом транспорта. Исходить стоит от года выпуска машины, частоты поломок и возможностей обновления на рынке под государственные программы. Вероятно, что содержание старого автотранспорта всегда будет пробоиной в бюджете. Тут нужно либо продавать и отказываться от него, либо продавать и обновлять авто. Оптимизировать расходы со 150 000 тенге сложно, однозначно это - прожиточный минимум. Чтобы разорвать «крысиные бега» нужно менять профессию или выходить на полный график, освоить дополнительные навыки и больше времени посвящать труду.
Деньги в долг под проценты -нестабильная история. Это игра до первого поражения и потери минимальных сбережений".
Айдос Жумагулов
Рекомендации от Айдоса Жумагулова
Справка: Жумагулов Айдос Болатович – советник председателя совета директоров Freedom Bank и наш независимый эксперт в области финансовой грамотности и аналитики рынка финтех.
"Я вижу достаточно сбалансированный бюджет у героини. Главные инвестиции – это ее дети и их образование. Это очень важная часть, так как знания и учеба детей принесут результаты в будущем. Я думаю, краткосрочные цели не имеют большого значения (расширение квартиры или обновление автомобиля), потому что дельта притоков и оттоков для обеспечения главных инвестиций в ее жизни имеет положительный кэшфлоу. Поэтому достижение второстепенных целей, это только вопрос времени.
В любом случае, на рынке есть государственные программы, предложения от финансовых организаций для получения займов. Но я бы не советовал брать кредиты сейчас. Мне кажется, тот баланс, который есть сейчас, достаточен для гармонии и сохранения времени для семьи, детей и их будущего."
Айдос Жумагулов
Рекомендации от Айдоса Жумагулова
Справка: Жумагулов Айдос Болатович – советник председателя совета директоров Freedom Bank и наш независимый эксперт в области финансовой грамотности и аналитики рынка финтех.
"История с бесплатной арендой хороша до того момента, пока аренда не станет платной. Именно поэтому нужно глубже изучить возможности разных государственных программ. Например, ипотека под 7%, покупка автомобиля под 4%. При базовой ставке в 17%, инфляции в районе 20%, государственные программы выглядят отличным решением для строительства прочного фундамента.
Нужно держать гигиену кредитной истории, краткосрочные эмоциональные покупки могут лишить долгосрочных эффективных решений и ограничить доступ. Привитая модель поведения по накоплению и сбережению приведет обязательно к инвестированию. А там – целый мир знаний финансовой грамотности и поиска возможностей."
Айдос Жумагулов
Рекомендации от Айдоса Жумагулова
Справка: Жумагулов Айдос Болатович – советник председателя совета директоров Freedom Bank и наш независимый эксперт в области финансовой грамотности и аналитики рынка финтех.
"Рекомендация по бюджету состоит из двух частей: увеличение доходов (как цель) и оптимизация расходов. Тогда баланс всегда положительный и все цели, мечты и планы осуществляются. Цель и путь к ней это баланс между отказом от желаемого сейчас в пользу достижения в будущем.
Если мы обратимся к вопросу об увеличении доходной части, для начала надо понять, было ли увеличение заработной платы за последние 12 месяцев. Стоит провести ресерч рынка и понять средний зарплатный уровень. Это пригодится для оценки возможностей роста.
Расходная часть тоже должна подлежать оптимизации. Например, можно сократить походы в рестораны с двух раз в неделю до одного в месяц, а разницу сберегать. Деньги со сдачи домика по умолчанию необходимо отнести к накоплениям и стараться уложиться в основной доход от заработной платы и прочих доходов. Цель с переездом - не в близкой перспективе, тут главное выработать привычку сбережения и накопления и уход от потребления".
Айдос Жумагулов
Рекомендации от Айдоса Жумагулова
Справка: Жумагулов Айдос Болатович – советник председателя совета директоров Freedom Bank и наш независимый эксперт в области финансовой грамотности и аналитики рынка финтех.
Если нет разницы между ценой за наличные и в рассрочку, то лучше покупать товары в рассрочку. В маржу товара закладывается нижняя комиссия, выплачиваемая партнерам от ритейлера. В целом надбавка моделируется на весь ассортимент товаров. Покупая в моменте за наличность, вы, по факту, платите маржу, которая заложена в рассрочку под 0%. Таким образом, временная стоимость денег в моменте и разбитая в рассрочку с учетом инфляции имеет разную оценку. Одни и те же 100 000 тенге стоят по разному в разные периоды времени с учетом дюрации (период времени до момента полного возврата инвестиций, прим. ред.).
Что касается бюджетирования, базовые принципы сохраняются и для дохода в 500 000 тенге, и для 1 400 000 тенге. Это накопление 1/10, 2/10 и чем выше процент накопления, тем больше шансов быть защищенным Но все еще не свободным. Часть средств при накоплении, нужно использовать для инвестирования. Брать стоит минимум, который не жалко потерять. Не обязательно идти в рисковые истории. Мои рекомендации – изучать возможности с учетом волатильности курса тенге/доллар, замерять корреляции и экспериментировать с банками, у которых прямой доступ к бирже KASE, чтобы спред (разница между ценами на продажу и на покупку акций, прим. ред.) был минимальный. Далее фиксировать в банках на максимальный срок депозиты в нацвалюте. Ставки в размере 17% не всегда будут доступны, а депозит можно зафиксировать на несколько лет и получать стабильное вознаграждение в тенге. Следующий шаг – размещение 10% в долларовые облигации. Есть ряд кейсов, где доходность находится на уровне 8-10% в долларах. И так тоже не всегда будет. В любом случае, помните, вы не теряете деньги, вы получаете опыт, чтобы быть готовым к следующим возможностям, когда они придут.
Айдос Жумагулов
Рекомендуется к прочтению
What to read next
Квантовые вычисления — это та самая инновация, которая недооценена в сфере ...
Каждый наш новостной обзор полон важных событий. На этой неделе стало ...
Представим: критическая ситуация на дороге, машина несется по мосту ...
Оставайтесь на связи!
Подпишитесь на ежедневную рассылку
