Тимур Турлов, генеральный директор ИК «Freedom Finance» на своей странице в Facebook прокомментировал утечку данных 16,8 тысяч клиентов инвестиционной компании.
«Коллеги и партнёры, у нас вчера произошел крайне неприятный и постыдный инцидент в информационной безопасности. Кибервымогатели атаковали сегмент нашей внутренней сети и похитили часть данных с локальных машин ряда сотрудников в России. Это машины, относящиеся к сотрудникам российского брокера, оказывающего доступ на российский фондовый рынок и почти весь пакет данных датирован 2018 годом. Что там было? Там были сканированные копии и ряд поручений на бумажных носителях, ряд отчётов о сверках с базами ПОД/ФТ и порядка 400 файлов о признании инвесторов квалифицированными. Среди них практически нет клиентов, которые открывали счета на американском рынке, мы начали это делать через российского брокера в 2019 году».
«Среди них нет никаких международных клиентов. Атаковавшие нас кибервымогатели точно не получили доступа к CRM, к отчетам бэк-офиса, к данным торговой платформы».
«Никакие пароли наших клиентов не были скомпрометированы. Тем не менее, очевидно, мы облажались и подвели часть наших российских клиентов. Мне очень стыдно за все произошедшее».
Турлов подчеркнул, что компания в максимально короткий срок свяжется со всеми клиентами, чьи данные были скомпрометированы. Им сообщат, какие именно документы оказались в открытом доступе, дадут рекомендации по любой минимизации риска.
«На самом деле, использовать их злоумышленникам будет очень тяжело в любом случае. И там нет действительно чувствительной информации, достать которую на черном рынке трудно».
По словам Турлова, сейчас ситуация взята под контроль.
«Безусловно, сейчас мы полностью вычистили сеть и все локальные машины, перестроили ее и убеждены, что данные больше не утекают».
Руководитель «Freedom Finance» рассказал о том, как произошел взлом системы.
«Так же, как и атакуют пользователей: одному из наших сотрудников пришло фишинговое письмо, которое он открыл и запустил на локальной машине, несмотря на предупреждение системы безопасности. А дальше вскрылись все слабые места нашей защиты».
«Зачем нас ломали? С одной очень простой целью: шантаж оглаской в СМИ с целью вымогательства».
«А-ля «заплатите нам миллион долларов биткойнами, иначе мы разошлем пресс-релиз о том, что мы украли ваши данные по всем СМИ в стране, и они вас порвут. Никто не будет разбираться».
«Когда данные уже утекли, это уже не забота о клиентах. Это уже исключительно попытка скрыть это от общественности и прямое спонсирование преступников, что будет стимулировать на новые подвиги. Мы не стали вести переговоры».
Генеральный директор инвесткомпании отметил, что данные теряют все, включая компании с капитализацией в триллионы долларов, и это не дает гарантии того, что подобная ситуация не повториться. С целью минимизации рисков компания будет тратить миллионы долларов на кибербезопасность.
«Люди – команда ИБ достигнет нескольких десятков высококвалифицированных, сертифицированных руководителей, инженеров red & blue teams, аналитиков. Приведение всей ИБ к стандартам ISO27001 и NIST Cybersecurity Framework».
Генеральный директор «Freedom Finance» перечислил конкретные шаги, которые предпримет компания для усиления кибербезопасности.
«Будем внедрять в самое ближайшее время Next Generation Firewall (NGFW) — файрвол + более глубокая инспекция трафика, проактивную систему обнаружения угроз, защиту от APT угроз (advanced persistent threat), уязвимостей нулевого дня, вредоносного ПО, программ-вымогателей, предотвращение и обнаружение вторжений, оценку репутации сайтов и распознавание контента, форматов данных и пользователей».
Планируется внедрение антивируса последнего поколения…
«Endpoint Detection & Response. Антивирус следующего поколения. Подход EDR же в свою очередь не полагается только на базы, проявляя подозрительность ко всем файлам, запускаемым на компьютере, моментально замечая новейшие угрозы высокой сложности и одновременно проявляет реакцию на возникшую ситуацию. Например, вирусы шифровальщики по своей природе не являются вирусами в классическом понимании, и их действия система как правило воспримет как легитимные: ведь много программ, которые позволяют шифровать файлы для безопасной передачи. EDR же, заметив подозрительную активность на основе анализа поведения, заблокирует действия шифровальщика и откатит все изменения».
… также внедрение шифрования конечных станций отдельных сотрудников с использованием программных или физических токенов.
Тимур Турлов рассказал, что сканирование периметра сети, приложений и компьютеров на наличие уязвимостей в компании проводится постоянно. Для этого используются специальные сканеры.
Также для тестирования всех новых разработок программного обеспечения в компании будут использовать SAST и DAST подходы и соответствующие инструменты (статическое и динамическое тестирование безопасности).
В обоих случаях, по словам руководителя инвестиционной компании, будут использовать автоматизированные сканеры, которые позволяют выявить наличие уязвимостей как в статичном исходном коде, так и в ходе работы приложения за короткий срок и исправить их в случае наличия.
«Мы уже строим Privileged Access Management для мониторинга и управления правами всех администраторов в сети, которым можно многое. Внедряем DLP – data leak prevention, чья основная задача – не допустить утечки конфиденциальной информации за пределы компании. И здесь неважно, происходит ли это случайно или в результате умышленных действий. Внедрим и главный командный пункт, SIEM – Security Information and Event Management. Данная система позволяет в едином окне проводить анализ информации, поступающей от различных других систем, таких как NGFW, EDR, DLP, различного серверного или сетевого оборудования и дальнейшего выявления отклонения от норм по определенным критериям наглядно для аналитиков ИБ, которые будут находиться 24/7/365 в нашем SOCК».
Руководитель «Freedom Finance» отметил, что на постоянной основе планируется проведение уроков для сотрудников.
«Это хороший урок, который будет выучен».
«Ну и самое главное, тренинги по информбезопасности для сотрудников. Онлайн и оффлайн, системно и постоянно. Чтобы они не открывали левые файлы в следующий раз. Многофакторная аутентификация из «каждого утюга» и, конечно, вера в то, что все будет хорошо».
