От систем защиты ЦОД зависит финансовый сектор РФ

16 декабря 2016 г. | Категория: Россия и СНГ

Пока все готовятся к Новому году, переживают зимнюю погоду и обсуждают бюджеты на новый финансовый 2017, кибер-преступники не дремлют. На прошлой неделе ФСБ России получила информацию о готовящихся масштабных кибератаках с целью дестабилизации финансовой системы Российской Федерации, в том числе деятельности ряда крупнейших российских банков. 2 декабря 2016 года Федеральная служба опубликовала предупреждение, о том, что атаки начнутся с 5 декабря текущего года и будут проведены в нескольких городах России.

Как говорится в сообщении, в том числе атакам будут подвергнуты несколько крупных российских банков. Помимо этого, будут проводиться провокационные акции в социальных сетях и блогах, а также посредством SMS-сообщений, в которых будет говориться о кризисе кредитно-финансовой системы РФ, банкротстве и отзыве лицензий у банков федерального и регионального назначения. В ходе оперативно-розыскных мероприятий было установлено, что кибератаки будут проводиться из командных центров украинской хостинговой компании BlazingFast в Нидерландах.

В этой истории примечателен тот факт, что представители власти США уже упоминали эти атаки, пусть и в немного другом ключе. Так, к примеру, еще в октябре пока что действующий вице-президент Джо Байден заявил во время интервью каналу NBC, что «Штаты способны ответить на российские кибератаки и сделают это тогда, когда посчитают нужным». Более того, в ноябре сенатор Бен Кардин от Демократической партии объявил, что он и его коллеги готовят масштабный законопроект, поводом для которого, по его словам, стали российские кибератаки на США.

Что это сообщение значит для рынка ЦОД? В первую очередь, логично предположить, что подобные атаки затронут не только сами банки, но и их системы хранения данных и другую ИТ-инфраструктуру, соответственно, сами дата-центры. Скорей всего, стоит ожидать возможные атаки с целью временного или полного прекращения различных сервисов банковских ЦОД, которые так или иначе смогут повредить самому банку.

Как ни странно, уже 9 декабря в СМИ появились сообщения об отзыве лицензий Центральным Банком у четырех кредитных организаций, среди них акционерный коммерческий банк «Русский Финансовый Альянс», «Международный Банк Развития», «М2М Прайвет банк» и «ВЕГА-БАНК». Тогда же Ростелеком объявил об отражении DDoS-атак от 5 декабря на пять крупнейших банков и финансовых организаций РФ.

Почему Ростелеком объявил об атаках, пусть и отраженных, лишь спустя четыре дня до сих пор неизвестно, да и, по сути, не так уж и важно. Главный вопрос остается за Центральным банком России, который считается главным оплотом борьбы с киберпреступностью в финансовом секторе. Еще с 2015 года ЦБ работает с центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Fincert. Центр отвечает за сбор информации об атаках, ее анализ и своевременное оповещение участников рынка. Fincert не заметил ни одной из атак, отраженных мониторингом Ростелекома. Из «атакованных» учреждений подтвердил информацию только ВТБ. К слову, Ростелеком сообщал в мониторинг Fincert о DDoS-атаках, но центр на них не отреагировал, сочтя несерьезными.

В целом, участники рынка, как сообщает газета Коммерсантъ, недовольны работой сервиса, который ежедневно присылает сообщения о требованиях к безопасности и необходимости сохранения бдительности, но, когда доходит до дела, центр молчит, а об атаках банкиры узнают от ФСБ или СМИ.

Однако есть вероятность, что в Ростелекоме перестраховались, а эти атаки не имеют что-либо общее с теми, о которых предупреждала ФСБ. В результате анализа собранных данных выяснилось, что отраженные компанией атаки относятся к типу TCP SYN Flood. Это означает, что к серверу посылается большое количество запросов на подключение в короткий срок, что создает очередь из незавершенных подключений к серверу. Вследствие этого клиентам не представляется возможным установить соединение. Самая продолжительная атака длилась более двух часов, пиковая мощность составляла 3,2 млн пакетов в секунду.

Помимо этого, по сообщению Ростелекома, атаки проводились из стран Латинской Америки: Колумбии, Бразилии и Мексики; тогда как ФСБ предупреждала об атаках из Голландии.

По заявлению ФСБ, служба проводит все необходимые мероприятия по нейтрализации угроз экономической и информационной безопасности. Мы же, в свою очередь, призываем операторов дата-центров, чьими клиентами являются крупные банки Российской Федерации, а также службы эксплуатации собственных ЦОД этих банков быть бдительнее и быть готовыми к кибератакам на разных уровнях. К сожалению, в эпоху информационной войны ЦОДы находятся в постоянной опасности, поэтому их владельцам и компаниям-операторам ЦОД приходится изобретать все новые и новые способы для их защиты.

Теги: ФСБ, кибер-атаки