Киберпреступность и внутренний фрод в России Методы противодействия Фёдоров Сергей

Киберпреступность в России Превентивные меры Корректирующие меры Внутренний фрод Внутренние проверки (расследования)

ОБЪЯВЛЕНИЯ В ИНТЕРНЕТ

$ ИНФОРМАЦИЯ НА «ЧЕРНОМ РЫНКЕ» $500 Номер кредитной карты с CCV или PIN $80-$300 Банковский счет $150 Паспортные данные $5-$25 Номер кредитной карты $5 Счет в системе электронных платежей $900-$5,000 Банковский «троян»

ИНТЕРФЕЙСЫ «ТРОЯНОВ»

РАСПРОСТРАНЕНИЕ «ТРОЯНОВ»

ЗА ПОЛЧАСА ВОКРУГ СВЕТА! Стоимость заражения 1000 машин от $20 до $250 USD

КРАЖА ИНФОРМАЦИИ КЛИЕНТОВ

МАНИПУЛЯЦИИ С БРЕНДОМ

ГРУППЫ ИСПОЛНИТЕЛЕЙ

А ПОЧЕМУ СТУДЕНТ НЕ ХОЧЕТ СТАТЬ ИНЖЕНЕРОМ? $ ,86 USD$ ,32 USD $ ,43 USD

КОНТРОЛИ В ИБ

ОТРАСЛЕВАЯ КАРТА ИНЦИДЕНТОВ

ОТВЕТСТВЕННОСТЬ Без ответственности не нужны ни Законы, ни Правила, ни Стандарты их создание бессмысленно

Киберпреступность в России Превентивные меры Корректирующие меры Внутренний фрод Внутренние проверки (расследования)

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ Управление Финансы Бухгалтерия Логистика Продажи Закупки Электронная коммерция Разработки (планы) Интеллектуаль- ная собствен- ность ИТ

ИСПОЛЬЗОВАНИЕ ИНСАЙДЕРОВ Телеком: для оптимизации тарифных планов Ритейл: для снижения издержек при закупках Промышленность: для получения преимуществ в конкурсах Для организации черного PR и манипулирования органами власти При недружественных слияниях и подготовке к поглощению Использование маркетинговых активностей конкурентов

МОШЕННИЧЕСТВО ЛОГИСТИКА Манипуляции с позициями товара в учетных системах Виртуальные перемещения товара перед инвентаризацией Использование чужих учетных данных Модификация программного обеспечения

МОШЕННИЧЕСТВО ПРОДАЖИ Обман покупателя и проведение фиктивных возвратов Манипуляции с товарными чеками и ценами Незаконные манипуляции при проведении маркетинговых акций Манипуляции в учетных системах с ценовыми параметрами

МОШЕННИЧЕСТВО ЭЛ. КОММЕРЦИЯ Воровство денежных средств из терминалов оплаты Несанкционированные модификации цен, обман покупателя Внешние воздействия третьих лиц Использование бренда для личного обогащения Модификация программного обеспечения в терминалах, банкоматах

МОШЕННИЧЕСТВО ВЫПЛАТЫ Схемы связанные с комиссионным вознаграждением (сдельная оплата) Схемы связанные с выплатой вознаграждения Фальсификация оплаты труда Мертвые души в учетных системах

ПРОБЛЕМАТИКА Обеспечение строгой аутентификации в учетных системах Обеспечение целостности ПО систем, обеспечивающих работу с ТМЦ и денежными средствами Оптимизация потенциальных каналов утечки информации и контроль движения информации Организация процедуры проведения внутренних проверок (аудитов) и документарной поддержки (Законодательство РФ) Внешние коммуникации с правоохранительными органами и взаимодействие с интеграторами и СБ других организаций Обеспечение юридической значимости доказательств, собранных в электронном виде

Киберпреступность в России Превентивные меры Корректирующие меры Внутренний фрод Внутренние проверки (расследования)

HONEY NET ~ сенсоров в 2010 г. 24/7 мониторинг: Полезная информация для реагирования и расследований; Проактивное реагирование на инциденты; Реальное состояние дел в киберпреступном мире.

HONEY NET ЭЛЕКТРОННАЯ КОММЕРЦИЯ 1.Отслеживание вредоносного ПО, нацеленного на конкретные системы электронной коммерции; 2.Изучение новых методов совершения мошеннических операций; 3.Контроль действий преступных групп, работающих в сфере электронной коммерции; 4.Получение украденных данных и предупреждение мошеннических операций по ним; 5.Корреляция событий между собой г г. Инцидентов - 246; Банков - 49; Клиентов - 246; Инцидентов ; Банков -135; Клиентов ;

ИНФОРМАЦИЯ В ИНТЕРНЕТ ФОРУМАХ

«ЗАКАЗЫ»

ФИШИНГ ФИКСАЦИЯ МОНИТОРИНГ ЛИКВИДАЦИЯ РАССЛЕДОВАНИЕ ОПОВЕЩЕНИЕ ВОЗВРАТ ДОМЕНА БЛОКИРОВКА СХОЖИЕ ДОМЕННЫЕ ИМЕНА РАССЫЛКИ (СПАМ, КЛАССИЧЕСКАЯ ПОЧТА, ТЕЛЕФОННЫЕ ЗВОНКИ) ПОИСКОВЫЙ СПАМ – ВЫДАЧА В ПОИСКОВИКЕ ПОИСКОВОЕ ВРЕДОНОСНОЕ ПО – ЛОКАЛЬНАЯ ПОДМЕНА ВЫДАЧИ ИНФОРМАЦИИ ИЗ ПОИСКОВЫХ СИСТЕМ ВРЕДОНОСНОЕ ПО – ЗАМЕНА ФАЙЛА HOST И Т.П.

КОНТРОЛЬ И ЗАЩИТА ОТ DDOS Распределенная кооперативная система для расследования DDoS атак и защиты; Информация для IPS в режиме реального времени о нахождении бот-машин в их сетях; Информационный сайт StopDDOS.ru.

МЕЖДУНАРОДНОЕ ВЗАИМОДЕЙСТВИЕ 1. Реагирование в 43 странах 2. Обмен опытом и информацией о преступных группах и их составе 3. Контроль перехода преступных групп с иностранных систем электронной коммерции на российские

Киберпреступность в России Превентивные меры Корректирующие меры Внутренний фрод Внутренние проверки (расследования)

РЕАГИРОВАНИЕ СТАТИСТИКА ИНЦИДЕНТОВ

КРИМИНАЛИСТИКА (ЛАБОРАТОРИЯ) СТАТИСТИКА

РЕАГИРОВАНИЕ Сбор информации (доказательной базы) Восстановление хронологии события (инцидента) Установление причин возникновения инцидента Формирование отчетных материалов Формирование плана дальнейших мероприятий

КРИМИНАЛИСТИКА (ЛАБОРАТОРИЯ) Исследование программного обеспечения Различные виды экспертиз Анализ достоверности и происхождения информации Восстановление информации Обеспечение юридической значимости

РАССЛЕДОВАНИЕ Сбор необходимой информации Документы для передачи в правоохранительные органы Поддержка на этапе следственных мероприятий Поддержка на этапе судебных мероприятий Юридическое сопровождение

Киберпреступность в России Превентивные меры Корректирующие меры Внутренний фрод Внутренние проверки (расследования)

ИНСТРУМЕНТЫ, КОТОРЫЕ НЕОБХОДИМЫ Организация процесса проведения внутренних проверок и аудитов Оптимизация потенциальных каналов утечки информации и контроль движения информации Обеспечение целостности программного обеспечения Обеспечение строгого учета сотрудников, работающих в учетных системах Мониторинг эффективности

ОРГАНИЗАЦИЯ ВНУТРЕННИХ ПРОВЕРОК Управление информационными потоками об инцидентах Роли и ответственность Фиксация информации об инцидентах Организационно распорядительная документация Вовлечение руководства и коммуникации для сотрудников

ИНФОРМАЦИОННЫЕ ПОТОКИ Определение единой точки приема сообщений обо всех подозрительных активностях Несвоевременное поступление информации; Искажение «адреса» при поступлении информации.

РОЛИ И ОТВЕТСТВЕННОСТЬ Юридические аспекты Коллегиальность решения???; «Сдерживание» инцидента; Взаимодействие; Опросы сотрудников; Применение санкций; Утверждение решения. При реагировании на инцидент задействовано множество областей, что не позволяет в полной мере решить все вопросы единолично Трудовой кодекс Финансы Электронная коммерция ИТ

ФИКСАЦИЯ ИНФОРМАЦИИ ЗАЧЕМ ФИКСИРОВАТЬ???: Вовлечение руководства; Формирование отчетности и KPI; Анализ рисков; Планирование бюджета; Оценка эффективности. Если в организации отсутствует процесс управления инцидентами и информация об инцидентах не фиксируется, менеджмент понимает, что ИБ работает и планирует работу на основании абстрактных данных

МИНИМУМ ДОКУМЕНТОВ сЛОЖно – от слова «Ложь». Регламент проверок (реагирования на инциденты); Приказ на проведение проверки (расследования); План проверки (реагирования); Заключение по результатам; Контроль выполнения. Усложнение и «раздувание» ОРД приводит к сложности формализации задачи и отсутствия оперативной реакции на инцидент

ДОКУМЕНТЫ – УПРАВЛЕНИЕ ИНЦИДЕНТАМИ Регламент Утверждается Президентом; Регламентирует поступление информации; Регламентирует действия; Определяет участников; Устанавливает сроки; Типизирует отчетность. Приказ о проведении проверки Утверждается ТОР менеджером (Президентом); Вовлекает в процесс руководство; Позволяет снизить юридические риски; Показывает работу и реальные факты. План реагирования (проверки) Утверждается лицом, которому делегированы полномочия; Фиксирует основные этапы работ; Устанавливает сроки. Заключение Утверждается Президентом ; Фиксирует ход и результаты проведения мероприятия; Содержит предложения по снижению рисков и принятию санкций; Согласуется коллегиальным органом, включающим сотрудников из разных ОД*. Коммуникация Формируется документ для оповещения сотрудников Организации; Повышает компетенции; Показывает работу ИБ; Визуализирует контроли для сотрудников; Обеспечивает работу контрольных процедур. При разработке ОРД и внедрении процессов управления инцидентами необходимо учитывать уровень зрелости и корпоративную культуру организации * ОД - область деятельности

РУКОВОДСТВО И ПЕРСОНАЛ Работу нужно не только выполнять качественно, но и показывать результаты своей работы Президент ТОР менеджмент «Средний» менеджмент Персонал Приказы, заключения, коммуникации Заключения, коммуникации Коммуникации

МИНИМИЗАЦИЯ СОБСТВЕННЫХ РИСКОВ Изучение контрольной среды; План предварительной проверки; Проведение анализа информации; Планирование результатов. Предварительная проверка Приказ о проведении проверки; План работ; Выполнение мероприятий в полном объеме; Заключения для Руководства; Коммуникация; Контроль мероприятий по снижению рисков. Проверка Скрытый сбор информации; Минимальный выход в смежные области; Работа с лояльными сотрудниками. Анонс во внешние среды организации и руководству; Работа с сотрудниками; Формирование документов и коммуникаций.

КОРРЕКТИРУЮЩИЕ ДЕЙСТВИЯ З А К Л Ю Ч Е Н И Е по результатам проверки по факту __________________________________________ На основании Приказа от __.__.__ __-_____ Комиссией в составе: ______________________ На основании изложенного, ПРЕДЛАГАЕМ: ________________________ Ход выполнения корректирующих действий, утвержденных руководством должен контролироваться

КОММУНИКАЦИИ

ПОКАЗЫВАЕМ УЧАСТИЕ РУКОВОДСТВА В ПРОЦЕССЕ Информируем вас о том, что на основании Приказа Президента Компании проведена проверка по факту нарушения правил информационной безопасности.

ОПИСЫВАЕМ СИТУАЦИЮ Используя специализированное программное обеспечение, один из сотрудников взломал пароль учетной записи своего коллеги - пользователя корпоративной сети Компании. Используя полученный неправомерным способом пароль, сотрудник, получил расширенные привилегии и осуществлял доступ к информационным ресурсам, запрещенным для него ранее.

ОТВЕТСТВЕННОСТЬ По результатам проведенных проверочных мероприятий сотруднику объявлен выговор. Уважаемые сотрудники Компании, для обеспечения противодействия несанкционированному доступу к информационным ресурсам и ИТ сервисам, необходимо неукоснительно соблюдать требования внутреннего нормативного документа – «________________________________________________________ _____________________________», а именно, пункта «__», предъявляющего требования к сложности пароля. Смену пароля необходимо осуществлять раз в 30 дней.

ПОВЫШЕНИЕ КОМПЕТЕНЦИЙ Напоминаем, что на автоматизированные рабочие станции запрещено устанавливать приложения, не относящиеся к обеспечению автоматизации трудовой деятельности. Изменение конфигураций систем и приложений, обеспечивающих безопасность автоматизированных рабочих станций, разрешается выполнять только сотрудникам Департамента информационных технологий и сотрудникам Отдела информационной безопасности.

COSO ICF* * The Committee of Sponsoring Organizations of the Treadway Commission (Internal Control Framework) Изучение контрольной среды; Формализация процесса; Реагирование (проведение внутренних расследований); Коммуникации; Минимизация рисков; Контроль работ по минимизации рисков; Мониторинг эффективности. Выстраивать обеспечивающие процессы желательно, используя стандарты, понятные бизнесу Литература: «Справочник по предупреждению и выявлению корпоративного мошенничества» Джозеф Т. Уэллс (во взаимодействии с Ernst & Young и ACFE**) **Association of Certified Fraud Examiners (ACFE) – международная ассоциация дипломированных специалистов по расследованию мошенничеств.

УСПЕШНЫЕ КЕЙСЫ DDoS Ботнеты Мошенничество в ДБО Разработка вредоносного ПО Взломы Фишинг Внутрикорпоративные расследования

УСПЕШНЫЕ КЕЙСЫ (WINLOCK) Мы помогли ОБЭП и Отделу К УСТМ г Москвы найти и задержать банду хакеров распространяющих вирусы семейства Win Lock Результат: 10 хакеров арестовано Благодарность от УБЭП ГУВД

УСПЕШНЫЕ КЕЙСЫ «ДЕЛО ЛЕО КУВАЕВА» Известный хакер Леонид Куваев, бежавший из США в Россию арестован и сейчас находится под следствием. Результат: Мера пресечения арест, ведется следствие. Благодарность от Microsoft

УСПЕШНЫЕ КЕЙСЫ «РЕЗУЛЬТАТЫ HONEYNET» Превентивное обнаружение скомпрометированных ключей клиентов и своевременные коммуникации. Результат: Предотвращение противоправных действий. Благодарность от Россельхозбанка

Консалтинг Технические контроли Соответствие стандартам Превентивные меры (мониторинг бренда) Реагирование Защита от DDoS Расследование Антивирусная защита Экспертная поддержка Экспертизы ПО, криминалистика

КОНТАКТНАЯ ИНФОРМАЦИЯ Техническая поддержка продуктов ESET Телефон: (бесплатный по России)