Заявление ИК «Фридом Финанс» по поводу утечки данных

ИК «Фридом Финанс» провела предварительное расследование по поводу размещенной на нескольких теневых форумах в сети базы данных части наших клиентов. Злоумышленники атаковали сегмент внутренней сети компании и похитили часть данных с локальных машин ряда сотрудников брокера в РФ.

По нашей информации, почти весь пакет похищенных данных датирован 2018 годом. Там были сканированные копии и ряд поручений на бумажных носителях, ряд отчётов о сверках с базами ПОД/ФТ и около 400 файлов о признании инвесторов квалифицированными. Среди них практически нет клиентов, которые открывали счета на американском рынке, компания начала это делать через российского брокера в 2019 году. Среди них нет никаких международных клиентов.

Компания ответственно заявляет, что атаковавшие компанию кибервымогатели точно не получили доступа к CRM, отчетам бэк-офиса, данным торговой платформы. Никакие пароли наших клиентов не были скомпрометированы.

Компания приносит извинения за этот инцидент с недоработкой в части информационной безопасности и за доставленные неудобства нашим клиентам. «Фридом Финанс» в максимально короткий срок свяжется со всеми клиентами, чьи данные были скомпрометированы, и проинформирует о том, какие именно документы оказались в открытом доступе. Мы дадим рекомендации по минимизации риска.

«Использовать эти данные злоумышленникам будет очень тяжело в любом случае, и там нет действительно чувствительной информации, достать которую на черном рынке трудно. Безусловно, сейчас мы полностью вычистили сеть и все локальные машины, уже перестроили ее и убеждены, что данные больше не утекают», — заявил генеральный директор ИК «Фридом Финанс» Тимур Турлов. По его словам, взлом был сделан с целью шантажа оглаской в СМИ и с целью вымогательства. Он подчеркнул, что переговоры с киберпреступниками компания никогда не будет вести.

Что компания предпримет, чтобы избежать подобных ситуаций? Комментирует Тимур Турлов:

«Можно ли сделать так, чтобы это никогда не произошло опять? Судя по количеству и качеству баз на черном рынке — нельзя. К сожалению, данные теряют все, включая компании с капитализацией более чем в триллион долларов.

Что мы сделаем, чтобы минимизировать риск повторения этого?

Кратко: будем тратить миллионы долларов на кибербезопасность (и, видимо, покупать лучшие западные решения, потому что я не хочу поддерживать кибертеррористов, которые делают это часто именно для того, чтобы мы эти миллионы потратили).

Что конкретно? Люди — наша команда по информационной безопасности достигнет нескольких десятков высококвалифицированных, сертифицированный руководителей, инженеров red & blue teams, аналитиков. Приведение всей ИБ к стандартам ISO27001 и NIST Cybersecurity Framework.

Ещё конкретнее, что будем внедрять в самое ближайшее время. Next Generation Firewall (NGFW) — файрвол и более глубокую инспекцию трафика, проактивную систему обнаружения угроз, защиту от APT угроз (advanced persistent threat), уязвимостей нулевого дня, вредоносного ПО, программ-вымогателей, предотвращение и обнаружение вторжений, оценку репутации сайтов и распознавание контента, форматов данных и пользователей.

Endpoint Detection & Response. Антивирус следующего поколения. Подход EDR же, в свою очередь, не полагается только на базы, проявляя подозрительность ко всем файлам, запускаемым на компьютере, моментально замечая новейшие угрозы высокой сложности и одновременно проявляет реакцию на возникшую ситуацию. Например, вирусы-шифровальщики по своей природе не является вирусами в классическом понимании и их действия система как правило воспримет как легитимные - ведь много программ, которые позволяют шифровать файлы для безопасной передачи. EDR же, заметив подозрительную активность на основе анализа поведения, заблокирует действия шифровальщика и откатит все изменения.

Шифрование конечных станций отдельных сотрудников с использованием программных или физических токенов.

Мы постоянно проводим сканирование периметра сети, приложений и компьютеров на наличие уязвимостей — для этого используются специальные сканеры уязвимости.

Для тестирования всех новых разработок ПО мы будем использовать SAST и DAST подходы и соответствующие инструменты (статическое и динамическое тестирование безопасности). В обоих случаях используются автоматизированные сканеры, которые позволяют выявить наличие уязвимостей как в статичном исходном коде, так и в ходе работы приложения за короткий срок и исправить их в случае наличия.

Мы уже строим Privileged Access Management для мониторинга и управления правами всех администраторов в сети, которым можно многое.

Внедряем DLP - data leak prevention, основная задача этого - не допустить утечку конфиденциальной информации за пределы компании, происходит ли это случайно или в результате умышленных действий.

Внедрим и главный командный пункт — SIEM, Security Information and Event Management. Данная система позволяет в едином окне проводить анализ информации, поступающей от различных других систем, таких как NGFW, EDR, DLP, различного серверного или сетевого оборудования и дальнейшего выявления отклонения от норм по определенным критериям наглядно для аналитиков ИБ, которые будут находиться 24/7/365 в нашем SOC.

И самое главное, тренинги по информбезопасности для сотрудников. Онлайн и оффлайн, системно и постоянно. Многофакторная аутентификация из «каждого утюга» и, конечно, вера в то, что все будет хорошо. Поверьте, для нас это хороший урок и он будет выучен».

Оцените материал: