ПРАКТИЧЕСКИЕ АСПЕКТЫ АНАЛИЗА И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ДЕЯТЕЛЬНОСТИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ

PRACTICAL ASPECTS OF INFORMATION SECURITY RISK ANALYSIS AND ASSESSMENT IN FINANCIAL ORGANIZATIONS

Igor Maksimov

student, Department of Information Technology Security, Gubkin Russian State University of Oil and Gas,

Russia, Moscow

Tatyana Lomachenko

scientific supervisor, Candidate of Technical Sciences, Gubkin Russian State University of Oil and Gas,

Russia, Moscow

АННОТАЦИЯ

В статье представлены теоретические основы анализа и оценки рисков информационной безопасности в финансовых организациях. Рассмотрены методы выявления и предотвращения киберугроз, а также подходы к организации комплексной системы безопасности. Проанализированы особенности финансовых организаций, показана важность совмещения статистических и структурных методов исследования рисков и их применения на практике. Рассмотрен комплекс мероприятий по оценке и управлению рисками, учитывающий специфику финансовых компаний.

ABSTRACT

This article presents the theoretical foundations for the analysis and assessment of information security risks in financial organizations. The key methods for identifying and preventing cyber threats are examined, along with approaches to organizing a comprehensive security system. The article analyzes the specifics of financial organizations, highlighting the importance of combining statistical and structural risk analysis methods and their practical application. A set of measures for risk assessment and management is proposed, taking into account the specifics of financial companies.

Ключевые слова: информационная безопасность; риск; анализ уязвимостей; киберугрозы; финансовые организации.

Keywords: information security; risk; vulnerability analysis; cyber threats; financial organizations.

Цифровизация финансовых организаций увеличивает их зависимость от информационных систем, что делает их главной целью для кибератак. По данным Международного валютного фонда, за последние два десятилетия около 20% всех киберинцидентов приходилось на финансовый сектор, что привело к убыткам в размере $12 млрд [1]. Последствия атак варьируются от кражи данных до дестабилизации целых организаций, подрыва доверия клиентов и нарушения работы ключевых финансовых сервисов [2].

Рост числа киберугроз делает управление рисками в сфере информационной безопасности не просто технической задачей, а стратегическим приоритетом финансовых организаций. Анализ рисков позволяет выявлять уязвимости в системах, прогнозировать возможные угрозы и вырабатывать стратегии защиты. При отсутствии комплексного управления рисками банки могут столкнуться с серьезными финансовыми потерями и репутационными рисками.

Финансовый сектор сталкивается с постоянно растущими угрозами, что обусловливает актуальность системного анализа рисков. По данным исследований, средний ущерб от киберинцидента в финансовой сфере составляет около $5,72 млн [3], что значительно превышает средние значения для других отраслей. Кроме того, число атак на финансовые организации выросло на 238% за последние годы [4].

Фактором, стимулирующим анализ киберрисков, является жесткое регулирование со стороны государственных органов и международных стандартов. В России действуют ГОСТ Р 57580.1-2017 и 57580.2-2018, устанавливающие требования к защите информации в финансовом секторе. Международные рекомендации, такие как ISO/IEC 27001 и NIST, подчеркивают необходимость системного управления рисками для обеспечения устойчивости финансовых организаций [5].

Таким образом, анализ рисков позволяет не только минимизировать потенциальные убытки, но и соответствует требованиям регуляторов, помогая финансовым организациям выстраивать надежную стратегию защиты. Финансовые организации сталкиваются с широким спектром угроз, которые можно разделить на несколько ключевых категорий:

• Социальная инженерия и фишинг. Примерно 90% успешных атак начинается с фишинга, когда злоумышленники выдают себя за доверенных отправителей и выманивают учетные данные [6]. Эти атаки обходят традиционные системы защиты и дают хакерам прямой доступ к внутренней инфраструктуре банков;
• Вредоносное ПО и программы-вымогатели. В 2020 году количество атак с использованием шифровальщиков выросло на 520% [7]. Такие атаки приводят к блокировке критически важных данных с требованием выкупа;
• Уязвимости в веб-приложениях и базах данных. Согласно исследованию Akamai, до 94% атак на финансовые организации совершается через веб-уязвимости, такие как SQL-инъекции и XSS [8]. Эти атаки позволяют хакерам красть учетные записи клиентов и изменять данные в базах;
• DDoS-атаки. В 2020 году финансовый сектор стал мишенью крупнейших DDoS-атак, направленных на выведение из строя интернет-банкинга и платежных шлюзов [9];
• Атаки через цепочку поставок. Хакеры все чаще компрометируют поставщиков банковского ПО, используя их в качестве троянского коня для внедрения вредоносных программ в сеть банка [10];
• Инсайдерские угрозы. По данным исследований, около 31% утечек данных происходит из-за действий сотрудников, будь то халатность или преднамеренные действия [11];

Разнообразие угроз требует комплексного подхода к управлению уязвимостями, включая технические, организационные и регуляторные меры защиты.

Анализ рисков в информационной безопасности можно условно разделить на качественные и количественные, а также на структурные и статистические методы.

• Структурный анализ включает построение деревьев атак и событий. Например, модель attack tree, предложенная Брюсом Шнайером, визуализирует возможные пути атак хакеров и помогает оценить их вероятность [12]. Деревья событий позволяют проследить развитие инцидентов и их последствия.
• Статистический анализ основан на вероятностных расчетах. Байесовские методы и сценарное моделирование помогают оценить потенциальные убытки и вероятность инцидентов, используя данные о прошлых атаках [13].
• Анализ уязвимостей (Vulnerability Assessment) позволяет выявлять слабые места в инфраструктуре путем тестирования на проникновение (penetration testing) и сканирования систем [14].

Финансовые организации часто используют комбинированные подходы. Например, ISO/IEC 27005 и NIST SP 800-30 рекомендуют сочетание количественного и качественного анализа рисков [15]. Это позволяет не только прогнозировать вероятность атак, но и принимать стратегические решения на основе данных.

Рассмотрим опыт ПАО «Сбербанк», крупнейшего банка России, который активно внедряет передовые методы кибербезопасности. Банк использует модель зрелости кибербезопасности, оценивая уровень защищенности по ключевым метрикам: доля защищенных систем, время реакции на инциденты, степень автоматизации безопасности [16]. Сбербанк также применяет риск-ориентированный подход (Risk-Based Approach), ранжируя угрозы по вероятности и потенциальному ущербу. Это позволяет направлять ресурсы на устранение наиболее опасных уязвимостей [17]. Одним из инструментов является сценарный анализ (Scenario-Based Approach). Банк регулярно проводит учения Red Team/Blue Team, моделируя атаки и оценивая эффективность реагирования [18]. Результаты внедренных мер впечатляют: за последние два года число критических инцидентов в Сбербанке сократилось на 35% [19]. Такой подход демонстрирует эффективность системного управления киберрисками и может служить примером для других финансовых организаций. Для защиты от киберугроз финансовые организации используют комплекс мер, включающий:

• Организационные меры. Внедрение политик безопасности, обучение персонала, аудит соответствия стандартам [20];
• Технические меры. Использование шифрования, антивирусов, систем мониторинга SIEM, регулярные обновления ПО [21];
• Процессные меры. Разработка стратегий реагирования, создание команд быстрого реагирования (CSIRT), резервное копирование данных [22];
• Управление доступом. Многофакторная аутентификация, контроль привилегированных пользователей, защита от инсайдеров [23].

Будущее информационной безопасности в финансовом секторе связано с развитием следующих технологий:

• Искусственный интеллект (AI). Используется для выявления аномалий в поведении пользователей и автоматизированного мониторинга угроз [24];
• Блокчейн. Обеспечивает неизменяемость записей, защищая транзакции от манипуляций [25];
• Биометрическая аутентификация. Заменяет пароли более надежными методами идентификации, такими как FaceID и голосовая аутентификация [26];
• Квантовая криптография. Позволяет защитить финансовые данные от угроз квантовых вычислений [27].

Финансовый сектор остается одной из главных целей для кибератак, что требует системного подхода к анализу и управлению рисками. Грамотный анализ рисков позволяет минимизировать ущерб, соблюдать требования регуляторов и сохранять доверие клиентов. Практика ведущих банков, таких как Сбербанк, подтверждает, что комплексный подход к кибербезопасности снижает число инцидентов и повышает устойчивость организаций. Внедрение перспективных технологий, таких как AI и квантовая криптография, станет ключевым фактором защиты финансовых организаций в ближайшие годы.

Список литературы:

1. Cyberattacks threaten global financial stability, IMF warns | World Economic Forum [Электронный ресурс]. – URL: https://www.weforum.org/agenda/2021/06/cyberattacks-financial-stability-imf/ (дата обращения: 05.03.2025).
2. Cybersecurity Risks in Financial Services | Boston Consulting Group [Электронный ресурс]. – URL: https://www.bcg.com/publications/2022/cybersecurity-in-financial-services (дата обращения: 05.03.2025).
3. The 6 Biggest Cyber Threats for Financial Services in 2025 | UpGuard [Электронный ресурс]. – URL: https://www.upguard.com/blog/cyber-threats-financial-services (дата обращения: 05.03.2025).
4. Financial Sector Cyber Threat Landscape | European Central Bank [Электронный ресурс]. – URL: https://www.ecb.europa.eu/pub/financial-stability/cyber-threats (дата обращения: 05.03.2025).
5. ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018 – Требования к защите информации финансовых организаций [Электронный ресурс]. – URL: https://www.gost.ru (дата обращения: 05.03.2025).
6. Understanding & Preventing Insider Threats in Financial Institutions | Votiro [Электронный ресурс]. – URL: https://votiro.com/blog/understanding-insider-threats (дата обращения: 05.03.2025).
7. Akamai Report: The Growing Threat of Web Application Attacks in Banking Sector [Электронный ресурс]. – URL: https://www.akamai.com/resources/security-reports (дата обращения: 05.03.2025).
8.   NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems [Электронный ресурс]. – URL: https://csrc.nist.gov/publications/sp800-30 (дата обращения: 05.03.2025).
9.   ISO/IEC 27005: Everything You Need to Know About Risk Management in Cybersecurity [Электронный ресурс]. – URL: https://www.iso.org/standard/56742.html (дата обращения: 05.03.2025).
10. The Impact of Ransomware on Financial Institutions | Financial Times [Электронный ресурс]. – URL: https://www.ft.com/content/ransomware-impact-financial-sector (дата обращения: 05.03.2025).
11. Red Team vs. Blue Team Cybersecurity Strategies | MIT Technology Review [Электронный ресурс]. – URL: https://www.technologyreview.com/2023/05/12/red-vs-blue-team-cybersecurity (дата обращения: 05.03.2025).
12. Cybersecurity Trends and Predictions | Gartner 2024 Report [Электронный ресурс]. – URL: https://www.gartner.com/en/documents/cybersecurity-trends-2024 (дата обращения: 05.03.2025).
13. Managing Cybersecurity Risks in the Financial Sector | International Monetary Fund [Электронный ресурс]. – URL: https://www.imf.org/en/News/Articles/cybersecurity-risks (дата обращения: 05.03.2025).
14. Security Information and Event Management (SIEM) in Financial Institutions | IBM Report [Электронный ресурс]. – URL: https://www.ibm.com/security/security-intelligence (дата обращения: 05.03.2025).
15.   Artificial Intelligence in Cybersecurity: The Future of Threat Detection | Forbes Tech [Электронный ресурс]. – URL: https://www.forbes.com/sites/forbestechcouncil/ai-in-cybersecurity (дата обращения: 05.03.2025).
16.   Blockchain and Security: How Distributed Ledger Technologies Protect Financial Transactions | Deloitte Insights [Электронный ресурс]. – URL: https://www2.deloitte.com/blockchain-security (дата обращения: 05.03.2025).
17. Quantum Cryptography and Post-Quantum Security: Implications for Banking | NIST [Электронный ресурс]. – URL: https://csrc.nist.gov/publications/post-quantum-cryptography (дата обращения: 05.03.2025).
18. Zero Trust Architecture and Its Role in Financial Cybersecurity | Microsoft Security Blog [Электронный ресурс]. – URL: https://www.microsoft.com/security/blog/zero-trust-in-finance (дата обращения: 05.03.2025).
19. Data Breaches in Banking: Causes, Consequences, and Prevention Strategies | Kaspersky Lab [Электронный ресурс]. – URL: https://www.kaspersky.com/blog/data-breaches-finance (дата обращения: 05.03.2025).
20. Financial Services Cybersecurity Best Practices | S&P Global Market Intelligence [Электронный ресурс]. – URL: https://www.spglobal.com/cybersecurity-best-practices (дата обращения: 05.03.2025).
21. Biometric Authentication in Banking: Benefits and Risks | World Economic Forum [Электронный ресурс]. – URL: https://www.weforum.org/agenda/2023/09/biometric-authentication-in-banking (дата обращения: 05.03.2025).
22. Future of Cybersecurity in Financial Institutions | McKinsey & Company [Электронный ресурс]. – URL: https://www.mckinsey.com/industries/financial-services/cybersecurity-trends (дата обращения: 05.03.2025).
23. Managing Third-Party Cyber Risks in Financial Services | PwC Report [Электронный ресурс]. – URL: https://www.pwc.com/cyber-risks-financial-sector (дата обращения: 05.03.2025).
24. The Role of Cyber Threat Intelligence in Financial Security | FireEye Intelligence [Электронный ресурс]. – URL: https://www.fireeye.com/threat-intelligence-finance (дата обращения: 05.03.2025).
25. Disaster Recovery Planning in Banking Cybersecurity | Bank of America Whitepaper [Электронный ресурс]. – URL: https://www.bankofamerica.com/cybersecurity/disaster-recovery (дата обращения: 05.03.2025).
26. Risk-Based Approach to Cybersecurity in Financial Services | Federal Reserve Report [Электронный ресурс]. – URL: https://www.federalreserve.gov/publications/cybersecurity-risk-based-approach (дата обращения: 05.03.2025).
27. Impact of AI on Cybersecurity in Banking | Accenture 2023 Security Trends [Электронный ресурс]. – URL: https://www.accenture.com/ai-cybersecurity-banking (дата обращения: 05.03.2025).