Как «Антифишинг» помогает защитить сотрудников Currency.com от цифровых атак

Currency.com — регулируемая безопасная криптоплатформа, которая создана в Беларуси и развивается с января 2019 года. Проект стал первой в мире платформой, которая регулируется законодательно и позволяет торговать и инвестировать в традиционные финансовые инструменты, используя как криптовалюты, так и фиатные деньги.

Оставить комментарий

Финансовый бизнес — это всегда про доверие

Мы защищаем интересы клиентов и гарантируем, что они не купят токены мошенников, а также делаем все, чтобы защитить нашу собственную инфраструктуру.

Виктор Пергамент, руководитель проекта Currency.com
Безопасность для нас — один из важнейших приоритетов. Мы используем современное шифрование для защиты персональных данных наших клиентов и сотрудников, как того требует европейский GDPR. Платежные данные тоже в безопасности: мы ежегодно проходим очный аудит на соответствие PCI DSS и тесты на проникновение. В этом году мы опубликовали свою программу на ведущей bug bounty площадке Hacker One. Всё наше оборудование физически находится в сертифицированных дата-центрах. Соответствие отраслевым стандартам и требованиям AML подтверждается ежегодным аудитом одной из ведущих компаний большой четверки (мы отдаем предпочтение Deloitte и PWC).

Технических мер недостаточно

В современных цифровых атаках, особенно если все традиционные меры безопасности приняты, мошенники даже не будут пытаться взламывать хорошо защищенную инфраструктуру компании, искать уязвимости в программном коде или пытаться проникнуть в дата-центр. 

Вместо этого они постараются взломать хотя бы одного пользователя — клиента или сотрудника, у которого уже есть нужные доступы. Вот примеры таких атак: 

  1. Хакеры взломали Binance и похитили более 41 миллиона долларов США в Bitcoin. Для взлома использовались различные методы, включая фишинг и вирусы.
  2. Мошенникам удалось почти безупречно воссоздать голос гендиректора компании и с помощью фальшивой фонограммы добиться перевода 220 тысяч евро на свой банковский счет. Это — первый публичный случай финансового мошенничества, использующего deepfake — технологию синтеза видео- и аудиоконтента, близкого к оригиналу. 
  3. Стало известно о массовой фишинговой кампании, нацеленной на организации в шести странах. По данным исследователей, преступная группировка Lazarus запланировала на 21 июня масштабную атаку, в ходе которой порядка 5 миллионов компаний и частных лиц в шести странах должны получить фишинговые письма на темы, связанные с пандемией COVID-19.

Атаки на людей — что с этим делать?

Обычный подход безопасников к этой проблеме — ограничить сотрудникам доступ в интернет, обложить их антивирусами и прочими средствами защиты и надеяться, что «эти пользователи ничего не натворят» — в нашей специфике не работает:

  • Почти все наши сотрудники перешли на удаленку, а многие работают в таком режиме уже несколько лет. «Периметр» и другие концепции традиционных средств защиты уже не работают. 
  • Ни один антивирус, файрвол или веб-фильтр не гарантирует нам полной защищенности. Всегда есть вероятность, что хотя бы одна атака дойдет до сотрудника. 
  • У нас работают специалисты самого высокого уровня. Чтобы хорошо делать свою работу, каждый такой человек обязательно должен оставаться мотивированным, и подход «все запретить» для них не уместен.

Наше решение — не запрещать, а мотивировать людей, вовлечь их в процессы безопасности. Только так сотрудники смогут активно помогать выявлять атаки и защищать нашу компанию. 

— Еще с 2017 года мы старались наладить контакт с сотрудниками. У нас был выделенный адрес электронной почты, куда люди отправляли примеры атак и подозрительных ситуаций. Пока в компании было немного сотрудников, в основном разработчиков, этого хватало, — говорит Евгений Салтанов, Security Team Lead, exp (capital). — На IT-Security Conference в 2018 году в Минске мы увидели интересный подход коллег из компании «Антифишинг» — вместо того, чтобы «все запрещать», они объяснили, почему пользователи совершают опасные действия и предложили системный подход для решения этой проблемы. 

Сергей Волдохин, директор, Антифишинг
Фокус нашей компании — психологические исследования, анализ реальных атак и разработка методологии и программного обеспечения, которое помогает непрерывно обучать сотрудников и развивать их навыки в области информационной безопасности. 

Системный подход

С июля 2018 года мы используем платформу «Антифишинг» в инфраструктуре Exp (capital), а с начала 2019 года — и для сотрудников Currency.com. За это время мы организовали и регулярно проводим:

1. Непрерывное дистанционное обучение по самым важным вопросам безопасности

Многие наши коллеги работают в Лимасоле, Лондоне и Гибралтаре — важно, что Антифишинг сумел адаптировать и поддерживает для нас курсы и тесты на русском и английском языке: 

Обязательное обучение проходят и новые, и действующие сотрудники. 

2. Регулярные тренировки для наших сотрудников

Коллеги из Антифишинга уже спроектировали для нас более сорока сценариев и шаблонов имитированных атак — реалистичных ситуаций, которые готовятся под нашу специфику, тщательно классифицируются и запускаются на базе платформы, чтобы тренировать и формировать навыки сотрудников в естественной среде: 

Пример сценария одной из имитированных атак. Вектора атак соответствуют классификации Антифишинга
Пример того, как еще одна имитированная атака выглядит глазами сотрудника. Человек совершает небезопасное действие и сразу получает обратную связь

Результаты

В результате применения «Антифишинга» в Currency.com нам удалось:

  • Выполнить требования безопасности международных платежных систем (PCI DSS) в части раздела 12 — регулярного повышения осведомленности своих сотрудников по информационной безопасности. 
  • Формировать и регулярно оценивать знания и навыки, которые позволят нашим сотрудникам защитить себя и компанию в случае реальной цифровой атаки.

Технологии цифровых атак постоянно развиваются, мошенники не стоят на месте. Но с мотивированными и грамотными сотрудниками защищать наши системы и данные клиентов Currency.com получается намного лучше:

Сотрудники Currency.com помогают выявить атаки на клиентов и сообщают об этом в выделенном закрытом канале
Антифишинг — российская исследовательская компания и разработчик программного обеспечения. Работает с 2016 года, специализируется на решении проблем человеческого фактора в информационной безопасности. Выпускает одноименный продукт — платформу «Антифишинг», — которая помогает обучить сотрудников и контролировать их навыки по информационной безопасности. Продукт используют клиенты в России, Беларуси, Казахстане и Италии: Ростелеком, Х5 Retail Group, Банк Санкт-Петербург, QIWI и другие.

Dzengi.com

На платформе представлены более 2000 активов: криптовалюты, токенизированные акции крупнейших в мире компаний, токенизированные ETF, токенизированные фондовые индексы, токенизированные валюты и токенизированные облигации. На криптобирже доступна как покупка и продажа активов, так и торговля с левереджем до 500х.

Деятельность криптобиржи Dzengi.com регулируется Декретом Президента Республики Беларусь № 8 «О развитии цифровой экономики» и иными актами законодательства Республики Беларусь.

Материал не является финансовой консультацией. Инвестиции связаны с риском потери всех инвестиций. Успех прошлых инвестиций не означает успеха в будущем.

Читать на dev.by