Сервис обмена данными с АСОИ Национального банка Республики Беларусь

Сегодня банки все чаще используют в системах защиты информации решение класса SOAR для обработки (учета, анализа, реагирования) инцидентов информационной безопасности (далее – ИБ) и киберинцидентов.

Наряду с этим банки должны выполнять требования Постановления Правления Национального банка Республики Беларусь от 15.12.2023 № 454 «О предоставлении информации об инцидентах и нарушениях безопасности в сфере защиты информации» (далее – Постановление) по обмену информацией об инцидентах ИБ с Автоматизированной системой обработки инцидентов Национального Банка Республики Беларусь (далее – АСОИ).

Согласно Постановлению, поставщики платежных услуг, кроме поставщиков информационных платежных услуг, должны предоставлять в АСОИ информацию об инцидентах в течение одного часа с момента их выявления в режиме 24/7 через «Личный кабинет».

Это требует от банка, ведущего учет инцидентов в SOAR, дополнительно собирать и передавать в АСОИ необходимую информацию об инцидентах.

Для банков, использующих в качестве SOAR-решения R-Vision SOAR, специалисты «МультиТек Инжиниринг» разработали продукт, получивший название «Сервис обработки данных АСОИ» (далее – Сервис).

Основная цель, которую мы преследовали при создании Сервиса, – сокращение ручного труда специалистов при подготовке данных об инцидентах ИБ (киберинцидентах) и иной информации, предоставляемой в соответствии с Постановлением.

Банки, которые эксплуатируют R-Vision SOAR, за счет использования Сервиса получили возможность:

• сократить объем ручного труда, а. значит, снизить вероятность ошибки (аналитик формирует карточку инцидента один раз в R-Vision SOAR, затем данные автоматически передаются в АСОИ);
• централизировать учет инцидентов (все инциденты ведутся в R‑Vision SOAR) и тем самым упростить ведение отчетности и повысить эффективность анализа;
• в автоматизированном режиме получать, обрабатывать и отправлять информацию о получателях и идентификаторах устройств, требующих особого внимания, в сессионный фрод-мониторинг (Group-IB Fraud Protection);
• контролировать ход передачи информации об инцидентах (за счет функционала учета статусов приема и отправки информации);
• вести протокол взаимодействия с АСОИ с возможностью направления его в SIEM для анализа.

Сервис обеспечивает передачу информации в АСОИ об инцидентах следующих типов:

несанкционированные платежные операции:

• факты (попытки) совершения несанкционированных платежных операций в результате обмана или злоупотребления доверием (фишинг);
• факты (попытки) совершения несанкционированных платежных операций с использованием злоумышленниками телефонной коммуникации (вишинг);
• факты (попытки) совершения несанкционированных платежных операций без присутствия карточки по их реквизитам (онлайн-казино, ставки на спорт и др.);
• факты (попытки) совершения несанкционированных платежных операций в результате иных причин;
• выявление поддельных сайтов (аккаунтов) поставщиков платёжных услуг и других организаций, в том числе фишинговой направленности;

нарушения безопасности и защиты информации:

• рассылка вредоносного программного обеспечения;
• сканирование портов для взлома сети;
• брутфорс (взлом учетных записей посредством автоматизированного подбора комбинаций паролей и логинов);
• зафиксированные DDoS-атаки на поставщика платежных услуг;
• выявление попыток эксплуатации уязвимостей;
• физическое и (или) логическое воздействие на объекты информационной инфраструктуры;
• выявленные факты установки скиммеров (шиммеров) и других устройств на периферийные устройства.

Реализация с помощью Сервиса централизованного ведения инцидентов ИБ и финансовых инцидентов в R-Vision SOAR позволяет:

• работать с информацией об инцидентах не только ИБ-подразделению, но другим заинтересованным подразделениям банка;
• при необходимости передавать эту информацию в сторонние сервисы;
• вести и использовать аналитику инцидентов в единой консоли.

Таким образом, использование Сервиса экономит время, снижает риск возникновения ошибок, при этом процесс работы с инцидентами полностью соответствует регуляторным требованиям.