Тимур Турлов об утечке данных "Freedom Finance": "Теперь мы будем тратить миллионы долларов на кибербезопасность"

Генеральный директор "Freedom Finance" Тимур Турлов обратился к клиентам компании на своей странице в Facebook после информации об утечке данных. 

25 декабря РБК писал, что в интернете выставлены на продажу данные 16,8 тыс. клиентов инвесткомпании "Фридом Финанс", в том числе 450 квалифицированных инвесторов. В свободном доступе сведения 50 из них: паспортные данные, адреса, сведения о счетах в банках.

"Коллеги и партнёры, у нас вчера произошел крайне неприятный и постыдный инцидент в информационной безопасности. Кибервымогатели атаковали сегмент нашей внутренней сети и похитили часть данных с локальных машин ряда сотрудников в России. Это машины, относящиеся к сотрудникам российского брокера, оказывающего доступ на российский фондовый рынок и почти весь пакет данных датирован 2018 годом. Что там было? Там были сканированные копии и ряд поручений на бумажных носителях, ряд отчётов о сверках с базами ПОД/ФТ и порядка 400 файлов о признании инвесторов квалифицированными. Среди них практически нет клиентов, которые открывали счета на американском рынке, мы начали это делать через российского брокера в 2019 году. Среди них нет никаких международных клиентов. Атаковавшие нас кибервымогатели точно не получили доступа к CRM, к отчетам бэк-офиса, к данным торговой платформы. Никакие пароли наших клеинтов не были скомпроментированы. Тем не менее, очевидно, мы облажались и подвели часть наших российских клиентов. Мне очень стыдно за все произошедшее", - написал Тимур Турлов.

Гендиректор компании заверил в своем сообщении, что в максимально короткий срок FFin свяжется со всеми клиентами, чьи данные были скомпроментированы и расскажет, какие именно документы оказались в открытом доступе, а также даст рекомендации по любой минимизации риска.

"На самом деле, использовать их злоумышленникам будет очень тяжело, в любом случае, и там нет действительно чувствительной информации, достать которую на черном рынке трудно", - пишет Тимур Турлов.

Также он уточнил, что на данный момент сеть и все локальные машины полностью почищены и перестроены, и теперь данные не утекают.

Как это произошло?

По словам Тимура одному из сотрудников компании пришло фишинговое письмо, которое он открыл и запустил на локальной машине не смотря на предупреждение системы безопасности. 

"Зачем нас ломали? С одной очень простой целью - шантаж оглаской в СМИ с целью вымогательства. А-ля "Заплатите нам миллион долларов биткойнами, иначе мы разошлем пресс-релиз о том что мы украли ваши данные по всем СМИ в стране и они вас порвут. Никто не будет разбираться. Когда данные уже утекли, это уже не забота о клиентах, это уже исключительно попытка скрыть это от общественности и прямое спонсирование преступников, что будет стимулировать на новые подвиги. Мы не стали вести переговоры, и журналисты многих СМИ весело включились в тиражирование пресс-релиза наших вымогателей (причем, реально, без злого умысла)", - пишет генеральный директор компании.

Что делает компания сейчас, чтобы минимизировать риски повторения ситуации?

Теперь, как пишет Тимур Турлов, компания будет тратить миллионы долларов на кибербезопасность:

"(...) И, видимо, покупать лучшие западные решения, потому что я правда не хочу поддерживать кибертеррористов, которые делают это часто именно для того, чтобы мы эти миллионы потратили)".

По словам гендиректора компании, команда информационной безопасности достигнет нескольких десятков высококвалифицированных, сертифицированных руководителей, инженеров red & blue teams, аналитиков. 

"Приведение всей ИБ к стандартам ISO27001 и NIST Cybersecurity Framework. Ещё конкретнее, будем внедрять в самое ближайшее время Next Generation Firewall (NGFW) - файрвол + более глубокая инспекция трафика, проактивную систему обнаружения угроз, защиту от APT угроз (advanced persistent threat), уязвимостей нулевого дня, вредоносного ПО, программ-вымогателей, предотвращение и обнаружение вторжений, оценку репутации сайтов и распознавание контента, форматов данных и пользователей. Endpoint Detection & Response. Антивирус следующего поколения. Подход EDR же в свою очередь не полагается только на базы, проявляя подозрительность ко всем файлам, запускаемым на компьютере, моментально замечая новейшие угрозы высокой сложности и одновременно проявляет реакцию на возникшую ситуацию", - пишет он.

Тимур Турлов отметил, что вирусы-шифровальщики по своей природе не является вирусами в классическом понимании и их действия и система как правило воспримет как легитимные, так как есть много программ, которые позволяют шифровать файлы для безопасной передачи. EDR же заметив подозрительную активность на основе анализа поведения заблокирует действия шифровальщика и откатит все изменения. 

"Мы постоянно проводим сканирование периметра сети, приложений и компьютеров на наличие уязвимостей - для этого используются специальные сканеры уязвимости. Для тестирования всех новых разработок ПО мы будем использовать SAST и DAST подходы и соответствующие инструменты (статическое и динамическое тестирование безопасности). В обоих случаях используются автоматизированные сканеры, которые позволяют выявить наличие уязвимостей как в статичном исходном коде, так и в ходе работы приложения за короткий срок и исправить их в случае наличия", - уточняет он.

Компания уже строит Privileged Access Management для мониторинга и управления правами всех администраторов в сети, которым можно многое и внедряет DLP - data leak prevention, чья основная задача не допустить утечку конфиденциальной информации за пределы компании происходит ли это случайно или в результате умышленных действий. А также - внедрит и главный командный пункт, SIEM - Security Information and Event Management. Данная система позволяет в едином окне проводить анализ информации, поступающей от различных других систем, таких как NGFW, EDR, DLP, различного серверного или сетевого оборудования и дальнейшего выявления отклонения от норм по определенным критериям наглядно для аналитиков ИБ, которые будут находиться 24/7/365 в SOC компании. 

"Ну и самое главное, тренинги по информбезопасности для сотрудников. Онлайн и оффлайн, системно и постоянно. Чтобы они не открывали левые файлы в следующий раз. Многофакторная аутинтификация из каждого утюга и, конечно, вера в то, что все будет хорошо. Поверьте, для нас это хороший урок и он будет выучен", - подытожил свое обращение Тимур Турлов.

Напомним, после происшествия 24 декабря Аналитический центр Central Asia Cronos обратился в компанию за комментарием по поводу ситуации. 

"Очередная раздутая информация. Рисков никаких нет", - ответили во Freedom Finance.

После чего на сайте компании Ffin.ru уже появилось объявление, в котором говорится, что все данные клиентов защищены.

"На нескольких теневых форумах в сети размещена якобы база наших клиентов. Мы проверяем достоверность информации. Однозначно данная база не содержит и не может содержать личных логинов/паролей от торговых программ, какой-либо платежной информации, данных об остатках на брокерских счётах, о совершённых операциях или движении денежных средств. Вся эта информация надёжно защищена, и доступ к ней имеет очень ограниченный круг лиц, со специальной системой контроля. Компания радикально усилила меры безопасности, все данные клиентов защищены", - утверждалось в сообщении.

---