На кибербитве Standoff взломали прототип цифрового рубля

На юбилейной кибербитве Standoff команды атаковали прототип цифрового рубля — об этом «Коду Дурова» рассказали в «Совкомбанк Технологиях».
Десятые соревнования по кибербезопасности прошли с 16 по 19 июня в московском «Кибердоме». За четыре дня 23 команды из шести стран атаковали виртуальное государство с банками, энергетикой и заводами.
Одним из главных нововведений стало появление на полигоне цифрового рубля — третьей формы национальной валюты, которую Банк России только начинает внедрять. Организаторы смоделировали реальную архитектуру: центральную платформу ЦБ, банки-посредники и обмен сообщениями по стандарту ISO 20022 поверх отечественного банковского ПО.
Систему подвели не изощрённые атаки, а базовые ошибки конфигурации: стандартные пароли, отключённая проверка цифровых подписей и отсутствие контроля прав доступа. По словам участников, банки чаще всего «ломаются» из-за паролей в конфигах и логах, ключей на серверах и токенов в тестовых скриптах.
«Главный вывод: гигиена секретов важнее дорогих средств защиты. Уберите пароли из конфигов, отзывайте старые ключи, не используйте слабые пароли — и закроете большую часть реальных векторов атак», — отметил капитан команды DreamTeam.
Всего на киберполигоне из семи отраслей команды реализовали 245 критических событий. Самым атакуемым сектором оказался телеком с 74 инцидентами, а наиболее защищённым — ритейл, где удалось провести лишь семь успешных атак.
«Это была возможность протестировать технологию, которая ещё не вышла в массовую эксплуатацию», — рассказал Павел Чернышев, начальник Управления анализа защищенности Совкомбанка и субкапитан команды DreamTeam по банковскому направлению.
Победу в восьмой раз одержала команда DreamTeam со специалистами «Совкомбанк Технологий», набрав 148 535 очков.