Угол атаки

Надвигающаяся реформа, инициированная Центробанком, активизировала обсуждение проблем киберзащиты в банковской сфере. С 1 июля 2018 года регулятор планирует ужесточить требования к программному обеспечению, используемому при любых формах перевода денежных средств. Мы выяснили у участников рынка, насколько велики угрозы информационной безопасности и какова степень их готовности к этим угрозам.

Согласно новым требованиям ЦБ, программное обеспечение (ПО) должно «пройти сертификацию на отсутствие недекларированных возможностей» в Федеральной службе по техническому и экспортному контролю (ФСТЭК), подведомственной Минобороны. Альтернативой данной мере является анализ уязвимостей на соответствие определенным требованиям, который должна проводить компания, имеющая лицензию ФСТЭК. Центробанк указывает на риски для информационной безопасности любого банка от привлечения аутсорсеров и выдвигает требования по их минимизации. Для этого ЦБ требует от банков разработать политику взаимодействия с аутсорсером – четко определить перечень услуг сторонней компании и список функций, которые осуществляет сам банк, а также разгарничить сферы ответственности банка и компании-аутсорсера. Повышенное внимание регулятора к вопросам киберзащиты закономерно: в 2016 году злоумышленники вывели с его корсчетов 2,18 млрд руб. Но это далеко не все.

 

Уровень угрозы

По данным Аналитического центра компании InfoWatch, в первом полугодии 2017 года в мире было обнародовано в открытых источниках 925 случаев утечки конфиденциальной информации, что на 10% превышает число утечек данных за аналогичный период 2016 года. При этом количество краж платежной информации возросло с 6,2% до 26,8%. Самыми «привлекательными» для злоумышленников являются сегмент высоких технологий и банковский сектор.

Согласно данным исследования, в 45% случаев финансовые данные передаются в интернет через браузер или облачное хранилище, ещё в 44% случаев утечка информации становится возможной при использовании корпоративной электронной почты.

Далее, в период с 1 июня 2016 года по 1 сентября 2017 года, согласно отчету центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере главного управления безопасности и защиты информации Барка России (ФинЦЕРТ), вырос интерес злоумышленников к атакам на банкоматы. Самым распространенным видом «физических атак» на банкоматы остается скимминг (установка устройства для хищения данных платежной карты). При этом, как сообщается в отчете ФинЦЕРТа, криминальное сообщество постоянно работает над совершенствованием устройств, не чувствительных к современным антискимминговым мерам: как только стали применяться чиповые транзакции, предотвращающие хищения с магнитной ленты карты, не заставил себя ждать и новый вид скримминга – перископное оборудование: злоумышленники захватывают управление процессингом, «рисуют» деньги из воздуха и снимают их в банкоматах другого банка.

Любопытно, что с клиентами банков злоумышленники работают с помощью методов «социальной инженерии» - люди сами отдают им данные своих карт. Вариантов много, и они постоянно обновляются. Причем, если раньше жертвами чаще становились бухгалтерские и банковские работники, теперь фокус сместился в пользу технических специалистов. «В финансовых организациях попытку использовать мошеннические схемы зафиксировали почти 60% компаний», - сообщает руководитель группы исследования и анализа мошенничества «Лаборатории Касперского» Денис Горчаков.

По оценке начальника управления прямых продаж Вологодского отделения «Сбербанка» Алексея Забегалова, массовые информационные атаки на банки начались не так давно – осенью 2016 года, и количество их растет. «Как правило, кибератаки направлены на прямое хищение денежных средств со счетов клиентов и кредитной организации, но в последнее время мы отдельно выделяем, так называемые DDoS-атаки, целью которых является выведение из строя технологической платформы, – говорит Алексей Забегалов. – Это делается для того, чтобы подорвать авторитет финансовой организации в глазах её клиентов, породить сомнения в надежности и достаточной защищенности ее дистанционных сервисов, в конечном итоге, нанести финансовый ущерб».

Поэтому вопросы кибербезопасности находятся в фокусе внимания всех ведущих игроков банковского сектора и, конечно, самого регулятора.

«Банк России обозначил свои основные цели, направленные на развитие и укрепление банковской системы, национальной платежной системы и обеспечение стабильности финансового рынка РФ, - считает заместитель председателя правления АО КБ «Северный Кредит» Сергей Панев. - Учитывая возросший уровень киберпреступлений, Банк России заинтересован в обеспечении безопасности банковской системы и выполнении данных требований всеми банками, в связи с этим был разработан и принят новый национальный стандарт. Данный стандарт содержит требования к организации всех основных процессов информационной защиты, включая противодействие вредоносному коду, утечкам информации, а также нарушению целостности информационной инфраструктуры. Переход на новый стандарт позволит банкам повысить уровень защищенности от киберпреступлений, обеспечить стабильное и бесперебойное обслуживание клиентов».

 

Проблемы? Это всегда возможно

Угроза значительных потерь от кибератак привела к тому, что финансовые организации стали увеличивать свои бюджеты на безопасность. Основной причиной этому пока остается необходимость соблюдать действующие требования регулятора. Однако 63% организаций, согласно опроса «Лаборатории Касперского», согласились, что такое соответствие скоро станет лишь отправной точкой в построении новой системы защиты. А усложнение инфраструктуры, недостаточность собственных знаний компании в этой области, расширение бизнеса будут подстегивать финансовые организации искать новые современные виды защит от киберугроз.

Как отмечают в компании, «успешная стратегия защиты сегодня подразумевает сбалансированный подход к распределению ресурсов. Крупнейшие финансовые организации отдают предпочтения специализированным многокомпонентным решениям, где применяются в том числе технологии машинного обучения».

Казалось бы, с учетом катастрофического положения с точки зрения безопасности автоматизированной банковской системы (АБС) и систем дистанционного банковского обслуживания (ДБО), любые шаги по повышению их уровня защищенности можно только приветствовать.

Однако из-за регулярных обновлений программ с соблюдением новых требований ЦБ могут возникнуть проблемы. Поскольку сертификат после многих месяцев (!) проверки выдается на конкретную версию системы (а в таких системах, как АБС, обновления выходят каждые несколько дней), есть вероятность, что очередное обновление может оказаться несертифицированным. Фирмы, специализирующиеся на ИТ-безопасности, надеются, что риски, связанные с версионностью решений, будут учтены и им не придется сертифицировать или тестировать каждое обновление ПО.

Больше всего сложностей, ка ожидается, будет ожидает у «дочек» иностранных банков – у них зачастую используется зарубежное ПО, предоставляемое головной структурой.

Тем же, кто специализируется на разработке софта, не составит труда подтвердить соответствие требованиям, считают в Центральном Банке РФ. Сложнее придется банкам с «самописным» ПО, поскольку нужно будет предоставлять регулятору всю документацию, начиная с этапа проектирования.

 Правила цифровой гигиены

• Никому и никогда не давайте свою банковскую карту. Для членов семьи выпустите дополнительные карты.
• Не пользуйтесь картой в уличных банкоматах. Избегайте использования карт в торговых точках с устаревшим оборудованием.
• Никогда и никому не раскрывайте свой PIN-код. Не записывайте свой PIN. Набирая PIN в банкомате или на терминале, прикрывайте клавиатуру рукой.
• При возникновении любых ситуаций вроде потери карты или непонятного списания средств сразу сообщайте об этом в банк.
• Обеспечьте максимальную безопасность онлайн-платежей. Компьютер должен быть чистым от вирусов, сеть — защищенной, а соединение с банком или магазином — шифрованным.
• Избегайте фишинговых сайтов. Если в письме вас просят «подтвердить детали учетной записи», «проверить подозрительную активность» или «подтвердить приемку дорогого отправления» никогда не нажимайте на ссылку в таких письмах. Если вас действительно беспокоит безопасность вашего аккаунта, откройте в браузере соответствующий сайт и войдите в учетную запись таким образом.

Готовность № 1

«От потери или кражи денежных средств не застрахован никто, - считает Сергей Панев. - В основном это связано с двумя причинами: недостаточной защищенностью устройств, в которых используются карты, либо по неосторожности самого клиента. Все устройства банка «Северный Кредит» надежно защищены специальным оборудованием и сертифицированным программным обеспечением, поэтому мы практически не сталкивается с подобными ситуациями. А для минимизации последствий, обусловленных неосторожностью клиентов, наш банк проводит работу по повышению их финансовой грамотности в области использования банковских карт, совершения безналичных платежей, защиты от действий мошенников. Информирование клиентов и обратная связь производится через системы дистанционного банковского обслуживания, партнерские каналы».

Как выяснилось, уже сегодня банк «Северный Кредит» в свой работе использует ПО ведущих отечественных производителей, отвечающие требованиям Центрального Банка. Также в региональном банке производится постоянный мониторинг рынка программного обеспечения с целью поддержки его информационных систем на конкурентоспособном уровне с обеспечением необходимой степени защиты. «Конечно, использование надежного ПО – удовольствие не из дешевых, - признаются в «Северном Кредите». – Но в данном случае неоправданная экономия может привести к значительным репутационным потерям для имиджа банка как надежного финансового института».

Кредитная организации уже определила свою политику по взаимодействию с ИТ-компанией-аутсорсером, как того требует Центробанк. Если ранее «Северный Кредит» мог сам проводить оценку выбора и реализации организационных и технических мер защиты информации, то в соответствии с новым Стандартом для этой цели будут приглашаться независимые организации, которые имеют соответствующий уровень компетенции, а также необходимую лицензию.

 

Решения в комплексе

По мнению Дениса Горчакова из «Лаборатории Касперского», современные решения должны усиливать существующую систему безопасности организации, но только если они используются в комплексе. Такой подход, включающий безагентное обнаружение вредоносных программ, поведенческую биометрию, поведенческий анализ, анализ устройства и окружения, непрерывное отслеживание аномалий в ходе сессии, помогает не просто устранить последствия мошеннического инцидента, но и дает организациям возможность быть на шаг впереди злоумышленников.

В дополнение к двухфакторной аутентификации и другим мерам безопасности «Лаборатория Касперского» рекомендует внедрять такие решения, которые позволяют оценить возможные риски и отследить подозрительные процессы не только в момент входа в систему, но и в течение всей сессии, «тем более, что ЦБ уже продвигается в формулировании требований в этой области»: так, в последних рекомендациях по противодействию отмыванию денежных средств по сути дана рекомендация отслеживать подозрительные связи организаций по уникальному идентификатору устройства, с которого осуществляется доступ к ДБО.

Банк «Северный Кредит» уже выстраивает свою защиту от информационных атак на внутреннюю инфраструктуру посредством программно-аппаратного комплекса на сетевом и прикладном уровнях. Дополнительно присутствует защита антивирусным ПО, сетевая и локальная политики безопасности. При этом используются различные программно-аппаратные средства для резервного копирования и восстановления. «Это так называемый постоянный мониторинг сетевой активности, актуальные обновления антивирусных баз данных, ограничение использования на рабочих местах внешних носителей, особенно принесенных из дома, с целью исключения занесения вредоносных программ, - перечисляет Сергей Панев. - Постоянная работа с работниками на предмет повышения их осведомленности о существующих угрозах, жесткий контроль за использованием интернета».

 

Информационный обмен

Чтобы эффективно противодействовать киберпреступности, недостаточно развивать собственные системы безопасности - необходимо объединять усилия, - считают в Сбербанке. «Как показывают наши наблюдения, 80% успеха при обеспечении кибербезопасности зависят от того, насколько грамотно выстроены процессы, и только 20% — от технологий» - говорит Алексей Забегалов.

К примеру, летом 2017 года Сбербанк подписал соглашение с Пенсионным фондом о взаимодействии в области кибербезопасности. Соглашение предполагает обмен статистикой, опытом работы, методическими рекомендациями и любой другой информацией, которая может представлять взаимный интерес. В первую очередь речь идет об информации о новых видах вредоносного программного обеспечения; способах противодействия сетевым атакам и мерах по ликвидации их последствий.

В целях обмена информацией о потенциальных компьютерных атаках в кредитно-финансовой сфере и актуальных угрозах информационной безопасности Банк России также организовал информационное взаимодействие с кредитными организациями.

По состоянию на 1 сентября 2017 года в информационном обмене с «ФинЦЕРТом» участвовали 418 кредитных организаций и филиалов. Заметный рост числа участников, по данным ЦБ, наблюдался в январе – феврале 2017 года после серии рассылок злоумышленниками загрузчиков вируса Cobalt Strike в адрес кредитных организаций. Банки обмениваются с «ФинЦЕРТом» информацией о потенциальных компьютерных атаках в кредитно-финансовой сфере, актуальных угрозах информационной безопасности и уязвимостях программного обеспечения.