В жанре кибербанк. Как деньги защищают от цифровых угроз
Банковская кибербезопасность - одна из самых закрытых тем для обсуждения. Многие банки охотно рассказывают, как простодушные граждане по незнанию отправляют пароли мошенникам и теряют деньги. Учить клиентов не светить данные карт кому попало - дело полезное и публичное. Но стоит спросить о back-end и технической стороне защиты, пресс-службы утихают.
“К сожалению, подобную информацию банк не разглашает, она является конфиденциальной”, - ответили журналисту LIGA.net в трех банках разного масштаба.
Подавляющее большинство финучреждений не готово рассказывать подноготную даже на условиях анонимности. Винить их в этом нельзя - деньги любят тишину. Особенно чужие.
На что банкам стоит делать упор в киберзащите? Как отразились вирусные атаки на укреплении цифровых крепостей? И какие дыры существуют в кибербезопасности финучреждений?
LIGA.net попробовала приоткрыть плотный занавес проблем и их решений.
Дыра №1: банкоматные троянские кони
Держатели банковских карт хорошо знают правило осматривать внешний вид банкомата, прежде чем вставлять в него карту. Не налеплено ли каких-то "левых" считывающих устройств? Форма клавиатуры соответствует картинке? Нет ли дополнительных камер? Но хитрости могут поджидать и внутри.
По словам Льва Коршевнюка, директора консалтинговой аналитической фирмы ИнфоЭксперт, в банкоматах в качестве системы управления стоит компьютер, на многих из которых установлена операционная система Windows. Для управления непосредственно банкоматом требуется установка специализированного программного обеспечения. А специализированного - значит, недешевого.
Здесь у небольших банков появляется искушение сэкономить. Поэтому некоторые из них ставят на банкоматную операционную систему нелицензионное ПО.
“Отдельные злоумышленники специально выбрасывают на рынок или дают возможность легкого доступа к такому ломаному ПО с заранее вставленной в код специальной заплаткой - троянским конем. Технические специалисты банков, установив такое ПО, фактически предоставят злоумышленникам доступ к удаленному управлению банкоматом и ко всем данным, проходящим через него”, - утверждает Лев Коршевнюк.
Такого рода экономия может привести к получению злоумышленниками данных, в том числе данных платежных карт вместе с PIN-кодами к ним всех воспользовавшихся таким банкоматом.
“Бывали и случаи, когда злоумышленники подходили к банкомату с таким установленным ПО, вместо PIN-кода вводили только им известный код и получали полный контроль над устройством. Например, инициировали полный выброс всех денег из кассет банкомата”, - говорит Коршевнюк.
По его словам, таким атакам подвержены некрупные банки - они экономят на всем, включая и квалификацию специалистов отделов безопасности.
Дыра №2: кассовые мошенничества
Чтобы утащить информацию о платежной карте, “трояну” необязательно сидеть в банкомате. Лев Коршевнюк рассказывает еще об одном рисковом месте - торговых сетях. В некоторых из них связь платежного терминала с банком осуществляется через компьютер, который находится на кассе. В ПО, ответственное за коммутацию с таким терминалом и банком, злоумышленники и стараются установить свою “аплатку.
“Если в ситуации с банкоматами убытки зачастую несут сами банки и очень не любят это разглашать, то в супермаркетах атаке подвергаются обычные люди, добросовестные клиенты любого другого, тоже добросовестного банка. Они даже могут выполнять все меры предосторожности и хранить данные карт в тайне, а их банк – серьезно заботиться об их безопасности. Но злоумышленники получат данные карты "по дороге" от платежного терминала к банку”, - говорит Коршевнюк.
Он советует пользоваться более дорогими чипованными картами и контролировать все операции через SMS-банкинг. А в случае несанкционированного снятия денег немедленно звонить в банк и заявлять о мошеннической операции.
Лев Коршевнюк утверждает, что с такими кейсами он сталкивался в трех украинских банках. И не сомневается, что они носят системный характер.
Дыра №3: письма несчастья
О механизме хитрых фишинговых писем рассказал Дмитрий Покотило, управляющий партнер интернет-магазина F.ua.
В электронном письме можно размещать формы для заполнения. Таким инструментом среди прочих пользуются некоторые интернет-магазины, чтобы покупателю было проще оставить отзыв о продукте без перехода на сайт. И даже отправлять ответное письмо не нужно. К примеру, это работает, если сделать форму опроса в Google Forms и отправить ее на e-mail.
Интересно, что письмо стараниями мошенников может прийти не с адреса, который лишь отдалённо напоминает адрес банка, например, [email protected], а с настоящего домена банка. А это - хороший аргумент, чтобы последовать инструкции.
Чтобы уберечься от подобного рода хитростей, существует такой механизм как DMARC - Domain-based Message Authentication, Reporting and Conformance. Он описывает, кто может отправлять письма с конкретного домена и что делать с подозрительным письмом. А подозрительным письмо становится на основе проверок подписи DKIM (DomainKeys Identified Mail), а также перечня разрешенных IP-адресов или доменов в записи SPF (Sender Policy Framework).
Проще говоря, правильно настроенная политика DMARC позволяет подозрительные непроверенные письма класть в спам или даже не доставлять.
Специалисты F.ua прошлись по основным украинским банковским доменам и обнаружили, что у многих из них такой механизм отсечения не настроен или настроен частично.
“Это, конечно, не огромная дыра в безопасности. Но пока банки не устранят ее, стоит придирчиво относиться и к содержанию письма, а не только к адресу отправителя”, - резюмирует Дмитрий Покотило.
Откуда берутся дыры
"Примеры угроз, описанных выше, очень специфичны для постиндустриального общества, в котором на первый план во всех направлениях выходит киберпространство, - рассказывает основатель компании Октава Киберзахист Александр Кардаков. - То, что многие до сих пор воспринимают это через призму устаревших представлений, как раз и даёт возможность кибермошенникам развернуться в полный рост".
Сергей Поята, операционный директор компании ISSP, делит банковское мошенничество на два типа:
· внутреннее - под него подпадают случаи злоупотребления полномочиями и доступом к информации со стороны сотрудников банка;
· внешнее - случаи воздействия внешних злоумышленников на ресурсы банка или конечных клиентов.
В случаях первого типа все зависит от качества процессов и внутреннего контроля информационной безопасности. Для каждой организации они уникальны.
А на количество инцидентов второго типа влияет тенденция предоставления внешнего доступа к банковским продуктам. Банки соревнуются в новых продуктах, чтобы клиенту было еще (и еще, и еще) удобнее распоряжаться деньгами. Это системы интернет-, мобильного и телефонного банкинга, управление счетами через чаты и мессенджеры.
Он называет еще один фактор - несовершенство действующего законодательства, исполнительной и судебной практики по выявлению и пресечению мошеннических действий в киберпространстве. А это провоцирует злоумышленников.
Это подтверждает и Дмитрий Ковалевский из Monobank: “При построении систем киберзащиты больше опираемся на свой опыт. Зарубежные банки во многом находятся в более тепличной атмосфере - люди более законопослушные и силовые блоки работают”.
По мнения Сергея Пояты, защита внешних платежных сервисов требует системного подхода. Среди действенных механизмов он называет такие:
- безопасность разработки и администрирования сервисов, включая периодические проверки защищенности (Secure SDLC, Vulnerability Assessment, Pentest, Security Audit);
- защита доступа и выполнения критических операций (Multi Factor Authentication, One Time Password, Transaction Authorization Code or Challenge-Response Authorization);
- мониторинг действий и операций (User and Entity Behavior Analytics, Antifraud Monitoring);
- повышение осведомленности пользователей (User Awareness Training).
Корни проблем
Чем больше банк, тем выше уровень риска и тем выше его расходы на безопасность. С другой стороны, у крупного банка и “мешок с деньгами” побольше. Более мелкие финучреждения таким похвастаться не могут. Но это не освобождает их от ответственности перед клиентами.
Как считает основатель Октава Киберзахист Александр Кардаков, экономить на жизненно необходимых мерах защиты – это все равно, что при заселении в новое жилье оставить входную дверь без замка, аргументируя, что на него же надо денег потратить.
"Опираясь на свой личный опыт и знания, могу точно сказать – ничего запредельно сложного или сверхдорогостоящего в этом нет", - уточняет он.
Но не только в деньгах дело.
Александр Ткаченко, Solution Manager компании ISSP, сравнивает банковскую ИТ-инфраструктуру с бумажным шаром, который с каждым новым слоем становится более сложным и массивным. В определенный момент процесс собирания шара передается на следующий уровень другой команде. Зачастую, новые люди вместо того, чтобы работать по заданному вектору и продолжать увеличивать шар, принимаются создавать новый. И так неограниченное количество раз. Но шары физически не могут быть полностью объединены в одну монолитную платформу.
“А теперь представьте, что вместо шаров у нас реальные ИТ-системы. Как раз на их стыках мы и наблюдаем проблемы, как в работе сервисов друг с другом, так и серьезные вызовы и риски в информационной безопасности”, - объясняет Ткаченко.
Еще один вопрос - недостаточный уровень компетенции ИТ-специалистов. Технологии быстро устаревают, а потребность в квалифицированных специалистах растет. Часто бизнес сталкивается с несогласованностью ИТ-подразделений с менеджментом в вопросах выделения бюджетов и стратегии развития. Эта формирует ощутимые риски, так как потенциальный исход приводит к репутационным и финансовым потерям.
В Нацбанке считают, что основная слабая сторона малых и средних банков - недостаточная поддержка со стороны руководителей банков. Дескать, они могут не позаботиться о том, чтобы на нужный уровень информбезопасности были выделены соответствующие ресурсы - в том числе и финансовые.
Причем, как добавляет технический директор Октава Киберзахист Алексей Швачка, для безопасного ведения бизнеса в этой области и надежной защиты своих клиентов изобретать велосипед не требуется, все придумано заранее. "Крупные регуляторы в лице как минимум международных платежных систем на сегодня проделали колоссальную работу, доступны глубоко проработанные требования и практические рекомендации обеспечения кибербезопасности банков в целом и данных платежных карт в частности. Нужно только взять и изучить их труд, применить к своим "малым и средним" информационным системам в части их касающейся", - говорит Швачка.
Нацбанк защищает(ся)
Сразу после того, как Petya.A пошатнул всю страну, НБУ инициировал ужесточение требований к информационной безопасности и киберзащите в украинских банках. Результатом публичных обсуждений стало “постановление №95”.
Согласно ему, банки должны поэтапно ввести комплекс мер по информбезопасности:
- 1 этап (основной – введение базовых мер информационной безопасности) – до марта 2018 года;
- 2-й этап (введение дополнительных мер – для повышения уровня зрелости информационной безопасности) – до сентября 2019 года.
Указанные меры включают в себя: защиту от вредоносного кода; меры безопасности при использовании электронной почты; контроль доступа к информационным системам банка; меры безопасности в сети банка; криптографическую защиту информации и тому подобное.
Насколько жестко НБУ контролирует выполнение новых правил? В пресс-службе ответили, что это происходит исключительно в ходе проведения инспекционных проверок. А все санкции прописаны в статье 73 ЗУ “О банках и банковской деятельности”.
Базовые нормы вступили в силу 1 марта 2018 года. И о результатах будет смысл говорить через год. “Большинство принципов и подходов, впервые применяются для банковской системы Украины. Это требует определенного времени для адаптации этих норм как для банков, так и для Национального банка”, - говорят в НБУ.
Кроме того, в конце 2017 года в регуляторе создан Центр киберзащиты.
“Центр киберзащиты Национального банка должен стать основой системы киберзащиты банковской системы Украины и платформой для применения современных технологий выявления и реагирования на киберинциденты”, - отмечают в Нацбанке.
До конца текущего года в Центре должны построить информационно-аналитическую систему. По плану это будет технологическая платформа оперативного обмена информацией об актуальных киберугрозах между банками Украины, другими участниками национальной системы кибербезопасности Украины, отечественными и международными институциями в сфере обеспечения киберзащиты.
Пациент скорее жив?
Самым верным вариантом Ткаченко видит калькуляцию потенциальных затрат. Для реформирования необходимо рассчитывать количество сил, затраченных на изменение и обновление текущей инфраструктуры.
Офисную часть инфраструктуры банка специалист рекомендует выносить в облака.
“Это дает положительный эффект при просчете рисков и общей стоимости владения. Сама же CORE инфраструктура банковских сервисов работает в периметре банковской инфраструктуры и полностью отделена от инфраструктуры ИТ-сервисов для сотрудников”, - объясняет Александр Ткаченко, считая, что облачные провайдеры в срезе своем дают высокий уровень сервиса, который подходит инфраструктурам крупного предприятия или банка.
Нацбанк после Petya.A поднял вопрос киберзащиты на уровень компетенции высшего звена руководства банков. “Постановлением № 95 установлено обязательное требование, что ответственное за информационную безопасность лицо (Chief Information Security Officer, CISO) должно занимать должность не ниже замглавы правления банка”, - отмечают в НБУ.
К тому же теперь в каждом банке должно быть сформировано отдельное подразделение по информационной безопасности. А работать в нем должны штатные сотрудники банка.
“Пока еще доминирует устаревший подход к кибербезопасности - когда она воспринимается как отдельная сущность, которую можно включить и забыть о ней на годы. Однако мы наблюдаем уверенный переход банковской системы на современные схемы построения систем безопасности”, - говорит Александр Ткаченко.