Фото - iStock/Global Images Ukraine

Банковская кибербезопасность - одна из самых закрытых тем для обсуждения. Многие банки охотно рассказывают, как простодушные граждане по незнанию отправляют пароли мошенникам и теряют деньги. Учить клиентов не светить данные карт кому попало - дело полезное и публичное. Но стоит спросить о back-end и технической стороне защиты, пресс-службы утихают.

“К сожалению, подобную информацию банк не разглашает, она является конфиденциальной”, - ответили журналисту LIGA.net в трех банках разного масштаба.

Подавляющее большинство финучреждений не готово рассказывать подноготную даже на условиях анонимности. Винить их в этом нельзя - деньги любят тишину. Особенно чужие.

На что банкам стоит делать упор в киберзащите? Как отразились вирусные атаки на укреплении цифровых крепостей? И какие дыры существуют в кибербезопасности финучреждений?

LIGA.net попробовала приоткрыть плотный занавес проблем и их решений.

Дыра №1: банкоматные троянские кони

Держатели банковских карт хорошо знают правило осматривать внешний вид банкомата, прежде чем вставлять в него карту. Не налеплено ли каких-то "левых" считывающих устройств? Форма клавиатуры соответствует картинке? Нет ли дополнительных камер? Но хитрости могут поджидать и внутри.

По словам Льва Коршевнюка, директора консалтинговой аналитической фирмы ИнфоЭксперт, в банкоматах в качестве системы управления стоит компьютер, на многих из которых установлена операционная система Windows. Для управления непосредственно банкоматом требуется установка специализированного программного обеспечения. А специализированного - значит, недешевого.

Здесь у небольших банков появляется искушение сэкономить. Поэтому некоторые из них ставят на банкоматную операционную систему нелицензионное ПО.

“Отдельные злоумышленники специально выбрасывают на рынок или дают возможность легкого доступа к такому ломаному ПО с заранее вставленной в код специальной заплаткой - троянским конем. Технические специалисты банков, установив такое ПО, фактически предоставят злоумышленникам доступ к удаленному управлению банкоматом и ко всем данным, проходящим через него”, - утверждает Лев Коршевнюк.

Такого рода экономия может привести к получению злоумышленниками данных, в том числе данных платежных карт вместе с PIN-кодами к ним всех воспользовавшихся таким банкоматом.

“Бывали и случаи, когда злоумышленники подходили к банкомату с таким установленным ПО, вместо PIN-кода вводили только им известный код и получали полный контроль над устройством. Например, инициировали полный выброс всех денег из кассет банкомата”, - говорит Коршевнюк.

По его словам, таким атакам подвержены некрупные банки - они экономят на всем, включая и квалификацию специалистов отделов безопасности.

Дыра №2: кассовые мошенничества

Чтобы утащить информацию о платежной карте, “трояну” необязательно сидеть в банкомате. Лев Коршевнюк рассказывает еще об одном рисковом месте - торговых сетях. В некоторых из них связь платежного терминала с банком осуществляется через компьютер, который находится на кассе. В ПО, ответственное за коммутацию с таким терминалом и банком, злоумышленники и стараются установить свою “аплатку.

“Если в ситуации с банкоматами убытки зачастую несут сами банки и очень не любят это разглашать, то в супермаркетах атаке подвергаются обычные люди, добросовестные клиенты любого другого, тоже добросовестного банка. Они даже могут выполнять все меры предосторожности и хранить данные карт в тайне, а их банк – серьезно заботиться об их безопасности. Но злоумышленники получат данные карты "по дороге" от платежного терминала к банку”, - говорит Коршевнюк.

Он советует пользоваться более дорогими чипованными картами и контролировать все операции через SMS-банкинг. А в случае несанкционированного снятия денег немедленно звонить в банк и заявлять о мошеннической операции.

Лев Коршевнюк утверждает, что с такими кейсами он сталкивался в трех украинских банках. И не сомневается, что они носят системный характер.

Дыра №3: письма несчастья

О механизме хитрых фишинговых писем рассказал Дмитрий Покотило, управляющий партнер интернет-магазина F.ua.

В электронном письме можно размещать формы для заполнения. Таким инструментом среди прочих пользуются некоторые интернет-магазины, чтобы покупателю было проще оставить отзыв о продукте без перехода на сайт. И даже отправлять ответное письмо не нужно. К примеру, это работает, если сделать форму опроса в Google Forms и отправить ее на e-mail.

"Представьте, что подобное письмо приходит якобы от банка, - объясняет Дмитрий Покотило - По интерфейсу - такое же, как у банка. С формой и вежливым текстом, что замечена подозрительная активность и нужно ответить на вопросы формы, чтобы проверить персональные данные. И человек может передать информацию, необходимую для идентификации его карты или дать доступ к интернет-банкингу”.

Интересно, что письмо стараниями мошенников может прийти не с адреса, который лишь отдалённо напоминает адрес банка, например, warning@ppprivatbbbank.ua, а с настоящего домена банка. А это - хороший аргумент, чтобы последовать инструкции.

Чтобы уберечься от подобного рода хитростей, существует такой механизм как DMARC - Domain-based Message Authentication, Reporting and Conformance. Он описывает, кто может отправлять письма с конкретного домена и что делать с подозрительным письмом. А подозрительным письмо становится на основе проверок подписи DKIM (DomainKeys Identified Mail), а также перечня разрешенных IP-адресов или доменов в записи SPF (Sender Policy Framework).

Проще говоря, правильно настроенная политика DMARC позволяет подозрительные непроверенные письма класть в спам или даже не доставлять.

Специалисты F.ua прошлись по основным украинским банковским доменам и обнаружили, что у многих из них такой механизм отсечения не настроен или настроен частично.

“Это, конечно, не огромная дыра в безопасности. Но пока банки не устранят ее, стоит придирчиво относиться и к содержанию письма, а не только к адресу отправителя”, - резюмирует Дмитрий Покотило.

Откуда берутся дыры

"Примеры угроз, описанных выше, очень специфичны для постиндустриального общества, в котором на первый план во всех направлениях выходит киберпространство, - рассказывает основатель компании Октава Киберзахист Александр Кардаков. - То, что многие до сих пор воспринимают это через призму устаревших представлений, как раз и даёт возможность кибермошенникам развернуться в полный рост".

Сергей Поята, операционный директор компании ISSP, делит банковское мошенничество на два типа:

· внутреннее - под него подпадают случаи злоупотребления полномочиями и доступом к информации со стороны сотрудников банка;
· внешнее - случаи воздействия внешних злоумышленников на ресурсы банка или конечных клиентов.

В случаях первого типа все зависит от качества процессов и внутреннего контроля информационной безопасности. Для каждой организации они уникальны.

А на количество инцидентов второго типа влияет тенденция предоставления внешнего доступа к банковским продуктам. Банки соревнуются в новых продуктах, чтобы клиенту было еще (и еще, и еще) удобнее распоряжаться деньгами. Это системы интернет-, мобильного и телефонного банкинга, управление счетами через чаты и мессенджеры.

“В борьбе бизнеса за первенство на рынке данных услуг вопросы их безопасности не успевают адекватно и комплексно масштабироваться”, - говорит Сергей Поята.

Он называет еще один фактор - несовершенство действующего законодательства, исполнительной и судебной практики по выявлению и пресечению мошеннических действий в киберпространстве. А это провоцирует злоумышленников.

Это подтверждает и Дмитрий Ковалевский из Monobank: “При построении систем киберзащиты больше опираемся на свой опыт. Зарубежные банки во многом находятся в более тепличной атмосфере - люди более законопослушные и силовые блоки работают”.

По мнения Сергея Пояты, защита внешних платежных сервисов требует системного подхода. Среди действенных механизмов он называет такие:

  • безопасность разработки и администрирования сервисов, включая периодические проверки защищенности (Secure SDLC, Vulnerability Assessment, Pentest, Security Audit);
  • защита доступа и выполнения критических операций (Multi Factor Authentication, One Time Password, Transaction Authorization Code or Challenge-Response Authorization);
  • мониторинг действий и операций (User and Entity Behavior Analytics, Antifraud Monitoring);
  • повышение осведомленности пользователей (User Awareness Training).

Корни проблем

Чем больше банк, тем выше уровень риска и тем выше его расходы на безопасность. С другой стороны, у крупного банка и “мешок с деньгами” побольше. Более мелкие финучреждения таким похвастаться не могут. Но это не освобождает их от ответственности перед клиентами.

Как считает основатель Октава Киберзахист Александр Кардаков, экономить на жизненно необходимых мерах защиты – это все равно, что при заселении в новое жилье оставить входную дверь без замка, аргументируя, что на него же надо денег потратить.

"Опираясь на свой личный опыт и знания, могу точно сказать – ничего запредельно сложного или сверхдорогостоящего в этом нет", - уточняет он.



Но не только в деньгах дело.

Александр Ткаченко, Solution Manager компании ISSP, сравнивает банковскую ИТ-инфраструктуру с бумажным шаром, который с каждым новым слоем становится более сложным и массивным. В определенный момент процесс собирания шара передается на следующий уровень другой команде. Зачастую, новые люди вместо того, чтобы работать по заданному вектору и продолжать увеличивать шар, принимаются создавать новый. И так неограниченное количество раз. Но шары физически не могут быть полностью объединены в одну монолитную платформу.

“А теперь представьте, что вместо шаров у нас реальные ИТ-системы. Как раз на их стыках мы и наблюдаем проблемы, как в работе сервисов друг с другом, так и серьезные вызовы и риски в информационной безопасности”, - объясняет Ткаченко.

Еще один вопрос - недостаточный уровень компетенции ИТ-специалистов. Технологии быстро устаревают, а потребность в квалифицированных специалистах растет. Часто бизнес сталкивается с несогласованностью ИТ-подразделений с менеджментом в вопросах выделения бюджетов и стратегии развития. Эта формирует ощутимые риски, так как потенциальный исход приводит к репутационным и финансовым потерям.

В Нацбанке считают, что основная слабая сторона малых и средних банков - недостаточная поддержка со стороны руководителей банков. Дескать, они могут не позаботиться о том, чтобы на нужный уровень информбезопасности были выделены соответствующие ресурсы - в том числе и финансовые.

"Что касается малых и средних банков, отвечу так: "Назвался груздем – полезай в кузовок". Если некий бизнес решил гордо именоваться банком, надо соответствовать", - подчеркивает основатель компании Октава Киберзахист Александр Кардаков.

Причем, как добавляет технический директор Октава Киберзахист Алексей Швачка, для безопасного ведения бизнеса в этой области и надежной защиты своих клиентов изобретать велосипед не требуется, все придумано заранее. "Крупные регуляторы в лице как минимум международных платежных систем на сегодня проделали колоссальную работу, доступны глубоко проработанные требования и практические рекомендации обеспечения кибербезопасности банков в целом и данных платежных карт в частности. Нужно только взять и изучить их труд, применить к своим "малым и средним" информационным системам в части их касающейся", - говорит Швачка.

Нацбанк защищает(ся)

Сразу после того, как Petya.A пошатнул всю страну, НБУ инициировал ужесточение требований к информационной безопасности и киберзащите в украинских банках. Результатом публичных обсуждений стало “постановление №95”.

Согласно ему, банки должны поэтапно ввести комплекс мер по информбезопасности:

  • 1 этап (основной – введение базовых мер информационной безопасности) – до марта 2018 года;
  • 2-й этап (введение дополнительных мер – для повышения уровня зрелости информационной безопасности) – до сентября 2019 года.

Указанные меры включают в себя: защиту от вредоносного кода; меры безопасности при использовании электронной почты; контроль доступа к информационным системам банка; меры безопасности в сети банка; криптографическую защиту информации и тому подобное.

Насколько жестко НБУ контролирует выполнение новых правил? В пресс-службе ответили, что это происходит исключительно в ходе проведения инспекционных проверок. А все санкции прописаны в статье 73 ЗУ “О банках и банковской деятельности”.

Базовые нормы вступили в силу 1 марта 2018 года. И о результатах будет смысл говорить через год. “Большинство принципов и подходов, впервые применяются для банковской системы Украины. Это требует определенного времени для адаптации этих норм как для банков, так и для Национального банка”, - говорят в НБУ.

Кроме того, в конце 2017 года в регуляторе создан Центр киберзащиты.

“Центр киберзащиты Национального банка должен стать основой системы киберзащиты банковской системы Украины и платформой для применения современных технологий выявления и реагирования на киберинциденты”, - отмечают в Нацбанке.

До конца текущего года в Центре должны построить информационно-аналитическую систему. По плану это будет технологическая платформа оперативного обмена информацией об актуальных киберугрозах между банками Украины, другими участниками национальной системы кибербезопасности Украины, отечественными и международными институциями в сфере обеспечения киберзащиты.

Пациент скорее жив?

“События, связанные с последними масштабными хакерскими атаками и менее известными локальными инцидентами, показали, что банковская отрасль нуждается в определенных переменах. Не только в технической составляющей, но и в организационной”, - отмечает Александр Ткаченко, Solution Manager компании ISSP.

Самым верным вариантом Ткаченко видит калькуляцию потенциальных затрат. Для реформирования необходимо рассчитывать количество сил, затраченных на изменение и обновление текущей инфраструктуры.

Офисную часть инфраструктуры банка специалист рекомендует выносить в облака.

“Это дает положительный эффект при просчете рисков и общей стоимости владения. Сама же CORE инфраструктура банковских сервисов работает в периметре банковской инфраструктуры и полностью отделена от инфраструктуры ИТ-сервисов для сотрудников”, - объясняет Александр Ткаченко, считая, что облачные провайдеры в срезе своем дают высокий уровень сервиса, который подходит инфраструктурам крупного предприятия или банка.

Нацбанк после Petya.A поднял вопрос киберзащиты на уровень компетенции высшего звена руководства банков. “Постановлением № 95 установлено обязательное требование, что ответственное за информационную безопасность лицо (Chief Information Security Officer, CISO) должно занимать должность не ниже замглавы правления банка”, - отмечают в НБУ.

К тому же теперь в каждом банке должно быть сформировано отдельное подразделение по информационной безопасности. А работать в нем должны штатные сотрудники банка.

“Пока еще доминирует устаревший подход к кибербезопасности - когда она воспринимается как отдельная сущность, которую можно включить и забыть о ней на годы. Однако мы наблюдаем уверенный переход банковской системы на современные схемы построения систем безопасности”, - говорит Александр Ткаченко.