Кибератаки на банки: тренды, уязвимости и роль регулятора
Кибератака, или хакерская атака, — это атака на компьютерную сеть, цель которой — захватить контроль над системой, нарушить нормальное ее функционирование либо заставить её выполнять различные вредоносные задачи.
По данным исследования Positive Technologies, семь из десяти кибератак в 2017 году были совершены с целью получения прямой финансовой выгоды, например, для вывода денег с банковских счетов жертвы. При этом абсолютными лидерами по числу киберинцидентов стали США и Россия. По оценке Сбербанка, ежегодные убытки от кибератак в России составляют более 600 миллиардов рублей.
Банки всегда привлекали преступников, желающих совершить ограбление века и всю жизнь наслаждаться богатством. С развитием технологий сделать это стало проще: уже не нужно врываться в офис банка в масках и с оружием, укладывать всех на пол и требовать открыть хранилище, а затем тащить сумки, набитые купюрами, в машину и под рёв полицейских сирен скрываться от погони. Современное ограбление происходит в полной тишине и не требует присутствия в банке: кибермошенники следят за выявлением новых уязвимостей и применяют их для атак быстрее, чем службы безопасности банков установят соответствующие обновления.
Потенциальному преступнику достаточно приобрести программы для проведения атаки на одном из форумов Даркнета, найти нечистоплотного сотрудника банка и организовать обналичивание похищенных денег. Получается, что проникнуть в сеть банка и похитить многомиллионные суммы может даже не обладающий глубокими техническими знаниями человек.
Уязвимости
Основными объектами кибератак становятся системы межбанковских переводов, процессинговые системы, платёжные шлюзы, дистанционный банкинг и инфраструктура управления банкоматами. Доступ к таким системам может принести злоумышленниками значительно больший доход, чем даже массовый обман клиентов банка.
Каждая группировка кибермошенников использует различные способы для организации кибератаки, но все они, как правило, содержат следующие этапы:
- сбор информации,
- внедрение во внутреннюю сеть,
- закрепление во внутренней сети,
- проникновение в банковские системы и хищение денег,
- сокрытие следов.
Наиболее распространены следующие виды уязвимостей, которые злоумышленники могут использовать для проникновения в банки: уязвимости веб-приложений, недостаточная сетевая безопасность, недостатки конфигурации серверов и недостатки управления учетными записями и паролями.
Основные уязвимости сетевого периметра банков. Источник: Positive Technologies.
Несмотря на отдельные недостатки, банки в целом защищены от кибератак лучше, чем другие организации. Но защита не ограничивается сетевым периметром. Противостоять нарушителям, проникшим во внутреннюю сеть, значительно сложнее. Поэтому злоумышленники обходят системы защиты периметра с помощью фишинговых писем, содержащих вредоносное ПО. Даже однократного открытия вложений из такого письма достаточно, чтобы преступники проникли в корпоративную сеть.
Проникнув в сеть, преступники могут быстро захватить контроль над инфраструктурой банка, эксплуатируя известные уязвимости и легитимное ПО, не вызывающее подозрений у администраторов.
Свежий пример
Вирус, проникший в сеть ПИР Банка через фишинговое письмо, обеспечил злоумышленникам доступ к АРМ КБР (автоматизированному рабочему месту клиента Банка Росси), благодаря чему в ночь на 4 июля 2018 года они вывели с корсчёта банка более 58 миллионов рублей. Вывод денег осуществлялся веерной рассылкой на пластиковые карты физических лиц в 22 банках из топ-50, большая часть денежных обналичена уже в ночь хищения.
Роль регулятора
Для повышения эффективности противодействия кибератакам критически важно обеспечить обмен информацией об инцидентах и атаках внутри отрасли, чтобы другие участники рынка своевременно узнавали индикаторы компрометации и приняли необходимые меры. Осознавая важность этого, Банк России и Правительство РФ разрабатывают комплекс мер для предупреждения кибератак и затруднения дистанционного хищения денежных средств.
В декабре 2014 года президент Владимир Путин утвердил концепцию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ – ГосСОПКА, в которой, в частности, вводится понятие субъектов критической инфраструктуры, среди которых присутствуют в том числе банки.
С 1 января 2018 года в соответствии с Указом №620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» за обнаружение и предотвращение кибератак на российские сети отвечает Федеральная служба безопасности.
Госдума РФ приняла в третьем чтении законопроект, направленный на противодействие хищению денежных средств при совершении операций с использованием систем дистанционного банковского обслуживания (ДБО).
Документ дополняет Федеральный Закон от 27 июня 2011 года №161-ФЗ «О национальной платёжной системе» статьей «Признаки совершения перевода денежных средств без согласия клиента и порядок действий оператора по переводу денежных средств при их выявлении». Этот же законопроект предусматривает возможность создания межбанковского реестра счетов кибермошенников, которые используются для вывода похищенных денежных средств.
В 2017 году с участием ГосСОПКА было отработано более 300 серьёзных компьютерных инцидентов, что более чем в пять раз больше показателей 2016 года.
Что делать, чтобы противостоять атакам на банки
Сложность процесса организации кибератаки позволяет остановить злоумышленника на любом этапе и предотвратить хищение средств, если атака будет вовремя обнаружена. Это возможно, если обеспечить адекватные меры защиты, в числе которых не только установка защитных решений на периметре и антивирусов на файловых серверах, но и обязательная проверка почтовых вложений в изолированном окружении, использование систем обнаружения вторжений (IDS) и незамедлительная реакция на их оповещения.
Серьёзное внимание в защитных мероприятиях следует уделить обучению персонала. Необходимо добиться, чтобы каждый сотрудник знал основные признаки вредоносных писем и чётко осознавал последствия щелчка по ссылке в таком письме или открытия содержащихся в них вложений. С целью повышения осведомлённости персонала в вопросах информационной безопасности банки проводят обучение сотрудников и проверки их доверчивости.
В рамках одной из таких проверок Сбербанк разослал сотрудникам фальшивую новость о запуске корпоративной авиакомпании, чтобы проверить умение отличать мошеннические письма.
В рассылке сотрудникам предлагают перейти на сайт «дочерней организации» Sberbank Airlines и пройти авторизацию с помощью корпоративной учётной записи. В письме говорится, что компания начнёт осуществлять полёты в сентябре 2017 года и для сотрудников Сбербанка предусмотрены льготные цены, например, билеты в Прагу и обратно от шести тысяч рублей.
После нескольких проверок доля сотрудников, открывающих фишинговые письма, сократилось с 80% до нескольких процентов.
Большое внимание, уделяемое противодействию киберпреступлениям на самом высоком уровне, а также системная работа, проводимая в этом направлении регулятором и банками, позволяет прогнозировать постепенное снижение количества успешных кибератак на кредитные организации Российской Федерации.