В Москве прошел круглый стол «Безопасность платежного бизнеса и наличного обращения»
Директор департамента информационной безопасности МКБ Вячеслав Касимов в роли модератора круглого стола поднял следующие актуальные темы, которые были освещены участниками мероприятия в ходе оживленной дискуссии:
· Киберуязвимость банкинга и платежной индустрии. Специфика нынешнего периода. Импортонезависимость и другие актуальные стратегии кибербезопасности 2023.
· Существенный рост кибератак. Основные векторы современной преступной активности. Уязвимости. Меры противодействия.
· Контроль защищенности в финансовых организациях: аудит, оценка защищенности, PEN-тестирование, киберучения. Новые тенденции.
· Социальная инженерия как инструмент в экономической войне против банковского сектора РФ и российских граждан.
· Финансовая грамотность. Реальный инструмент противодействия социальной инженерии. Насколько достижим желаемый результат.
· Противодействие мошенничеству с использованием ЭСП. Инициативы Банка России: достаточно ли этого?
· Как мы чувствуем себя без основных вендоров, поставлявших банковскому сообществу решения безопасности.
· Фрод мониторинг за доли секунд? Все ли готовы к таким космических скоростям?
· Новая защита. Биометрия (риски, атаки и методики).
· Повышение безопасности банкоматных сетей. Возможна ли безопасность АТМ в современном мире?
· Текущий уровень защищенности банкнот как противодействие фальшивомонетничеству. Решения, технологии, бизнес-кейсы.
Говоря о безопасности, независимый эксперт Павел Есаков отметил: «Кстати о дропперах. Специалисты тех компаний, что работают в этой области говорят: мы видим резкий всплеск атак, связанных с инжекцией. Да, для веб-интерфейса – это дело одной секунды. Достаточно использовать виртуальную камеру. Для мобильного устройства такая камера тоже имеется. Для Android и iPhone – тоже; хотя тут, конечно, проще проконтролировать, что сигнал идет с реального сенсора, а не с виртуальной камеры, а в интернете это проконтролировать невозможно. Другое дело – биометрия в банкомате. Довольно мала вероятность того, что злоумышленник сможет добраться до камеры в банкомате, подключить к ней свое устройство. Это задача сложная. А вот – устройство самообслуживания, которое находится в руках самого клиенты, тут биометрия – это палка о двух концах. Это удобно, но увы, небезопасно».
Продолжая диалог, модератор сессии Вячеслав Касимов, директор департамента информационной безопасности МКБ, обратился к представителю регулятора с вопросом на тему борьбы с дропперами, в частности, о возможности введения административных штрафов за их деятельность.
На это вопрос ответил начальник Центра мониторинга и анализа информационной безопасности и киберустойчивости Банка России Алексей Голенищев. Он прокомментировал ситуацию следующим образом: «Работа в этом направлении ведется. В первую очередь нужно вспомнить, федеральный закон № 369, который был принят 24.07.2023. Закон 369-ФЗ внес изменения в ФЗ «О национальной платежной системе» и обязывает банки и платежные системы проверять все денежные переводы физических лиц на мошенничество и приостанавливать на срок 2 дня подозрительные операции.
Деньги, переведенные без согласия клиентов на счета злоумышленников, которые находятся в базе Банка России, будут возвращены. Этот закон вступит в силу – через год – 25 июля 2024 года. Кроме того, в марте 2023 года был введен стандарт Банка России – СТО БР БФБО-1.7-2023 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств». Его введение направлено на противодействие операциям по переводу денежных средств без согласия клиента с использованием технологии цифровых отпечатков устройств. Таким образом, данный стандарт описывает технологию сбора параметров устройств тех клиентов, которые были замечены в противоправной деятельности. Это делается для того, чтобы по этому набору параметров – по так называемому «цифровому следу» участники рынка также смогли бы выявлять дропов и блокировать эти устройства, предотвращая возможность их дальнейшего использования. Это касается тех устройств, которые уже были замечены при совершении подобных противоправных операций. Учитывая, что подобные устройства стоят очень приличных денег – эта мера может быть довольно действенной».
Упомянув о необходимости повышения финансовой грамотности населения, Павел Есаков подчеркнул: «Это очень важный момент. Поскольку мы, конечно же, можем сделать более надежные средства аутентификации клиента, но, если сам клиент добровольно отдает, например, коды подтверждения – мошеннику, что в такой ситуации может сделать банк?».
Антон Бочкарев, CEO/Сооснователь компании «Третья сторона», эксперт по кибербезопасности в своем докладе обратил внимание на необходимость более тщательной подготовки персонала для обеспечения безопасности.
«С начала СВО организации начали более серьезно и менее формально подходить к вопросам безопасности, – подчеркнул эксперт. – Тренд сегодня смещается в сторону необходимости противодействия недопустимым событиям, поскольку достижение успеха в случае защиты программы от атаки на корню, зависит не от средств, а от команды. В современных реалиях аудит стал более процессной и организационной историей. Любая организация должна делать ставку на собственных сотрудников или на сотрудников по найму, и проверять их наиболее жестким образом».
Независимый эксперт Николай Пятиизбянцев в своем докладе рассказал, что со стороны мошенников во время телефонных звонков действуют профессиональные психологи. Не редкость кейсы, в которых потерпевшие говорят о том, что не могут объяснить, как совершили то, о чем их попросил злоумышленник, то есть попросту не могут найти объяснения такому поведению.
Также среди последних трендов этого сектора преступности докладчик упомянул тот факт, что мошенники научились с помощью технических средств «пеленговать» оказываемые им меры противодействия и принимать контрмеры. Цель таких преступлений чаще всего состоит в том, чтобы набрать кредитов до такой степени, что жертва становится банкротом, при этом организаторы преступления чаще всего находятся за границей.
Как отметил Антон Бочкарев, преступники хорошо владеют навыками социальной инженерии, поэтому интересны следующие статистические выкладки. Около 7% людей всегда выполняют указания злоумышленников и ниже этот показатель не падает. Когда в момент атаки человек находится в состоянии стресса или эйфории, у него снижается критическое мышление. Цель злоумышленника застать жертву в этом состоянии. Именно поэтому надо объяснять потенциальным целям мошеннических действий, что при подобных звонках надо, не анализируя информацию, поступающую от собеседника, сразу вешать трубку.
Интересно, что миф о том, что жертвами таких преступлений чаще всего становятся люди пожилого возраста, не подтверждается: чаще всего на удочку злоумышленников попадают люди 30–39 лет, поскольку эта возрастная категория чаще других находятся в состоянии стресса, потому что постоянно загружена рабочими задачами.
Данила Николаев, директор некоммерческого партнерства «Русское биометрическое общество», председатель ТК 098 Биометрия и биомониторинг (Росстандарт) рассказал о плюсах и минусах биометрии для защиты клиентов. Поскольку преступники постоянно технически перевооружаются, то атака на биометрическую защиту при транзакциях свыше 100 тыс. рублей будет гарантированно успешна. Опаснее всего в этом плане веб-камеры, поскольку с ними проходит большое количество простых атак. В будущем дополнительно к снятию биометрических данных, возможно, будет добавляться измерение пульса клиента и проверка изменений его голоса. Эти показатели позволят выявить волнение потенциальной жертвы мошенников, переводящей деньги злоумышленникам.
Антон Плинатус, заместитель начальника отдела управления криминалистических экспертиз, ЭКЦ МВД, выступил с докладом о текущем уровне защищенности банкнот как противодействии фальшивомонетничеству. По словам докладчика, динамика возбуждения дел о фальшивомонетничестве в прошлом году снизилась почти на 50% – эта преступная индустрия переживает спад.
Основные предметы подделки среди бумажных денег – рубли и американские доллары. Наиболее популярна подделка пятитысячных рублевых купюр 2007 года выпуска, последние годы к ним добавились двухтысячные купюры. Обычно для подделки бумажных денег используется обычный принтер в сочетании с отдельными приспособлениями для воспроизведения отдельных элементов, вплоть до микропечати. Докладчик отдельно отметил, что изначально такие фальшивки предназначены не для банкоматов, обмануть которые довольно сложно, а для обычных людей. Как отметил в заключение эксперт, несмотря на неуклонный рост популярности электронных денег, подделывать наличные будут до тех пор, пока они остаются в ходу.