Журнал ПЛАС » Архив » 2018 » ЖУРНАЛ ПЛАС №1 »

Кибербезопасность private banking: вектор атак начинает меняться

В самом ближайшем будущем российский private banking столкнется с кибератаками, локализованными под отечественную специфику на основании успешного опыта, полученного преступниками на Западе.

Кибербезопасность private banking: вектор атак начинает меняться


52_2

Алексей Гусев,
научный руководитель, член экспертного совета Института финансового планирования, преподаватель НИЯУ МИФИ. Автор ряда научных работ по обслуживанию российских VIP-клиентов, а также адаптации и практической реализации технологий private banking с учетом отечественной специфики.


Private banking пора готовиться к масштабным кибератакам

Еще в апреле минувшего 2017 года на секции по информационной безопасности VIII ежегодной конференции  по частному капиталу Института Адама Смита (где автор настоящей статьи выступал в качестве не только докладчика, но и модератора), отмечалось – несмотря на заметный рост общего уровня киберугроз, именно российский private banking, в отличие от западного, чувствует себя достаточно спокойно и уверенно. Уже прошлой осенью такой подход отечественного private к оценке сопутствующих рисков стал особенно нагляден, и опять-таки в сравнении с западным. Последний на фоне довольно частых целенаправленных атак на весьма значительные активы своих клиентов был вынужден модифицировать и технологии физической защиты внешнего периметра. Постоянный рост кибератак и их все более увеличивающаяся сложность наряду со смещением вектора атаки (не столько на банки напрямую, сколько через VIP-клиентов) просто не оставляют западному private иного выбора, как возврат к жестким, но хорошо отработанным методикам недавнего прошлого из еще доцифровой эры, о которых мы еще упомянем. Несмотря на то что «большие деньги любят тишину» и поэтому даже успешно отраженная атака несет в себе определенный негатив для private как бизнеса, эта тема активно обсуждалась в конце минувшего года в кулуарах ряда международных профильных конференций, проводимых в Москве (VII Moscow Family Office Forum 2017 и «Частное благосостояние в России»).

53Тем не менее уже сейчас пора начинать готовиться к тому, что в самом ближайшем будущем российский private и его VIP-клиенты столкнутся с кибератаками, которые будут адаптироваться под отечественную специфику именно на основании успешного и уникального опыта проникновения через защиту западного, в первую очередь европейского, private banking. Однако здесь необходимо определиться, на чем именно основана уверенность российского private в своей относительной неуязвимости, и насколько эта позиция может считаться таковой в ближайшем будущем, в случае изменения вектора проникновения. Ведь до сих пор мы имели дело с различными вариациями атак, ориентированными изначально не столько на сам private, сколько на более привлекательный для злоумышленников корпоративный блок и банковскую розницу. В основе таких атак – результаты отработанных, почти «массовых» попыток проникновения через периметр традиционных компаний, работающих в секторах телекома, ритейла и финансовой сферы, модифицированные для преодоления информационной защиты банка в целом.

BYOD-устройства персональных менеджеров хранят важные данные о счетах и операциях VIP-клиентов

Все дело в том, что по сравнению с Европой в России private banking – в большей мере банкинг как таковой. Это менее самостоятельная и автономная структура, обычное подразделение корпоративного или банковского ритейла, в лучшем случае – всего лишь одно из множества бизнес-подразделений, которое приносит определенный доход и, так же как другие, конкурирует за выделяемые ресурсы внутри банка. А потому – прекрасно понимающее, что здесь и сейчас усиливать информационную безопасность можно, конечно, и самостоятельно, но лучше всего – в рамках общебанковских программ, существенно экономя собственные ресурсы и неторопливо выбирая именно те технологии защиты и мониторинга, которые могут пригодиться наилучшим образом. И все это – за счет средств банка и под одобрение руководства: «целевых клиентов ритейла и корпоратов защитили? Отлично, ну а теперь доработайте эти технологии для VIPов, благо отличий не так много, а сравнительная цена ошибки по ним слишком велика!».

Ну а поскольку все информационные системы private так или иначе являются подсистемами общебанковских, защита выстраивается фактически единым фронтом. Да и темпы роста общего количества и сложности атак злоумышленников на корпоративный блок и банковский ритейл, а также на их клиентов и через их клиентов, свидетельствуют о приоритетности этих направлений для банка, что постоянно подчеркивает и регулятор в лице ЦБ РФ. И пока это срабатывает – в основном атакуются другие, более интересные для киберпреступников подразделения и их клиенты.

Брешь 1-я – менеджеры банка

Первая четко видимая брешь, связанная с защитой внешнего периметра private, – персональные менеджеры. Рабочие планшеты и мобильные устройства, с которыми они выезжают к VIP-клиентам, становятся объектами таких же атак со стороны злоумышленников, как и любые BYOD-устройства сотрудников других подразделений. С важной оговоркой – для персональных менеджеров это не внешние, а фактически внутренние рабочие устройства, на которых хранятся достаточно важные данные о счетах и операциях VIP-клиентов. Они легко подвергаются заражению троянами, когда персональный менеджер использует их вне банка, вне защищенной зоны – например, на встрече с клиентом в холле гостиницы или в кафе с легко дискредитируемым WiFi.

Внутренняя статистика говорит о попытке зараженая мобильных устройств персональных менеджеров при каждом пятидесятом внешнем выезде

На профильных конференциях, в том числе и по информационной безопасности, уже отмечались атаки на такие устройства в российском private. В основном это еще не целенаправленные атаки – не на служебное коммуникационное устройство как таковое и не на личные устройства персонального менеджера, обслуживающего определенных VIP-клиентов конкретного банка. Тем не менее вполне очевидно, что такие угрозы – дело ближайшего будущего, поэтому мониторинг возможных проникновений извне постепенно усиливается, вплоть до того, что в ряде организаций мобильные устройства проверяются чуть ли не после каждого выезда персонального менеджера из банка, особенно после его запросов к корпоративным системам извне. Это жестко и неудобно, но внутренняя статистика одного из банков первой рейтинговой десятки за последний год говорит о попытке заражения при каждом пятидесятом внешнем выезде, что не добавляет оптимизма.

Брешь 2-я – подготовка к прошлой войне

Вторая брешь – то обстоятельство, что мы «снова готовимся лишь к прошлой войне» (причем не готовы, а только еще готовимся!). Хотя у банков уже выстроена защита, и причем не только в виде отдельного подразделения информационной безопасности, эффективно взаимодействующего с ИТ-департаментом и другими бизнес-подразделениями и успешно внедряющего решения внешних вендоров по мере необходимости.

54Начнем с того, что в минувшем году российские банки наконец-то стали внедрять системные решения в области защиты. Уже в наступившем 2018 году, согласно оценке Сбербанка, общее количество кибер-преступлений в России может вырасти в четыре раза, причем суммарные потери превысят 1,5 трлн руб. Дело в том, что в условиях быстрого внедрения цифровых технологий и массового использования мобильных устройств компании финансового, телекоммуникационного секторов и ритейла по всему миру чаще прочих подвергаются атакам злоумышленников, поскольку развиваются наиболее активно. Из этой тройки на фоне хорошо развитой ИТ-инфраструктуры и высокого уровня проникновения мобильного банкинга приоритетной целью кибератак в России становятся российские банки и их клиенты. Так, по данным ICS CERT «Лаборатории Касперского», в 2016 году с банковскими троянами столкнулись порядка 4% мобильных пользователей – в два раза больше, чем в занимающей второе место в этом рейтинге Австралии. Более того, за счет эффекта масштаба Россия постепенно становится своеобразной тестовой средой для отработки нового вредоносного ПО – например, вирус Svpeng распространялся в 2016 году только у нас.

В private banking клиентов существенно меньше, а общий объем их активов велик, что повышает их чувствительность к атакам

В результате лучшее, на что мы рассчитываем, – это на повторение уже известной и отработанной на ком-то кибератаки, к защите от которой мы так или иначе готовы. Приобретая дорогостоящие средства информационной защиты, мы напрочь забываем, что злоумышленник располагает достаточным временем, чтобы выстроить или адаптировать эффективную атаку, используя методы той же социальной инженерии и zero-day- уязвимости, явно не отраженные в базе известных киберугроз. Это дискредитирует саму концепцию формального моделирования угроз в рамках превентивного контроля и свидетельствует о том, что необходимо менять парадигму, исходить из того, что защита первого уровня – внешний периметр корпоративной сети – может быть легко обойдена.

Поэтому отдельные отечественные банки все чаще начинают использовать достаточно сложные, дорогостоящие решения второго уровня. Так, постепенно набирают популярность детектирующие системы контроля: программы эмуляции виртуальной среды, имитирующие работу внутрибанковских систем («песочницы»), и различные искусственные заведомо уязвимые объекты («медовые ловушки»), заставляющие злоумышленника проявить себя. Если в западном private такой подход уже давно стал стандартом безопасности, то в российском пока неторопливо ожидают внедрения соответствующих решений на общебанковском уровне. Это отмечалось и в кулуарах последних осенних конференций.

В первую очередь новый стандарт обеспечения кибербезопасности будет внедряться в более привлекательные для злоумышленников, а значит, подверженные более высокому риску корпоративный блок и банковскую розницу, и только после этого последует уже не столь затратная адаптация к специфическим задачам privat. В этом случае защита запоздает, но обойдется не так дорого, как если бы она финансировалась из собственных средств подразделения private или внедрялась одновременно во всех подразделениях.

В то же время задержка может оказаться весьма условной, поскольку очень часто под VIP-клиентами в российском private понимают собственников бизнеса и клиентов верхней части розницы – affluent и mass affluent, весьма близких в плане организации их информационной безопасности к корпоративному блоку и рознице.

И все же риски сохраняются, поскольку даже одна случайная, но успешная кибер-атака может оказаться ощутимой не только для клиента, но и для репутации подразделения. В том же корпоративном блоке и рознице она просто игнорируется, теряется на общем фоне и включается в «неизбежные сопутствующие потери». В private клиентов существенно меньше, а общий объем их активов велик, что повышает их чувствительность к атакам. К тому же вполне вероятный последующий уход недовольного VIP-клиента – это потеря не только его одного, но и других близких к нему VIP-клиентов (за счет падения репутации private, не способного защитить от киберугроз). По этой причине нужна точечная, рассчитанная именно на специфику private защита.

Да, угрозы пока редки и во многом случайны. Последнее заставляет российский банк выстраивать защиту по принципу «чуть лучше, чем в среднем по рынку», чтобы в первую очередь атаковали не его, а другой банк. Минимум усилий, максимум эффекта. Средний уровень здесь отнюдь не снижается и даже повышается благодаря достаточно жесткой позиции регулятора в лице Банка России и различным подзаконным актам, но прежде всего благодаря тому, что в 2017 году ЦБ РФ были запланированы проверки более чем ста коммерческих банков!

Российский VIP-клиент – это не просто физическое лицо, собственник бизнеса или весьма состоятельный рантье

Не будем забывать, что на практике уровень «выше среднего» вполне успешен, а отдельные аспекты в уже сложившейся структуре информационной защиты могут усиливаться точечно. Прежде всего это заслуга сторонних вендоров, весьма эффективно просвещающих банки. Например, проводились семинары по таким темам, как постоянное обновление общей базы данных по отдельным угрозам («Cobalt в действии: 40 дней от проникновения в сеть до вывода 2 млн долл. США») и новые методики совершенствования защиты («Игра на опережение: как выявить следы компрометации IT-инфраструктуры и провести полномасштабные боевые учения для команды безопасников с имитацией целевых атак с использованием самых продвинутых методов и инструментов хакеров»). Тем не менее все это – снова общебанковская защита, а не точечная, которая так нужна private.

55

Брешь 3-я – VIP-клиент и его близкое окружение

Но остается еще главная брешь – сам VIP-клиент, для которого удобство доступа нивелирует все риски. В своих компаниях такие клиенты обладают правами администраторов даже на рабочих устройствах, и с этим практически невозможно бороться. Если можно отслеживать атаки через сотрудников банка и их устройства и обязать персонал сдавать тесты на знание основ информационной безопасности, то добиться того же от VIP-клиента весьма проблематично. Здесь могут сработать разве что специальные рассылки и разъяснения или даже индивидуальные курсы по основам информационной безопасности. Они могут проводиться не только для VIP-клиента, но и для членов его семьи, ключевых сотрудников его бизнеса.

В начале 2018 года должны стартовать несколько пилотных проектов такой направленности. Если и это не сработает, остается только пассивно отслеживать угрозы после каждого контакта с VIP-клиентом, особенно если он посещает банк на постоянной основе. Но такой подход еще не гарантирует безопасности. Статистика говорит о том, что каждое двадцатое посещение private клиентом или его доверенным лицом осуществляется при наличии у него зараженного устройства. До старта целенаправленных атак такого рода осталось совсем немного, поэтому с уверенностью в информационной безопасности своих ресурсов российскому private banking следует расстаться, и как можно быстрее.

Здесь необходимо учесть, что российский VIP-клиент – это не просто физическое лицо, собственник бизнеса или весьма состоятельный рантье. Как уже говорилось, отечественному private необходимо научиться защищать не только клиента, но и членов его семьи, которые могут даже не обслуживаться в том же банке. Их информационная защита как физических лиц отнюдь не на высоте, и они далеко не всегда готовы (читай – почти никогда) заниматься ею сами. Полагаясь на свой особый статус, VIP-клиент предпочитает переложить эти задачи на private. К этому надо быть готовым, ведь через зараженный и непроверенный мобильный телефон ребенка можно получить доступ к банковским счетам его отца, VIP-клиента. А еще остается бизнес VIP-клиента, который обслуживается наряду с его личным состоянием, и здесь возникают схожие вопросы о том, кто и как именно должен и может защищаться от угроз. Бывает, что при ведении бизнеса клиент относит к числу доверенных лиц своих родственников, это дополнительно снижает безопасность и увеличивает расходы со стороны private, а затем и банка.

P.S.Но если банк еще сможет как-то защититься, то для VIP-клиента ситуация может оказаться просто плачевной. Именно поэтому private необходимо инициировать пересмотр сложившейся практики, пока – в расчете на самый пессимистичный сценарий – еще остается некоторое время на подготовку.


Алексей Гусев
Институт финансового планирования НИЯУ МИФИ
+7 916 959 6331 alexei.gusev@mail.ru

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных