3 февраля 2019, 15:56
Количество просмотров 443

Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз

По следам юбилейного 10-го ноябрьского ПЛАС-Форума
Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз

Международный ПЛАС-Форума «Банковское самообслуживание,  ритейл и НДО»  является одним из наиболее ожидаемых событий рынка. В 2018 году 10-й юбилейный Форум вновь подтвердил статус самой популярной в России и СНГ площадки индустрии, аудитория которой ежегодно растет. В этот раз посещаемость мероприятия достигла рекордного показателя – 1500+ делегатов. Среди них – признанные эксперты российского и зарубежного рынка, представители банков, платежных систем, регуляторов, крупнейших торговых сетей, вендоров, профильных министерств и ведомств, правоохранительных органов и т. п.

По традиции одной из самых значимых тем Форума стала безопасность. Об этом свидетельствовала масштабная выставка специализированных бизнес-решений, оборудования и технологий ведущих российских и зарубежных компаний, где были широко представлены новейшие разработки и кейсы в области самых различных направлений обеспечения безопасности. Подробный репортаж с экспозиционной части мероприятия, в которой приняли участие и предложили свои продукты, решения и сервисы 75 бизнес-структур, мы разместим в мартовском номере «ПЛАС». А сегодня предлагаем вашему вниманию выступления спикеров специализированной сессии «Безопасность в банкинге 2018. От фальшивомонетничества до физических и киберугроз. Противодействие: бизнес-кейсы от экспертов отрасли», участие в которой приняли признанные российские и зарубежные эксперты отрасли.

Читайте выступления спикеров всех сессий первого и второго дня конференции 10-го юбилейного Международного ПЛАС-Форума «Банковское самообслуживание, ритейл и НДО».


Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.1Павел Ревенков, заместитель начальника Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России, в своем выступлении «ФинЦЕРТ Банка России: атаки на банкоматы, анализ ситуации и меры противодействия» подтвердил, что ФинЦЕРТ продолжает фиксировать случаи логических атак на устройства самообслуживания. Как правило, это происходит при заражении организаций кредитно-финансовой сферы – атакующие получают доступ к устройствам самообслуживания изнутри пострадавшей организации.

Основными угрозами на текущий момент являются атаки с физическим доступом к банкомату (типа BlackBox) – подключение USB-устройства, эмулирующего клавиатуру и способного самостоятельно отправлять команды банкомату, либо подключение ноутбука атакующего через специальный переходник к банкомату. В некоторых случаях (преимущественно на старых моделях) подключение осуществляется к SDC-шине банкомата.

При этом участились случаи, когда исполнитель атаки лишь выполняет инструкции непосредственного организатора, удаленно контролирующего процесс взлома.

Также П. Ревенков рассказал о часто используемых злоумышленниками в различных сценариях атак программах, например, Cutlet Maker (обеспечивает выдачу наличных средств от одной до 50 купюр) и Stimulator (получение информации о количестве и номинале банкнот в устройстве самообслуживания).

Число скимминговых (считывание информации о банковской карте с магнитной полосы с целью создания ее дубликата) и шимминговых (считывание информации с чипа карты с целью создания ее дубликата) практически сошло на нет. Так, в 3-м квартале 2018 года ФинЦЕРТ не зафиксировал ни одной такой атаки.

В качестве предупреждения и снижения ущерба от подобных атак П. Ревенков предлагает регулярное проведение аудита ИБ, разработку моделей угроз и действий нарушителя, строгое следование политикам безопасности и выделение ресурсов на обслуживание, систематическое обновление ПО банкоматов.

Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.2

Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.3Татьяна Александрова, начальник Управления денежных знаков и профилактики фальшивомонетничества Департамента наличного денежного обращения Банка России, рассказала об актуальных вопросах профилактики фальшивомонетничества.

В 2017 году в банковской системе России было выявлено 45 313 поддельных денежных знаков – на 26% меньше, чем годом ранее. Общая сумма поддельных денежных знаков составила 152,4 млн рублей. Для сравнения: в 2016 году подделок было выявлено 61 046 единиц на сумму 204,3 млн рублей.

Чаще всего подделываются купюры крупных номиналов, сообщила Т. Александрова. Доля поддельных банкнот номиналом 5000 рублей в общем числе подделок в 2017 году составила 59,5%, на втором месте – 1000 рублей (38%). Более 90% подделок изготовлено способом струйной печати.

В 2017 г. выявлено 2590 поддельных банкнот иностранных государств,

из них 2343 купюры – долл. США и 194 – евро

В 2017 году было выявлено 2590 поддельных банкнот иностранных государств, из них 2343 купюры – доллары США и 194 банкноты евро. За 9 месяцев этого года выявлено 2018 поддельных иностранных банкнот.

Для предотвращения фальшивомонетничества Банком России проводится постоянная работа по модернизации защитного комплекса денежных знаков, информирование всех категорий пользователей денежной наличности о защитных признаках денежных знаков и способах их проверки, актуализация нормативной базы, регламентирующей требования по проверке машиночитаемых защитных признаков денежных знаков, проведение ведомственной экспертизы денежных знаков в подразделениях Банка России. Во взаимодействии с МВД Банком России проводится работа по профилактике фальшивомонетничества, налажен постоянный информационный обмен между территориальными подразделениями Банка России и МВД России. По обращениям правоохранительных органов Банк России проводит исследование банкнот и обучение экспертов-криминалистов способам определения подлинности денежных знаков.

Одной из тем презентации Т. Александровой были банкноты Банка России образца 2017 года номиналом 200 и 2000 рублей. При разработке денежных знаков принимаются во внимание и результаты опросов общественного мнения, и анализ информации о способах имитации защитных признаков на выявленных подделках. Так, результаты соцопроса показывают, что 58% жителей страны вообще не проверяют банкноты, а 14% – только банкноты номиналом 5000 рублей. При этом, проверяя подлинность банкнот, 75% респондентов смотрят на водяной знак, 57% обращают внимание на защитную нить, 35% проверяют банкнотную бумагу на ощупь.

В целях профилактики фальшивомонетничества Банком России в настоящее время проводится подготовка к запуску проекта по повышению профессиональных компетенций кассовых работников розничных сетей по вопросам определения подлинности и платежеспособности денежных знаков Банка России. Данный проект будет способствовать повышению квалификации кассиров торговых сетей, которые являются первым барьером на пути распространения поддельных денежных знаков. В рамках этого проекта планируется дистанционное обучение кассовых работников торговых предприятий по теме «Признаки подлинности и платежеспособности денежных знаков Банка России» с последующим онлайн-тестированием и выдачей соответствующих отличительных знаков.

Как подчеркнула Т. Александрова, одна из основных задач каждого центрального банка – всегда оставаться на шаг впереди фальшивомонетчиков и максимально затруднить им возможность подделки денежных знаков. Мероприятия Банка России, направленные на профилактику фальшивомонетничества, преследуют главную цель – обеспечение доверия граждан к денежным знакам Банка России.

Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.4

Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.5Павел Легеня, руководитель группы системной интеграции, Thales (тема «Применение платформы Vormetric в финансовом секторе»), посвятил свое выступление технологии Vormetric для защиты данных в финансовой сфере, отметив, что основная цель – защита именно данных, а не периметра их хранения. Система может применяться не только в банковском и финансовом секторе, но и в других сферах. Особенностью перехода на технологии Vormetric является прозрачный старт и работа при постепенном подключении и охвате новых сегментов. Возможна неограниченная масштабируемость системы при несущественной потере производительности (2–5%) отдельных процессов.

Преимущества технологии защиты данных Vormetric – прозрачность для бизнеса и пользователей

Принципы организации продуктов Vormetric: Vormetric Data Security Manager интегрирует управление ключами, политиками безопасности и сбором информации журналов событий в централизованно управляемый кластер, который обеспечивает высокую доступность и масштабируемость для активности тысяч агентов. Vormetric Encryption Expert Agents – программные агенты, которые имплементируются в систему выше слоя файловых систем, логических томов, средств СУБД и приложений. Агенты оценивают любые попытки доступа к защищенным данным и применяют предопределенные политики, обеспечивая либо отклоняя действия пользователя.

Преимущества технологии защиты данных Vormetric – прозрачность для бизнеса и пользователей, для приложений и нейтральность к типу данных. Сильная сторона технологии защиты: защита от суперпользователей, ограничение и наблюдение пользователей и приложений; легкость в применении – при внедрении и в управлении; эффективность – минимальная дополнительная нагрузка, рациональное обслуживание (SLA), масштабируемость и однородность.

В качестве полного спектра решений для сквозной защиты данных П. Легеня предлагает построение систем ИБ и сервисов, комплексные системы, ПО и решения ИБ, использование продукции Thales e-Security (HSM/Vormetric), консультации и исследования в ИБ, аутсорсинг критической IT-структуры, лабораторные исследования и сертификацию сторонних продуктов.

Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.6

Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.7Александр Вураско, специалист компании «Доктор Веб», рассказал о киберугрозах и атаках, способных нанести ущерб информационным структурам финансовых учреждений и индивидуальным пользователям. При этом опасность несут как целевые, так и нецелевые атаки киберпреступников.

В 2018 году Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) выявила свыше 4,3 млрд нападений на критическую информационную инфраструктуру России, из них более 25 млн пришлись на интернет-ресурсы, посвященные ЧМ-2018. А в 2017 году потери только малого и среднего бизнеса России от хакерских атак составили 12 млрд рублей. Европейское агентство по сетевой и информационной безопасности (European Union Agency for Network and Information Security, ENISA) в рейтинге угроз на первое место по киберопасности ставит вредоносное ПО, которое в большинстве случаев применяется совместно с социальной инженерией. Проникновение преступников и овладение их вашими данными возможны с помощью целевых рассылок на личные и служебные адреса сотрудников компаний. Конечной целью кибератак является получение денег. К нецелевым атакам преступниками привлекаются в основном подростки, которые распространяют различные программы и их техническую поддержку. При этом идет заражение компьютеров большого количества пользователей.

А. Вураско отметил и современные аналитические инструменты, которые могут помочь в обеспечении информационной безопасности, разработанные компанией «Доктор Веб». В частности, используя облачные технологии, можно проанализировать файлы и посмотреть, как работают подозрительные и вирусные программы.

Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.8

Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.9Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT ESC), выступил с презентацией на тему «Хакер во внутренней сети банка: что делать, если инфраструктура принадлежит не только вам». По его словам, во втором квартале 2018 года финансовые компании входили в пятерку наиболее атакуемых киберпреступниками типов организаций. При этом в 54% случаев атаки злоумышленников были целевые. Атаки на банки производятся с использованием инструментария и инструкций, которые можно приобрести относительно недорого и без лишних сложностей, а сама атака успешно монетизируется и масштабируется. Для проникновения используются в том числе и открытые данные (для топ-100 кредитно-финансовых организаций можно найти учетные данные в сети). Точно так же уязвимы банкоматы (до 85%), бюджетные организации, проводящие конкурсы, компании-поставщики и партнеры.

В качестве рекомендаций А. Новиков предлагает для защиты от взлома максимально усложнить атаку и повысить ее стоимость, для чего необходимо вычистить внешний периметр, устранить известные уязвимости внутри и подготовить персонал. В качестве профилактики предлагается строить SOC и выстраивать реальные процессы практической безопасности, регулярно проводить аудиты, пентесты, учения и тренировки, независимую оценку уровня своей защищенности, полноценно расследовать инциденты, а не «гасить» симптомы, а также растить компетенции внутри компании, несмотря на сложности.

В случае атаки необходимо минимизировать время нахождения злоумышленника в сети, выявляя взломанные узлы и проводя анализ угрозы.


Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.10Евгений Наумов, менеджер по развитию бизнеса NCR, в своем выступлении «Логическая защита банкоматов от атак. Практический опыт. Анализ основных ошибок. Эффективные пути их преодоления» справедливо подчеркнул, что банкомат отличается от компьютера – большое количество открытых для подключения портов позволяет злоумышленнику применять более широкий спектр возможных векторов атаки на систему. Так, например, Е. Наумов сообщил, что в результате логических атак банкоматов в Малайзии было похищено более 19 млн долларов США, а в Мексике – более 12 млн долларов. Наиболее типичные ошибки защиты банкоматов следующие: снятое с поддержки производителя, морально устаревшее ПО (WinXP) c отсутствием разумных компенсирующих мер, не настроенные штатные средства защиты, например TLS-шифрование и MACирование, а также отсутствие шифрования жесткого диска. Последний недостаток позволяет злоумышленнику подключить жесткий диск к своему устройству, отключить средства защиты, использовать загрузки, повышения привилегий и для несанкционированной выдачи денежных средств. Имеются недостатки межсетевого экранирования: в сетевой инфраструктуре банкоматов не используются или неверно настроены механизмы сетевой безопасности, что может приводить к прямому общению с устройством в обход межсетевого экранирования.

Недостаточно эффективная защита от выхода из режима «сервисный режим» – киберпреступник может использовать «горячие клавиши» и выключить приложения защиты.

Кроме непосредственно физической безопасности, для логической защиты банкоматов Е. Наумов предлагает базовый комплекс мер: запрет загрузки с внешнего носителя, принятие и соблюдение политики управления паролями, установка пароля на редактирование BIOS (чтобы защититься от офлайн-атак с использованием вредоносного ПО), использовать TLS-шифрование или VPN и firewall, внедрить процесс регулярного обновления всего установленного ПО, отключить неиспользуемые сервисы/приложения, применять эффективный механизм защиты от вредоносного ПО, для разграничения прав пользователей создать и использовать разные учетные записи.


Безопасность в банкинге 2018. От фальшивомонетничества до киберугроз - рис.11Евгений Жилин, управляющий директор-начальник Управления противодействия кибермошенничеству, ПАО «Сбербанк», посвятил свое выступление вопросам применения и эффективности математических моделей в борьбе с мошенничеством.

Спикер утверждает, что традиционный исторически сложившийся подход с использованием только правил, разрабатываемых экспертами, более неэффективен (хотя полностью отказываться от них преждевременно). Современное мошенничество стало таким, что необходимо применять математические модели, потому что аналитики уже не могут справиться с такими большими объемами информации.

Использование машинного обучения и математических моделей имеет следующие преимущества по сравнению с системой экспертных правил: может выявлять сложные паттерны фрода, используя все доступные параметры и данные, обрабатывать и обучаться на очень больших объемах данных, выявлять ранее неизвестные типы фрода (аномалии), адаптироваться к изменяющимся и появляющимся схемам мошенничества без необходимости постоянно дописывать новые правила.

В ходе логических атак банкоматов в Малайзии

было похищено более 19 млн долл. США, а в

Мексике – более 12 млн долл.

Результатом работы математических моделей является оценка риска мошенничества – значение, которое можно ранжировать.

Для предотвращения мошенничества разработано несколько математических моделей, например: ансамбль решающих деревьев (в котором используется более 100 параметров), графовая аналитика (выявление через связи новых дополнительных мошеннических реквизитов по уже известным кейсам мошенничества).

Перспективные направления исследований – применение глубоких нейронных сетей (DNN). Сверточные нейронные сети (convolution neural network) – де-факто стандарт в распознавании/сегментации изображения и/или видео. Ключевая идея – представить анализируемую транзакцию и предшествующие ей в виде матрицы («изображения»). При этом можно использовать данные и отправителя, и получателя и представить их в виде многослойных данных аналогично данным изображения. С использованием RNN-сетей удалось выявлять с уровнем, сопоставимым с работой экспертов.

Но на текущий момент результаты исследований, делает вывод Е. Жилин, показывают, что эффективность полученных CNN и RNN-моделей уступает применяемым решениям, основанным на более традиционных алгоритмах работы со структурированными данными, например ансамбли деревьев.

Обязательным условием получения хороших результатов – является feature engineering.  В сущности, работа аналитиков эволюционирует, от процесса написания правил к процессу формирования свойств транзакции, которые дают хороший результат по выявлению мошенничества в используемых моделях.

Объединение моделей оценки риска получателей собственной разработки и графовых алгоритмов с исходной моделью вендора позволило восстановить и поддерживать эффективность противодействия новым кейсам фрода в условиях роста мошеннической активности.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube