1333
Актуальные аспекты безопасности платежного бизнеса. Итоги круглого стола
В роли модератора круглого стола выступил директор департамента информационной безопасности МКБ Вячеслав Касимов, поднявший следующие актуальные темы, которые были обсуждены участниками мероприятия в ходе оживленной дискуссии:
- Киберуязвимость банкинга и платежной индустрии. Специфика нынешнего периода. Импортонезависимость и другие актуальные стратегии кибербезопасности 2023.
- Существенный рост кибератак. Основные векторы современной преступной активности. Уязвимости. Меры противодействия.
- Контроль защищенности в финансовых организациях: аудит, оценка защищенности, PEN-тестирование, киберучения. Новые тенденции.
- Социальная инженерия как инструмент в экономической войне против банковского сектора РФ и российских граждан.
- Финансовая грамотность. Реальный инструмент противодействия социальной инженерии. Насколько достижим желаемый результат.
- Новая защита. Биометрия (риски, атаки и методики).
Говоря о безопасности при защите биометрических данных, независимый эксперт Павел Есаков отметил: «Вопрос о защите биометрических данных достаточно неоднозначен — в основе биометрии лежит возможность отличить живой субъект от артефакта, сделанного на основе биометрических данных субъекта». По мнению спикера, сами по себе биометрические данные не есть секрет — для их получения есть масса приемов, в том числе и без ведома субъекта:
Именно поэтому огромную роль в надежности биометрической идентификации/аутентификации играет наличие надежно работающей системы обнаружения атак на биометрическое предъявление. Так, например, отсутствие подобной системы при использовании отпечатков пальца для разблокировки смартфонов позволяет сравнительно легко обойти данную систему аутентификации. Например, исследователи разработали набор «MasterFingerprints», позволяющий разблокировать смартфон с вероятностью 20% при вероятности ложного допуска 0,1% (стандартное значение для смартфонов).
Учитывая важность систем обнаружения атак на биометрическое предъявление, крайне необходимо иметь возможность объективно оценить характеристики таких систем. Для определения последних необходимо наличие лабораторий, работающих по единому стандарту. Такой стандарт имеется, но разработанный в 2011 году стандарт ISO-30107-x (российская версия ГОСТ 58624-х) несколько устарел, в результате некоторые встречающиеся в реальной жизни механизмы атак в стандарте уже не подпадают под тестирование. Более того, стандарт не устанавливает каких-либо требований по уровню ошибок, он лишь предписывает методику тестирования и замеряемые параметры.
По словам Данилы Николаева, директора некоммерческого партнерства Русское биометрическое общество, председателя ТК 098 Биометрия и биомониторинг (Росстандарт), в документах Минцифры требования к уровню ошибок установлены.
Но наличие требований при отсутствии лабораторий смотрится несколько странно. В мире имеются две лаборатории, аккредитованные в системе NVLAP (NIST), но они для российских разработчиков недоступны. Имеется ряд лабораторий, аккредитованных при консорциуме FIDO, но российских лабораторий там нет.
В свою очередь, эксперт по кибербезопасности Антон Бочкарев, CEO / Сооснователь компании «Третья сторона», упомянув о рисках социальной инженерии, обратил внимание на необходимость более тщательной подготовки персонала для обеспечения безопасности. По его словам, «в ходе дискуссии с коллегами по кибербезопасности в банковской сфере обсуждали вопрос социальной инженерии, который стоит довольно остро. Предлагались разные решения. Кто-то говорил, что банкам нужно больше заниматься этой проблематикой, кто-то утверждал, что следует уделять больше внимания аспектам финансовой грамотности среди клиентов. Другие считали, что данная тема — зона ответственности регулятора. Поэтому нужно в первую очередь бороться с теми соучастниками преступлений, которые непосредственно выводят средства со счетов, то есть с так называемыми дропами. Сегодня состоялась довольно жаркая дискуссия. К единому мнению прийти не удалось. Но это и неудивительно, ведь социальная инженерия — это очень сложная модель атаки. Поэтому всегда будут существовать новые вызовы, разные точки зрения на проблему и жаркие споры по данному вопросу».
Независимый эксперт Николай Пятиизбянцев, сославшись на статистические данные, сделал следующие выводы: «Анализ статистики МВД РФ за первое полугодие 2023 года позволяет сделать предположение, что текущий год покажет определенный рост преступности в сфере информационно-телекоммуникационных технологий или компьютерной информации.
Тенденции последнего времени свидетельствуют, что акцент преступников сместился на хищение кредитных средств. Клиенту банка сообщают, что его данные скомпрометированы, третьи лица пытаются оформить на него кредиты, их сообщники находятся в банке. Чтобы спасти деньги, необходимо «перебить кредиты», «исчерпать кредитную историю», перевести денежные средства на «безопасный счет». Как правило, денежные средства помогают «спасти» мнимые «сотрудники» Центрального банка и ФСБ РФ. Жертве, как правило, угрожают уголовной ответственностью за разглашение тайны, запрещают сообщать кому-либо, в том числе родственникам, возможно обвиняют в финансировании терроризма и государственной измене (якобы денежные средства переводят на Украину).
По некоторым оценкам, хищение по таким схемам составляет порядка 50% всех потерь. При этом следует иметь в виду, что в соответствии с 161-ФЗ «О национальной платежной системе» получение денежных средств в собственных банкоматах или кассах не является переводом денежных средств и не попадает в статистику ЦБ РФ.
Действия злоумышленников весьма эффективны, в некоторых случаях клиентов очень тяжело вывести из-под их влияния. Явно просматривается, что скрипты для общения с жертвами готовят профессиональные психологи, а руководство осуществляется из-за пределов территории РФ.
Представляется, что пока не будут пресечены пути вывода похищенных денежных средств, данные преступления не прекратятся. В преступной среде широко развит сервис предоставления услуг по поставке дропов (карт, счетов, электронных средств платежа) — дроповоды. Эффективное противодействие совершению операций без согласия клиента невозможно без противодействия данному виду деятельности: создания нулевой терпимости к дропам. В настоящий момент нормативная база предусматривает борьбу с реквизитами счетов дропов, то есть мы блокируем карты, счета только после того, как на них были переведены похищенные денежные средства. Учитывая, что время вывода денег, как правило, составляет 10–20 минут, мы всегда будем опаздывать. Необходимо разработать и реализовать механизм репрессивных мер в отношении самих дропов. Если карты или счета клиента использовались для получения похищенных денежных средств, то такому клиенту должно быть отказано в предоставлении банковских услуг во всех кредитных организациях на существенный период времени, который, безусловно, окажет влияние на жизнь соучастника преступления. Например, отказать в получении ипотеки в РФ или сделать ее безусловно невыгодной — дороже на 10 и более процентов по отношению к ставкам для добропорядочных граждан. Если мы лишим преступное сообщество возможности выводить похищенные денежные средства, то сами действия по хищению станут бессмысленными. Когда в начале СВО Visa и Mastercard ушли из РФ, мошенничество почти прекратилось, понадобилось почти два месяца, чтобы наладить новые каналы. Нужно эти каналы разрушить, и разрушать необходимо такое явление, как дроп».
