359
Информационная безопасность банкинга. Что обсуждали эксперты в 2017 году?
На прошедшем в конце сентября Форуме SAS 2017, посвященном бизнес-аналитике, Дмитрий Гадарь, директор департамента информационной безопасности банка «Открытие», заявил о том, что одним из приоритетных направлений является своевременная, превентивная реакция на уже случившиеся инциденты. «Те реальные реагирования, – отмечает Д. Гадарь, – в которых мне довелось участвовать, показывали крайне низкий уровень защищенности инфраструктуры и периметров пострадавших банков. Последние, к сожалению, стараются укреплять информационную безопасность и инвестировать в нее только после того, как прямые потери достигают уровня трехсот с лишним миллионов рублей и выше».
От хищения денег – к разрушению инфраструктуры банков
Сотрудники компании Group-IB фиксируют взрывной рост числа атак на пользователей Android-устройств. По данным Group-IB, ущерб от кибератак на российскую финансовую сферу за два года (H2 2015 – H1 2017) составил 117,375 млн долларов. Из них 20 млн долларов – хищения у физических лиц с помощью вредоносного программного обеспечения, созданного под операционную систему Android, так называемых Android-троянов. Еще несколько лет назад трояны создавались для атак пользователей персональных компьютеров. Сейчас такой метод использует только одна преступная группа – Proxy. В 2017 году ее участникам удалось похитить 15,7 млн рублей (в прошлом году – 6,4 млн рублей). Основная масса преступлений с помощью Android-троянов происходит в мире мобильных устройств. По данным Group-IB, ущерб от таких атак только в России вырос на 136% и перекрыл ущерб от троянов для персональных компьютеров на 30%. Аналитики компании предупреждали, что трехзначный прирост объема хищений с помощью Android-троянов ждет и другие страны, поскольку уже сегодня заразить устройство можно незаметно для его владельца, а в скором времени хищения с мобильных полностью автоматизируются. Все больше мобильных троянов умеют перехватывать SMS, давая хакерам возможность получать коды для подтверждения банковских операций.
Выступая на одной из конференций по банковской безопасности, Павел Крылов, руководитель направления по развитию продуктов Secure Bank/Secure Portal компании Group-IB, подчеркнул, что для клиентов банков сейчас наибольшую опасность представляют атаки на пользователей мобильного банкинга с целью кражи денег. Количество группировок, занимающихся этим, как и количество вредоносов под Android, c каждым годом растет. Но помимо клиентов банков, под угрозой оказались и сами финансовые организации. Причем динамика атак на корсчета постепенно снижается. Однако, предупреждает эксперт, расслабляться не стоит. Например, до сих не удалось пресечь активность организованной группы хакеров, получившей название Cobalt Strike. Они активно используют схему целевых атак на банки по всему миру, постоянно меняя локации. Их главная цель – получить доступ к сис-темам банкоматов, карточному процессингу, системе межбанковских переводов SWIFT. Согласно прогнозам экспертов, главной опасностью для банков в ближайшие годы станет не воровство денег, а разрушение их инфраструктуры как финальный этап целенаправленной хакерской атаки.
Под прицелом хакеров – крупные корпорации
1 июня 2016 года ФСБ и МВД России задержали создателей банковского трояна Lurk. Этому предшествовало расследование при поддержке «Лаборатории Касперского» и Сбербанка. Эксперты сообщают, что за последние пять лет преступники вывели со счетов российских финансовых учреждений более 3 млрд рублей. Они разработали вирус, который крайне сложно засечь и отловить, так как он базируется в оперативной памяти. Проникая в сеть организации, этот вирус заражал один из главных компьютеров, где генерировалась основная финансовая информация, например, бухгалтера компании. После того как бухгалтер сформировал платежное поручение и экспортировал его в систему «клиент-банк», вирус менял в этом документе реквизиты и номер счета, в результате средства отправлялись на счет компании, специально созданной для мошеннической схемы. При этом бухгалтер, отправляя переводы, ни разу не заметил подвоха.
Впоследствии выяснилось, что задержанная группа мошенников состояла примерно из 50 человек, проживающих практически по всей России, в 15 регионах страны. Сумма только доказанных хищений превысила 3 млрд рублей.
Сейчас в число наиболее распространенных атак входит запуск вирусов – «шифровальщики», атаки на корпоративные сети, банкоматы, процессинговые центры. В последнее время набирает силу так называемый дриллинг, представляющий собой комбинацию механического повреждения банкомата и атаки через ПО, когда вскрывается передняя панель устройства, мошенники подключаются к модулю управления диспенсером, отвечающему за выдачу купюр, далее происходит либо заражение программы, либо подключение устройства, имитирующего программный модуль банкомата. Он дает непосредственно прямые команды на выдачу денег уже непосредственно из кассет.
Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка, выступая на октябрьском ПЛАС-Форуме «Банковское самообслуживание, ритейл и НДО 2017», отметил, что в последнее время угрозам подвергаются все больше корпораций. Они стали лакомым куском для мошенников, причем атаки не обязательно связаны только с намерением непосредственно украсть денежные средства, но и скомпрометировать либо подменить критичные данные, что впоследствии может позволить преступникам нанести еще более значительный материальный ущерб.
Серьезные преступные сообщества, нередко разбросанные по странам, проводят атаки, будучи профессионально и технологически подготовленными специалистами, и работают таргетированно.
Попытки использовать самые последние достижения науки, в частности, биометрические технологии идентификации, зачастую терпят фиаско. В рамках того же октябрьского ПЛАС-Форума в выступлении Александра Горшкова, члена подкомитета РСПП по цифровой экономике и инновациям, прозвучало, что «если раньше банки использовали биометрический анализ для противодействия кредитному фроду, то теперь спектр значительно расширился, и не только в банковской сфере, но и в ритейле. Такая тенденция вызывает у преступников стремление противодействовать использованию биометрических технологий, в частности, появляются различные способы фальсификации данных. Появились специальные устройства, позволяющие не только сбивать работу биометрических систем, но и выдавать одного человека за другого».
«Через несколько лет классические антивирусные системы в банках могут снизить свою эффективность, – прогнозирует Дмитрий Гадарь. – Банк «Открытие» одним из первых озаботился защитой от так называемых коротких заражений, когда троянская программа попадает только в оперативную память рабочей станции, но при этом не оставляет никаких следов на жестком диске компьютера, и после перезагрузки найти следы такого заражения крайне сложно. Пока эффективных решений мы не нашли, но стремимся предпринимать меры по защите внутри банка. Также полагаю, что перспективным вектором атаки будет вектор через хаб-контуры, докерхабы. Сейчас ни одна организация – ни в России, ни за рубежом – не способна проверить на отсутствие недекларированных возможностей тот код (или контейнер), который попадает в контур организации с внешних источников. А внешними источниками пользуются практически все. Этот вектор будет только развиваться, тем более, по последним атакам видно, что уровень реальной защищенности банков существенно не повысился».
Наряду с этим эксперт называет крайне важным моментом обнаружение атаки с момента ее начала. По его словам, главный KPI по информационной безопасности в Банке «Открытие» – снижение времени реагирования на обнаружение атаки.
Оценивая степень уязвимости банковских технологий, Алексей Коняев, ведущий консультант по противодействию мошенничеству, SAS Россия СНГ, обращает внимание, что согласно отчетам, публикуемым компаниями, занимающимися вопросами обеспечения информационной безопасности, практически каждое банковское приложение имеет свои уязвимости. При этом нельзя сказать, что все они критически опасны или легко доступны для использования злоумышленниками.
«Некоторое время назад, – говорит эксперт, – принято было считать, что наиболее уязвимыми являются приложения, имеющие выход за пределы контура банка, например, интернет- или мобильный банк. До определенного момента так и было, но в последнее время сильно увеличилось количество инцидентов, связанных с компрометацией непосредственно инфраструктуры банка и, как следствие, с получением доступа как к критичному банковскому ПО, так и к серверным частям интернет- или мобильного банка, которые, как правило, защищены существенно хуже клиентских частей».
Если обратиться к статистике, буквально в каждом третьем действующем интернет-банке есть уязвимости, которые могут быть использованы для хищения клиентских средств, а в каждом третьем мобильном банке можно перехватить данные для доступа. Ситуацию осложняет и тот факт, что наиболее распространенная в России платформа для мобильных устройств Android слабо защищена от хакерских атак: безобидные с виду фейк-приложения типа калькулятора или фонарика могут содержать код, перехватывающий SMS-сообщения владельца телефона; такие приложения могут мимикрировать под настоящие и быть размещены в магазине приложений; в свою очередь в код настоящей программы могут быть внесены соответствующие изменения и пр.
Еще хуже ситуация обстоит с защитой АБС и процессинговыми системами – последние исследования свидетельствуют, что более половины уязвимостей, выявленных в АБС и ПЦ, критически опасны. В банках при этом призывают не паниковать, поскольку добраться до данных уязвимостей не так-то просто. Однако статистика ЦБ и периодически освещаемые СМИ инциденты говорят о том, что если есть чем поживиться (а в банках это, несомненно, так), то злоумышленники найдут, как добраться и до этих систем: от методов социальной инженерии до наличия «своего» человека в банке.
Можно ли защитить компанию от киберугроз?
Алексей Голенищев (Альфа-Банк) подтверждает, что защиты от ряда вирусов, которые распространяют мошенники, на сегодняшний день действительно нет, но современное обновление операционных систем, определенные технические мероприятия, а также бдительность сотрудников при получении фишинговых писем снижают риски заражения компьютерных систем «шифровальщиками». Реальными превентивными мерами защиты банковских структур могут стать архитектурные изменения, в том числе предусматривающие отсутствие поддержки балансов во фронтальных системах процессингового центра вкупе с классическими методами информационной безопасности, предусматривающими периодическое сканирование сетей, периметров и т. п. Традиционно многие связывают надежды с использованием антивирусов, хотя, по словам эксперта, на 100% они проблему не решают.
Эксперт рекомендует использовать комбинированную схему подписания платежных документов – раздельное подписание, например «бухгалтер – директор», применение электронного ключа и одноразовых паролей, использование программных токенов.
В свою очередь Алексей Коняев отмечает, что, «к счастью, банки стали отчетливо понимать, что наличие системы противодействия мошенничеству в данный момент – это не прихоть и не дань моде, а просто необходимость. Этому способствуют и статистика по инцидентам мошенничества, и давление со стороны законодателей и регулятора: ФЗ-161, указание 3361-У, письмо 146-Т и другие документы, которые отчетливо дают понять, что простым отказом клиенту в возмещении украденных в результате мошенничества средств банку уже не отделаться, пусть даже судебная практика в этом направлении пока еще не сформировалась.
В свою очередь сами банки прекрасно понимают, что наступило время, когда бизнес уже не может расти экстенсивно, т. е. увеличиваться за счет привлечения новых клиентов. Теперь основной акцент делается на сохранении существующих клиентов, а каждый случай мошенничества – это удар по репутации. Поэтому наличие серьезной системы для мониторинга клиентских операций – это один из показателей надежности банка, позволяющий избежать оттока клиентской базы.
Однако в отсутствие полноценного решения обслуживать антифрод-процессы достаточно затратно. Нельзя забывать, что современные антифрод-системы позволяют снизить соответствующую нагрузку на банковских специалистов в области безопасности, в том числе они позволяют значительно сузить спектр платежей, которые подпадают под категорию подозрительных, тем самым существенно снижая затраты на проверку транзакций (например, на звонки клиенту для дополнительной верификации платежа). Одновременно промышленные антифрод-системы обладают средствами машинного обучения и интеллектуального анализа, позволяющими точно выявлять аномальное для каждого клиента поведение и лишний раз не досаждать ему ненужными проверками; средствами адаптивной аутентификации, которые дают объективную картину, какую операцию действительно считать рискованной, чтобы запросить по ней дополнительное подтверждение. Как ни удивительно, но наличие интеллектуального подхода при анализе транзакций позволяет не только снизить риски мошенничества, но и повысить конверсию операций – доказано, что дополнительные средства подтверждения зачастую у некоторых клиентов вызывают страх, агрессию или просто непонимание и заставляют их отказаться от совершения платежа. Причем доля таких операций может доходить до 40% от общего объема розничный транзакций.
«Антихакерский» кодекс поведения банковского сотрудника
Как отмечает Алексей Коняев, в его практике был случай, когда персональный менеджер, проверяя платежи корпоративного клиента, выявил целый реестр подозрительных платежей на десятки миллионов рублей, подлежащих исполнению в ближайшем рейсе. До клиента дозвониться было невозможно – он был за рубежом – других контактных данных не было. Решение нужно было принимать моментально – в результате платежи были менеджером заблокированы. В конечном итоге, когда с клиентом удалось связаться, подозрения менеджера оказались небеспочвенны. Итак, все закончилось хорошо, сотруднику даже выписали премию за бдительность. Но если бы платежи оказались легитимными, а действия менеджера навредили бы бизнесу клиента? Наверное, сотрудника бы уволили, а справедливо негодующий клиент, вероятно, ушел бы в другой банк.
Таким образом, процессы противодействия мошенничеству в банке должны быть выстроены таким образом, чтобы специалистам не приходилось (по крайней мере единолично) принимать решение о блокировке транзакций, чтобы было как минимум несколько каналов связи с клиентами, чтобы несанкционированные платежи выявлялись не вследствие счастливого случая или благодаря повышенной бдительности отдельных сотрудников, а в результате естественного процесса обработки платежей системой противодействия мошенничеству.
Другой пример, связанный с действиями сотрудников банка, характеризует обратную ситуацию – в результате некорректной (халатной или намеренно «упрощенной») идентификации представителя компании были зарегистрированы электронные ключи, позволяющие с использованием системы ДБО подписывать и отправлять в банк на исполнение электронные документы от имени клиента. В результате масштаб потерь оказался существенным для банка и критичным для организации его корпоративного клиента, что привело к судебным разбирательствам, имело резонанс в прессе и в целом негативно отразилось на развитии бизнеса банка в данном сегменте.
Можно ли винить в данном случае сотрудника банка? Наверное, да. Но каждый руководитель объективно понимает, что человеческий фактор – это неизбежность, поэтому критичные процессы должны быть в обязательном порядке кем-либо подтверждаться или как минимум быть поставлены на мониторинг, что сложно себе представить без наличия соответствующей антифрод-системы, особенно в масштабах крупных банков.
Согласно исследованию компании Check Point Software Technologies вопрос защиты от угроз стоит достаточно остро, однако компании решают его лишь частично. Так, более половины (54%) опрошенных организаций в течение последнего года были успешно атакованы хотя бы одной вредоносной программой. Из них четверть (25%) подверглись атакам от 5 до 10 раз, а 11% – от 10 до 20 раз. При этом использование средств безопасности не является единственным достаточным условием для защиты бизнеса. Зачастую взломы корпоративных сетей происходят по вине самих пользователей. Более 30% организаций отметили, что основная причина инцидентов заключается в недостаточной информированности сотрудников, которые не осознают риски киберугроз. Пользователи становятся жертвами фишинговых атак или умышленно нарушают политики безопасности, например, скачивая программы и файлы из ненадежных источников или используя для работы с корпоративными данными публичные сети. Анализ ситуации, связанной с возникшими угрозами и новыми рисками для информационной безопасности в финансовом секторе, показывает несовершенство систем защиты, применяемых в финансовых организациях. А подходы к развитию ИТ-инфраструктуры требуют пересмотра и обновления.
Наиболее часто опрошенные компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). Согласно исследованию, проведенному в 2017 году компаниями Qrator и Валарм, в сфере ICO фишинг стал серьезной проблемой. В финансовом секторе фокус злоумышленников смещается в сторону такого метода получения доступа к конфиденциальным данным пользователей. Многие финансовые организации начинают более серьезно относиться к угрозам и принимать меры по противодействию сетевым атакам. Сегодня речь идет об обязательной сертификации решений ИБ и проведении регулярных аудитов и страховании рисков. Более трети (32%) респондентов из финансовой отрасли подтвердили увеличение своего ИБ-бюджета в 2016 году, а еще 39% отметили сохранение инвестиций в безопасность в прежнем объеме.
Все больше финансовых организаций осознают, что собственных мощностей их оборудования недостаточно для организации полноценной защиты, и начинают привлекать внешние решения. Ряд экспертов считают, что в зависимости от роста и модификации внешних угроз в будущем индустрия информационной безопасности будет двигаться в сторону специализированных сервисов.
