23 июня, 2010, BIS Journal №1(1)/2011

Кибер-гангстеров укоротят «самбисты»


Былевский Павел

Шеф-редактор «BIS Journal», кандидат философских наук (BIS Journal)

Не дождавшись помощи от правоохранительных органов, структурам информационной безопасности банков придётся формировать «отряды самообороны»

В розыске и возвращении средств, похищенных преступниками со счетов клиентов банков, эффективной помощи от милиции ждать пока не приходится. Уповать можно только на создание банковским сообществом и государственными регуляторами эффективных механизмов информационной самообороны, – такой вывод следовал из выступлений многих участников конференции «Вопросы обеспечения безопасности Национальной платежной системы и дистанционного банковского обслуживания».

НЕБЕССПОРНАЯ БЕЗОПАСНОСТЬ

Форум, одно из регулярных отраслевых мероприятий, проводился 16 июня в Москве, на Остоженке, в выставочном центре «Инфопространство», и собрал 110 участников.  Официальную поддержку конференции оказал Банк России при участии ФСБ РФ, организационную – Ассоциация защиты информации, техническим организатором выступила компания «Авангард Центр».

Наиболее заметны были представители отраслевых государственных регуляторов – Центрального банка России и Центра безопасности связи ФСБ России, а также Ассоциации российских банков и сообщества ABISS, руководители банков, кредитных организаций и процессинговых центров, специалисты в области информационной безопасности, аудита и консалтинга.

К сожалению, не было только представителей МВД России, конкретно – Бюро специальных технических мероприятий (БСТМ) и управления «К», ведающего правонарушениями в сфере высоких технологий. Зато присутствовали журналисты специализированных СМИ: NBJ – национального банковского журнала, журналов «Банковские технологии», «Банковское дело», «Аналитический банковский журнал», «Мир карточек», «Плас» (платёжные системы) и «BIS Journal – информационная безопасность банков».

Программа конференции включала два тематических заседания. Первое было посвящено обеспечению информационной безопасности будущей национальной платёжной системы и вопросам взаимодействия с международными платёжными системами. Второе – безопасности различных видов дистанционного банковского обслуживания. Дискуссии велись в большей степени по второму вопросу.

Наверное, потому, что это уже ширящаяся реальность, а формирование национальной платёжной системы – дело, скорее, более отдалённого и туманного будущего. Свидетельство тому – весьма обширный перечень самых различных вариантов формирования национальной платёжной системы , который представил вице-президент MasterCard Europe Андрей Тарусов. От унитарного, регулируемого государством, до выстроенного несколькими коммерческими банками на основе взаимных соглашений.

БАНКИЗАЦИЯ НА ВЫРОСТ

Делая доклад о проблемах формирования в России национальной платёжной системы, Президент Ассоциации российских банков (АРБ) Гарегин Тосунян охарактеризовал текущие процессы как «банкизацию» всей России. Происходит стремительное расширение сферы и спектра банковских услуг, в частности ? платежей, в том числе в регионах.

Очевидное для каждого свидетельство тому ? бурное расширение сегмента мобильных платежей, терминалы теперь повсюду, разве что не в каждом подземном переходе. Выстраивать систему информационной безопасности приходится, поспевая за ростом отрасли. Что так же нелегко, как шить «на вырост» костюм на стремительно подрастающего подростка-акселерата.

Правильную мысль подтвердил на местном материале Председатель Национального банка Республики Башкортостан Рустэм Марданов: когда государственные требования и стандарты в становлении, непросто обеспечивать безопасность даже такого проекта, как социальная карта, его интеграцию в системы VISA и MasterCard. Эта универсальная платёжная карта является также электронной формой ключа к услугам как банковским, так и и государственных организаций. Создание Национальной платёжной системы должно сопровождаться созданием высококлассной структуры информационной защиты.

Заместитель Начальника ГУБЗИ Банка России Андрей Курило отметил: перечень различных систем расчётов ширится, но у всех совершенно разные уровни безопасности. Межбанковская платёжная система Банка России работает на основе документированных стандартов. Но есть также дистанционное банковское обслуживание, системы пластиковых карт, электронные деньги, частные платёжные системы быстрых расчётов, терминалы приёма платежей…

По большинству этих систем нет полных, подробных и внятных перечней требований обеспечения информационной безопасности. Совершенствование законодательной, нормативно-правовой базы, регламентирующих документов, отстаёт от научно-технического прогресса и развития банковского сервиса. Механизмы реализации и контроля формируются с запозданием, ведомства не поспевают получать полномочия по регулированию новых процессов.

ОБОЮДООСТРЫЕ ЗАКОНЫ

Там, где формирование архитектуры информационной безопасности не завершено, трудно ждать высокой надёжности защиты. Имитация деятельности при отсутствии результата ? большая опасность для банковской системы, которая является почвой для роста правонарушений. Воруют там, где есть возможность украсть легко и много.

Правонарушители становятся всё изощрённее, стараются идти на шаг вперёд. Поэтому сейчас востребована работа на опережение: анализ, перспективный прогноз и предупреждение. С помощью МВД РФ можно реанимировать систему профилактики преступлений в сфере банковских высоких технологий. Чтобы злоумышленник, соразмерив большие затраты и высокие риски с низкой вероятностью успеха, заранее отказался от совершения преступления.

Угроз в сфере информационной безопасности банков хоть отбавляй, не только от злоумышленников, но и из-за прорех в законодательстве и нерасторопности самих участников отрасли. В своём обстоятельном и систематизированном сообщении начальник управления ГУБЗИ Банка России Дмитрий Фролов привёл убедительную статистику роста количества преступных посягательств на информационную безопасность банков.

Критику справедливо начинать с самых верхов: установку на ослабление административного давления на бизнес кое-кто решил использовать для передела стремительно растущего рынка мобильных платежей. Примером тому служит недавняя драматическая борьба вокруг некоторых положений Федерального закона № 103-ФЗ от 3 июня 2009 года «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами».

Сокращение требований к операторам в законопроекте, чреватое сильным снижением ответственности за сохранность денежных средств, вызывало немалые опасения регуляторов – Центрального банка, ФСБ и ФСТЭК. Государственной Думе удалось преодолеть вето Совета Федерации, и лишь окончательный вердикт Президента России позволил исправить одиозные положения ФЗ-103.

Совместными усилиями удалось добиться перенесения срока окончательного вступления в силу закона ФЗ-152 «О персональных данных» на 1 января 2011 года. Есть шанс за это время устранить нестыковки и противоречия с другими нормативно-правовыми и регламентирующими актами, которые могут стать лазейками для злоумышленников.

ПООДИНОЧКЕ ПРОПАДЁМ

Идёт «накопительный процесс»: гражданское общество зреет, и, в частности, происходит консолидация участников отрасли информационной безопасности банков. Созревание идёт непросто и нескоро. Недостаток корпоративной солидарности облегчает жизнь преступникам. Председатель комиссии по информационной безопасности АРБ Александр Велигура предостерёг: заняв позицию «каждый за себя», не выстоять.

Уязвимость системы взаимосвязи банков играет на руку злоумышленникам: для обналички они переводят похищенные средства в другие города и регионы. Некоторые кредитные организации отказываются помочь коллегам ? заблокировать эти транзакции, отгораживаясь буквой закона.

Идея создания института «банковского омбудсмена», который защищал бы права клиентов, пока не находит понимания среди банкиров. Хотя его наличие стало бы дополнительной гарантией, которая расширила бы ряды клиентуры. Не наблюдается и особой активности обществ потребителей в сфере банковских услуг.

Но есть и обнадёживающие позитивные примеры общественной активности вроде «письма шестерых». Внушает оптимизм деятельность рабочих групп по совершенствованию законодательства и технического регулирования, созданных по инициативе ABISS и АРБ, работа «горячей линии» по обмену информацией, в том числе в области информационной безопасности дистанционного банковского обслуживания ? о DDos-атаках, «чёрных» IP-адресах.

Важным аспектом безопасности дистанционного банковского обслуживания секретарь Совета сообщества ABISS Павел Гениевский назвал своего рода «воспитательную работу» и с персоналом, и с клиентами банков. Есть негативные примеры: «экономя» в кризис, в некоторых банках сокращают расходы на информационную безопасность, на техническую модернизацию и обучение сотрудников. Руководители кредитных учреждений должны понять, что это всё равно как «экономить», покупая наружные двери без надёжных замков!

ЛИКБЕЗ ПО БЕЗОПАСНОСТИ

Многие из клиентов банков проявляют удивительную беспечность: расплачиваются посредством пластиковой карты в забегаловках, где не отследишь, что с ней делают. Суют в подозрительные банкоматы, возможно, оборудованные считчиком-скиммером, накладкой на клавиатуру или видеокамерой, подсматривающей пин-код. Оставляют данные при покупках в сомнительных интернет-магазинах. Для пользователей впору проводить «ликбез» по информационной безопасности, раздавать убедительные памятки с картинками.

Предлагаемые на рынке организационно-технические решения, обеспечивающие безопасность интернет-банкинга, работы с пластиковыми банковскими картами и других аналогичных услуг представили руководители и сотрудники специализированных компаний – Мария Акатьева (Leta IT-company),Станислав Шилов (БИФИТ), Руслан Нестеров (HELiOS IT-solutions) и Илья Медведовский (Digital Security). Нужно только учитывать: дополнительные расходы банков на внедрение этих решений могут привести к удорожанию банковских услуг для клиентов.

Конференция «Вопросы обеспечения безопасности Национальной платежной системы и дистанционного банковского обслуживания» показала: в защите от покушений высокотехнологичных воров рассчитывать приходится главным образом на собственные силы. Вывод малоутешительный, зато как мобилизует! Значит, нужно объединяться, создавая консолидированные структуры «информационной самообороны».

Банкам приходится использовать в основном средства «пассивной защиты», усиливая информационную защиту финансовой системы до такой степени, чтобы сделать кибер-кражи нерентабельными. Прав на другие самостоятельные действия, чтобы вернуть похищенные деньги, кроме подачи иска в суд, у участников отрасли нет. И хотели бы «поработать» за милицию, да закон не разрешает. Остаётся «информационное самбо» ? «самооборона без оружия».

ШУСТРЫЕ ГДЕ НЕ НАДО

Повысить риски для злоумышленников неотвратимостью и жёсткостью наказания могут только правоохранительные органы. Именно у них есть законные полномочия ? возбуждать уголовные дела по серьёзным статьям, вести оперативно-розыскную деятельность, блокировать проведение незаконных платежей, заключать подозреваемых и обвиняемых под стражу в некомфортные следственные изоляторы, собирать убедительные для суда доказательства по статьям, «тянущим» на долгие годы лишения свободы. Создаётся устойчивое впечатление: могут, да не хотят.

В адрес МВД РФ в выступлениях участников прозвучало немало горьких упрёков. Свои критические замечания высказал первый заместитель начальника Центра ФСБ РФ Александр Баранов, рассказав о казусе в одном из административных округов Москвы. Под предлогом ненадлежащей криптографической защиты одному из коммерческих банков пригрозили выемкой рабочих серверов, которая бы блокировала текущую работу.

Между тем вопросы банковской криптографии находятся исключительно в компетенции ФСБ. Сотрудникам МВД лучше было бы не залезать в чужую епархию, а проявлять больше усердия в расследовании подведомственных им «высокотехнологических» краж средств из банков. Другие выступающие сетовали на «закрытость» милицейского ведомства. На то, что на МВД невозможно повлиять не только «снизу», банкам, но и «сбоку», тому же Банку России, разве что «сверху».

Были приведены и встречные претензии. На совещании, проведённом 11 июня в ГУБЗИ с участием ФСБ, ABISS и АРБ присутствовали представители «профильных» Бюро специальных технических мероприятий и управления «К» МВД РФ. Желанные, но нечастые на подобных мероприятиях гости попеняли, что банки при расследовании дел о кибер-кражах крайне неохотно предоставляют необходимую информацию, ссылаясь на банковскую и коммерческую тайну. Так что, выходит, в ряде случаев в бездействии милиции следует винить коллег-банкиров.

НА ПОМОЩЬ МИЛИЦИИ

Ряд выступавших на конференции были настроены конструктивно. Оправдывали милиционеров: говорили, что они не то чтобы не хотят расследовать дела о кибер-кражах банковских средств, а просто не имеют возможности. В управлении «К» на миллионы компьютерных преступлений приходится всего 20 специалистов, попросту некому работать. Впору не обвинять в бездействии, а всячески помогать выработать алгоритмы расследования «высокотехнологичных» преступлений в финансовой сфере.

Горячей готовностью оказать такую помощь был пронизан конструктивный доклад начальника отдела сопровождения информационной безопасности «Россельхозбанка» Александра Беликова, выстроенный в соответствии со спецификой правоохранительных органов и менталитетом их сотрудников. Основой послужили собственные наработки по противодействию злоумышленникам и проведению мероприятий по расследованию инцидентов, связанных с попытками хищения средств со счетов клиентов. Вот только бы опыт этот был востребован МВД, хотя бы в результате распоряжения «сверху».

В заключение хочется отметить ещё несколько ярких идей, высказанных участниками конференции и с трибуны, и в кулуарах. В частности, предлагается расширять межбанковский обмен данными мониторинга информационных угроз, ввести своего рода систему предупреждения текущей активности злоумышленников. По специально разработанной шкале, от «штиля» до «штормового предупреждения».

Проводить регулярные проверки на «прочность» систем безопасности банков, своего рода «учения» ? ещё одна свежая нестандартная мысль. Представим себе, исчезают с клиентского счёта несколько миллионов рублей – и вдруг находятся. «Внеплановая проверка! Вот вам денежки назад, но в вашей информационной защите обнаружены бреши, которые рекомендуем устранить при помощи вот таких решений».

Наверное, авторам идеи «внеплановых учений» пришлось бы из-рядно попотеть, чтобы подвести под них правовую базу. Непосредственно заинтересованы в таком «агрессивной маркетинге» могли бы быть, конечно, поставщики решений по информационной безопасности банков и платёжных систем. Подобные «учения» скорее шутка, чем реальное предложение. Но, наверное, лучше пусть так, чем если бы лазейкой воспользуются настоящие преступники.

 

Подпишись на новости!
Подписаться