2 декабря, 2015, BIS Journal №4(19)/2015

Предвидеть, чтобы минимизировать


Ревенков Павел

профессор кафедры экономического анализа и бухгалтерского учета, доктор экономических наук (Одинцовский гуманитарный университет)

Бердюгин Александр

преподаватель кафедры экономического анализа и бухгалтерского учета (Одинцовский гуманитарный университет)

Музипов Фарит

руководитель направления ИБ банка (ТОП-50)

Пути снижения рисков реализации кибератак на дистанционное банковское обслуживание

Кольчуга не слишком защищает от стрелы, особенно если та нацелена вам между глаз.
Терри Пратчетт, английский писатель.

 
 В статье рассматриваются преимущества дистанционного банковского обслуживания (ДБО) и причины возрастания угроз со стороны компьютерных злоумышленников. Приведены факторы, повышающие уровень воздействия компьютерных атак на системы ДБО, функционирующие в российских организациях кредитно-финансовой сферы (ОКФС). Рассмотрены первоочередные задачи в области регулирования применения технологий ДБО, связанные с минимизацией последствий реализации компьютерных атак.

 
БОЕВОЙ ЧЕРВЬ ОПАСНЕЕ БОЕВОГО СЛОНА

 
Последние достижения в области информационно-телекоммуникационных технологий заметно изменили поведение людей, переместив большую часть их общения в виртуальную форму. Рост числа пользователей интернета и доступность сотовой связи создали идеальные условия для внедрения систем дистанционного банковского обслуживания (ДБО).
 
Сегодня многие системы ДБО дают возможность клиентам, не посещая отделений банков, осуществлять большую часть банковских операций: управлять средствами на своих счетах, обменивать валюту, совершать платежи и переводы (в том числе пополнять вклады и погашать кредиты), оплачивать мобильную связь, интернет, коммунальные услуги, налоги, штрафы, услуги государственных учреждений. Среди систем ДБО лидирующие позиции занимают: интернет-банкинг (управление банковскими счетами и картами через Интернет и web-браузер в режиме on-line) и мобильный банкинг (управление банковскими счетами и картами с КПК, коммуникаторов, смартфонов и других аналогичных устройств) [3].
 
Известный банкир Бретт Кинг 1 в одной из своих последних работ так охарактеризовал современный банкинг — «раньше, чтобы воспользоваться услугами банка, надо было туда идти, а теперь банк всегда под рукой» [5].
 
Статистика подтверждает рост популярности систем бесконтактного банкинга. Еще в 2009 году общее число активных пользователей данного направления в России составляло порядка 1,5 млн человек — чуть более 1% общей численности населения, или 4,6% от аудитории российского интернета.
 
К ноябрю 2013 года согласно исследованию e-Finance User Index 2014 агентства Markswebb Rank & Report, уже 19,4 млн человек в России регулярно пользовались сервисами онлайн-банкинга. Это 13,5% от всего населения страны и 68,7% пользователей Рунета. И на октябрь 2014 года количество россиян, использующих интернет-банкинг для управления своими банковскими счетами составило 23,3 млн человек 2.

ЗЛОУМЫШЛЕННИКИ НА МАРШЕ
 
Компанией Group-IB 3 было зафиксировано множество целевых атак на финансовые организации, которые завершились успешным проникновением злоумышленников в сети банков и получением доступа к банковским и платёжным системам. Наблюдается рост активности злоумышленников в отношении банкоматов и платежных терминалов оплаты, используются новые вредоносные программы, которые не только собирают данные карт, но и позволяют манипулировать суммами выдачи, управлять диспенсером. Перспективным направлением для злоумышленников является атака на инфраструктуру платёжных систем.
 
По оценкам Group-IB, в 2013 году только хакерами из России и стран СНГ было похищено $2,5 млрд. Более «свежая статистика» только подтверждает постоянный рост угроз от реализации компьютерных атак. Из материалов отчета компании Check Point Software Technologies 4 за 2014 год типичный день в крупной организации характеризуется следующими показателями:
  • каждые 24 секунды хост обращается к вредоносному web-сайту;
  • каждые 34 секунды загружается неизвестное вредоносное программное обеспечение;
  • каждую 1 минуту бот связывается со своим центром управления;
  • каждые 5 минут используется приложение высокого риска;
  • каждые 6 минут загружается известное вредоносное программное обеспечение;
  • каждые 36 минут конфиденциальная информация отсылается за пределы организации.
Приведем несколько характерных примеров реализации компьютерных атак в банковском секторе, которые повлекли за собой серьезные финансовые потери. Пожалуй, одним из самых громких прецедентов является киберограбление банды Carbanak, в ходе которого злоумышленники похитили почти миллиард долларов США, о чем стало известно в феврале 2015 года. На протяжении двух лет хакеры воровали деньги из ста ОКФС мира.
 
Что интересно, теперь взломщики могут красть деньги не только у пользователей, но и напрямую из банков. Проникая в компьютер сотрудника организации с помощью фишинговых приемов, киберпреступники получали доступ к внутренней сети банка (Intranet) и маскировали свои действия под ежедневные операции сотрудников при переводе денег на мошеннические счета.
 
ЛЁГКОЙ ЖИЗНИ ЖДАТЬ НЕ ПРИХОДИТСЯ
 
В России по официальным данным, хакерские группировки зарабатывают несколько миллиардов рублей в год. Их деятельность наносит серьезный ущерб бизнесу и даже приводит к банкротству отдельных компаний. Поэтому в 2017 году в России появятся единые требования к уровню защиты систем дистанционного банковского обслуживания по требованию Центробанка 5.
 
В частности, в 2014 году объём мошеннических операций с использованием только платёжных карт составил 1,58 млрд рублей, подсчитали в ЦБ. Для выуживания персональных данных держателей карт и их кредиток преступники активно используют два популярных вида мошенничества: методы социальной инженерии (науки об управлении поведением человека без технических средств на основе психологии) и скимминг (кража данных карты при помощи считывающего устройства на банкоматах и других платежных устройствах общего пользования) 6.
 
Поэтому очевидно, что в будущем угрозы не станут проще. Уже сегодня многие атаки — это комбинации различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не дает возможности адекватно защищаться от современных типов атак. ОКФС, которые защищаются только от известных угроз, всегда рискуют, поскольку атакующие продолжают выдумывать и создавать новые техники атак.
 
К факторам, повышающим уровень воздействия кибератак, относятся:
  • отсутствие отлаженного правового и организационно-технического обеспечения законных интересов граждан, государства и общества в области информационной безопасности (в том числе в условиях ДБО);
  • высокая латентность киберпреступлений и недостаточное осознание органами государственной власти на федеральном и особенно региональном уровнях, возможных политических, экономических, моральных и юридических последствий компьютерных преступлений;
  • слабая координация действий правоохранительных органов, суда и прокуратуры в борьбе с компьютерными преступлениями, неподготовленность их кадрового состава к эффективному предупреждению, выявлению и расследованию таких действий;
  • несовершенство системы единого учета правонарушений, совершаемых с использованием средств информатизации;
  • отсутствие у Банка России подразделений по надзору за применением информационных технологий в ОКФС и обеспечения кибербезопасности;
  • существенное отставание отечественной индустрии средств и технологий информатизации и информационной безопасности от мирового уровня;
  • ограниченные возможности бюджетного финансирования научно-исследовательских, опытно-конструкторских работ по созданию правовой, организационной и технической баз информационной безопасности [1].
ОТВЕТ РЕГУЛЯТОРА

Для решения вопросов обеспечения кибербезопасности Банком России было принято решение создать в Главном управлении безопасности и защиты информации Банка России Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере.
 
Основной целью деятельности центра является организация и координация работ по направлению комплексного противодействия противоправным действиям при предоставлении организациями кредитно-финансовой сферы финансовых услуг и услуг по переводу денежных средств с использованием информационных и телекоммуникационных технологий, а также противодействия компьютерным атакам на информационные ресурсы ОКФС 7.
 
Работа данного центра организуется по трем направлениям:
  • ведение мониторинга и анализа всех видов инцидентов информационной безопасности, формирование единой базы данных уязвимостей, видов инструментария атак;
  • оперативное предоставление участвующим в этой работе банкам аналитической и «горячей» информации о новых угрозах и атаках;
  • взаимодействие с правоохранительными органами в расследовании инцидентов и пресечении активности «высокотехнологичной преступности» 8
На сегодняшний день есть несколько первоочередных задач в области регулирования применения систем ДБО, связанных с минимизацией последствий реализации кибератак:
  • повысить качество нормативно-правового обеспечения в области кибербезопасности в условиях ДБО;
  • повысить уровень надежности аппаратно-программного обеспечения систем ДБО;
  • организовать мероприятия, направленные на повышение финансовой грамотности населения по вопросам кибербезопасности;
  • организовать подготовку (переподготовку) специалистов ОКФС по вопросам обеспечения кибербезопасности;
  • расширить функции внутреннего контроля в ОКФС за счёт учета новых источников рисков, связанных с недостатками в обеспечении кибербезопасности (в т.ч. в условиях ДБО).
ВЫВОДЫ
 
  • Успешное развитие дистанционных банковских услуг в кредитно-финансовой сфере (в первую очередь — завоевание доверия клиентов к данному виду обслуживания) может быть только в условиях обеспечения должного уровня кибербезопасности (включая надежность и защищенность аппаратно-программного обеспечения систем ДБО);
  • регулирующие органы должны создать работоспособную систему обеспечения кибербезопасности в кредитно-финансовой сфере, в том числе специальные надзорные подразделения, способные осуществлять как дистанционный надзор, так и надзор «на местах» (инспекционные проверки по тематике надежности и защищенности систем ДБО от кибератак);
  • продолжением политики регулятора в области обеспечения кибербезопасности должны быть рекомендации для ОКФС, направленные на повышение качества управления рисками, источниками возникновения которых могут быть «удачно реализованные» компьютерные атаки;
  • необходимо обеспечить своевременную подготовку (переподготовку) специалистов в области кибербезопасности (включая специалистов риск-подразделений и служб внутреннего контроля);
  • совершенствовать системы управления рисками и системы внутреннего контроля в ОКФС за счет учета новых источников типичных банковских рисков, связанных с появлением новых киберугроз (в т.ч. с появлением целенаправленных атак на системы ДБО).
--------------------------------------------------------------------------------------------------------- 
 
1 Бретт Кинг — CEO Movenbank, советник по стратегии крупных банковских групп, включая HSBC, Citigroup, UBS, BNP Paribas, популярный колумнист и блогер. После публикации книги «Банк 2.0», ставшей бестселлером и переведенной на несколько языков, Бретта Кинга признали ведущим американским банкиром-инноватором 2012 г.
2 См. подробнее: http://markswebb.ru/e-finance/e-finance-user-index-2015.
3 Известная российская компания, специализирующаяся на расследовании компьютерных преступлений.
4 Был представлен на конференции Check Point Security Day 2015, которая проходила в Москве 10 сентября 2015 года.
5 См. подробнее: http://izvestia.ru/news/587549.
6 Газетный выпуск «Ведомости» №3860 от 26.06.2015, статья «Пластические махинации».
7 См. подробнее интервью с заместителем начальника Главного управления безопасности и защиты информации Банка России Артемом Сычевым «Предупрежден – значит вооружен!» / Национальный банковский журнал № 4 (132), апрель 2015.
8 См. подробнее «FinCERT: старт дан!» / BIS Journal – Информационная безопасность банков, №03 (18), 2015.



ЛИТЕРАТУРА

[1] Конявский В.А., Лопаткин С. В. Компьютерная преступность. В 2-х томах. Т. 1. —  М.: РФК-Имидж Лаб, 2006. — 560 с.

[2] Лямин Л.В. Противодействие компьютерным мошенничествам / Внутренний контроль в кредитной организации №3, 2013.

[3] Ревенков П. В. Управление рисками в условиях электронного банкинга: Монография. —  М.: Издательский дом «Экономическая газета», 2011–168 с. 

[4] Ревенков П. В., Бердюгин А. А.Основные направления обеспечения кибербезопасности в условиях ДБО // Банковское дело №7 (259), 2015.

[5] Кинг Бретт. Банк 3.0. Почему сегодня банк — это не то, куда вы ходите, а то, что вы делаете. — М.: ЗАО «Олимп — Бизнес», 2014.— 520 с.


 

 

Смотрите также

Подпишись на новости!
Подписаться