16 марта, 2019

Как долго от имени банков будут звонить мошенники?


Рассуждает директор по безопасности «СёрчИнформ» Иван Бируля

Мошенники достигли нового уровня развития социальной инженерии, это очень эффектно продемонстрировал кейс Сбербанка. Звонить с официальных номеров компании и так умело комбинировать информацию о клиенте – это что-то новенькое. Так пускать пыль в глаза – довольно смело и эффективно. Даже странно, что абоненты смогли усмотреть в этой многоходовке неладное, честь им и хвала!

Но как могло произойти, что мошенники оказались настолько вооруженными? Наиболее правдоподобная версия – к ним попали свежие данные из банка (например, от сотрудников, промышляющих продажей пользовательской информации), а сами злоумышленники оказались технически очень подкованными. Начнем со схемы прозвона. Практически все банки сейчас используют цифровые АТС, то есть программное обеспечение, а не аналоговое физическое оборудование. Естественно, любое ПО имеет уязвимости, и ими можно воспользоваться. Но нельзя исключать вариант, что звонки совершались с реальной банковской линии. Колл-центр банка – территориально неопределенное понятие. Часть операторов может сидеть в условной Казани, часть – в Перми и еще десятке городов. При этом звонок из любого места определяется (и технически является) звонком с московской линии. Ряд банков вообще использует для колл-центра удаленных работников, которые принимают и совершают звонки из дома.

Как у других?

Ну а теперь к главному вопросу. Насколько реально, что такой вид мошенничества могут повторить? Шансы более чем велики. Несмотря на то, что банки сегодня, пожалуй, самые защищенные с точки зрения информационных технологий организации. Мои коллеги считают, что по этой же причине банки перестали быть лакомым куском для мошенников – слишком дорого их атаковать.

Но фишинг и социальная инженерия — то, от чего оказалось гораздо сложнее уберечься. Со стороны атакующих это самый простой и действенный способ добиться цели. По данным ФинЦЕРТа человеческий фактор находится на первом месте среди всех, которые влияли на успешность целевой атаки на финансовое учреждение.

Что касается преднамеренных действий со стороны самих сотрудников, наши данные подтверждают, что это большая проблема. По данным опроса ИБ-специалистов на Road Show SearchInform, 31 % опрошенных специалистов ИБ из банковской сферы утверждают, что число внутренних инцидентов в 2018 году выросло. 75 % опрошенных столкнулись с утечками информации.

DLP-системы, которые и призваны бороться с утечками информации и помогать в предотвращении и расследовании фактов корпоративного мошенничества, судя по нашему опросу, стоят в 57 % компаний. Это очень много, на 25 % выше, чем в других отраслях. Но для банковской сферы этого недостаточно. Все серьезнее, там, где системы стоят, они не всегда эффективно используются. А есть и вовсе абсурдные ситуации. Есть немалое число организаций, где DLP закуплены, но не развернуты. Если речь о каком-то мелком региональном банке, не удивляет. Но я знаю о подобной ситуации как минимум в одном банке из первой 30-ки топа!

Сила воли

Как такое возможно при жестком регулировании, под гнетом которого находятся банки, которое еще год от года становится строже? Все просто. Отраслевые стандарты – это рамки, которые добропорядочным банкам дают в руки инструментарий, практики, кейсы и советы. Таким образом эффективность их будет сильно зависеть от прикладного выполнения.

«Человеческий фактор» никто не отменяет, всегда существует вероятность халатного выполнения требований. Формально риски будут закрыты. По факту – нет.

Ситуацию усугубляет не проработанность отдельно взятых ФЗ. Штрафы за разглашение персональных данных – десятки тысяч (рублей), для крупной финансовой структуры цифры просто смешные. К слову, разглашение персданных в Европе имеет совершенно другие последствия – штрафы измеряются миллионами (евро), в исключительных случаях штраф привязывается к % от оборота компании, что для таких учреждений как банки еще существеннее. Усиление финансовых санкций потенциально способно повлиять на проблему, но тенденции к увеличению штрафов пока не видно.

Но есть и обратный тренд. Многие банки сегодня используют систему ИБ-рисков для оценки финансового результата по аналогии с оценкой качества кредитов. Думаю, со временем это станет не просто доброй волей самых сознательных банкиров, но и требованием регулятора.

Конечно, утечки информации – это та проблема, которая чаще всего оказывается в заголовках СМИ. Для самого бизнеса гораздо страшнее репутационные риски, нежели штрафные санкции за нарушение законодательства. То есть утечки – это вполне осязаемые риски. Насколько это серьезная, а не абстрактная, угроза – увидели из истории с мошенниками, действовавшими от имени Сбербанка.

Все, что нужно для защиты, у банковских ИБ-специалистов уже есть. Принципиально новых орудий труда или технологий для них в ближайшее время вряд ли появится. Вопрос в том, как банки пользуются существующим инструментарием и есть ли воля у топ-менеджмента, чтобы реально его применять.

 

Смотрите также

Утечки данных

28 февраля, 2019
Подпишись на новости!
Подписаться