Введите запрос для поиска

Скрыть поиск
Курсы валют

Прокрустово ложе информационной безопасности в банках

Прокрустово ложе информационной безопасности в банкахНе зная внутренней кухни, сложно оценить, насколько важна для банков их информационная безопасность.

Поверьте, угроз и рисков по этой части у кредитных организаций более чем достаточно. Начнем с сохранения пресловутой банковской тайны и персональных данных, вспомним многочисленные ГОСТы, стандарты, инструкции и требования регулятора (общее количество документов, регулирующих в той или иной степени область информационной безопасности, составляет около полусотни). Не забудем про необходимость отражения хакерских атак, отлов вирусов. К внешней угрозе добавим внутреннюю – человеческий фактор, к сожалению, отменить невозможно. Оценим масштабы сетей отделений даже у банков не из первой сотни. Неудивительно, что банки тратят на обеспечение информационной безопасности миллионы ежегодно. Правда, сторонние эксперты считают, что этого все равно мало, - и их можно понять.


Угроза снаружи, «враг у ворот»

Пять-семь лет назад в новостях появились истории о том, что от действий мошенников пострадали клиенты – физические лица (скиминг банкоматов, несанкционированное списывание денег при интернет-покупках, фишинговые сайты и т.д., и т.п.). Позже к ним добавились криминальные эпизоды про увод денег компании со счета, встроенные замены реквизитов платежек в интернет-банке и прочие «страшилки».


По статистике примерно половина карточного фрода реализуется благодаря разглашению паролей от пластика самими пользователями. Анализ судебной практики, проводимый RTM Group, показал, что суд отказывает примерно в 80% случаев исков от клиентов, пострадавших от хищений через каналы ДБО, к банкам. Люди сами сообщали данные своих карт, и по логике суда, винить им нужно себя. Безусловно, в судебных спорах между клиентами и банками суды с особым вниманием изучают исполнение банками требований регулятора. Но клиенты, в свою очередь, должны исполнять требования договора с банком. Споры по таким делам относятся к категории сложных, и позиция банков изначально более сильная. Однако практика рассмотрения дел, связанных с хищением злоумышленниками денежных средств, развивается. В отечественной судебной практике уже есть факты истребования самописных компонентов средств дистанционного банковского обслуживания, имеются факты исследования выгрузок внутренних систем банков, а также исследование самих банковских систем на предмет поиска уязвимостей. Все это имеет значительный вес для суда.

Однако в последние три года все чаще случаются громкие киберограбления самих банков на гораздо более весомые суммы. Погуглив «хищение денежных средств хакерами из банков», можно оценить масштабы бедствия. Например, в декабре прошлого года киберпреступники пытались вывести из банка «Глобэкс» (дочернего банка ВЭБа) 75 млн долларов через каналы международной системы передачи финансовых сообщений и платежей SWIFT. Всю сумму «вынести» не удалось, хакеры удовлетворились 80 млн рублей. Технология обкатана, в перечне клиентов РОССВИФТа ( Российская ассоциация пользователей SWIFT)– более 200 финансовых организаций. Отметим, SWIFT в прошлом году таки ввел обязательный для всех его клиентов стандарт безопасности. Документ, при его исполнении, позволяет защититься от основных векторов атак, которые используются злоумышленниками в настоящее время.

Один из действенных способов атак на банки – рассылка вредоносного программного обеспечения (ПО) по электронной почте сотрудникам. Хакеры научились имитировать предупреждения Центрального банка, VISA и MasterCard. По исследованиям, более 10% получателей запускают вредоносное вложение, после чего злоумышленники получают доступ к компьютеру жертвы и продвигаются дальше в сеть банка.

Средства антивирусной защиты, межсетевое экранирование и виртуальные частные сети, средства резервирования, демилитаризованные зоны (сегмент сети, содержащий общедоступные сервисы отделяющий их от частных), IPS/IDS, разумеется, присутствуют в каждом банке, поскольку необходимость их использования закреплена на законодательном уровне в части требований по защите информации. Однако реальные случаи доказывают, что стандартные средства защиты уже не являются серьезной преградой для целевой атаки хакеров на банк.

Слабым местом являются и веб-приложения. Поддерживать в актуальном состоянии их безопасность достаточно сложно: они регулярно требуют улучшений и доработок, чтобы успевать за требованиями рынка и технического прогресса.

Wi-Fi, открытые порты на сетевом периметре, неконтролируемое обновление ПО – об этих опасностях, казалось бы, знает и ребенок. Однако эксперты отмечают, что «на местах» - в нецентральных офисах банков - о них иногда забывают.

Массовая зачистка банковского рынка от неустойчивых игроков привела ко многим последствиям. Одно из них неожиданно плохо сказалось на безопасности банков и их клиентов: «лопнувшие» кредитные учреждения распродавали имущество, в том числе и банкоматы, и кибер-ОПГ не преминули воспользоваться возможностью купить технику за невеликие деньги (2-5 тыс. долларов). Изучить начинку и программную часть – нехитрое дело, и в результате появился новый софт, были выработаны методы точечного воздействия на корпус банкомата для быстрого доступа к нужным портам и проводам. Поскольку предложение банкам устройств самообслуживания довольно ограничено, и производителей можно буквально пересчитать по пальцам одной руки, легко предположить, что исследование нескольких моделей банкоматов приводит к атакам на десятки аналогичных работающих устройств. А полностью поменять «парк» банкоматов – дело очень дорогостоящее для любого банка, к тому же нет никаких гарантий, что это решит проблему хоть на сколько-нибудь долгий срок. Кстати, банки не любят публично рассказывать о «вскрытых» банкоматах – репутационные риски выше.

В те времена, когда хакерам были интереснее обычные пользователи, чем организации, банки активно работали над безопасностью интернет-банкинга, и запаса прочности защиты систем должно хватить еще на несколько лет. 

Утечка изнутри

Избежать утечки конфиденциальной информации изнутри чрезвычайно важно для банков, владеющих огромными массивами персональных данных своих клиентов и несущих ответственность за сохранение их в тайне. Банки вынуждены блокировать доступ сотрудников к сайтам и соцсетям, запуск и установку приложений, подключение USB-устройств и ограничивать запись на съемные носители. Кредитные организации мониторят сетевой трафик, в том числе шифрованный, контролируют почтовые протоколы и веб-почты, осуществляют полный файловый мониторинг, контролируют загрузки в облачные сервисы и на сайты, записывают окружение рабочего места с микрофонов и снимки с вебкамер – факты пренебрежительного отношения к конфиденциальной информации помогают выявить инсайдеров и нелояльных сотрудников.


Регуляция регулятора

Выше мы упоминали, что обеспечение информационной безопасности – это прямая обязанность финансово-кредитных организаций. В 2017 году Банк России выпустил ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», который банки применяют с 1 января этого года. Стандарт требует от банков внедрения конкретных защитных мер на конкретных системах.

Наиболее значимые документы, регулирующие информационную безопасность в банках:

  • Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля соблюдения требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П)
  • Комплекс документов Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)
  • ГОСТ Р 57580.1

Документ знаменует собой новую эпоху именно технической безопасности, считают эксперты, поскольку предыдущие документы регулятора в области ИБ в основном предполагали генерацию банком большого количества документов для отчетности. В итоге и безопасность зачастую оставалась лишь на бумаге. Есть политика по ИТ на бумаге – прекрасно, нет – подготовьте, согласуйте, подпишите. Проверяющие не лезли в «технику». Хорошо, если стандарт в этом году покажет свою жизнеспособность.


Резюме

Любой целенаправленной деятельности свойственны риски. Это объективная реальность, и понизить эти риски можно лишь до определенного остаточного уровня. Риски нарушения информационной безопасности должны быть согласованы и иерархически связаны с рисками основной деятельности организации через возможный ущерб. Риски нарушения таковой выражаются в возможности потери состояния защищенности интересов и возникновения ущерба бизнесу или убытков. Потеря состояния защищенности интересов организации в информационной сфере заключается в утрате свойств доступности, целостности или конфиденциальности информационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации. Негативные последствия сбоев в работе отдельных банковских организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов.

Эксперты IT-рынка считают, что уровень развития информационной безопасности в российском финансовом секторе оставляет желать лучшего, и преступники явно превосходят его. Год 2018 покажет, насколько решительно и эффективно регулятор взялся за контроль технического выполнения стандартов. Идеально было бы, если и банки осознали, что вопрос обеспечения информационной безопасности – это не только прямые издержки, которые можно переложить на клиентов, но и снижение доверия в целом к банковской системе.

Материал подготовлен специально для журнала «Эксперт Татарстан»

Анастасия Потёкина

Источник: Портал «Финансист»
Тэги:

Читайте также

За 9 месяцев ВТБ Страхование жизни выплатило клиентам 2,7 миллиарда рублей
За 9 месяцев 2018 года компания ВТБ Страхование жизни выплатила клиентам 2,7 миллиарда рублей
Владельцы премиальных карт банка «Восточный» получат скидки в магазинах Rendez-Vous
Банк «Восточный» предлагает своим клиентам – владельцам премиальных карт присоединиться к программе лояльности Visa и сети магазинов обуви и аксессуаров Rendez-Vous
ВТБ повысил ставку по вкладу «Максимум»
Банк ВТБ повысил ставки по промо-вкладу «Максимум»
Предпринимателям разрешат выплачивать долги компаний после их ликвидации
Минэкономразвития предлагает разрешить собственникам бизнеса выплачивать задолженность уже после ликвидации их компаний
Тотальная слежка
Банк России автоматизирует банковский надзор. Поможет ли это победить рисовальщиков банковской отчетности?
Госбанки сразились за вклады
Ставки депозитов растут из-за потребности банков в ликвидности
Фонды наращивают минус
Иностранные инвесторы выводят средства с российского рынка
«Цифровую экономику» разобрали по уровням
Бизнес хочет больше полномочий в рамках нацпрограммы
Мегарегулятор готов на сделку
С манипуляторами будут договариваться на особых условиях
Бес паники
Валютные депозиты еще полежат в российских банках