Введите запрос для поиска

Скрыть поиск
Курсы валют

Прокрустово ложе информационной безопасности в банках

Прокрустово ложе информационной безопасности в банкахНе зная внутренней кухни, сложно оценить, насколько важна для банков их информационная безопасность.

Поверьте, угроз и рисков по этой части у кредитных организаций более чем достаточно. Начнем с сохранения пресловутой банковской тайны и персональных данных, вспомним многочисленные ГОСТы, стандарты, инструкции и требования регулятора (общее количество документов, регулирующих в той или иной степени область информационной безопасности, составляет около полусотни). Не забудем про необходимость отражения хакерских атак, отлов вирусов. К внешней угрозе добавим внутреннюю – человеческий фактор, к сожалению, отменить невозможно. Оценим масштабы сетей отделений даже у банков не из первой сотни. Неудивительно, что банки тратят на обеспечение информационной безопасности миллионы ежегодно. Правда, сторонние эксперты считают, что этого все равно мало, - и их можно понять.


Угроза снаружи, «враг у ворот»

Пять-семь лет назад в новостях появились истории о том, что от действий мошенников пострадали клиенты – физические лица (скиминг банкоматов, несанкционированное списывание денег при интернет-покупках, фишинговые сайты и т.д., и т.п.). Позже к ним добавились криминальные эпизоды про увод денег компании со счета, встроенные замены реквизитов платежек в интернет-банке и прочие «страшилки».


По статистике примерно половина карточного фрода реализуется благодаря разглашению паролей от пластика самими пользователями. Анализ судебной практики, проводимый RTM Group, показал, что суд отказывает примерно в 80% случаев исков от клиентов, пострадавших от хищений через каналы ДБО, к банкам. Люди сами сообщали данные своих карт, и по логике суда, винить им нужно себя. Безусловно, в судебных спорах между клиентами и банками суды с особым вниманием изучают исполнение банками требований регулятора. Но клиенты, в свою очередь, должны исполнять требования договора с банком. Споры по таким делам относятся к категории сложных, и позиция банков изначально более сильная. Однако практика рассмотрения дел, связанных с хищением злоумышленниками денежных средств, развивается. В отечественной судебной практике уже есть факты истребования самописных компонентов средств дистанционного банковского обслуживания, имеются факты исследования выгрузок внутренних систем банков, а также исследование самих банковских систем на предмет поиска уязвимостей. Все это имеет значительный вес для суда.

Однако в последние три года все чаще случаются громкие киберограбления самих банков на гораздо более весомые суммы. Погуглив «хищение денежных средств хакерами из банков», можно оценить масштабы бедствия. Например, в декабре прошлого года киберпреступники пытались вывести из банка «Глобэкс» (дочернего банка ВЭБа) 75 млн долларов через каналы международной системы передачи финансовых сообщений и платежей SWIFT. Всю сумму «вынести» не удалось, хакеры удовлетворились 80 млн рублей. Технология обкатана, в перечне клиентов РОССВИФТа ( Российская ассоциация пользователей SWIFT)– более 200 финансовых организаций. Отметим, SWIFT в прошлом году таки ввел обязательный для всех его клиентов стандарт безопасности. Документ, при его исполнении, позволяет защититься от основных векторов атак, которые используются злоумышленниками в настоящее время.

Один из действенных способов атак на банки – рассылка вредоносного программного обеспечения (ПО) по электронной почте сотрудникам. Хакеры научились имитировать предупреждения Центрального банка, VISA и MasterCard. По исследованиям, более 10% получателей запускают вредоносное вложение, после чего злоумышленники получают доступ к компьютеру жертвы и продвигаются дальше в сеть банка.

Средства антивирусной защиты, межсетевое экранирование и виртуальные частные сети, средства резервирования, демилитаризованные зоны (сегмент сети, содержащий общедоступные сервисы отделяющий их от частных), IPS/IDS, разумеется, присутствуют в каждом банке, поскольку необходимость их использования закреплена на законодательном уровне в части требований по защите информации. Однако реальные случаи доказывают, что стандартные средства защиты уже не являются серьезной преградой для целевой атаки хакеров на банк.

Слабым местом являются и веб-приложения. Поддерживать в актуальном состоянии их безопасность достаточно сложно: они регулярно требуют улучшений и доработок, чтобы успевать за требованиями рынка и технического прогресса.

Wi-Fi, открытые порты на сетевом периметре, неконтролируемое обновление ПО – об этих опасностях, казалось бы, знает и ребенок. Однако эксперты отмечают, что «на местах» - в нецентральных офисах банков - о них иногда забывают.

Массовая зачистка банковского рынка от неустойчивых игроков привела ко многим последствиям. Одно из них неожиданно плохо сказалось на безопасности банков и их клиентов: «лопнувшие» кредитные учреждения распродавали имущество, в том числе и банкоматы, и кибер-ОПГ не преминули воспользоваться возможностью купить технику за невеликие деньги (2-5 тыс. долларов). Изучить начинку и программную часть – нехитрое дело, и в результате появился новый софт, были выработаны методы точечного воздействия на корпус банкомата для быстрого доступа к нужным портам и проводам. Поскольку предложение банкам устройств самообслуживания довольно ограничено, и производителей можно буквально пересчитать по пальцам одной руки, легко предположить, что исследование нескольких моделей банкоматов приводит к атакам на десятки аналогичных работающих устройств. А полностью поменять «парк» банкоматов – дело очень дорогостоящее для любого банка, к тому же нет никаких гарантий, что это решит проблему хоть на сколько-нибудь долгий срок. Кстати, банки не любят публично рассказывать о «вскрытых» банкоматах – репутационные риски выше.

В те времена, когда хакерам были интереснее обычные пользователи, чем организации, банки активно работали над безопасностью интернет-банкинга, и запаса прочности защиты систем должно хватить еще на несколько лет. 

Утечка изнутри

Избежать утечки конфиденциальной информации изнутри чрезвычайно важно для банков, владеющих огромными массивами персональных данных своих клиентов и несущих ответственность за сохранение их в тайне. Банки вынуждены блокировать доступ сотрудников к сайтам и соцсетям, запуск и установку приложений, подключение USB-устройств и ограничивать запись на съемные носители. Кредитные организации мониторят сетевой трафик, в том числе шифрованный, контролируют почтовые протоколы и веб-почты, осуществляют полный файловый мониторинг, контролируют загрузки в облачные сервисы и на сайты, записывают окружение рабочего места с микрофонов и снимки с вебкамер – факты пренебрежительного отношения к конфиденциальной информации помогают выявить инсайдеров и нелояльных сотрудников.


Регуляция регулятора

Выше мы упоминали, что обеспечение информационной безопасности – это прямая обязанность финансово-кредитных организаций. В 2017 году Банк России выпустил ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», который банки применяют с 1 января этого года. Стандарт требует от банков внедрения конкретных защитных мер на конкретных системах.

Наиболее значимые документы, регулирующие информационную безопасность в банках:

  • Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля соблюдения требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П)
  • Комплекс документов Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)
  • ГОСТ Р 57580.1

Документ знаменует собой новую эпоху именно технической безопасности, считают эксперты, поскольку предыдущие документы регулятора в области ИБ в основном предполагали генерацию банком большого количества документов для отчетности. В итоге и безопасность зачастую оставалась лишь на бумаге. Есть политика по ИТ на бумаге – прекрасно, нет – подготовьте, согласуйте, подпишите. Проверяющие не лезли в «технику». Хорошо, если стандарт в этом году покажет свою жизнеспособность.


Резюме

Любой целенаправленной деятельности свойственны риски. Это объективная реальность, и понизить эти риски можно лишь до определенного остаточного уровня. Риски нарушения информационной безопасности должны быть согласованы и иерархически связаны с рисками основной деятельности организации через возможный ущерб. Риски нарушения таковой выражаются в возможности потери состояния защищенности интересов и возникновения ущерба бизнесу или убытков. Потеря состояния защищенности интересов организации в информационной сфере заключается в утрате свойств доступности, целостности или конфиденциальности информационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации. Негативные последствия сбоев в работе отдельных банковских организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов.

Эксперты IT-рынка считают, что уровень развития информационной безопасности в российском финансовом секторе оставляет желать лучшего, и преступники явно превосходят его. Год 2018 покажет, насколько решительно и эффективно регулятор взялся за контроль технического выполнения стандартов. Идеально было бы, если и банки осознали, что вопрос обеспечения информационной безопасности – это не только прямые издержки, которые можно переложить на клиентов, но и снижение доверия в целом к банковской системе.

Материал подготовлен специально для журнала «Эксперт Татарстан»

Анастасия Потёкина

Источник: Портал «Финансист»
Тэги:

Читайте также

Курс рубля сегодня будет находиться под влиянием новостного фона на нефтяном рынке
Валютный прогноз Восточного Банка на 13 декабря
Радиотехбанк изменил условия по вкладу «Максимальный доход»
Радиотехбанк изменил условия по вкладу «Максимальный доход»
ВТБ Капитал занял лидирующие позиции в ежегодной премии Cbonds Awards
ВТБ Капитал стал лауреатом ряда номинаций ежегодной премии Cbonds Awards
Мобильное приложение ВТБ-Онлайн позволяет начать инвестировать в ценные бумаги
Пользователи мобильного приложения ВТБ-Онлайн получили возможность оформить брокерский счет и индивидуальный инвестиционный счет (ИИС) с телефона или планшета
Банк «Восточный» представил новую кредитную карту КЭШБЭК
Банк «Восточный» в рамках модернизации линейки кредитных карт представил карту КЭШБЭК, сочетающую в себе главные преимущества кредитных карт банка
ВТБ нарастил выдачу кредитов наличными в 1,5 раза
Банк ВТБ по итогам 11 месяцев 2018 года оформил 1,3 миллиона кредитов наличными на общую сумму более 700 миллиардов рублей
Без SWIFT не останемся
Уход с поста главы организации не изменит ее политику в отношении к России
Не хватает ни наличных, ни безналичных
Операции по картам замедлили рост
Минфин оставил инвесторов без премии
Доходности ОФЗ не растут при размещении
Банки поборются за деньги садоводов
С 2019 года все садовые товарищества (СНТ) обяжут открыть счета в банках, куда будут поступать взносы их членов и производиться безналичная оплата работ и услуг