Прокрустово ложе информационной безопасности в банках
Не зная внутренней кухни, сложно оценить, насколько важна для банков их информационная безопасность.
Поверьте, угроз и рисков по этой части у кредитных организаций более чем достаточно. Начнем с сохранения пресловутой банковской тайны и персональных данных, вспомним многочисленные ГОСТы, стандарты, инструкции и требования регулятора (общее количество документов, регулирующих в той или иной степени область информационной безопасности, составляет около полусотни). Не забудем про необходимость отражения хакерских атак, отлов вирусов. К внешней угрозе добавим внутреннюю – человеческий фактор, к сожалению, отменить невозможно. Оценим масштабы сетей отделений даже у банков не из первой сотни. Неудивительно, что банки тратят на обеспечение информационной безопасности миллионы ежегодно. Правда, сторонние эксперты считают, что этого все равно мало, - и их можно понять.
Угроза снаружи, «враг у ворот»
Пять-семь лет назад в новостях появились истории о том, что от действий мошенников пострадали клиенты – физические лица (скиминг банкоматов, несанкционированное списывание денег при интернет-покупках, фишинговые сайты и т.д., и т.п.). Позже к ним добавились криминальные эпизоды про увод денег компании со счета, встроенные замены реквизитов платежек в интернет-банке и прочие «страшилки».
|
По статистике примерно половина карточного фрода реализуется благодаря разглашению паролей от пластика самими пользователями. Анализ судебной практики, проводимый RTM Group, показал, что суд отказывает примерно в 80% случаев исков от клиентов, пострадавших от хищений через каналы ДБО, к банкам. Люди сами сообщали данные своих карт, и по логике суда, винить им нужно себя. Безусловно, в судебных спорах между клиентами и банками суды с особым вниманием изучают исполнение банками требований регулятора. Но клиенты, в свою очередь, должны исполнять требования договора с банком. Споры по таким делам относятся к категории сложных, и позиция банков изначально более сильная. Однако практика рассмотрения дел, связанных с хищением злоумышленниками денежных средств, развивается. В отечественной судебной практике уже есть факты истребования самописных компонентов средств дистанционного банковского обслуживания, имеются факты исследования выгрузок внутренних систем банков, а также исследование самих банковских систем на предмет поиска уязвимостей. Все это имеет значительный вес для суда. |
Однако в последние три года все чаще случаются громкие киберограбления самих банков на гораздо более весомые суммы. Погуглив «хищение денежных средств хакерами из банков», можно оценить масштабы бедствия. Например, в декабре прошлого года киберпреступники пытались вывести из банка «Глобэкс» (дочернего банка ВЭБа) 75 млн долларов через каналы международной системы передачи финансовых сообщений и платежей SWIFT. Всю сумму «вынести» не удалось, хакеры удовлетворились 80 млн рублей. Технология обкатана, в перечне клиентов РОССВИФТа ( Российская ассоциация пользователей SWIFT)– более 200 финансовых организаций. Отметим, SWIFT в прошлом году таки ввел обязательный для всех его клиентов стандарт безопасности. Документ, при его исполнении, позволяет защититься от основных векторов атак, которые используются злоумышленниками в настоящее время.
Один из действенных способов атак на банки – рассылка вредоносного программного обеспечения (ПО) по электронной почте сотрудникам. Хакеры научились имитировать предупреждения Центрального банка, VISA и MasterCard. По исследованиям, более 10% получателей запускают вредоносное вложение, после чего злоумышленники получают доступ к компьютеру жертвы и продвигаются дальше в сеть банка.
Средства антивирусной защиты, межсетевое экранирование и виртуальные частные сети, средства резервирования, демилитаризованные зоны (сегмент сети, содержащий общедоступные сервисы отделяющий их от частных), IPS/IDS, разумеется, присутствуют в каждом банке, поскольку необходимость их использования закреплена на законодательном уровне в части требований по защите информации. Однако реальные случаи доказывают, что стандартные средства защиты уже не являются серьезной преградой для целевой атаки хакеров на банк.
Слабым местом являются и веб-приложения. Поддерживать в актуальном состоянии их безопасность достаточно сложно: они регулярно требуют улучшений и доработок, чтобы успевать за требованиями рынка и технического прогресса.
Wi-Fi, открытые порты на сетевом периметре, неконтролируемое обновление ПО – об этих опасностях, казалось бы, знает и ребенок. Однако эксперты отмечают, что «на местах» - в нецентральных офисах банков - о них иногда забывают.
Массовая зачистка банковского рынка от неустойчивых игроков привела ко многим последствиям. Одно из них неожиданно плохо сказалось на безопасности банков и их клиентов: «лопнувшие» кредитные учреждения распродавали имущество, в том числе и банкоматы, и кибер-ОПГ не преминули воспользоваться возможностью купить технику за невеликие деньги (2-5 тыс. долларов). Изучить начинку и программную часть – нехитрое дело, и в результате появился новый софт, были выработаны методы точечного воздействия на корпус банкомата для быстрого доступа к нужным портам и проводам. Поскольку предложение банкам устройств самообслуживания довольно ограничено, и производителей можно буквально пересчитать по пальцам одной руки, легко предположить, что исследование нескольких моделей банкоматов приводит к атакам на десятки аналогичных работающих устройств. А полностью поменять «парк» банкоматов – дело очень дорогостоящее для любого банка, к тому же нет никаких гарантий, что это решит проблему хоть на сколько-нибудь долгий срок. Кстати, банки не любят публично рассказывать о «вскрытых» банкоматах – репутационные риски выше.
В те времена, когда хакерам были интереснее обычные пользователи, чем организации, банки активно работали над безопасностью интернет-банкинга, и запаса прочности защиты систем должно хватить еще на несколько лет.
Утечка изнутри
Избежать утечки конфиденциальной информации изнутри чрезвычайно важно для банков, владеющих огромными массивами персональных данных своих клиентов и несущих ответственность за сохранение их в тайне. Банки вынуждены блокировать доступ сотрудников к сайтам и соцсетям, запуск и установку приложений, подключение USB-устройств и ограничивать запись на съемные носители. Кредитные организации мониторят сетевой трафик, в том числе шифрованный, контролируют почтовые протоколы и веб-почты, осуществляют полный файловый мониторинг, контролируют загрузки в облачные сервисы и на сайты, записывают окружение рабочего места с микрофонов и снимки с вебкамер – факты пренебрежительного отношения к конфиденциальной информации помогают выявить инсайдеров и нелояльных сотрудников.
Регуляция регулятора
Выше мы упоминали, что обеспечение информационной безопасности – это прямая обязанность финансово-кредитных организаций. В 2017 году Банк России выпустил ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», который банки применяют с 1 января этого года. Стандарт требует от банков внедрения конкретных защитных мер на конкретных системах.
Наиболее значимые документы, регулирующие информационную безопасность в банках:
- Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля соблюдения требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П)
- Комплекс документов Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)
- ГОСТ Р 57580.1
Документ знаменует собой новую эпоху именно технической безопасности, считают эксперты, поскольку предыдущие документы регулятора в области ИБ в основном предполагали генерацию банком большого количества документов для отчетности. В итоге и безопасность зачастую оставалась лишь на бумаге. Есть политика по ИТ на бумаге – прекрасно, нет – подготовьте, согласуйте, подпишите. Проверяющие не лезли в «технику». Хорошо, если стандарт в этом году покажет свою жизнеспособность.
Резюме
Любой целенаправленной деятельности свойственны риски. Это объективная реальность, и понизить эти риски можно лишь до определенного остаточного уровня. Риски нарушения информационной безопасности должны быть согласованы и иерархически связаны с рисками основной деятельности организации через возможный ущерб. Риски нарушения таковой выражаются в возможности потери состояния защищенности интересов и возникновения ущерба бизнесу или убытков. Потеря состояния защищенности интересов организации в информационной сфере заключается в утрате свойств доступности, целостности или конфиденциальности информационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации. Негативные последствия сбоев в работе отдельных банковских организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов.
Эксперты IT-рынка считают, что уровень развития информационной безопасности в российском финансовом секторе оставляет желать лучшего, и преступники явно превосходят его. Год 2018 покажет, насколько решительно и эффективно регулятор взялся за контроль технического выполнения стандартов. Идеально было бы, если и банки осознали, что вопрос обеспечения информационной безопасности – это не только прямые издержки, которые можно переложить на клиентов, но и снижение доверия в целом к банковской системе.
Материал подготовлен специально для журнала «Эксперт Татарстан»