Главная угроза – неавторизованное списание денежных средств

«Банковские Технологии»: Как известно, бизнес зачастую негативно относится к развитию и ужесточению ИБ. Как Вам удается приводить банк в соответствие современным практикам обеспечения информационной безопасности?

Олег Волков: Важно грамотно балансировать между требованиями информационной безопасности, и пожеланиями бизнеса. Совершенно очевидно, что меры обеспечения безопасности не должны останавливать бизнес-процессы, при этом необходимо сохранять высокий уровень безопасности, исходя из существующих угроз и требований регулятора, так как это напрямую влияет на финансовое состояние и репутацию банка. Это и является самой серьёзной задачей, с которой справляется Департамент кибербезопасности банка.

«Б. Т.»: Как, на Ваш взгляд, должно быть организовано взаимодействие бизнес-подразделений и ИБ-службы в банке? Как разделить зоны и меру ответственности каждой группы участников в случае инцидентов?

О. В.: Безопасность финансово-кредитной организации находится в зоне ответственности не только службы информационной безопасности, но и каждого работника. Сотрудники банка при приеме на работу, подписывая свои трудовые договоры, берут на себя обязательства по соблюдению требований информационной безопасности, и таким образом становятся полноценным звеном обеспечения ИБ в банке.

В свою очередь Департамент кибербезопасности является связующим звеном между требованиями информационной безопасности и их применением на практике. Мы поясняем целесообразность и необходимость требований сотрудникам, а также последствия от нарушения требований ИБ. Я, как руководитель службы ИБ, несу ответственность за контроль и применение средств защиты, за соблюдение требований регуляторов и законодательства в области ИБ, но это не уменьшает ответственности с каждого сотрудника за соблюдение этих требований.

«Б. Т.»: Вы проводите с персоналом занятия?

О. В.: Обязательно. По требованию регулятора мы проводим обучающие семинары и тренинги. Несколько раз в год для сотрудников проводятся онлайн-курсы по повышению осведомленности в области ИБ. Также общаемся лично, если кому-то необходимы дополнительные разъяснения по тому или иному вопросу.

«Б. Т.»: Каким образом выстроен процесс взаимодействия ИБ-службы с поставщиками решений ИБ в банке? Как Вы оцениваете и выбираете поставщиков?

О. В.: В Банке существуют определенные регламенты и нормативные документы, описывающие процессы обеспечения ИБ при взаимодействии с контрагентами. В соответствии с этими документами сотрудники и осуществляют такое взаимодействие. Мы постоянно осуществляем контроль выполнения этих требований.

«Б. Т.»: Соответствует ли современный рынок решений по ИБ Вашим ожиданиям?

О. В.: Я считаю, рынок вполне соответствует ожиданиям, выбор решений достаточно большой и это позволяет «закрыть» любой вид угроз. Я участвую в различных отраслевых конференциях, где производители средств защиты информации представляют новые решения, и отмечаю, что этот рынок достаточно развит и продолжает идти вперед. Проблема только в том, что не всегда вендоры успевают вовремя сертифицировать вновь появляющиеся решения, а по требованию законодательства каждое средство защиты информации, участвующее в обработке персональных данных и платёжной информации, должно быть соответствующим образом сертифицировано.

«Б. Т.»: Речь в данном случае идет о зарубежных решениях. Используете ли Вы российские решения?

О. В.: В нашем арсенале есть и отечественные решения. При выборе средств защиты информации мы не пренебрегаем решениями российских производителей, если они соответствуют необходимому качеству и обеспечивают должный уровень защиты.

«Б. Т.»: По каким направлениям можно, по Вашему мнению, использовать российские решения?

О. В.: Среди российских разработок лидируют антивирусные решения. А вот системы сетевой защиты не сравнительно недавно появились на рынке, и еще не прошло достаточно времени, чтобы они успели достигнуть нужного уровня развития. Активно развивается практика DLP – технологий предотвращения утечек конфиденциальной информации. По этому направлению мы взаимодействуем с российскими вендорами. Правда, необходимо отметить, что большинство отечественных решений позволяет осуществлять контроль утечек, но хотелось бы, чтобы они еще и решали вопрос их предотвращения.

На рынке появляются российские системы сбора и корреляции событий ИБ (SIEM), которые анализируют данные, поступающие от систем антивируса, DLP, IDS, маршрутизаторов, межсетевых экранов, операционных систем серверов и пользовательских ПК. Если обнаруживается непривычное поведение или подозрительные действия, отклонение от нормы фиксируется, и SIEM-решение регистрирует инцидент. Думаю, что через год или два российские решения станут вполне конкурентоспособными.

«Б. Т.»: Как бы Вы описали сегодняшнюю ситуацию в сфере информационной безопасности банковской отрасли, насколько она критична?

О. В.: Ситуация достаточно критична. Финансовая сфера представляет собой «лакомый кусок» для преступных группировок. Для мошенников она более привлекательна, чем ритейл или предприятия тяжелой и легкой промышленности. Особенно в век развивающихся интернет-технологий, когда при наличии определенных навыков и возможностей преступники могут осуществлять хищения огромных сумм без особого для себя риска.

«Б. Т.»: Почему именно социальная инженерия стала главным злом в сфере ИБ?

О. В.: Это имеет своё объяснение. Большинство криминальных групп сосредоточено в Китае и в России. У наиболее изобретательных злоумышленников российские «корни». Такие преступники хорошо знакомы особенностями нашего банковского рынка, а также имеют представления о менталитете российского пользователя. По этой причине отечественные банки и компании устанавливают и применяют самые современные комплексные средства защиты. В такой ситуации единственная возможность проломить неприступную стену крепости – сделать так, чтобы кто-то «открыл ворота» изнутри. Социальная инженерия и дает злоумышленника необходимый «ключ». Поэтому она так активно и зачастую успешно используется преступниками.

«Б. Т.»: Какие, по Вашему мнению, способы являются действенными в попытках противостоять этому злу?

О. В.: Единственная возможность противостоять социальной инженерии – это повышение осведомленности персонала. Мы обязательно информируем наших сотрудников о механизмах и принципах действия социальной инженерии и о том, как ей противостоять. На мой взгляд, формула защиты такова: повышение осведомленности плюс наличие внутренних средств контроля и поведенческого анализа сотрудников-пользователей.

«Б. Т.»: О каких средствах контроля идет речь?

О. В.: Современное популярное направление – это системы контроля поведенческого анализа пользователей, интеллектуальные инструменты, основанные на машинном обучении. Функции, связанные с поведенческим анализом, давно присутствуют в системах информационной безопасности, но отдельное направление UEBA (User and Entity Behavior Analytics) появилось всего несколько лет назад. Оно подразумевает переход от анализа правомерности использования данных к выявлению аномалий в поведении пользователей и иных ситуаций: сбоев или критических ситуаций в работе станций, приложений и сетевого трафика. Решения UEBA, основанные на машинном обучении и ретроспективном анализе, позволяют увидеть, что делал сотрудник, например, три месяца назад и как изменилась его активность сейчас. Наряду с применением методов математической статистики это называется профилированием, с его помощью можно обнаружить такие инциденты, которые классические системы пропускают.

«Б. Т.»: Существуют ли адекватные решения в области безопасности, с учетом того, что объемы данных стремительно растут и растут требования к скорости их обработки?

О. В.: Любые средства защиты оказывают влияние на производительность банковских систем и баз данных. Поэтому одним из критериев выбора решений по ИБ является их минимальное влияние на производительность. При этом рынку приходится подстраиваться под эти требования банков, и производители ищут пути снизить степень воздействия средств защиты на скорость обработки данных. Сейчас существует возможность выбора решения с достаточным уровнем защиты при сохранении высокой производительности других систем и баз данных.

«Б. Т.»: Расскажите о ключевых проблемах использования сервисов ДБО с точки зрения безопасности?

О. В.: В ДБО можно отметить в основном проблемы внешнего характера. Одна из самых распространенных — подмена реквизитов на стороне клиента ДБО. Мошенники действуют разными способами. Например, хакер получает удаленное управление компьютером пользователя, перехватывает PIN-код токена или смарт-карты и подписывает поддельные платежные поручения от лица клиента банка с помощью его электронной подписи в те моменты, когда устройство подключено к компьютеру. Другой способ: компьютер клиента заражается специальным трояном, который способен незаметным для пользователя способом подменять реквизиты подписываемых платежных поручений, одновременно изменяя отображаемые пользователю остатки на счетах, из-за чего факт совершения кражи может долго оставаться незамеченным.

Эти проблемы, конечно, решаемы. Для снижения рисков кражи денежных средств банки применяют серверные системы фрод-мониторинга, предназначенные для выявления и блокирования подозрительных транзакций. При правильной настройке такие системы действительно способны снизить риски и успешно справляются с выявлением поддельных платежных поручений на основании различных статистик.

Проблемы в ДБО в большей степени связаны с невнимательностью и неосведомленностью клиентов, которые проявляют неосторожность, наивно полагая, что именно с ними ничего подобного случиться не может. Особенно это актуально для небольших региональных городов. Пользователи часто забывают о том, что при современном развитии интернета и технологий конкретное местоположение населенного пункта и компьютера не имеет никакого значения, для киберпреступников границ не существует.

«Б. Т.»: Но банк не может повлиять на то, как организовано рабочее место клиента.

О. В.: Безусловно, не может. В банковской среде существует практика требовать от клиента обеспечения ИБ рабочего места, с которого он получает услуги ДБО. Кроме того, банк постоянно информирует клиентов о последних рисках, угрозах, событиях ИБ. Большую роль в информировании играет Центральный банк.

«Б. Т.»: Ситуация с обеспечением безопасности платежной индустрии также является весьма критичной.

О. В.: Эквайринговый фрод (англ. fraud — мошенничество) – это отдельная тема, здесь совершенно иные угрозы и очень развита социальная инженерия. Негативным фактором является также невнимательность клиентов.

Пользователи отдают в электронные магазины информацию по платежным картам и порой слепо доверят призывам ввести номер карты и секретные коды CVC или CVV, которые появляются на экране. При подмене ресурса для злоумышленников этого вполне достаточно чтобы списать деньги с карты.

Сейчас при развитии двухфакторного подтверждения платежей при использовании гаджетов, которые весьма уязвимы, перехваты смс очень распространены, как с помощью социальной инженерии, так и с помощью установленных на гаджетах троянов.

«Б. Т.»: С апреля 2019 года держатели карт Visa могут бесконтактным образом оплачивать покупки до трех тысяч рублей без ввода ПИН-кода, т.е. лимит увеличен в три раза. Каким образом это может сказаться на ситуации с точки зрения ИБ, на Ваш взгляд?

О. В.: Я думаю, что банки будут получать больше претензий по несанкционированному списанию денежных средств с карт. Повседневные покупки станут удобнее, но при потере или краже карты возможный ущерб также вырастет в три раза. Поэтому у меня двоякое видение этой ситуации. С одной стороны, международные платежные системы стремятся к увеличению скорости и количества покупок безналичным способом и тем самым привлечению новых клиентов. Ограничение в 1 тысячу рублей внедрялось в период, когда бесконтактные платежи только набирали обороты. Сейчас же платежная система Visa продолжает развитие сегмента безналичной оплаты и делает пользование карточками еще более удобным.

С другой стороны, банки будут усиливать внимание к вопросам несанкционированного списания, поскольку может возрасти количество скимминга, т.е. мошеннических операций по считыванию информации с бесконтактных карт с помощью специального технического устройства, например, эквайрингового аппарата со взломанной прошивкой или просто приобретённого на фирму-однодневку. С помощью такого POS-терминала можно снять деньги с карты обыкновенным прикладыванием его к сумке, где человек обычно держит пластиковые карты. И теперь, когда сумма снятия без ввода ПИН-кода равна трем тысячам рублей, мошенники могут активизироваться.

«Б. Т.»: Где в таком случае лучше держать карту?

О. В.: Сейчас на рынок стали выходить портмоне, которые имеют в качестве подложки сетку Фарадея, т.е. подкладка портмоне сделана из фольгированной сетки. Это недорогая технология — хороший способ защиты. Вполне достаточно также просто положить листок фольги в кошелек, где хранятся карты.

«Б. Т.»: Одним из самых опасных видов преступлений является управление системами посредством удаленного доступа. Что нужно, в первую очередь, предпринимать банкам в этой связи?

О. В.: К сожалению, удаленный доступ всегда более уязвим, чем любая система ДБО.

Об обеспечении безопасности при удаленном доступе реже заботятся, поэтому захват злоумышленниками доступа через удаленное управление – это один из популярных векторов атак.

Единственное правильное решение проблемы ИБ в данном случае — многофакторная аутентификация для удаленного пользователя. Т. е. наряду с относительно постоянными логином и паролем необходимо наличие аппаратного токена, генерирующего одноразовые пароли, которые обеспечивают решение двух задач.

Во-первых, они позволяют однозначно идентифицировать пользователя, которому был выдан удаленный доступ (аппаратный токен выдается под подпись конкретному сотруднику). Тот, кто ввел разовый пароль, однозначно владеет этим токеном и несет ответственность за обращение с ним.

Во-вторых, многофакторная аутентификация решает вопрос невозможности отказа от авторства операции, поскольку токен выдан конкретному лицу, что не позволяет владельцу токена отказаться от факта проведения операции или действия, если токен не был утрачен или украден. При этом владельцу токена необходимо быть очень внимательным к обращению с ним и не оставлять аппаратный токен без присмотра, а в случае утраты или кражи немедленно сообщать об этом в службу информационной безопасности, выдавшей токен.

Многофакторная аутентификация сейчас применяется в российских финансово-кредитных организациях также при создании сервисов интернет-банкинга, мобильного банкинга, файлообмена и т.п. решений для конечных пользователей. Как я уже отметил, она основана на совместном использовании нескольких факторов аутентификации (фактор знания – пароль, фактор владения – аппаратный токен, фактор свойства - биометрия). Это значительно повышает безопасность использования информации, по крайней мере, со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций.

«Б. Т.»: Что Вы думаете об аутсорсинге информационной безопасности?

О. В.: Я не готов отдать функцию ИБ на аутсорсинг. Коммерческая организация, предлагающая услуги аутсорсинга, это не государственная правоохранительная структура, действующая исключительно во благо исполнения законов. Организация-аутсорсер может нарушить условия договора или трактовать их по-своему. Конечно, при подобных действиях будет нанесен урон репутации компании, но, к сожалению, на российском рынке для многих — это не самая большая проблема. Я считаю верным принцип: никто не позаботится о защите моего жилища лучше меня самого, поэтому я против аутсорсинга ИБ.

«Б. Т.»: На каких направлениях деятельности акцентировано Ваше внимание в настоящее время?

О. В.: В первую очередь, мы защищаем каналы ДБО от мошеннических действий, ежегодно рассчитываем риски и идентифицируем угрозы, стараемся быть в тренде всего, что имеет отношение к ИБ.

«Б. Т.»: Как с Вашей точки зрения выглядит рейтинг киберугроз?

О. В.: На первом месте – несанкционированное списание денежных средств.

На втором – кибервымогательство, использование шифровальщиков как очень простого способа заработать.

На третьем месте – DDOS-атаки, которые на сегодняшний день весьма распространены и являются следствием недобросовестной конкуренции.

Банковский сектор в значительной степени подвержен таким угрозам в виду особой чувствительности обрабатываемой информации и крайней зависимости от скорости предоставления услуг. Наш банк также не является исключением. Поэтому усилия Департамента кибербезопасности направлены на снижения рисков реализации таких угроз.