Как банки борются с киберпреступниками

Последние несколько лет банковский сектор в России переживает цифровой бум: внедряется электронный документооборот, расширяются возможности интернет-банков. Однако вместе с ним обострился вопрос информационной безопасности. По мнению участников рынка, именно обеспечение безопасности в цифровом пространстве станет основным вектором приложения сил банкиров в ближайшем будущем, а способствовать этому должно ужесточение наказаний за киберпреступления.
Банки традиционно занимают лидирующие позиции в сфере цифровизации бизнеса в России. «Результатами процесса стала практически полная доступность банковских услуг для подавляющего большинства жителей страны, сопряженная с резким ростом рисковости банковских операций. Главные риски — мошенничество со стороны третьих лиц»,— отмечает директор Института финансов и права Уральского государственного экономического университета (УрГЭУ-СИНХ) Максим Марамыгин.
Одним из важнейших в текущих реалиях становится вопрос о защите и обработке персональных данных. «Цифровизация многократно усилила опасность слива массива персональных данных клиентов, поэтому существенно выросла значимость службы по защите информации. Думаю, в скором времени это будет главным направлением в работе финансовых институтов вообще, и банков в частности»,—считает Максим Марамыгин.
Главными инфраструктурными проектами, в отношении которых Банк России будет устанавливать повышенные требования по информационной безопасности, считают в ФинЦЕРТе, будут такие проекты, как платформа удаленной идентификации (ЕБС), Система быстрых платежей (СБП), платформа маркетплейс и цифровой профиль клиента
Особенно эта тема обострилась после появления информации о грандиозной утечке информации о клиентах Сбербанка. Напомним, в начале октября стало известно о том, что персональные данные клиентов Сбербанка оказались на черном рынке. Продавцы утверждали, что владеют данными о 60 млн кредитных карт как действующих, так и закрытых (у банка сейчас около 18 млн активных карт). В пресс-службе банка заявили, что дополнительно была установлена продажа 5 тыс. учетных записей кредитных карт Уральского банка Сбербанка, «значительное количество из которых являются устаревшими и неактивными». Основатель DeviceLock Ашот Оганесян пояснял тогда, что в открытом доступе тогда находилось чуть более 2 тыс. учетных записей кредитных карт Сбербанка. По его данным, в сеть попали записи клиентов отделений Сбербанка в Омске, Тюмени, Кургане, Уфе, Челябинске, Новом Уренгое, Екатеринбурге, Сургуте, Ханты-Мансийске и Салехарде (то есть как минимум не только Уральского банка Сбербанка).

Президент Сбербанка Герман Греф на форуме финансовых технологий «Finopolis-2019» в Сочи на вопрос об очередной утечке данных заявил о том, что человеческий фактор пока никто не отменял. «Всегда самая большая проблема — уязвимость изнутри. Когда сотрудники, призванные к тому, чтобы защищать, создают систему, они знают все потенциальные уязвимости. И они могут ими воспользоваться»,—пояснил он.
По данным «Лаборатории Касперского», в первом полугодии 2019 года было зафиксировано более 105 млн атак только на устройства интернета вещей с 276 тыс. уникальных IP-адресов. Это примерно в девять раз больше, чем за аналогичный период 2018 года. Россия вошла в первую пятерку стран-источников заражений: примерно каждая девятая атака (11%) приходила из России. В лидерах также Китай (30%), Бразилия (19%), Египет (12%) и США (8%)
В конце октября правоохранительные органы сообщили о задержании подозреваемого в хищении персональных данных клиентов ряда банков, включая Сбербанк. Мужчина работал в коллекторской компании ООО «НСВ» (Национальная служба взысканий), которая сотрудничала со Сбербанком. В отношении мужчины возбуждено уголовное дело по ч. 3 ст. 183 УК РФ («Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, причинившее крупный ущерб»). Установлено, что он проживал в Волгограде и действовал под псевдонимом «Антон 2131».
По словам директора департамента по развитию ИТ Уральского банка реконструкции и развития (УБРиР) Сергея Щербинина, сейчас вопрос об обеспечении защиты данных встает гораздо острее, чем раньше. Одно из новых ценностных предложений, которые банк будет формулировать для своего клиента, во многом завязано на безопасности. «Цифровизация полностью покрывает все вопросы управления финансами клиента, и вопрос утечек всех видов данных, по сути, краеугольный вопрос, который возникает при выборе — предоставлять или нет сервис вообще»,— отмечает он.
«Вопрос безопасности часто вызывает жаркие дискуссии, так как он важен и для клиентов, и для банков. Действительно, важно, чтобы вслед за изменением потребностей и перехода в digital клиенты получали безопасный сервис и были готовы к возможным действиям мошенников»,—отмечает руководитель филиала Абсолют Банка в Екатеринбурге Светлана Ковалева. По ее мнению, Центробанк России понимает этот тренд и также обратил внимание на необходимость лицензирования финтехов, которые активно приходят в классический банкинг. «И если кредитные организации привыкли к неусыпному контролю со стороны регулятора, то для молодых и инновационных решений это может быть новым опытом. Тем не менее, повышенное внимание самих кредитных организаций, финтехов и регулятора к этому вопросу не вызывает отторжения»,— добавила госпожа Ковалева.
«В Российской Федерации не зарегистрированы инциденты, которые приводили бы к критичному ущербу в системно значимых организациях кредитно-финансовой сферы. Вместе с тем ряд инцидентов вызывал нарушение непрерывности предоставления финансовых услуг и, как следствие, рост социальной напряженности в обществе»,— отмечается в отчете центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России за 2018–2019 годы
Борьба с хакерами должна быть комплексной и осуществляться на всех уровнях и каждой из вовлеченных сторон. «Появляется много разных схем для отслеживания как внутренних угроз, так и внешних. Отдельные решения по информационной безопасности уже внедряются. Но здесь, скорее, главное не в том, какие технологии мы применяем, а какое вниманием мы этому уделяем»,— подчеркивает Сергей Щербинин.
Валентин Богданов, генеральный директор ООО «УЦСБ»:
Угрозы информационной безопасности (ИБ) оцениваются как с точки зрения потенциала потерь, так и с точки зрения возможности их осуществления. С точки зрения управления рисками организации важно обращать внимание и на первую, и на вторую составляющие. Текущий профиль актуальных угроз пополнился угрозами, направленными на автоматизированные системы управления технологическими процессами (АСУТП). Аналитики давно начали говорить о важности защиты АСУТП и систем автоматизации (СА) от информационных угроз, но предприятия стали всерьез об этом задумываться только сегодня. Это связано и с появлением информации о реальных крупных инцидентах, и с усилением регулирования в этом направлении. Например, принят федеральный закон «О безопасности критической информационной инфраструктуры РФ». Часто целями атак становятся государственные организации и банки.
Кроме того, все еще актуальны угрозы утечки баз крупных операторов персональных данных. Целью злоумышленников является информация, которая потом продается или распространяется неограниченному кругу лиц.
Так называемые целевые атаки (класс сложных компьютерных атак, специально разработанных группой лиц или отдельным хакером против конкретной организации, обычно с целью незаконного обогащения или конкурентной борьбы) вызывают беспокойство больших корпораций или владельцев крупных систем. Во время таких атак злоумышленники надолго закрепляются в систему и собирают максимальный «улов», до которого могут добраться.
Владельцы популярных порталов, интернет-магазинов и сайтов с онлайн-оплатой последнее время все чаще подвергаются массовым атакам, нацеленным на хищение денежных средств.
Совсем недавно появились киберугрозы с нестандартными сценариями атак: атаки на ИТ-инфраструктуру с использованием квадрокоптеров и прочих беспилотных летательных аппаратов; атаки на популярные аккаунты и аккаунты организаций в социальных сетях; атаки на системы контейнерной доставки программного обеспечения, атаки на биометрические системы аутентификации.
Для атак на кредитные организации, как правило, используются целевой фишинг (вид компьютерной атаки, связанный с подделкой информационного ресурса и заманиванием на него пользователей) и специально разработанное вредоносное программное обеспечение, которое заражает компьютеры работников банка. Для атак на клиентов используются варианты проще: массовый фишинг, популярные уязвимости и методы социальной инженерии, в которой клиент сам отдает злоумышленнику учетные данные для проведения платежа.
Для защиты от подобных атак необходим комплекс мероприятий: повышение осведомленности работников по вопросам информационной безопасности, менеджмент уязвимостей и своевременная установка обновлений ПО, использование систем антивирусной защиты со встроенной изолированной средой («песочницей») и систем обнаружения угроз на конечных точках (EDR), фильтрация web-трафика, мониторинг и регулярное тестирование системы защиты.
Можно выделить массовые эпидемии и целевые атаки. И те, и другие опасны, но тогда как одни успешны в силу массовости, то другие в силу использования более детального подхода и более сложных методов взлома. Опыт нашей компании показывает, что порядка 80% пентестов успешны, т.е. потенциальный злоумышленник мог бы получить полный доступ к системам, выполнив любые из перечисленных несанкционированных действий.

«Если мы говорим о фишинге (вид интернет-мошенничества, когда злоумышленники получают доступ к паролям), необходимо сотрудничество телеком-операторов, регуляторов и правоохранителей. Без такой координации, какую бы ты суперсовременную и надежную систему не построил, ты не можешь привлечь злоумышленников к ответственности. И это вопрос создания коллаборативных систем. Маленькому игроку это сделать тяжело, поэтому на нас в этой части большая ответственность»,— уверен Герман Греф.
Кроме того, глава Сбербанка указал на то, что ответственность, предусмотренная в уголовном кодексе РФ за подобные преступления, не соответствует степени нанесенного ущерба, в то время как адекватное наказание способно сократить количество подобных инцидентов в разы. По словам Германа Грефа, Сбербанк провел сравнительный анализ предусмотренной ответственности между Россией, США и Европой. Сейчас самое распространенное преступление в РФ — фишинг. За прошлый год Сбербанк отследил около 135 тыс. номеров телефонов, с которых шла атака на клиентов банка. В РФ за эту деятельность в принципе не предусмотрено наказание. В США за это дают пять лет тюрьмы, в Великобритании — 10 лет. Он отметил, что как только за преступление назначается наказание, идет резкое снижение противоправных действий. В пример он привел скимминг (мошенничество с использованием специальных устройств, позволяющих считывать информацию с банковских карт). «Как только была введена уголовная ответственность за это преступление, проблема пошла на убыль. В России за скимминг сейчас дают до семи лет, в США —до 20 лет»,— пояснил господин Греф. За DDoS-атаки в России предусмотрена ответственность до семи лет лишения свободы (в США — до 20 лет), за спам — в России штраф до 2,5 тыс. руб. для физических лиц, до 500 тыс. руб. для предприятий (в США — пять лет тюрьмы).

Источник: Газета "Коммерсантъ"