Аналитика и комментарии

11 января 2018

Ситуация в сфере ИБ критична всегда

Начальник управления информационной безопасности АО КБ «Златкомбанк» Александр ВИНОГРАДОВ в интервью NBJ изложил свою точку зрения на текущие проблемы информационной безопасности в банках и на актуальные киберугрозы для банковского сообщества.

NBJ: Можно ли говорить о каких-то «новинках», которые представили миру киберпреступники за последний год?

А. ВИНОГРАДОВ: Киберпреступники год от года представляют мировой общественности какие-то «новые разработки». В их действиях прослеживается вполне закономерная тенденция. Во всяком случае, складывается такое ощущение, что хакеры начинают действовать в каком-то конкретном направлении и работают до тех пор, пока не доведут свой продукт или решение до совершенства, масштабы таких «разработок» возрастают в разы. Для реализации своих целей киберпреступники создают синдикаты, целые предприятия с большим количеством «сотрудников», многие из которых даже и не подозревают, на кого работают (часто все это существует под видом стартапов или каких-либо наработок для благих дел). Ибо на кону на сегодняшний день стоят, к сожалению, очень большие суммы.

Что касается атакуемых объектов в банковской системе, то тут все стандартно – атакам подвергаются либо банки, либо клиенты. Атаки на банки и клиентов могут быть как очень изощренными, так и очень простыми. Одним хакерам нравится запускать «зловреды», другие предпочитают использовать методы социальной инженерии, когда с помощью одного звонка можно получить доступ к денежным средствам. Все зависит от предпочтений мошенников – кому-то нравится клавиши на клавиатуре нажимать, а кто-то предпочитает живое общение с потенциальной жертвой. В итоге цель одна – незаконное завладение денежными средствами клиентов.

NBJ: Как бы вы описали сегодняшнюю ситуацию в сфере информационной безопасности в банковской отрасли, насколько она критична?

А. ВИНОГРАДОВ: Ситуация в сфере информационной безопасности банковской отрасли критична всегда, в ней есть свои нюансы, особенности и специфика. Отмечу тот факт, что хакеры, к сожалению, всегда на один шаг опережают банки. Но это не означает, что надо опустить руки и ничего не делать, наоборот, на каждое новое изобретение хакеров надо искать свои меры противодействия.

Конечно, это не так просто и занимает немало времени. Ведь нужно для начала вникнуть в механизм реализации задуманного, понять, в каком направлении происходит атака, определить ее вектор. Далее банк анализирует имеющиеся у него средства защиты, производит «разбор полетов». Кроме того, в арсенале банка должны быть средства, которые, возможно, не актуальны в настоящее время, но в дальнейшем, когда вектор атак будет другой, они могут понадобиться.

Я думаю, что наряду с техническими средствами защиты нужно проводить обучение сотрудников кредитно-финансовых организаций регулярно и на обязательной основе по нормативным документам Банка России (положения 382- П, 552-П, комплекс стандартов Банка России и др.). Этот процесс называется повышением осведомленности персонала. Например, сотрудник должен понимать и соблюдать элементарное правило: нельзя в рабочий компьютер вставлять «случайную» флешку, которую он принес из дома или которую ему кто-то дал. Безусловно, заражение может произойти и через интернет. В некоторых организациях запрещают доступ в интернет с рабочих компьютеров, в других есть запрет на доступ только к конкретным сайтам, например социальным сетям и др.

NBJ: Как обеспечить киберустойчивость финансово-кредитной организации при взаимодействии с потребителями услуг? Каковы основные проблемы, требования и решения?

А. ВИНОГРАДОВ: Здесь формула не претерпела никаких изменений – нужно использовать технические средства защиты, повышать осведомленность персонала и т.д. Существуют разные векторы, по которым мы взаимодействуем с потребителями услуг. Банки могут это делать либо самостоятельно, либо через Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) – структурное подразделение главного управления безопасности и защиты информации Банка России (ГУБиЗИ). Ведь у банковского сообщества есть центр оперативного реагирования на угрозы в сфере ИБ и ИТ – FinCERT, о котором мы будем в дальнейшем беседовать, и это дает возможность наладить лучшее взаимодействие с правоохранительными органами, с операторами связи, интеграторами в случае возникновения инцидента. Сейчас не обязательно напрямую выходить на операторов мобильной связи, чтобы решить подобные проблемы. Например, возникла необходимость блокировки номеров телефонов, через которые были «уведены» денежные средства, или блокировки фишингового сайта в сети интернет. По этим проблемам не только стоит обращаться в FinCERT, но я бы настоятельно рекомендовал это делать. Там работают профессионалы, которые всегда придут на помощь.

NBJ: Каким должен быть банк, чтобы его можно было назвать киберустойчивым?

А. ВИНОГРАДОВ: Даже если мы превращаем наш банк в крепость, в которую нельзя войти и которую невозможно покинуть, всегда найдется хоть маленькая, но лазейка, чтобы проникнуть внутрь и поживиться там – например, по воздуху или сделав подкоп (но и в этом случае есть защита – можно залить бетонную плиту).

Если даже использовать все последние технологии в области защиты информации и для пущей убедительности обвешаться иконами, все равно останутся тонкие места – например, проблемы нулевого дня либо другие уязвимости, – используя которые хакер найдет возможность пробить нашу защиту, пусть не сейчас, но в ближайшее время. В идеале организация должна крайне оперативно отслеживать актуальные угрозы, быть «в теме», так сказать, оперативно и гибко реагировать на существующие угрозы со стороны киберпреступников.

NBJ: Как вы думаете, позволяют ли повысить степень кибербезопасности банка новые технологии (механизмы общественного консенсуса, биометрическая и поведенческая идентификация)?

А. ВИНОГРАДОВ: С одной стороны, безусловно, технологии безопасности не стоят на месте, они постоянно развиваются, и это положительным образом сказывается на механизмах защиты. С другой стороны, прежде чем брать на вооружение новые технологии, необходимо тщательно проанализировать существующую законодательную базу, чтобы реально понимать, как та или иная технология будет приведена в действие на практике. Например, введение биометрической идентификации приведет к тому, что в банке необходимо будет поднимать вопрос о реализации выполнения Федерального закона «О персональных данных» No 152-ФЗ. А это уже ведет к изменению нормативной документации в банке, подписанию новых регламентов, необходимости использования новых средств защиты и т.д. Что, в свою очередь, в идеале ведет опять-таки к тесному взаимодействию с надзорным органом. Хотя в реальности на сегодняшний день это несколько не так.

NBJ: Расскажите о ключевых проблемах использования сервисов ДБО с точки зрения безопасности.

А. ВИНОГРАДОВ: Ключевые проблемы не изменились: воровство как было в системах ДБО, так и осталось, независимо от используемых приложений и способов защиты. Правда, появились новые, вернее забытые старые, способы хищения. Самые распространенные среди них – вирусное заражение и подмена реквизитов в почте клиента. Рассмотрим их действие на реальных примерах.

В программе «1С: Бухгалтерия» меняются реквизиты получателя, и при этом человек, работающий в программе, изменений не видит. То есть, по сути, он совершает легальный платеж, однако по поддельным реквизитам. Все выясняется только по истеч нии времени, когда контрагент не получает денежных средств. Если клиент отказался от оповещения (СМС, электронная почта и т.д.) и доверяет самому себе, то деньги по факту оказываются в руках у мошенников.

Нередки случаи, когда вскрывается система «клиент-банк» у клиента. Происходит замена программного обеспечения внутри ДБО (среда – например, Java), и в этом случае клиенты просто не видят платеж, который совершал робот, т.е. сам вирус. Единственный способ, с помощью которого можно было выявить данную уязвимость, – это нарушение сквозной нумерации. Именно так банки и научились выявлять данный вирус в свое время. То есть у клиента есть платежка под No 13, он хочет сделать следующую, под No 14, а система ДБО не позволяет этого сделать, поскольку платежка под No14 в ней уже есть, и она предлагает перейти сразу к платежке No15. Клиент был совершенно не в курсе происходящего. Как только он вводил пароль от токена, компьютер через несколько секунд зависал, в это мгновение создавался официально подписанный документ на платеж и отправлялся в банк. Данный поддельный платежный документ можно было увидеть, только если перейти работать на другой, незараженный, компьютер. Кстати, именно с этой целью мы предлагали клиентам для создания платежных документов и отправки их в банк, где они обслуживаются, выделить отдельный компьютер, с которого запрещен вход на какие-либо сайты, кроме сайта банка. Ведь вирус можно поймать на любом сайте, где размещена баннерная сеть. Нам в работе приходилось сталкиваться с подобными заражениями, когда клиенты заходили на вполне нормальные сайты (даже профильные), где располагались разные баннеры. При открытии сайта в браузере происходило выполнение определенного сценария, и на компьютер жертвы (которая ни о чем не подозревала) попадало уже нечто вредоносное. Если строить защиту в банке, то необходимо отключать в браузерах всю баннерную сеть. Либо заведомо оценивать риски, понимая, что заражение вирусами может произойти по данному сценарию.

Необходимо на регулярной основе доводить до понимания клиентов банка не только азы информационной безопасности, но и новые векторы атак, с которыми он может в дальнейшем столкнуться.

NBJ: Почему именно социальная инженерия стала главным злом в сфере ИБ? Кто в этом виноват и какие шаги, на ваш взгляд, нужно предпринимать, чтобы минимизировать потери?

А. ВИНОГРАДОВ: Сейчас волна социальной инженерии, на мой взгляд, немного спала, хотя проблем здесь, конечно, много.

На одной из конференций по информационной безопасности представитель банка  рассказывал, что за год произошло несколько десятков инцидентов, связанных с платежной системой, вернее, данная платежная система была только прикрытием для мошенников. Смысл этих инцидентов довольно прост. Злоумышленники отслеживали сайты жертв, то есть банков, где появлялась информация об открытии новых филиалов или офисов. На следующий день после открытия мошенники звонили в подразделение банка и представлялись специалистами службы технической поддержки какой-либо платежной системы. При этом они предлагали операционистам с целью проверки работоспособности сист мы отправить один платеж, например, суммой 500 тысяч рублей. После этого аппетит у злоумышленников возрос.

Рассказывали о любопытной ситуации, когда мошенник, назвавшись, как обычно, техподдержкой платежной системы, предложил девушке-операционистке отправить пробный платеж по этой системе. Она ответила, что банк с такой платежной системой не работает. Тогда аферист, не растерявшись, спросил, с какими платежными системами финансовая организация работает. Получив ответ, он попросил отправить денежные средства по одной из названных систем, чтобы проверить, как она функционирует, что операционистка и сделала.

В другом случае мошенники по той же схеме предложили отправить 500 тысяч рублей. Операционист отправил, на что звонивший ответил, что не видит у себя в системе денег, и для пущей убедительности попросил отправить еще 500 тысяч рублей. Операторы отправляли деньги и наивно полагали, что пройдет проверка работы системы и деньги вернутся обратно в банк. И хотя накануне открытия нового банковского подразделения работников всегда предупреждают, чтобы они были осторожны и бдительны, поскольку могут быть различного рода звонки и попытки мошенничества, все равно человеческий фактор берет свое.

Это как правило гигиены: мыть руки перед едой. Тот, кто нарушает его, рискует заболеть. Так и здесь. Социальную инженерию можно и нужно «лечить», например, проводя обязательный инструктаж сотрудников. Не сомневайтесь, те, кто нарушает правила безопасности, станут жертвами мошенников. На мой взгляд, это наиболее эффективня мера в вопросе противодействия такого рода атакам.

NBJ: Как повысить осведомленность сотрудников банка в области информационной безопасности?

А. ВИНОГРАДОВ: Для этого есть специальные стандарты и положения Центрального банка РФ, в которых говорится о том, что мы должны настойчиво включать наших сотрудников в борьбу с киберпреступностью, повышать их осве- домленность в этом вопросе. В первую очередь это Положение Банка России от 24.08.2016 No 552-П «О требованиях к защите информации в платежной системе Банка России», а также Положение No 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» и комплекс стандартов Банка России (СТО БР ИББС).

В банках, конечно, проводятся тестирования, утверждается командное обучение. Но все это тоже не нужно доводить до абсурда и впадать в крайности. Можно, конечно, каждую неделю заставлять сотрудников читать инструкции, но кроме оскомины у них это больше ничего не вызовет, никакого положительного эффекта не будет. В одном банке используют специальные заставки на компьютерах, которые появляются на экране, когда человек какое-то время не работает за компьютером. Заставки содержат напоминания об элементарных мерах безопасности, иными словами, прописные истины: например, «блокируйте компьютер, когда уходите». Это не текст на тридцати листах, это наглядный материал с необходимой и важной информацией, которую легко усвоить.

NBJ: Одним из самых опасных видов преступлений является управление системами посредством удаленного доступа. Что в связи с этим банкам нужно предпринимать в первую очередь?

А. ВИНОГРАДОВ: Во-первых, систем удаленного доступа в сеть, различаемых по принципам аутентификации и идентификации, на данный момент много. Я знаю банки, в которых запрещен удаленный доступ полностью. Там действуют по принципу: если сотруднику необходима почта для работы, пусть приезжает в банк, либо ему предоставляется уже другой ящик для удаленной работы, но тоже, конечно, защищенный.

Защита должна быть гарантирована, потому что банки работают с коммерческой, с банковской тайной и персональными данными. Существует много вариантов различного программного обеспечения именно для удаленной идентификации, выполняющего разнообразные функции. Нужно проанализировать все, что есть на рынке, провести тестирование. Много пользы приносит общение с коллегами, которые могут рассказать, с какими проблемами и трудностями в работе сталкивались они.

Во-вторых, сейчас не каменный век, и удаленный доступ существует, поскольку есть категория людей, которые ездят в командировки и которым он действительно нужен. Главное при этом понимать, какие риски возникают, и правильно их оценивать. Как всегда нужны понимание и минимизация рисков при использовании в бизнес-процессах удаленного доступа для сотрудников кредитных организаций.

NBJ: Некоторые специалисты говорят, что в последнее время участились таргетированные хакерские атаки на банковские системы. Фиксируете ли вы это?

А. ВИНОГРАДОВ: Действительно, видов таргетированных атак в настоящее время существует немалое количество. На самом деле именно таргетированные атаки в дан- ный момент представляют наибольшую опасность для кредитных организаций. Одно время были распространены вирусы, которые писались специально под определенный банк. Как только такой вирус попадал в компьютер жертвы, он проникал в программное обеспечение системы «клиент-банк» и определял, туда ли он попал, если нет, то сам себя уничтожал.

Есть также атаки, направленные строго на определенные механизмы – на мобильный банкинг, интернет-банкинг и т.д. Все зависит от конкретных условий.

NBJ: Какие дополнительные шаги предпринимают банки, если появляется такая информация о готовящихся крупномасштабных атаках? Или же достаточно стан- дартных методов и способов защиты?

А. ВИНОГРАДОВ: В таких ситуациях банки предпринимают определенные шаги. Мы предупреждаем своих клиентов о том, что если они получат на почтовый ящик или на телефон в виде СМС сообщение, что в каком-то банке отозвана лицензия и нужно бежать срочно «вынимать» оттуда деньги, то не следует этой информации слепо доверять и поднимать панику. Для начала нужно проверить эти данные, позвонив в Центральный банк, все телефоны которого опубликованы на его официальном сайте. Достоверную информацию следует искать только на сайте Банка России, а не на каких-либо форумах, поскольку можно наткнуться на заведомо сфабрикованные сведения.

Если организации грозят DoS- и DDoS-атаки, то необходимо проанализировать, какие из программ- но-аппаратных средств, имеющихся на рынке, помогут справиться с такого рода угрозами. Оценить свой бюджет, риски, целесообразность заключения договора с провайдером либо аутсорсинга. Возможно, решение не пригодится сейчас, но оно понадобится в будущем. В любом случае банк должен быть защищен.

NBJ: Как бы вы оценили работу FinCERT?

А. ВИНОГРАДОВ: FinCERT работает уже примерно два с половиной года. По человеческим меркам срок, конечно, еще очень маленький. Хотя уже многое сделано, во всяком случае, все, что можно сделать за два с половиной года, и даже больше. Например, создана экспертная лаборатория, подписан договор с Ru-Center (российская компания, предоставляющая услуги по регистрации доменных имен, хостинг-провайдер), который помогает закрывать фишинговые сайты.

В случае хищений денежных средств мы сообщаем о своих проблемах в FinCERT.

Центр выпускает ежедневные отчеты и еженедельный обзор происшествий за неделю. Но для полноценного взаимодействия этой структуры с кредитными организациями нужно еще очень много работать. Например, не решен вопрос создания личного кабинета.

NBJ: Вам полезна информация FinCERT?

А. ВИНОГРАДОВ: С одной стороны, да. С другой стороны, некоторые рассматривают эту информацию как чистый спам. Объясню почему. Когда приходит сообщение о вирусе, нужно дополнительно проверять довольно много служебной информации. В организации может быть несколько сотен компьютеров, и по факту никто этим заниматься не будет. В банке стоит определенный антивирусный продукт, который либо ловит вирус, либо нет. Если ловит, то дополнительно лезть в реестр и смотреть, есть ли там такая строчка, никто не будет. Также имеет место аспект наличия в кредитной организации системы управления событиями информационной безопасности (SIEM-системы), которая позволяет комплексно отслеживать угрозы.

Я уже давно говорил и подчеркиваю – это исключительно мое личное мнение, – что такую организацию, как FinCERT, нужно было создавать не в рамках самого Центрального банка РФ, а как его дочернюю структуру. В этом случае было бы гораздо проще организовывать и подписывать договоры с теми же финансовыми и интеграторскими структурами. Сейчас здесь очень много бюрократии, любой документ надо согласовывать со многими управлениями Банка России.

Кроме того, все прекрасно знают, что Центральный банк РФ помимо прочих наделен функциями надзора, поэтому многие просто боятся отправлять сообщения в FinCERT, потому что опасаются, что на следующий день после инцидента ЦБ РФ может прийти с проверкой. Эта информация сразу же распространится по рынку, и кто после этого будет обращаться в FinCERT? Поэтому если возникает какая-то проблема, которую банки способны решить своими силами без вмешательства Банка России, то они предпочтут промолчать.

Создание FinCERT – абсолютно здравая, хорошая идея, если ее развить. Здесь, правда, требуются изменения на законодательном уровне – например, в области дропов, то есть нужно наделить FinCERT функцией блокировки счетов.

Хочется, чтобы от FinCERT исходила помощь в подаче заявлений в МВД России, например, чтобы банкам не приходилось бегать и искать, к кому обращаться с той или иной проблемой, чтобы были для этого специально обученные и подготовленные люди, которые могли бы помочь решить такие вопросы.

FinCERT должен стать тем центром реагирования, при обращении к которому банки точно будут знать, что он им поможет, а не бояться, что придет проверка.

NBJ: Каков ваш взгляд на проблему аутсорсинга информационной безопасности?

А. ВИНОГРАДОВ: Аутсорсинг – абсолютно адекватный способ взаимодействия на рынке. Но сотрудники сферы информационной безопасности – это люди, которые в силу своей профессии остерегаются многих вещей и во многом сомневаются.

При переходе на аутсорсинг и выборе аутсорсера надо оценивать репутацию компании и собственные риски. Нельзя гнаться за дешевизной, а то может сложиться такая ситуация, что через месяц ваш контрагент, получивший данные банка либо доступ к АБС, может просто испариться и не отвечать на телефонные звонки. И у многих без- опасников есть такое опасение.

Конечно, если аутсорсер работает на рынке давно и зарекомендовал себя с хорошей стороны, показал свою работу, уже выполненные проекты, реально готов взять на себя необходимые функции, я только за. Потому что держать в небольшом банке специалиста высокой квалификации за большие деньги – это обременительно. Но опять же выбор остается за заказчиком этой услуги. Все решают рынок и конъюнктура.

беседовала Оксана Дяченко
Поделиться:
 

Возврат к списку