Массовый переход сотрудников банков на дистанционную работу угрожал вызвать волну хищений клиентских данных и денег. Однако тревога оказалась ложной. Банкиры к новому риску отнеслись серьезно и основательно подготовились к отражению хакерских атак. Более того, на фоне пандемии активность злоумышленников начала спадать, утверждают эксперты.

Ушли на карантин

Первыми в конце марта из-за вспышки коронавируса начали переводить на удаленную работу своих сотрудников ВТБ, Газпромбанк, Альфа-Банк и частично Сбербанк. За лидерами рынка последовали остальные участники рынка. Этот процесс не завершен. «С учетом того, что клиентопоток сократился на 40–60%, банк не исключает возможности поэтапного сокращения времени работы и числа дежурных офисов в ближайшее время, – пояснила пресс-служба ВТБ. – Решение будет приниматься индивидуально по каждому региону в зависимости от санитарной ситуации и заявлений региональных властей».

Эксперты в сфере кибербезопасности настороженно отнеслись к сообщениям о массовом переводе банковских сотрудников на дистанционный режим. «Понятно, что если вы работаете с конфиденциальной информацией по удаленным каналам через облачные коммуникации связи, то риск утечки информации повышается», – отметила президент группы компаний InfoWatch Наталья Касперская. По ее мнению, представителей отдельных должностей крайне сложно перевести в режим «удаленки»: «Автоматизированная банковская система (АБС) обычно стоит на работе у бухгалтера. Чтобы ее вынести, нужно дополнительно предусмотреть очень серьезные меры по защите». Единственный сегмент, на который новые условия работы банков не окажут ощутимого влияния, – это осуществление транзакций, считает Касперская. Большая их часть уже сегодня производится удаленно, и в этой области предусмотрены надежные алгоритмы защиты данных и денег клиентов.

Обеспокоенность высказали и другие известные специалисты. Как сообщил гендиректор Group-IB Илья Сачков, хакеры могут увеличить число кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети сотрудников, которые работают удаленно. По оценке эксперта, к росту количества успешных атак на системы процессинга, SWIFT, сети банкоматов и платежные шлюзы могут привести два фактора: неправильное подключение компьютеров через VPN к внутренним банковским сервисам, при котором домашний компьютер сотрудника окажется за пределами периметровых средств защиты, а также тот факт, что сотрудники не смогут из дома оперативно реагировать на поступающие угрозы.

По словам руководителя отдела аналитики информационной безопасности Positive Technologies Евгения Гнедина, удаленный доступ создает крайне высокий риск для самых разных угроз – начиная от инфицирования инфраструктуры уже известными сетевыми червями до APT-атак.

Сетевые угрозы

Беспокойство специалистов имеет под собой почву. По данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, в прошлом году несанкционированный доступ работников банков к АБС и информации о счетах стал причиной 877 инцидентов с совокупным объемом ущерба около 24,5 млн рублей, тогда как объем всех киберкраж в банках составил 6,4 млрд руб. Интересно, что 69% всех операций без согласия клиентов было совершено методами социальной инженерии.

Но серьезные инциденты со «взломом» АБС случаются редко. Последний громкий скандал произошел в 2017 году. Злоумышленникам тогда удалось проникнуть в российский банк, атаковав системного администратора, который зашел на корпоративный сервер с домашнего компьютера. По мнению специалистов, такое «вторжение» можно организовать с помощью атаки RDP (протокол удаленного рабочего стола). Кроме этого, есть и другие варианты нападения: преступники могут скомпрометировать домашнее оборудование (маршрутизаторы или видеокамеры) или отправить фишинговые рассылки с использованием злободневных тем (новости и распоряжения, касающиеся коронавируса, компенсации, отмены командировок). По оценке Infosecurity, после массового перехода на удаленку количество фишинговых рассылок увеличилось почти в четыре раза.

Набирает силу и другой тренд: на фоне эпидемии появилось большое количество вредоносных приложений, замаскированных под официальные сайты с информацией о коронавирусе. Изобретательность преступников не знает границ. Антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев рассказал о недавно выявленном случае: на зараженном смартфоне банковский троян Ginp открывает веб-страницу под названием Coronavirus Finder. Пользователю сообщают, что поблизости есть люди, зараженные COVID-19. Чтобы узнать, где конкретно они находятся, человек должен заплатить 0,75 евро. В результате, данные банковской карты доверчивого пользователя уходят злоумышленникам.

Руководитель отдела технологической экспертизы управления информационной безопасности Softline Дмитрий Ковалев обратил внимание на новый риск: если в обычных условиях
сотрудник банка подключается к корпоративной сети, как правило, с помощью одного устройства – персонального компьютера, то с переходом к удаленной работе число устройств выросло. Войти на внутреннюю платформу можно с ноутбука, планшета, смартфона, моноблока.

В 89% инцидентов утечки данных из российских банков виноваты их рядовые сотрудники, утверждают в компании «СёрчИнформ». Правда, недавно появилось большое количество специальных Telegram-ботов, позволяющих анонимно зарабатывать на продаже информации и персональных данных. Но банки учли эту моду при подготовке своих систем удаленной работы.

Кроме новых угроз, связанных с кражей информации, «домашний» режим выявил недостаток серверных мощностей, призванных обеспечивать бесперебойную работу банковской инфраструктуры в режиме удаленного доступа. Некоторые банки вынуждены были их оперативно наращивать. «Сбербанк увеличил серверные мощности в 2,5 раза – в связи с большим количеством дистанционной работы нагрузки на системы банка выросли примерно в 4,5 раза, но при этом не дали сбой», – сообщил во время онлайн-конференции глава госбанка Герман Греф.

Смена фокуса

Свое веское слово вовремя сказал и регулятор. Банк России разработал рекомендации для финансового сектора по кибербезопасности в условиях карантина. Участники рынка дополнили план. Московский кредитный банк разработал комплекс мер противодействия утечкам, в том числе по идентификации мест хранения конфиденциальных данных и ограничению доступа к ним, аудиту обращений к данным и повышению осведомленности персонала.

Безопасный и унифицированный доступ из интернета к IT-ресурсам Газпромбанка обеспечили высокопроизводительные межсетевые экраны, терминальные решения с ролевой моделью доступа, а также технология двухфакторной аутентификации пользователей с генераторами одноразовых паролей. Промсвязьбанк принял «все необходимые меры для обеспечения информационной безопасности и банковских процессов». В Райффайзенбанке применили «комплексный подход» к защите информации, который также включал в себя повышение осведомленности сотрудников и клиентов по вопросам защиты данных. В банке «Открытие» для минимизации риска несанкционированного доступа к компьютерам, с которых сотрудники осуществляют удаленный доступ, использовали терминальный доступ, многофакторную аутентификацию, контроль соединений. Усилия не прошли даром.

В апреле российские банки не зафиксировали всплеска хакерских атак на свои системы из-за перехода сотрудников на удаленную работу. Это подтвердили в Альфа-Банке, Почта Банке, Россельхозбанке, в банках «Зенит», «Открытие», «Восточный», а также в других кредитных учреждениях. Более того, на фоне пандемии активность злоумышленников начала спадать, утверждают эксперты.

Причина спокойствия объясняется просто – в последнее время средний уровень защищенности банков существенно вырос. И хакеры вынуждены искать более уязвимые цели. Как пояснили в компании «Ростелеком-Солар», киберпреступники сменили фокус атак, переключившись с прямой кражи денег с банковских счетов на получение контроля над инфраструктурой компаний. Сегодня главный товар на «черном» рынке – не деньги, а базы данных клиентов.   

Текст: Ольга Басова

Материал также опубликован в печатной версии Национального банковского журнала (№ 4-5, апрель-май 2020).