Банк как место, где хранятся ценности, прежде всего деньги, и производятся те или иные действия с ними, всегда привлекает и будет привлекать злоумышленников. Совершенствуются технологии и механизмы банковских операций и обслуживания клиентов – совершенствуются и методы преступников, активно осваивающих цифровой мир. Сегодня инновационные технологии позволяют банкам успешно противостоять киберзлоумышленникам.
Главной целью преступников во все времена были деньги. До тех пор, пока они хранились и перемещались только в бумажном виде, злоумышленники старались похитить их или подделать. Когда данные начали передаваться в электронном виде, злодеи перешли на цифровые атаки. в каком-то смысле для преступников этот новый этап даже проще: не нужно мучиться с поддельными документами, не нужно ни на кого нападать с оружием. в случае физической атаки на банк гораздо выше вероятность быть пойманным и наказанным. А в цифровом мире далеко не каждая неудачная атака наказывается и далеко не каждого успешного хакера ловят. Помимо этого, есть масса автоматизированных инструментов для проведения простых атак. в сочетании с социальной инженерией они нередко приносят приличный доход.
В наши дни инновационные цифровые технологии в области банковской безопасности помогают предотвратить компрометацию финансовых счетов и других личных данных киберпреступниками, да и вообще кем бы то ни было. Сегодня банки предлагают клиентам инструменты, которые помогают успешно защищать счета, включая многофакторную аутентификацию, шифрование, тренинги по предотвращению мошенничества и многое другое.
Ценность в банке представляют не только сами деньги (которые могут быть украдены посредством модификации информации), но и базы клиентов, данные о балансе счетов, кредитные истории и т.п.
В целом банкам необходимо обеспечивать как конфиденциальность информации (секретность переводов, банковских счетов), так и целостность (невозможность подделать платежные поручения) и доступность данных. Простой сервиса, несвоевременное проведение платежа могут нанести зачастую больший ущерб финансовой организации, чем прямое хищение денежных средств. Когда идет борьба за каждого клиента, банки просто не могут допустить подобный провал.
Кибербезопасность становится серьезной проблемой как для частных лиц, так для предприятий и правительств. в мире, где все находится в интернете, от видео с милыми котятами и дневников путешественников до информации о наших кредитных картах, обеспечение защиты данных в безусловном приоритете.
Большую опасность для конфиденциальности данных представляют внутренние злоумышленники. нарушители из персонала способны нанести огромный ущерб, даже несмотря на то, что часть их действий непреднамеренна.
Опасны для бизнеса и технические сбои. Именно эти две категории проблем первостепенны, и только потом, по данным наших экспертов, идут преднамеренные действия злоумышленников. вот основные уязвимости, которые активируются в ходе компьютерных атак и сбоев:
Теперь поговорим о внешнем нарушителе. Основная проблема, с которой сталкиваются банки, защищающие системы от киберзлодеев, – это организованная преступность. учитывая сложность современных финансовых механизмов, хакеры сегодня довольно редко действуют в одиночку. Мошенники противостоят банкам, объединившись в группы. Каждая такая "общность", как правило, состоит из различных специалистов. Состав разнится в зависимости от вида мошенничества, но обычно группа киберпреступников включает в себя:
К счастью, сегодня по сравнению с 90-ми гг. прошлого столетия ситуация со свободным функционированием таких группировок значительно улучшилась. Даже неподтвержденная информация о покровительстве со стороны ФСИН говорит скорее о "закрывании глаз", чем о "крышевании".
После того как мы определили ключевые угрозы безопасности данных, скажем несколько слов о защите. Для обеспечения безопасности информации банки должны следовать так называемому подходу 360 градусов, чтобы гарантировать, что нарушение безопасности не произойдет ни внутри, ни снаружи. это подразумевает защиту как банковских процессов на стороне клиента, так и внутренних процессов, связанных с сотрудниками, поставщиками, системами и т.д.
Здесь есть два основных направления – техническое и организационное.
Первое включает в себя:
Организационные меры позволяют снизить влияние человеческого фактора и повысить эффективность использования технических мер. В этой категории особо стоит отметить назначение ответственных лиц и регламентацию защиты информации. Хорошую базу для создания и развития организационных мер предоставляет Банк России, предъявляющий в своих положениях достаточно жесткие требования к процессам и сотрудникам. Только за последние три года регулятор выпустил более семи таких документов.
В частности, от банков требуется применять ГОСТ 57580 (именно на его основе составлен приведенный выше список технических решений), приводить системы банковского обслуживания в соответствие с ОУД4 (ГОСТ 15408) и многое другое.
Осуществлять контроль за соблюдением требований Банка России позволяют внешние аудиты, в ходе которых специалисты тщательно проверяют организации. К сожалению, часть требований выполняется формально, что приводит к печальным последствиям не только в виде санкций Банка России, но и, что еще более весомо, к хищению денежных средств, простоям процессов и прямым убыткам банков. Не стоит также забывать о проведении регулярных обучающих сессий с практическими элементами и заданиями для сотрудников финансовых организаций, в ходе которых необходимо рассказывать об актуальных угрозах, предлагать задачи для решения и инструкции, как действовать в различных ситуациях.
Несмотря на обилие проблем и нерешенных задач в данной сфере, вызывает беспокойство позиция руководства многих банков относительно финансирования процессов и служб информационной безопасности.
Мы на практике сталкиваемся с ней фактически при каждом проведении аудита. этот процесс руководство уже принимает как "неизбежное зло", но всеми силами старается сэкономить на нем. Но если стоимость аудита составляет 1 млн рублей, то внедрение всех технических средств защиты информации может обойтись на порядок дороже. Банки с прибылью в 100 млн рублей в год не готовы тратить ее четверть "на какие-то непонятные вещи, ведь есть же антивирус". В этой ситуации хочется привести пример хищения 89 млн рублей со счета организации в одном из регионов в 2015 г., когда треть этой суммы суд постановил вернуть пострадавшим за счет средств банка. И это не единичный случай. Так что при попытках сэкономить стоило бы все же учитывать все переменные.
До сих пор затраты на инкассацию, физическую защиту помещений все еще остаются в приоритете. Но реальность такова, что хищения наличных денег составляют лишь малую долю, по нашим данным менее 5% от общей суммы банковских хищений. Поэтому финансирование направления ИБ должно быть полноценным, тем более что часть трат разовая, далее требуется только поддержание. Но регулярный контроль над обеспечением ИБ банка – тоже не бесплатный процесс, и один специалист по безопасности даже теоретически не сможет обслуживать банк, где работают 100 сотрудников, тем более если попутно требуется решать организационные вопросы, выдавать ключи ЭЦП и пр.
Когда началась пандемия COVID-19, банки и финансовые учреждения поспешили перевести в цифровой формат как внутренние процессы, так и услуги, предоставляемые клиентам, поскольку люди внезапно перешли на работу из дома, а потребители перевели все свои финансовые операции в онлайн и мобильные каналы. Финансовые учреждения приостановили многие из ранее запланированных технологических проектов и ускорили те, которые способствуют улучшению и повышению безопасности цифровых услуг для клиентов.
Однако при переходе на цифровые технологии многие финансовые учреждения, возможно, неосознанно, в спешке создали дыры и уязвимости в системе безопасности, которыми в дальнейшем поспешили воспользоваться мошенники.
В целом нельзя сказать, что злоумышленники выигрывают борьбу у банков. За счет общих тенденций к внедрению мер противодействия, за счет требований Банка России поток хищений у банков не растет и даже постепенно уменьшается. Но основная цель злодеев сейчас – клиенты банков. Главный инструмент – телефон, от которого пока защититься проблематично. Но уже сейчас разрабатываются концепции и даже технологии, которые позволят эффективно бороться с новыми вызовами времени. А пока проявляем бдительность и бережем себя от COVID-19. Против него антивирусы, к сожалению, бессильны.
Опубликовано в журнале "Системы безопасности" №5/2021