Время перемен в банковской сфере

За прошедший год произошли важные изменения и появились нововведения в законодательстве, связанные с ИБ:

• вступило в силу постановление европейской комиссии о защите данных (GDPR);
• издан и вступил в силу закон 167-ФЗ "О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств";
• разработан большой пул подзаконных актов в части внедрения единой системы идентификации и аутентификации (ЕСИА).

Реализация требований этих документов достаточна сложна и затратна. Диджитализация бизнеса, растущее количество изменений в ИТ-инфраструктуре организации, вновь появляющиеся киберугрозы и кибератаки также требуют адекватного реагирования от специалистов по ИБ. В итоге в современных условиях построение комплексной системы ИБ превращается в непрерывный процесс внедрения все новых методов и средств защиты и совершенствования уже существующих.

Основные типы преступлений в банковской сфере

Наиболее опасными в финансовых организациях являются атаки на платежную инфраструктуру. в этих случаях банк несет прямые финансовые потери, которые исчисляются десятками и сотнями миллионов рублей.

Специалисты по ИБ прекрасно помнят серию атак 2016 г. на платежную систему Банка России (атаки на АРМ КБР), общий ущерб от которых превысил 1,5 млрд рублей. Свежи в памяти произошедшие в 2016–2017 гг. несанкционированные списания с корреспондентских счетов банков через систему SWIFT.

Другой опасный тренд последних лет – атаки на процессинговые центры банков с выводом средств через банкоматы. Эти атаки условно можно разделить на две категории. Первая – это заражение подсистемы управления банкоматами или через нее – самих банкоматов, с последующей подачей команды на выдачу наличных. Злоумышленникам остается только в нужный момент подойти к банкомату с рюкзаком достаточного объема и принять купюры. Второй способ – это взлом процессинга с последующим зачислением на заранее полученные карты очень значительных сумм. Далее происходит обналичивание этих средств через банкоматы различных банков.

В современных условиях построение комплексной системы ИБ превращается в непрерывный процесс внедрения все новых методов и средств защиты и совершенствования уже существующих.

Продолжаются атаки злоумышленников на системы дистанционного банковского обслуживания (ДБО) клиентов. В основном они реализуются через заражение устройств, с которых клиенты дистанционно управляют своими счетами. С учетом того что многие банки внедрили технологии подтверждения переводов (операций) одноразовыми кодами, получаемыми, например, через СМС, злоумышленники используют различные методы социальной инженерии для выманивания у клиентов этих кодов. Вообще мошенничество с использованием методов социальной инженерии, а проще говоря "развода" клиента, – это еще один из трендов последних двух лет. Особенно часто он используется для выманивания у людей данных их платежных карт и одноразовых кодов (3dsec-кодов) подтверждения операций. Злоумышленники даже частично автоматизировали процесс "развода", первоначальный обзвон производится обычно программно. Aвтоинформатор обычно сообщает, что по вашей карте произошла операция и для ее отмены вам необходимо на телефоне нажать любую клавишу. Если вы нажимаете клавишу, автоинформатор якобы переводит вас на службу технической поддержки банка (при этом все выглядит очень натурально), на самом деле вас переключают на "специалиста" по выуживанию данных платежных карт. Действуют злоумышленники очень профессионально, и неподготовленные люди, особенно пожилого возраста, зачастую попадаются на эту удочку.

И последняя разновидность внешних атак, на которую я хотел бы обратить внимание, – это вымогательство. На общий e-mail банка приходит письмо с угрозой и предложением перечислить необходимую сумму в биткоинах на такой-то электронный кошелек. Варианты угроз могут быть совершенно разными. Могут утверждать, что все компьютеры вашей сети заражены неизвестным вирусом, который не ловит еще ни один антивирус. Могут написать, что процессинг вашего банка взломан и если вы не перечислите требуемую сумму, то потеряете в десятки раз больше. Могут шантажировать тем, что взломали вашу корпоративную сеть и скачали какую-то чувствительную информацию, и если деньги не будут перечислены, они опубликуют эту информацию в открытых источниках. В большинстве случаев это чистый фейк.

Помимо внешних атак существуют и злоупотребления со стороны работников самой финансовой организации. И вариантов таких нечистоплотных действий достаточно много.

Элементы системы обеспечения информационной безопасности в банках

Некоторое время назад систему информационной безопасности обычно делили на две части: защиту периметра вычислительной сети организации и защиту внутренних хостов. В качестве периметровых средств защиты использовались:

• системы межсетевого экранирования (МСЭ);
• системы обнаружения/предотвращения атак (IDS/IPS);
• модули DLP-систем для контроля почтового и Web-трафика;
• системы контентной фильтрации при доступе работников организации в сеть Интернет;
• антивирусные средства на почтовом сервере и на прокси-сервере доступа в сеть Интернет и ряд других средств.

В качестве защиты хостов, как правило, применялись:

• антивирусные средства;
• персональные МСЭ;
• хостовые модули систем IDS/IPS;
• хостовые модули DLP-систем;
• средства контроля использования работником периферийных устройств, прежде всего USB-накопителей.

Многие решения для защиты конечных устройств (Endpoint) стали объединять в себе значительную часть перечисленного функционала.

В последнее время и в периметровую, и в хостовую части стали добавлять средства защиты от таргетированных атак (средства класса APT, EDR). Кроме того, в последнее время разработчики уделяют внимание взаимодействию периметровых и хостовых средств защиты для повышения эффективности выявления и противодействия современным кибератакам. Поэтому зачастую использование периметровых и хостовых средств защиты одного производителя имеет дополнительные бонусы в части более тесного взаимодействия этих средств между собой.

Процессный подход

Конкретное средство защиты – это всего лишь инструмент. А все мы прекрасно знаем, что самый хороший инструмент эффективен только в умелых руках, а мастер может и из топора кашу сварить. Поэтому залогом эффективности использования того или иного средства защиты является правильно выстроенный процесс и квалификация персонала, его осуществляющего. Можно выделить такие процессы верхнего уровня:

• защита от вредоносного ПО;
• защита от утечки данных;
• защита систем электронного документооборота;
• защита вычислительных сетей;
• защита информации у мобильных пользователей;
• управление правами доступа;
• управление уязвимостями;
• мониторинг и реагирование на инциденты ИБ;
• управление информационными активами;
• управление рисками ИБ;
• управление соответствием (комплайнсом);
• безопасная разработка По;
• повышение осведомленности сотрудников в вопросах ИБ.

Возрастает роль эффективного взаимодействия средств защиты между собой и с системами управления информационной безопасностью. Хорошо, когда разные продукты одного производителя эффективно интегрируются друг с другом, но хочется такого же эффективного взаимодействия и от решений разных производителей.

В отличие от других компаний, в финансовых организациях системы обеспечения информационной безопасности охватывают сферу защиты платежных процессов и платежной инфраструктуры. Этой составляющей в банках уделяется особое внимание.

В последний год появилась тенденция делить сферу информационной безопасности на классическую информационную безопасность и киберзащиту. Дело в том, что современные киберугрозы не всегда укладываются в парадигму обеспечения конфиденциальности, целостности и доступности информации, которую исповедует классическая ИБ. Например, как в этой парадигме рассматривать атаки на устройства и на человека, или проведение информационных атак, основанных на изначально недостоверной информации, сфабрикованных данных (манипуляция общественным сознанием)? Но какой-то устоявшейся практики в части подобного разделения в России пока не сложилось.

Специфика ИБ в банковской сфере

Особенности систем ИБ в банках связаны прежде всего с тем, что в них обрабатывается информация о реальных денежных средствах, расчетных счетах, реальных денежных переводах, а также с тем, что из этих автоматизированных систем осуществляется управление устройствами, выдающими реальные деньги, – банкоматами. Для того чтобы увидеть у себя на счете цифру с 6–7 нулями, не обязательно всю жизнь упорно трудиться, можно просто дописать несколько нулей к уже имеющейся там сумме.

Поэтому значительные усилия специалистов по ИБ в финансовых организациях направлены на защиту платежной инфраструктуры и платежных процессов.

В отличие от других организаций, в банках существует понятие банковской тайны – это информация об операциях, счетах и вкладах клиентов и корреспондентов банка. Так как большинство банковских операций и большая часть обрабатываемой в банке информации относятся к банковской тайне, задача обеспечения ее защиты может быть решена только путем построения сложной комплексной системы защиты.

Схожая ситуация складывается и с защитой персональных данных. В банках они обрабатываются в значительных объемах, и их необходимо защищать в соответствии с законом 152-ФЗ "О персональных данных".

Критерии выбора оборудования и решений

Требования к поставщикам и производителям оборудования для информационной безопасности достаточно стандартны: функциональность, надежность, простота и удобство эксплуатации при приемлемой стоимости.

В настоящее время возрастает роль эффективного взаимодействия средств защиты между собой и с системами управления информационной безопасностью. Хорошо, когда разные продукты одного производителя эффективно интегрируются друг с другом, но хочется такого же эффективного взаимодействия и от решений разных производителей.

Очень желательно, чтобы ведущими игроками в ИТ- и ИБ-секторах вкладывались средства в перспективные исследования и разработки и чтобы системы информационной безопасности совершенствовались не в связи с произошедшими преступлениями, а позволяли предотвратить в том числе совершенно новые, еще ранее неизвестные типы атак.

Любые решения и сервисы в сфере ИБ требуют постоянного совершенствования и развития. Они должны быть адекватны современным угрозам, которые, в свою очередь, тоже постоянно развиваются и совершенствуются.

И, безусловно, задача производителей и поставщиков решений по ИБ не только в том, чтобы продать эти решения, а в том, чтобы эти решения эффективно функционировали и приносили организациям, где они работают, реальную пользу. Поэтому требуется активное их участие на этапе как внедрения продукта, так и его эксплуатации.

Внедрение новых технологий

Современные системы ИБ стараются максимально использовать все новые технологии. Прежде всего это Big Data, машинное обучение, нейронные сети, искусственный интеллект.

На самом деле сами принципы выявления и расследования преступлений не сильно изменились. Дедуктивные методы Шерлока Холмса продолжают работать и в электронной среде. Как известно, "дьявол кроется в деталях", но выявить эти детали в современном огромном объеме информации очень непросто. Подобные задачи обычно и решаются системами безопасности с использованием нейронных сетей и элементов искусственного интеллекта. На данный момент эти технологии активно используются в системах фрод-анализа, то есть для борьбы с внешним и внутренним мошенничеством. Но со временем, я думаю, им найдется применение и в других направлениях обеспечения ИБ.

Достаточно перспективными видятся самообучающиеся системы. Специалистам по ИБ все сложнее угнаться за миллионами изменений в современных цифровых технологиях и сервисах, каждое из которых может нести определенные угрозы. Поэтому все чаще используются системы, основанные на выявлении аномалий. Они строят и постоянно актуализируют "нормальное" поведение объекта или человека и реагируют на существенные отклонения от этого "нормального" поведения.

Ни одна современная система ИБ не обходится без использования облачных сервисов. Большинство ведущих производителей в области ИБ собирают информацию со своих решений, установленных по всему миру, в онлайн-режиме и агрегируют эту информацию у себя в облачных сервисах.

Практически ни одна современная система ИБ не обходится без использования облачных сервисов. Большинство ведущих производителей в области ИБ собирают информацию со своих решений, установленных по всему миру, в онлайн-режиме и агрегируют эту информацию у себя в облачных сервисах. Подключая к своей системе ИБ такой облачный сервис, вы получаете возможность использовать всю эту информацию.

Единая система идентификации и аутентификации (ЕСИА)

Идея единой системы удаленной идентификации интересна и актуальна. Наличие в государстве единой централизованной доверенной системы идентификации и аутентификации граждан позволило бы решить ряд серьезных проблем и снять часть головной боли с банковских специалистов по ИБ.

Использование данной системы призвано существенно упростить для банков задачу идентификации клиентов в соответствии с 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" и продвижение своих продуктов и услуг, в том числе в регионах, где нет физического присутствия конкретной финансовой организации.

Но реальную пользу система ЕСИА принесет только в том случае, если в ней будут храниться биометрические данные значительного числа жителей РФ. На данный момент не совсем понятно, что побудит человека регистрировать в системе ЕСИА свои биометрические данные. Если ее наполненность будет на уровне выданных токенов с электронной подписью для доступа к порталу госуслуг, толку от нее никакого не будет.

У специалистов по ИБ есть серьезные вопросы к выбранной биометрической аутентификации. Понятно, почему в качестве технологии идентификации в ЕСИА выбраны изображение лица и голос. Это единственные технологии биометрической аутентификации, которыми можно охватить значительное число граждан РФ, так как они могут быть реализованы с помощью мобильного телефона. Но у них есть серьезные недостатки. Поэтому у меня нет уверенности, что внедрение ЕСИА станет каким-то прорывом в банковской ИБ.

Прогнозы развития

В современном мире достаточно сложно заглянуть даже на несколько лет вперед. Все так быстро меняется!

Очевидно, что направление ИБ в банках (и не только) продолжит активно развиваться. Этому будут способствовать требования законодательства, цифровизация бизнеса, перевод всех процессов в цифровой формат, прежде всего реализация государственных программ по переходу в электронную среду. Участившиеся случаи громких компьютерных преступлений и постоянный рост сумм потерь от них также будут стимулировать данный процесс.

С учетом все большего переноса бизнеса в электронную среду значимость вопросов обеспечения ИБ будет возрастать. Безопасность продукта или сервиса станет реальным конкурентным преимуществом.

С течением времени мы в меньшей степени будем использовать наложенные средства защиты, используя встроенные. Это закономерный процесс. основной фокус с точки зрения построения систем ИБ будет направлен на управление системой ИБ.

Хочется надеяться, что усилия Банка России в области обеспечения ИБ приведут к тому, что задача по противодействию современным кибератакам уже в ближайшее время будет решаться финансовыми организациями сообща при активной поддержке Банка России.

Активно станет развиваться рынок услуг ИБ, так как держать у себя в штате значительное число высококвалифицированных специалистов смогут только самые крупные банки.

Опубликовано: Журнал "Системы безопасности" #5, 2018