Современное банковское обслуживание все реже требует физического присутствия клиентов в офисе банка — оно становится дистанционным. Эксперты отмечают, что это порождает новые трудности с информационной безопасностью платежных транзакций. Одной из острых проблем, которую в этом году живо обсуждают российские банки, является безопасность дистанционного банковского обслуживания (ДБО). Так, в своем выступлении на третьей межбанковской конференции “Информационная безопасность банков” советник по вопросам безопасности президента Ассоциации российских банков Олег Казакевич сообщил, что за 2010 г. в России совершено 12 тыс. преступлений в Интернете, половина из которых относится к воровству через ДБО и с помощью банковских пластиковых карт, причем динамика негативных процессов в ДБО не оставляет возможности откладывать решение порождаемых ими проблем.
Основные причины мошенничества в ДБО
Выступая на третьей конференции “IT-безопасность в финансовом секторе”, начальник отдела защиты информации “Банка Москвы” Василий Окулесский назвал среди главных причин слабую защищенность самих систем ДБО.
Аудитор по информационной безопасности компании Digital Security Алексей Тюрин в своем докладе на другой конференции — PCI DSS Russia 2011, посвященной соблюдению стандарта безопасности платежных систем VISA и MasterCard — указал на большое число уязвимостей в системах ДБО, связанных с ошибками программирования, особенно в их клиентских частях. Он обращает внимание на то, что отсутствует статистика по уязвимостям в ДБО-системах российской разработки: разработчики сами их не ищут и не делают заказы на выполнение этих работ специализированным компаниям. В результате — рынка устранения уязвимостей ПО в России нет. Нет независимых исследователей, специализирующихся на поисках уязвимостей и получающих за это деньги от разработчиков. Отрадно хотя бы то, что, по наблюдениям г-на Тюрина, российские разработчики оперативно устраняют свои ошибки, если к ним обращаются пользователи, случайно обнаружившие таковые у себя.
Серверную часть интернет-банкинга, по словам г-на Тюрина, атакуют сегодня гораздо реже ввиду более сильной ее защищенности. Однако нужно учитывать, что успешная атака на нее приносит злоумышленникам гораздо более весомый доход, т. е. по размерам наносимого ущерба эти атаки тоже нельзя не учитывать.
Помимо внутренних ошибок в ДБО хакеры успешно используют слабую защиту периметра, что характерно, согласно наблюдениям г-на Тюрина, для большой части российских распределенных компаний. Взлом чаще всего происходит из-за слабых паролей доступа к ресурсам на периметре и несвоевременных обновлений ПО. Из опыта проведения тестов на проникновение ему известно, что после проникновения в сеть найти рабочее место, на котором установлено клиентское ПО для ДБО, злоумышленнику несложно.
Г-н Тюрин отмечает, что небольшие российские компании в основном полагаются на антивирусы и межсетевые экраны, чего, по его мнению, недостаточно, так как множество вирусов, с помощью которых производят свои атаки злоумышленники, обходят эту защиту. Он также утверждает, что сегодня не спасают даже USB-токены, используемые в наиболее продвинутых в области ИБ банках для двухфакторной идентификации клиентов.
Среди других существенных причин уязвимости ДБО г-н Окулесский указывает на плохую осведомленность клиентов об опасности интернет-среды для финансовых операций и недостаточное внимание с их стороны к обеспечению собственной безопасности в Интернете.
Сложности обеспечения ИБ в ДБО
Как показывает практика, при нынешнем положении дел схватить за руку мошенников в ДБО сложно. Речь идет о мерах, которые нужно принять за два-три часа: запустить регламентные процедуры внутри банка по взаимодействию с банками-партнерами. Иначе деньги успевают уйти. Все чаще появляются сообщения о поимке злоумышленников на разных этапах преступлений, мошенники получают наказания по разным статьям, но до организаторов хищений дело доходит чрезвычайно редко. Дело в том, что банковским ИБ-службам сегодня противостоят талантливые организаторы, руководящие специализированными территориально распределенными преступными группами, в которые входят высококлассные специалисты в области банковской деятельности и ИТ, а также “мясо” (иначе их именуют дропперами), которое занято на последних фазах операций, связанных с обналичиванием средств. Для обналичивания сегодня массово используются так называемые зарплатные схемы фиктивных компаний, основная задача которых — массовое рассредоточение крупных украденных сумм и их обналичивание.
Как отметил г-н Окулесский, основные способы получения информации для атаки на ДБО включают кражу ключевых персональных данных клиентов с применением троянских программ и фишинговых сайтов, а также использование инсайдерской информации. Типовые этапы атаки на систему ДБО, по его наблюдениям, выглядят так:
- планирование операции;
- создание специального инструментария (например, программ-троянов для хищения данных и организации DDoS-атак);
- создание фишинговых сайтов-двойников;
- распространение троянов и создание бот-сетей;
- создание центра управления атакой;
- проведение атаки;
- зачистка следов проведения операции (вплоть до разрушения компьютеров, которые были использованы в операции на клиентской стороне в целях затруднения процедуры расследования).
Ссылаясь на ст. 1095 ГК РФ “Основания возмещения вреда, причиненного вследствие недостатков товара, работы или услуги”, г-н Окулесский напоминает, что независимо от того, насколько хорошо защищено рабочее место клиента, с которого он подключается к системе ДБО, ущерб в случае хищения через ДБО должен возмещать банк, если он ненадлежащим образом проинформировал клиента о необходимых мерах обеспечения безопасной работы с системой ДБО (вплоть до уведомления клиента о возможных вирусных атаках). Банк не только возмещает клиенту украденное, но и выплачивает штраф в размере половины украденной суммы, а если к судебному иску подключилось и Общество защиты прав потребителей, то и ему в размере 25% от этой суммы.
Как сообщил г-н Окулесский, 90% пользователей ПО, с которыми ему довелось общаться по работе, используют нелицензионные операционные системы. Это лишает их возможности своевременно получать обновления ОС, в том числе обеспечивающие их безопасную работу, что особенно опасно потому, что антивирусы закрывают в основном те бреши, которые не защищаются средствами ОС, т. е. антивирусы эффективны только в паре с процедурами своевременной установки заплаток в ОС.
Согласно наблюдениям г-на Окулесского, клиенты редко используют адекватные уровни безопасности в системах ДБО. Так, для проведения транзакций между счетами одного и того же клиента нужен менее строгий уровень безопасности. Если же деньги в ходе банковской операции меняют владельца, то потребуется более высокий уровень. И еще более высокий уровень нужен, если деньги в результате выполняемых транзакций можно обналичить.
Новое качество мошенничеству в ДБО придает использование пластиковых карт из-за возможности обналичивать деньги через них в неограниченном количестве. Появляющиеся возможности вывода денег в неконтролируемую среду виртуальных денег (оборот которых сравним сегодня с оборотом в ДБО) еще более на руку мошенникам. Объединение интернет-банкинга, платежных систем и систем обращения виртуальных денег ведет к криминализации этой области быстрыми темпами. Эксперты предполагают, что средства, вкладываемые преступниками в разрушение безопасности ДБО, будут расти гораздо быстрее, чем средства, выделяемые для его защиты.
Практика обеспечения ИБ в ДБО
Двигаясь в направлении формализации отношений между участниками инцидентов в области ДБО и отталкиваясь от действующих организационно-правовых основ, в Россельхозбанке разработали и ввели в практику последовательность неотложных мероприятий, которые запускаются в этом банке при обнаружении инцидентов в системе ДБО. Клиентам в случае подобных инцидентов банк предлагает использовать разработанную его специалистами типовую форму обращения в территориальные органы МВД.
Как считает начальник отдела сопровождения информационной безопасности — удостоверяющего центра управления информационной безопасности департамента безопасности Россельхозбанка Александр Беликов, формализация отношений позволит разделить зоны ответственности кредитной организации, правоохранительных органов и клиента при возникновении инцидентов, а также, что очень важно в перспективе, включить в цепочку этих отношений страховой бизнес. Г-н Беликов обращает внимание на то, что появление страховщиков в системе услуг ДБО в соответствии нашими законами возможно только при наличии возбужденного следственного дела.
Из практики Россельхозбанка следует, что после введения в практику реагирования на инциденты в ДБО всех упомянутых выше новаций в 36% случаев МВД все равно в возбуждении дел отказывает.
Рекомендуемые изменения для повышения ИБ в ДБО
Трудно не согласиться с г-ном Окулесским в том, что обеспечение ИБ в ДБО — сложный комплекс, включающий взаимодействие машин и людей. Один из эффективных вариантов получения положительных результатов, по его мнению, заключается в разработке и внедрении алгоритмов онлайнового анализа ДБО-транзакций, которые позволяют выявлять подготовку к мошенничеству на ранних стадиях. Однако он с сожалением заметил, что промышленные системы с таким функционалом очень дороги, а самописные не обеспечивают нужной производительности и эффективности.
Как было отмечено, в ДБО активно стали использоваться пластиковые карты. Однако, почти все они сегодня с магнитной полосой. По мнению экспертов, переход на использование чиповых карт поможет сильно осложнить возможность обналичивания украденных денег.
Эксперты обращают внимание банков на необходимость использования в системе ДБО сертифицированных СКЗИ. Иначе у банка не будет возможности доказать в суде принадлежность ЭЦП ее держателю, и его окажется несложно обвинить в выполнении платежа, который клиент ему не поручал, и тем самым нарушил договорные обязательства.
Финансово-кредитным организациям следует присмотреться к опыту их коллег из Россельхозбанка и других банков, внедряющих схемы мероприятий в чрезвычайных обстоятельствах. По мнению г-на Окулесского, не стоит забывать о дополнительных механизмах повышения уровня безопасности ДБО, таких как системы информирования клиентов об операциях по счетам с помощью SMS, одноразовые пароли доступа к системе ДБО. Он напоминает о пользе тренингов для персонала служб ДБО и систем call-центров в целях отработки правил реагирования на заявления клиентов о проведении мошеннических транзакций, о внедрение специальных мер защиты от фишинговых атак.
Отсутствие доверенной среды в системах ДБО заставляет банки рассматривать альтернативные частные решения. Так, г-н Окулесский в качестве примера указывает на доверенные устройства ввода ключевых полей. Из-за высокого риска перехвата злоумышленниками управления компьютером, занятым в системе ДБО, по его мнению, резонно использовать внешние USB-устройства, способные формировать ключевые параметры платежных поручений в среде, отчужденной от компьютера. Внутри этих же устройств можно формировать контрольные параметры для вводимых в платежки ключевых данных и передавать их вместе с документами в банк. Банк на своей стороне с помощью аналогичных устройств может проверить целостность и принадлежность платежных документов.
Важную роль в повышении уровня защищенности ДБО играют и организационные меры. О разработке и применении типовых подходов к реагированию на инциденты в ДБО было упомянуто выше. Как полагает г-н Беликов, существенно облегчить противодействие кибер-преступности в сфере ДБО и даже работать на упреждение поможет обмен между банками информацией — о клиентах и персонале банков, о подозреваемых в совершении правонарушений и преступлений, о банковских операциях, вызывающих сомнения в целесообразности их проведения, о фактах и способах хищений денежных средств и т. п. При этом банкам не стоит прикрываться банковской тайной, когда к ним обращаются силовики или пострадавшие коллеги. Как говорит г-н Беликов, IP-адреса не составляют банковской тайны, а при необходимости можно даже передать в МВД закрытые ключи ЭЦП, но не забыть при этом их заменить.
Общая направленность всех предпринимаемых участниками ДБО мер должна заключаться, по мнению г-на Беликова, в неотвратимости наказания за преступления в этой области. Отсутствие ее привело к нынешнему лавинообразному росту противоправных инцидентов в ДБО, что может дискредитировать этот вид бизнеса, который только-только стал набирать обороты в России.
Наиболее опытные участники системы ДБО призывают к консолидации усилий законодателей, правоохранительных органов, операторов связи и банковского сообщества, с тем чтобы создать правоприменительную практику, более адекватно отвечающую ситуации с преступностью в этой сфере. Этого требует сложность преступлений в ДБО, бороться с которыми нельзя с помощью устаревших практик расследования. Инициатором должны выступить банки, добиваясь, в том числе изменений в законах, регулирующих отношения в сфере ДБО.
Алексей Тюрин: "ПО ДБО много программных ошибок, а рынка устранения уязвимостей в ПО в России нет”.
Василий Окулесский: “Ущерб от хищения через ДБО должен возмещать банк, если он ненадлежащим образом проинформировал клиента о необходимых мерах обеспечения безопасной работы с системой ДБО”.
Александр Беликов: “Формализация отношений позволит разделить зоны ответственности кредитной организации, правоохранительных органов и клиента при возникновении инцидентов, а также включить в цепочку этих отношений страховой бизнес”.