Одна из основ теории и практики информационной безопасности — необходимость смоделировать вероятного мошенника и оценить угрозы, которые он генерирует. Докладчики V Форума “Информационная безопасность для финансового сектора”, проведенного AHConferences, высказывали различные точки зрения на актуальность обеспечения ИБ. Общее впечатление от выступлений на Форуме: представители поставщиков продуктов в сфере ИБ склонны преувеличивать масштабы мошенничества в Сети и угрозы, которые таятся в связи с этим для бизнеса, а представители бизнеса, в частности банков, недооценивают эти угрозы или, возможно, отчасти сознательно закрывают на них глаза (в силу каких причин — предположения будут высказаны дальше). И все выступающие были единодушны в том, что киберпреступность вышла на новый качественный уровень, что само по себе свидетельствует о возросшем уровне угроз.
Банковские системы: анализ защищенности
Одна из самых болевых точек мировой и российской банковской сферы в плане мошеннических атак — системы дистанционного банковского обслуживания клиентов (ДБО). Западный рынок этих систем сложился намного раньше отечественного, поэтому там уже изданы и используются стандарты, отражающие лучшие практики обеспечения безопасности при ДБО. В их числе, например, рекомендации Европейского платежного Совета (European Payments Council, EPC) EPC397-08v1.1 “Клиент-банк: руководство по лучшим безопасным практикам” (Customer-to-bank. Security good practices guide), которые развивают ранее изданные рекомендации TR 411v2 “Руководство по обеспечению безопасности для электронных банковских услуг: применение принципов риск-менеджмента” (Security guidelines for e-banking: application of basel risk management principles). Российская практика безопасного дистанционного банковского обслуживания пока сильно отстает от западной, неудивительно поэтому, что данную тему затрагивали многие из выступивших на Форуме докладчиков.
Алексей Бабенко, старший аудитор департамента консалтинга и аудита компании “Информзащита”, констатировал следующий парадокс ситуации вокруг систем ДБО — количество сообщений об их взломах в Интернете и специализированных СМИ нарастает лавинообразно, а вот увеличения спроса со стороны банков на повышение защищенности систем дистанционного обслуживания не наблюдается. В числе факторов, провоцирующих рост киберпреступности, Алексей Бабенко назвал ощущение безнаказанности у мошенников, связанное отчасти с несовершенством законодательства, отчасти с неготовностью правоохранительных органов к специфике расследований и доведения до суда мошенничества в Сети. Безнаказанность такого вида преступлений выглядит особенно странной с учетом возрастающей финансовой привлекательности мошенничества. По некоторым оценкам, отметил Алексей Бабенко, доходность мошенничества в Сети уже сравнима с наркоторговлей, за которую во многих странах предусмотрена смертная казнь. Способствует росту преступности и некий романтический флёр вокруг групп хакеров типа Anonymous. Но главная причина успеха киберпреступности, по мнению представителя “Информзащиты”, — ее выход на новый качественный уровень, когда взломы и кражи совершаются устойчивыми преступными группами с жестким распределением ролей.
По мнению Алексея Бабенко, привлекательность банковских систем для мошенников связана в первую очередь с тем, что благодаря использованию Интернета в качестве транспорта для доступа к информации и обменаею они общедоступны. Во-вторых, системы ДБО работают с платежной информацией, в-третьих — с большим количеством пользователей и по определению ориентированы на любой уровень их грамотности в сфере информационной безопасности, что облегчает доступ к этим системам.
В плане иллюстрации уровня грамотности пользователей здесь уместно будет пересказать анекдотичный пример, приведенный Сергеем Тихоновым, начальником департамента ИТ КБ “Альба Альянс”. Одному пользователю ДБО подсказали, что его компьютер заражен и надо срочно лечиться от вирусов, на что тот возразил: “Зачем? Они мне не мешают”. Помимо пренебрежения опасностями среды Интернет со стороны клиентов Сергей Тихонов в своем докладе в числе основных причин мошенничества с системами ДБО назвал ошибки программирования (особенно в клиентских частях), отсутствие статистики уязвимостей в системах российской разработки, недостаточную защиту периметра ИС банками.
Как это ни абсурдно прозвучит, но, судя по многим выступлениям, схожую с неизвестным “грамотным” и столь практичным пользователем позицию занимают и сами российские банки и, что, пожалуй, самое удивительное, — российские разработчики систем. По оценке Алексея Синцова, руководителя департамента аудита ИБ компании Digital Security, все российские системы ДБО, которые были протестированы, оказались “дырявыми” (так, в 100% систем были обнаружены XSS-уязвимости). И в первую очередь это проблема низкого качества кода программ российского производства. По результатам исследований, которыми поделился докладчик, большую часть обнаруженных уязвимостей могут использовать даже неспециалисты в сфере ИБ, а вендоры предпочитают не информировать банки о наличии проблем с безопасностью. Разнообразные ошибки, подчеркнул Алексей Синцов, в том числе архитектурные уязвимости, есть во всех банковских системах, не только в ДБО-продуктах. Показательно, что все свои тезисы докладчик подкреплял практическими примерами обнаружения и использования уязвимостей, каждый раз подчеркивая, что соответствующие “исследования” осуществлялись, так сказать, в мирных целях, т. е. с целью демонстрации низкого уровня защищенности банковских систем.
Павел Головлев, член комитета по банковской безопасности АРБ, был вполне солидарен с коллегами: уровень безопасности систем ДБО низок, но основная причина ситуации, на его взгляд, лежит глубже. Он констатировал, что сам рынок систем дистанционного обслуживания уже сложился — существует спрос со стороны банков, которые с их помощью продают клиентам свои продукты и услуги. Но при этом отсутствует спрос на продукты информационной безопасности, причем со стороны всех участников рынка. Клиенты порой не хотят делать элементарные вещи — устанавливать антивирусы, вовремя обновлять ОС. Банкам же выгоднее правильно составить договора на дистанционное банковское обслуживание, переложив ответственность на клиента (при этом докладчик отметил, что, если бы клиенты выполняли обязанности, прописанные в договоре, проблем с безопасностью обслуживания было бы значительно меньше). Что касается разработчиков ДБО, то их позиция давно уже выработана и предельно ясна — “любой каприз за ваш счет”. Банки не слишком “капризничают”, понимая, что вкладываться в разработку качественного, безопасного кода означает идти на снижение рентабельности ДБО. Круг замкнулся. По мнению Павла Головлева, банкам и разработчикам все-таки необходимо найти баланс между удобством систем, их ориентированностью на клиента, рентабельностью и защищенностью.
О комплексной защите онлайновых систем
Александр Вологдин, директор по развитию бизнеса компании RSA в России и СНГ, структурного подразделения EMC, согласен с тезисом, что сегодня дистанционное мошенничество с разнообразными банковскими системами — учетными, ДБО, процессинговыми, Web-приложениями — вышло на новый уровень, поставлено, так сказать, на промышленную основу. Теперь взломами информационных систем и уводом денежных средств занимаются не хакеры-одиночки, а устойчивые преступные группы с четким разделением труда, имеющие техническую и операционную инфраструктуру. И тем организациям и специалистам, которые занимаются защитой систем ДБО, очень важно понимать, что они имеют дело не с любителями, а с преступниками-профессионалами. Причем новые технологии, в том числе облачные, настолько упростили техническую сторону процесса организации атак на финансовое учреждение, что сегодня, по мнению Александра Вологдина, для этого уже не нужно быть компьютерным гением и даже специалистом высокой квалификации — достаточно быть пользователем средней квалификации. По его данным, примерно за 300 долл. в месяц можно на базе облачных сервисов получить весь необходимый для организации атак набор средств и инструментов (фактически — Fraud as a service), что тоже способствует росту популярности мошенничества. Это, в свою очередь, приводит к постоянному увеличению количества фишинговых атак: так, согласно статистике RSA, в июне 2011 г. их было порядка 22 тыс., в июле — более 25 тыс.
Представитель компании RSA рассказал участникам Форума об антифродовом решении его компании (более 8 тыс. внедрений по всему миру), которое включает три подсистемы. Первая — подсистема управления угрозами (RSA FraudAction), которая отслеживает все угрозы, собирая информацию о них в едином месте, что позволяет оперативно противодействовать угрозам. Вторая — модуль адаптивной аутентификации (RSA Adaptive Authentication), связанный непосредственно с системой ДБО. Он отслеживает действия пользователей системы за длительное время и в случае обнаружения резких отклонений от привычной линии поведения конкретного пользователя выдает сигнал об угрозе. Архитектура подсистемы мониторинга транзакций (RSA Transaction Monitoring) — третьей и последней подсистемы — тоже находится в постоянном контакте с системой ДБО. Она отслеживает все транзакции пользователей, на основе полученной информации составляет его профиль и дальше может заблокировать его действия в ручном или автоматическом режиме, запросить у клиента дополнительную информацию, рекомендовать позвонить в банк — в зависимости от настроек подсистемы. Оценка пользователя выполняется на основании 60—70 параметров, в числе которых суммы транзакций, обычное время совершения транзакции и много других показателей, даже разрешение монитора может учитываться.
Российские банки, отметил в заключение представитель RSA, до последнего времени не попадали в зону активного внимания международных мошенников, но в прошлом году ситуация ухудшилась. Если прежде случаи увода денег со счетов в российских банках были экзотикой, то теперь это происходит все чаще, и негативная тенденция, по мнению Александра Вологдина, будет только усиливаться.
Безопасное поведение как рефлекс
С точки зрения Михаила Гиленко, начальника отдела политик безопасности автоматизированных систем Росбанка, ключевыми моментами управления ИБ являются осознание руководством важности вопросов информационной безопасности, совместная партнерская работа подразделения “безопасников” и ИТ-директора, а также вовлеченность в обеспечение информационной безопасности бизнес-подразделений и независимость внутреннего ИТ-аудита. Что касается широкого распространения фрода в системах ДБО, то, как полагает представитель Росбанка, этой теме придается преувеличенное значение. На его взгляд, мошенничество против самого банка, а не его клиентов, еще более распространено. И дело руководства банка расставлять приоритеты, решать, что именно необходимо обезопасить и в какой степени.
В целом, изложил свой подход к организации ИБ Михаил Гиленко, стратегия информационной безопасности должна соотноситься со стратегией развития банка или компании, учитывать потребность в привлечении инвестиций и развитии новых направлений бизнеса, наличие или отсутствие намерений участвовать в IPO, перспективы выхода на новые рынки, планы слияний и поглощений . В рамках стратегии уже должны создаваться политики ИБ, описывающие область управления, роли и ответственность ключевых участников, механизм взаимодействия подразделений и принятия управленческих решений. При этом политики ИБ должны учитывать принципы корпоративного управления, законодательные нормы и индустриальные стандарты, а также содержать формулировки рисков и предусматривать меры по их снижению или ликвидации, способы измерения эффективности принимаемых мер. Что касается технических средств, используемых для обеспечения ИБ, они тоже не должны быть “черными ящиками”, обеспечивать собственную информационную прозрачность, чтобы специалистам было понятно как технические средства взаимодействуют друг с другом в процессе работы , какие данные получают, каким образом обрабатывают и какую информацию дают на выходе.
В заключение докладчик отметил, что ключевую роль в обеспечении ИБ играет поведение сотрудников. Необходимо постоянно повышать их осведомленность, стремиться к тому, чтобы “безопасное поведение стало рефлексом”. Несомненно, следует помнить и о том, что при внедрении политик ИБ банк не должен терять конкурентных преимуществ на рынке.
Об отраслевых стандартах безопасности
Вопрос нормативного обеспечения безопасной работы ИТ-систем тоже очень важен. Михаил Левашов, советник генерального директора по информационной безопасности Финансовой Корпорации “Открытие”, остановился на отраслевых стандартах в различных секторах финансовой сферы — банковской, рынка ценных бумаг, пенсионных фондов, страхового бизнеса. Наибольшей проработанностью и стажем присутствия на рынке отличаются стандарты Банка России — “СТО/РС БР ИББС” (стандарт/рекомендации в области обеспечения информационной безопасности кредитных организаций банковской системы РФ). Первая редакция стандартов была принята еще в 2004 г.; сегодня они после целого ряда апробаций и доработок представляют собой целый комплекс стандартов безопасной работы кредитной организации, имеющих рекомендательный характер для исполнения.
Отраслевые стандарты очень полезны для бизнеса в любой сфере, резюмировал докладчик. В хорошо продуманных и разработанных отраслевых стандартах аккумулированы все нормативные требования к безопасности информационных систем, часто разбросанные по нескольким федеральным законам и множеству подзаконных, ведомственных нормативных актов.
Личные мобильные устройства на службе корпорации
Евгений Климов, президент объединения экспертов по информационной безопасности RISSPA, затронул новую для российского рынка тему интеграции собственных мобильных устройств сотрудников в корпоративную информационную сеть. На Западе такая практика уже получила широкое распространение. Согласно статистике, приведенной докладчиком, уже в 2010 г. порядка 30% пользователей прибегали к помощи своих мобильных устройств (BYOD — bring your own device) для доступа к корпоративным ресурсам. В 2011-м доля таких “энтузиастов” выросла до 40,7%. Последние данные свидетельствуют о том, что более 84% западных компаний планируют закупить планшеты своим сотрудникам.
На западном рынке уже появился целый класс специализированного ПО для управления мобильными устройствами (MDM, Mobile Device Management), интегрируемого в корпоративную информационную систему. С его помощью осуществляются управление мобильными устройствами, оптимизация расходов, предотвращение утечек информации и даже контроль местонахождения сотрудника с планшетом. Еще один класс уже представленного на западном рынке программного обеспечения — ПО для управления информацией мобильного устройства, позволяющее работодателю контролировать использование отправляемого контента (например, запретить его пересылку).
О перспективах ИБ
Российский рынок информационной безопасности финансового сектора при всей его сложности, безусловно, развивается. Совершенствуется законодательство, появляются новые отраслевые стандарты, вопросы ИБ все больше попадают в поле внимания бизнеса. О развитии рынка, в частности, свидетельствует и то, что “Ингосстрах”, одна из крупнейших российских страховых компаний, уже несколько лет как страхует информационные риски и профессиональную ответственность в сфере ИТ. Как рассказал Антон Казиев, начальник отдела страхования финансовых институтов ОСАО “Ингосстрах”, в рамках этих страховых программ могут быть застрахованы не только информационные ресурсы (базы данных, архивы), программные средства, программно-аппаратные комплексы, но и сами финансовые активы — электронные деньги, ценные бумаги в бездокументарном виде. Причем, сказал докладчик, крупнейшие разработчики ПО и финансовые институты уже являются клиентами компании.
Со своей стороны хотелось бы отметить, что “промышленный подход” онлайновых мошенников, который неоднократно упоминался в докладах как осложняющий борьбу с этим видом преступлений, по идее имеет и что-то положительное с точки зрения выявления мошенничества и противодействия ему. Любая организация в любой сфере деятельности, повышая эффективность совместной работы сотрудников, повышает и степень своего присутствия на рынке, а следовательно, и шансы своего обнаружения. Мошеннические компании имеют определенную структуру, систему разделения труда, наработанные схемы вывода и обналичивания уведенных денег? Замечательно. Значит, при эффективном законодательстве и должном усердии со стороны правоохранительных органов их обнаружение тоже возможно поставить “на промышленный поток”. Другое дело, что развитие законодательства и “правоприменительного сознания” сильно отстает от преступной практики в быстрорастущей сфере информационных технологий. И это “ментальное отставание” правоохранительной теории и практики от бурного “ментального развития” преступников, пожалуй, является самым серьезным осложняющим фактором в деле борьбы с сетевым мошенничеством в любой сфере.