Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [21], а также отраслевые стандарты Банка России по информационной безопасности[75], ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» призваны максимально обезопасить банки от возможных попыток злоумышленников украсть деньги или нанести вред банку, например сорвать сделку крупного клиента, который должен внести до определенного времени авансовый платеж, чтобы начать сотрудничество с покупателем.

Основные ошибки и проблемы при обеспечении информационной безопасности на местах:

1. Некачественно сформированный процесс управления криптографическими ключами. Обычно это проявляется в том, что ключи передаются неуполномоченным лицам, конечная отправка рейсов, платежей осуществляется не с выделенного рабочего места – как выделенного физически, так и отделенного от основной сети банка.

В небольших банках встречается ситуация, когда ключи нескольких пользователей записаны на один накопитель, постоянно находятся на компьютере и администраторы удаленно осуществляют отправку.

Это открывает широкие возможности злоумышленникам, которые каким-то образом проникли в банк – через занесенный вирус или нелояльного сотрудника самого банка, в том числе сотрудника ИТ-подразделения.

2. Неподготовленность персонала к воздействиям извне. Социальная инженерия остается одной из самых актуальных проблем. Нередко злоумышленники собирают информацию о работниках в социальных сетях, на форумах и т. д. и затем, представляясь сотрудниками регуляторов, различных ведомств, специалистами технической поддержки, просят перевести денежные средства. Также нередки случаи, когда злоумышленники направляют работникам письма от имени проверяющих органов с вложением (якобы отчетом), открыв которое, сотрудник банка заражает рабочую станцию и злоумышленник осуществляет дальнейшее развитие атаки вглубь инфраструктуры банка.

3. Низкая организованность при предоставлении доступа. Например, нередко в банках можно наблюдать ситуацию, когда на площадке (в помещении), где работают дилеры, используется вход в системы под одной учетной записью, что усложняет контроль действий дилеров и расследование инцидентов.

4. Экономия на средствах безопасности. Злоумышленники имеют высокую мотивацию и хорошую подготовку, в том числе используют средства машинного обучения, чтобы обходить шаблоны и правила стандартных средств безопасности. В большинстве случаев в банках требуется наличие инструментов Threat Intelligence, SOAR, WAF, а также Deception Technologies для противодействия таргетированным атакам.

5. Плохое сегментирование сети на сетевом уровне, отсутствие шифрования.

6. Нерегулярное сканирование инфраструктуры на наличие уязвимостей, а также отсутствие полноценных пентестов, в том числе с участием Red Team. В тех банках, в которых ведется собственная разработка кода, не всегда присутствует полноценный цикл безопасной разработки, включающий в себя обучение разработчиков основным уязвимостям, формирование требований к безопасной архитектуре программы, статический и динамический анализ кода и т. д.

7. Сокращение штата подразделения, ответственного за информационную безопасность (неудивительно, что большую часть противоправных действий осуществляют бывшие сотрудники банковских подразделений ИТ/ИБ), или наличие непрофессиональных сотрудников. Нередка ситуация, когда менеджерский состав подразделения информационной безопасности формируется по принципу «свой-чужой», при этом предпочтение отдается надежности, а не талантливости и качеству работы.

8. Несвоевременное обеспечение информационной безопасности систем интернет-банкинга. Показательный инцидент произошел в марте 2014 г., когда, используя уязвимости Heartbleed, злоумышленники вмешались в работу системы продажи билетов РЖД и смогли перехватывать платежи процессинга ВТБ[76].

9. Отсутствие риск-ориентированного подхода к обеспечению информационной безопасности. Это, пожалуй, самая распространенная ошибка, даже среди крупных банков. Риск-ориентированный подход подразумевает баланс между потребностями бизнеса и решением проблем безопасности, а также использование инновационных ИТ-решений в области безопасности. К сожалению, в большинстве случаев преобладает или узкотехнический, или нормативно-регламентирующий подход.

Данный список неполон. Однако названные типичные проблемы и ошибки предоставляют злоумышленникам хорошую возможность, заразив сеть банка или используя уязвимости систем интернет-банкинга, получить доступ к управлению денежными средствами с целью их кражи. Только вовлеченность руководства кредитных организаций и риск-ориентированный подход позволят изменить ситуацию и повысить уровень безопасности ЭБ.