Угроза не новая, но серьезная

В прошлом году в России зарегистрировано 11 тысяч киберпреступлений

В России продолжается рост киберпреступности, нацеленной в том числе на финансовую систему. Угроза не новая, с ней приходилось сталкиваться и раньше, однако прежде она носила любительский характер и не приносила компаниям серьезных убытков. Сегодня же киберпреступность стала настоящим бизнес-процессом с четко продуманной схемой. По прогнозам экспертов, в ближайшие годы этот тренд вряд ли пойдет на спад, ведь для удобства клиента все больше сервисов банки переводят в режим онлайн. О том, как бороться с атаками, как защитить клиента и готовы ли банки к подобным угрозам, говорили участники профессиональной практической конференции «Кибербезопасность финансовых организаций», прошедшей в Москве 30–31 марта. Ее организовала компания MSB Events.

Пришло время воспринимать серьезно

Конференция началась с круглого стола, посвященного анализу киберугроз. Модератор, менеджер по управлению рисками мошенничества ЗАО КБ «Cитибанк» Михаил Кутузов попросил участников дискуссии отметить самые важные аспекты киберугроз, основные векторы кибербезопасности и поделиться опытом борьбы с этими рисками.

Михаил Кутузов рассказал, что в данный момент на рынке отмечается такой аспект киберрисков, как рост использования различного рода вредоносного программного обеспечения, так называемого malware (сокращение от Malicious Software – вредоносное программное обеспечение). Причем оно используется в различных направлениях. Например, таких, как атака на внутренние сети банков и банкоматы, на системы дистанционного банковского обслуживания (online banking), на мобильные устройства клиентов, а также в комбинации с более традиционными способами мошенничества, такими, как социальная инженерия. В то же время мошенникам становится все сложнее обойти выстроенную банками эффективную систему защиты от мошенничества, и они переключили свое внимание на клиентов финансовых организаций.

– Зачастую понимание угрозы мошенничества на стороне компании клиента банка не так велико: имея счет в банке, компания считает, что обеспечение безопасности денежных средств – исключительно прерогатива финансовой организации. Безусловно, банки выстраивают процедуры защиты денежных средств клиентов, тратят на это большие силы, время и ресурсы. Однако сделать безопасным хранение и использование денежных средств без участия клиентов, к сожалению, невозможно, – подчеркнул Михаил Кутузов.

Раньше мошенник пытался представиться клиентом, чтобы ввести в заблуждение сотрудников банка и перевести денежные средства на контролируемый им счет. Сейчас фокус сместился: мошенники специально таргетируют сотрудников компаний-клиентов, вводят их в заблуждение, используя социальную инженерию и вредоносные программы, чтобы потенциальные жертвы через авторизованные каналы давали банкам инструкции на перевод денежных средств на подставные счета. Чтобы не допустить этого, со стороны банков проводятся все процедуры проверки правомерности запроса и того, что он идет от уполномоченных сотрудников компании.

Поделился опытом и заместитель председателя правления Интерактивного банка Андрей Бухтияров.

– Условно мы классифицируем два типа атак. Первый – атаки на клиента по перехвату сессии управления. К примеру, через электронную почту мошенники запустили вирус на компьютер, который изменяет платежку или подкладывает новую. Клиент, не обратив на это внимания, подписывает ее. Второй тип атак – атака на банк. Он более сложный, поскольку у банка много элементов защиты. Как правило, это не случайные атаки, требующие нескольких месяцев подготовки. Хакеры придумывают очень интеллектуальные вещи: от 12 байтных кейлоггеров до «спящих» загрузчиков. Подобные атаки сопровождаются открытием от 40 до 60 счетов. IP адреса «плавающие», но мы думаем, что управление происходит с одного места, – рассказал Андрей Бухтияров.

По его словам, ключевой проблемой остаются «спящие» атаки, которые очень долго «живут» на компьютере жертвы и их довольно сложно найти.

– В нашей практике был случай, когда некий поставщик услуг, представляющий западную компанию без офиса, ходил на конференции маленьких банков, пытался продать свое программное обеспечение. Затем присылал письма с предложением протестировать продукт. Через три месяца начались атаки. Вирус попал в компьютеры и «заснул» на некоторое время, а после начал активно размножаться, искать ключи и сервисы. Чтобы защитить своих клиентов, мы решили разработать собственное ПО. Наш Интерактивный банк «живет» в Web, и, по правилам Web, имеет три вида подключения: web, android и ios. Изначально мы делали свое ПО таким образом, чтобы клиент мог работать с онлайн-сервисами в любом удобном ему месте, не переживая, что у него могут вывести деньги. Когда писали ПО, нанимали хакеров, проходили с ними все возможные сценарии. Сегодня в Интерактивном банке самое большое в России количество элементов защиты интернет-банка, – резюмировал Андрей Бухтияров.

Многие участники круглого стола говорили о том, что зачастую бизнес не воспринимает киберугрозы серьезно и убедить его в обратном непросто.

– Даже если в компании произошел подобный инцидент, организация понесла финансовые потери, ее руководители надеются, что это единичный случай, он не повторится. Следовательно, заниматься данной проблематикой нет никакого резона, – посетовал руководитель департамента аутсорсинга «Инфосистемы Джет» Владимир Дрюков.

Не можем похвастаться успехами

Обсудили участники конференции и несовершенство законодательства в сфере кибербезопасности. Член совета директоров, руководитель комитета по безопасности Национального платежного совета, советник генерального директора ЗАО «КиберПлат» Борис Мирошников отметил: чем больше денег и расчетов переходит в электронную форму, тем активнее становится деятельность киберпреступников. Этот процесс специалисты предсказывали еще 10–20 лет назад.

– По данным Министерства внутренних дел РФ, в 2014 году в нашей стране зарегистрировано около 11 тысяч киберпреступлений. Я считаю, этот показатель не отражает реальной картины – преступлений в разы больше, и Россия пока не может похвастаться успехами в области противодействия киберпреступности. Если уровень киберпреступности остается таким высоким, значит, предпринимаемые меры неэффективны, недостаточны, – развел руками Борис Мирошников.

Он также посоветовал коллегам – представителям финансовых организаций – не пренебрегать политикой безопасности, но и не увлекаться самостоятельными расследованиями. Борьба с киберпреступниками должна быть комплексной и системной. И с непременным участием правоохранительных органов, так как только они имеют полномочия на проведение оперативно-розыскных мероприятий и пресечение деятельности преступника.

Его позицию поддержали представители Главного управления криминалистики Следственного комитета России – заместители руководителя отдела компьютерно-технических исследований Алексей Яковлев и Олег Грачев.

Очевидно, возникает потребность в страховании кибер-рисков. Хотя для российского рынка это новый продукт, но, по словам руководителя отдела страхования финансовых рисков ЗАО «АИГ» Владимира Кремера, довольно востребованный.

– Мы запустили услугу страхования кибер-рисков в конце 2012 года. Это не простое страхование имущества или ответственности в чистом виде, это комплексный полис, который защищает компании от множества последствий киберинцидентов, в том числе от перерывов в деятельности компании, – уточнил докладчик. – Если киберинцидент произошел, чтобы избежать серьезных последствий, стоит довериться профессионалам, которые оперативно отреагируют: окажут юридические услуги, IT-услуги, в частности по восстановлению данных, проведут расследование киберинцидента, помогут защитить репутацию компании.

Владимир Кремер отметил, что чаще полис покупают организации, у которых был опыт D–Dos или целевой атаки, электронного шантажа или другого хакерства, а также компании, владеющие важной конфиденциальной информацией/персональными данными.

IT-тренды

Не менее актуальна сегодня безопасность мобильных коммуникаций, поскольку мобильность является одним из востребованных IT-трендов. Об угрозах, связанных с использованием мобильных устройств, рассказал заместитель директора – начальник отдела информационной безопасности Банка «Санкт-Петербург» Анатолий Скородумов.

Он акцентировал внимание на том, что основные угрозы связаны с утечкой данных, которая может произойти из-за утраты мобильного устройства, передачи его в ремонт или родным, заражения вредоносным ПО, умышленных и неумышленных действий легальных пользователей; несанкционированным доступом к корпоративной информации (утечка аутентификационных данных, получение несанкционированного доступа к доверенному мобильному устройству; заражение устройства вредоносным ПО), а также с заражением корпоративных систем вредоносным ПО.

– По данным компании «Доктор Веб», за 2014 год количество вирусов для платформы Android удвоилось и на конец года составило 5681. Основная цель киберпреступников – извлечение финансовой прибыли, которую они получают за счет отправки жертвами дорогостоящих СМС-сообщений, подписки абонентских номеров на платные контент-услуги. Небольшая часть вирусов производит кражу конфиденциальной финансовой информации и незаконные денежные переводы при помощи зараженных банковскими троянцами мобильных устройств. Кстати, вирусов под ios значительно меньше. Если говорить в целом о трендах 2014 года, то можно отметить появление вирусов класса bootkit – так называемых «загрузочных вирусов», которые внедряются в процесс загрузки операционной системы. Что касается устройств под управлением Android, то вирус обычно располагается в flash-памяти инфицированных мобильных устройств. Также появились программы удаленного управления мобильными устройствами, подменяющими легальные приложения интернет-банка вирусы, – рассказал Анатолий Скородумов.

Количество угроз для мобильных устройств растет, но как с ними бороться? Докладчик считает, что для организации адекватной защиты корпоративных данных при доступе с мобильных устройств необходимо применять системы класса MDM (Mobile Device Management). Что касается защиты мобильных устройств клиентов банка при использовании систем дистанционного банковского обслуживания (ДБО), то тут необходимо применять механизмы многофакторной аутентификации клиента при доступе в систему ДБО и подтверждении финансовых операций.

Безопасность или желание клиента?

На другую сторону медали обратил внимание директор департамента дистанционного банковского обслуживания Бинбанка Александр Новиков. Он поднял вопрос взаимодействия бизнеса и безопасности и поделился своим мнением на этот счет.

Бывает, вокруг бизнеса строят некие ограждения, которые мешают развиваться, требуется множество согласований при открытии тех или иных функций. В итоге бизнес стагнирует, яркие звезды по продуктовому дизайну уходят быстрее, чем могут добиться первых результатов, невозможно создавать новую продукцию, отсутствуют инновации. Зато безопасность стопроцентная. Другая крайность – когда бизнес довлеет над безопасностью, диктует ему правила, все спорные решения «продавливаются» авторитетом. В таком случае клиенты счастливы: все гибко, просто, красиво, множество инноваций, но безопасность на низком уровне.

– Мы ищем золотую середину, когда бизнес держит безопасность в тонусе. Очень хочется, чтобы от службы безопасности поступали ответы не в формате, что так нельзя делать, а как сделать, чтобы инновации были в том числе безопасными. Только в результате конструктивного диалога можно прийти к продуманным и надежным решениям, которые привлекут клиентов, а врагам дадут понять, что продукты банка и его клиенты – под надежной защитой, – заключил Александр Новиков.

Елена ВОСКАНЯН, фото — Мария АКСЕНОВА