Информбезопасность может обойтись банкам РК в 15 млрд тенге

05.11.2015

Источник: Forbes Kazakhstan

Национальный банк Казахстана готовит для банков второго уровня и микрофинансовых организаций новые правила, по которым они будут строить свою информационную безопасность.

Проект «Правила организации системы управления информационной безопасностью в банках второго уровня и организациях, осуществляющих отдельные виды банковских операций» имеется в распоряжении редакции Forbes Kazakhstan.

«Целью настоящих Правил является определение общих требований к организации системы управления информационной безопасностью, обеспечению информационной безопасности банка, разработке соответствующих процессов и методологии, безопасности информационных систем и применению программно-аппаратных комплексов, автоматизирующих процесс обеспечения информационной безопасности банка», – говорится в проекте документа.

Независимые эксперты в области информационной безопасности оценили для Forbes Kazakhstan значимость проекта документа для казахстанского банковского рынка. Например, в новых правилах прописано обязательное тестирование систем на проникновение – раз в три года для всей информационной системы банка и раз в год для систем дистанционного банковского обслуживания. «Это позитивный момент, особенно учитывая, что тестирование должно проводиться силами независимых внешних экспертов. Благодаря этим тестам сам банк сможет получить адекватную и объективную оценку работы своих систем и сотрудников, обеспечивающих информационную безопасность, упреждая возможное появление проблем», – говорит технический директор Ak Kamal Security Павел Карабиди.

По его оценке, весьма жёстко теперь регламентируется использование мобильных устройств, которые могут подключаться к информационным системам банка извне. Учитывая, что использование смартфонов и планшетов в данный момент является насущной необходимостью, введение определенных правил по включению их в корпоративную сеть выглядит весьма логично.

«Обойтись штатными средствами обеспечения безопасности, встроенными в распространенные операционные системы, теперь не получится, ведь среди требований имеются: шифрование канала связи, использование двухфакторной аутентификации, возможность дистанционного удаления данных, хранение данных банка только в зашифрованном виде и так далее. Кроме того, если смартфон или планшет, который используется в работе, является личным устройством работника банка, то придется задуматься и о разграничении сред обработки и хранения данных, чтобы личные данные и информационные активы банка не пересекались», – отмечает Карабиди.

Казахстанская компания Ak Kamal Security, основанная в 2006, специализируется на разработке, поставках, внедрении и сопровождении средств криптографической защиты информации.

Преступлений все больше

Специалисты по кибербезопасности охотно делятся своими наблюдениями касательно роста банковских мошенничеств и необходимости защиты от них.

«Подтверждение транзакций с использованием одноразовых паролей, передаваемых по СМС-каналу, не является существенным препятствием для хищения денег мошенниками. Существует несколько техник их обхода, и, к сожалению, их применение давно поставлено на поток. Самый свежий пример – 20 мая 2015 при содействии Group-IB были задержаны братья Попелыши, которые похищали деньги через ДБО у физлиц, использующих одноразовые СМС-коды», – рассказывает руководитель по развитию продуктов Group-IB Павел Крылов.

Group-IB является международной компанией по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, со штаб-квартирой в Москве.

Крылов отмечает, что не дает существенной защиты и подтверждение транзакций посредством цифровой подписи, даже в случае использования защищенного носителя с неизвлекаемыми ключами. Уже в течение нескольких лет мошенники успешно обходят эту защиту с использованием несанкционированного удаленного доступа к компьютеру юрлица или автоматического создания, подмены реквизитов платежа (так называемый автозалив) прямо с него.

«Развитие данных техник все еще продолжается, например в конце 2014 мошенники реализовали и начали успешно использовать с помощью вредоносного ПО, работающего на компьютере жертвы, «автозалив» в интернет-банкинге для браузера», – говорит Павел Крылов.

Впрочем, не все так критично. Да, OTP – это не панацея, равно как и ЭЦП, особенно если использовать их необдуманно. Павел Карабиди считает, что эффективные варианты обеспечения безопасности в соответствии с новыми правилами есть: «Если присмотреться внимательнее, то в рамках новых правил можно найти возможность эффективно защитить пользователей банкинга от атак с использованием подмены данных. Когда злоумышленник, получив несанкционированный доступ к ПК пользователя с помощью вредоносных приложений, подменяет реквизиты платежа, в результате чего пользователь, ни о чем не подозревая, отправляет деньги совсем не туда, куда хотел, и при этом не знает об этом, так как на экране все данные получателя отражаются правильно.

Описание «иных устройств подтверждения транзакций» содержит некое отдельное устройство с возможностью вывода ключевых данных транзакции и ее подтверждения. Понятно, что речь идет об антифрод-терминалах – благодаря подписи данных внутри устройства атаки подобного рода теряют всякий смысл, так как подписываться будут уже подложенные данные, которые пользователь, естественно, заметит. Но есть и более доступные, нежели антифрод-терминалы, решения. В частности, наш продукт MySign, который позволяет превратить в антифрод-терминал любой смартфон. Причем у смартфона с MySign есть некоторые преимущества перед антифрод-терминалами, в частности использование отдельного канала связи, что значительно усложняет атаки любого вида, а атаки с подменой данных и вовсе делает бессмысленными».

Защитить банки

Специалисты в области информационной безопасности в один голос говорят, что казахстанским банкам необходимо усиливать свою защиту и быть проактивными. Они также отмечают целесообразность разработки новых правил, однако ставят под сомнение эффективность и актуальность предлагаемых мер: киберпреступники давно работают с новыми продвинутыми технологиями.

«Проект правил задает минимально необходимый уровень к обеспечению ИБ, фундамент, на котором будут возводиться следующие уровни обеспечения ИБ, – говорит Крылов. – Вне всяких сомнений, разработка правил является верным и востребованным шагом Нацбанка РК. Тем не менее надо отдавать себе отчет, что описанные в документе меры – это необходимый минимум, которого недостаточно для снижения инцидентов ИБ до приемлемого уровня. Причина в том, что технологии мошенничества не стоят на месте и уже успели на несколько шагов обойти подобные меры».

В свою очередь опрошенные журналом банкиры наотрез отказались авторизованно оценивать проект новых правил, однако на условиях анонимности сообщили, что помимо позитивных моментов документ (если будет принят) обяжет банки вводить дополнительные параметры защиты, расходы на которые они попросту переложат на своих клиентов. Много вопросов у представителей кредитных организаций вызывают пункты, связанные с «применением некоторых программно-аппаратных комплексов», кое-кто из банкиров усмотрел в этом лоббирование интересов определенных организаций – поставщиков этих самых комплексов.

«Весьма интересно выглядят требования к системам интернет-банкинга. Теперь вводится требование подтверждения транзакций с помощью одноразовых паролей (OTP-генераторов) или иных систем. Причём формулировка в отношении иных систем весьма расплывчатая, – поделился на условиях анонимности руководитель IT-подразделения казахстанского банка, входящего в первую десятку. – Фактически из описания можно сделать вывод о том, что речь идет об антифрод-терминалах, внешних устройствах, которые позволяют выводить на собственный экран информацию о транзакции и подтверждать её. Безусловно, антифрод-терминалы весьма эффективное и надежное средство. Но проблема в том, что цена их весьма высока и обеспечить каждого клиента банка такими устройствами будет стоить весьма недёшево».

Впрочем, учитывая тот факт, что прямой отсылки к антифрод-терминалам в документе нет, у банков есть возможность использовать альтернативные решения, которые удовлетворяют новым требованиям. То есть это должно быть отдельное устройство с возможностью выводить текст и подтверждать транзакцию. Для доступа в интернет-банкинг и для подтверждения транзакции рекомендуется использовать разные устройства. Благо это лишь рекомендация, а не требование – иначе возможность ограничиться только смартфоном для работы с банкингом была бы окончательно отрезана. А это, в свою очередь, повлекло бы за собой снижение интереса к интернет-банкингу у пользователей, несмотря на все усилия по его популяризации, сделанные банками в последние годы.

«Есть в правилах и весьма неоднозначное требование к ЭЦП, которое нам, безопасникам, совершенно непонятно. Один из пунктов новых правил жестко обязывает использовать ЭЦП неаффилированных с банком удостоверяющих центров. Почему? Фактически это запрет на использование внутренних удостоверяющих центров банков, который ничем не обоснован, по крайней мере с точки зрения информационной безопасности. Чем продиктовано это решение Нацбанка, я судить не возьмусь, но безопасность тут ни при чем», – продолжает представитель банка.

Оценив документ в целом, банкиры нашли в нем неоднозначные моменты и даже попытку лоббирования интересов некоторых коммерческих структур, поставщиков оборудования – антифрод-терминалов, токенов и других девайсов – и независимых удостоверяющих центров – того, что предусматривают новые правила. «По нашим данным, в Казахстане около 1,5 млн пользователей систем удаленного доступа, соответственно, цена вопроса от 3,5 до 15 млрд тенге – столько могут потратить банки, чтобы привести свою деятельность в соответствие с предлагаемым проектом правил. Причём деньги могут пойти в одном направлении – это альфа, бета и гамма казахстанского бизнеса», – закончил ребусом собеседник Forbes Kazakhstan.

Александр Воротилов, заместитель главного редактора Forbes Kazakhstan
Возврат к списку новостей

Рекламодателю