Защищают ли банки Казахстана деньги и данные своих клиентов?

12.10.2016

Источник: Forbes.kz

Покушения на хищение средств с помощью дистанционного банковского обслуживания в соседней России, по данным FinCERT при Банке России, только за период с октября 2015 по март 2016 составили около 2,67 млрд рублей. Из них предотвращено хищений на 1,4 млрд рублей: возбуждены дела, дела переданы в МВД. Какова судьба оставшихся 1,2 млрд рублей, в отчете не указывается.

Информация под замком

Потери банковского сектора в Казахстане - цифра непубличная. Банки скрывают инциденты информационной безопасности, предпочитая тихо договариваться с клиентами и возмещать потери. Ситуация похожа на наличие «стыдной» болезни – признание в наличии проблемы означает потерю лица.

Для злоумышленников не представляет труда преодолеть границы для взлома – нарушить работу сайта, получить доступ к данным, но вывод денежных средств, возможно, еще требует организации минимальной инфраструктуры на территории государства. При этом затруднения для злоумышленников вызывают действия регулятора по борьбе с отмыванием денег и финансированию терроризма – такие, как идентификация клиентов, фактических получателей, и действия банков как непосредственных исполнителей этих предписаний.

На первый взгляд, банки должны быть сильно озабочены сохранением информации. Большие массивы данных можно анализировать, делать предложения и обслуживать клиентов в любом месте, буквально сопровождая каждую операцию. С другой стороны, предлагаемые средства защиты должны быть адекватны проблеме и быть понятными клиентам. Частый пример - обращения клиентов по использованию двухфакторной авторизации через СМС вместо брелока, генерирующего временный пароль. Таким образом, средство защиты должно удовлетворять сразу трем требованиям: обеспечивать уровень защиты, быть удобным для клиента, быть дорогим для взлома для злоумышленника.

Банк как город

Защита персональных данных - обязанность поставщика услуг. Стоимость защиты информации должна быть значительно ниже стоимости самой информации. Давайте рассмотрим организацию защиты более подробно.

Внутреннюю структуру - сервера, сети, программы, сотрудников - сравним с городом. Развитием облика, инфраструктуры города занимается руководство, поддержкой инфраструктуры - специалисты по информационным технологиям. У города есть внешний периметр, определенные ворота - шлюзы-порты, по которым город общается с внешним миром. На въездах, находятся посты - автоматизированные и нет, внутри города курсируют патрули - системные администраторы. В общем, «спите спокойно, жители Багдада».

При необходимости въезды/выезды блокируются, в городе объявляется чрезвычайное положение.

Патрулирование позволяет отпугнуть хулиганов, но не серьезных злоумышленников.

Проверкой настроек, исполнением политики наличия прав доступа, как и анализом метаданных, устройством ловушек, расследованием инцидентов и многим другим должна заниматься служба информационной безопасности.

Но, как во многих случаях, вновь созданный отдел занят обеспечением «бумажной безопасности» - разработкой документации, проверкой текущих настроек и контролем работоспособности системы и других аналогов «устава караульной службы». Город и горожане чувствуют себя безопасно за городскими стенами, высокими и неприступными.

«Варвары у ворот»

Что бывает, если слава о богатстве города разнесется по всему подлунному миру?

В город станут прибывать послы, купцы, авантюристы и шпионы. Давайте пофантазируем дальше и представим, что бы предпринял в таком городе шпион. Что представляет для него интерес?

Для начала внешний осмотр, сканирование уязвимостей.

Как часто стража делает обход? Кто повез во дворец молоко и фрукты? Как набирают стражников?

Слабости и пристрастия людей, отвечающих за армию, финансы, хозяйство.

Сколько сил обороны может поставить город и что может призвать «под ружье» в случае атаки. Чем больше времени есть на подготовку, тем тщательнее обрабатывается информация и готовится несколько сценариев вторжения.

С помощью социальной инженерии можно собрать достаточно информации, чтобы нанести точечный удар – письмо с фишинговой ссылкой, которое пользователь прочитает наверняка.

Пример

- Через социальные сети хакеры узнают, что руководитель отдела улетел в отпуск на море. Через некоторое время коллеги и подчиненные получают письмо от отпускника с темой: «Посмотри, как здесь красиво!», парой фотографий и ссылкой на другие фото. Очень вероятно, что они захотят посмотреть еще фотографии.

- Угрозы могут исходить не только от внешних хакеров, сидящих где-то на другом конце земли. Злоумышленником может быть любой из коллег. Знаменитый Эдвард Сноуден получил доступ к нескольким десяткам аккаунтов благодаря своей отзывчивости в службе поддержки. «Посмотри компьютер» «- Эээ, мне нужно чтобы ты зашел под своим логином». «- Нет проблем, вот пароль, только потом забудь его…».

- Злоумышленником может оказаться даже любой клиент, открывший счет и подключившийся к интернет-банкингу, проведя затем «атаку через соседа».

Человек - это самое слабое звено в системе безопасности. Указанные три модели злоумышленника – наиболее часто встречающиеся в политиках информационной безопасности.

Дело в шляпе

В мире информационной безопасности есть свое деление на «белые», «серые» и «черные» шляпы. Так называют специалистов разного профиля, находящихся по разные стороны баррикад.

«Черные шляпы» - те самые хакеры, которые незаконно завладевают информацией, делают (или пробуют делать) деньги с помощью продажи или другого незаконного использования информации. Иногда напрямую информация не крадется, но владелец информации может нести другие потери - например, сайт онлайн-магазина недоступен, платежная система не может обработать заказ и т.д.

«Серые шляпы» - это так называемые рисерчеры - исследователи, которые ищут и находят уязвимости и, возможно, сразу же пишут на них «заплатки» - патчи. Они в принципе могут находиться и на той, и на этой стороне - их продукт может быть использован и там, и тут.

От «черных шляп» отличаются еще и тем, что взламывают сайты, что называется, для удовольствия; взламывают то, что ранее в принципе рассматривалось непригодным для взлома. Например, в одной из последних атак были задействованы камеры наблюдений. Причем общая мощность атаки составила почти 1Тб/с (самые мощные атаки с использованием компьютеров были в три раза слабее). Это означает, что интернет вещей может быть активно использован черными шляпами для организации атак.

И, наконец, «белые шляпы» - защитники, препятствующие взломам и стоящие на этой стороне стены. Это сообщество профессионалов, разными путями пришедшее в эту сферу.

Что делают «белые»?

В бизнес-среде есть мнение, что шляпу легко можно поменять, мол, сейчас «белые» нас сначала проверят, а потом, в качестве «черных» шляп - взломают. На самом деле это не так. Все найденные уязвимости оперативно закрываются, ход заделывается, попытки проникновения фиксируются. Для расследований инцидентов есть специальная криминалистическая экспертиза, и если будет выявлено злоупотребление, специалист просто никогда не сможет найти работу. Здесь никаких отличий от наемных сотрудников нет.

В стане «белых» расклад сил сейчас достаточно структурирован.

Активно действует ЦАРКА - недавно созданная группа по отражению компьютерных угроз. В конце октября пройдет казахстанский DefCon - конференция по безопасности. Функционируют также два CERT-а (международную лигу Computer Emergency Responce Team возглавляет институт Карнеги-Меллона) - по одному на обе столицы: Алматы и на Астану. На рынок активно выходят компании из стран СНГ.

Пробным камнем для разного уровня «белых» команд служат турниры CTF (Capture the Flag). CTF - обычно командные соревнования по защите своих информационных активов (флагов) и захвату чужих флагов. Цель таких соревнований - оценка знаний, умений и навыков атаковать и защищать компьютерные системы. Как правило, у каждой команды свой виртуальный сервер, на котором функционирует ряд сервисов (одинаковый набор для каждой команды). Каждый сервис написан на разных платформах и имеет ряд уязвимостей. Цель команды – обеспечить работоспособность своих сервисов, что проверяется жюри, разработать заплатки - патчи для устранения уязвимостей, разработать иксплойты - для использования чужих уязвимостей - для захвата чужих флагов. Игра обычно длится 7-8 часов локально (обычно финал) или удаленно (через интернет). Возможно, найдется спонсор, который захочет разделить с оргкомитетом расходы по организации такого турнира между казахстанскими командами.

В «Правилах организации системы управления информационной безопасностью в банках второго уровня и организациях, осуществляющих отдельные виды банковских операций», представленных Национальным банком в конце 2015, предусматривается регулярное проведение тестирования проникновения. Специалисты, которые проводят настройку системы (их еще называют тестерами), не могут одновременно проверять ее безопасность. Поэтому для тестеров в ближайшем будущем будут неплохие перспективы для новых проектов.

Как в старом споре об щите и копье, здесь нет абсолютной защиты и нет идеального оружия нападения. Любая защита может быть взломана. Важна цена защищаемой информации. Возможно, обычный телефон не содержит ценной информации, но ФБР заплатило за разблокировку iPhone 5s погибшего террориста $1,3 млн.

Выводы

Услуги по информационной безопасности, в частности, тесты на проникновение, все больше будут востребованы рынком.

Сразу за аудитом информационной безопасности необходимо заказывать тест.

Ни одна защита не может быть достаточно надежной в течение длительного периода времени.

Если информация важна для бизнеса - её необходимо защищать.

Стоимость защиты информации не должна превышать стоимости самой информации.

Нанимать нужно самых продвинутых среди «белых шляп» - победителей CTF.

Позиция самого защищенного банка Казахстана (а, значит, и самого надежного) сейчас свободна.
Возврат к списку новостей

Рекламодателю