Разумный компромисс между удобством схемы работы и остаточными рисками, от которых она не защищает

Разумный компромисс между удобством схемы работы и остаточными рисками, от которых она не защищает

Эта статья интересна тем, что представляет видение ИБ со стороны «экономичного» крыла отрасли – малых и средних банков. Не обладая избыточными средствами, безопасники, работающие «далеко от Москвы», вынуждены проявлять чудеса профессионализма, чтобы защитить свои банки и их клиентов от злоумышленников. Часто условия и инструментарий их работы значительно отличаются от передовых, читай, столичных. Тем более полезно знать, как у них получается минимумом средств достигать нужного результата. Также интересно, что статья адресована не столько коллегам-безопасникам, сколько клиентам банков.

Тема статьи: степень защищённости клиентов при работе через каналы дистанционного банковского обслуживания. Клиенты обычно мало интересуются защитой, по их мнению, она должна быть «по умолчанию». Но есть проблема: злоумышленники действуют не только на территории банков, но и на территории клиентов тоже.

Для понимания значимости проблемы с верхнего уровня рассмотрим долю несанкционированных переводов денежных средств к их общему объёму. Он установлен ЦБ РФ на уровне 0,0050% - как предельно допустимый. По сравнению с другими странами это достаточно жёсткий лимит на такие операции. По мнению ЦБ РФ, всё что ниже, не оказывает существенного негативного влияния, а если выше, то может привести к серьёзным последствиям: вынудит переходить к товарным отношениям, использованию денежных суррогатов и иных заменителей.

ЗЛОУМЫШЛЕННИКИ

Способов украсть деньги из банка сегодня не так уж и много. Это:

• взломы компьютеров клиентов, банков и отправка платежей от имени клиентов или самих банков;
• обман, выдача себя за тех, кто имеет право проводить платежи, контрагентов, руководство, технические службы – для того, чтобы заставить исполнителя ввести нужные реквизиты и отправить платёж;
• использование предоставленных полномочий и прав для личного обогащения.

Кто крадёт? Хорошо организованные группы, имеющие чёткую иерархию, специализацию, знания, специально разработанный и поддерживаемый в актуальном состоянии инструментарий. В режиме подряда они привлекают другие группы. Да, есть и уникумы-одиночки, но основной ущерб наносят именно профессионалы.

Они постоянно совершенствуют технологии и активно пользуются услугами чёрного рынка Даркнета. А там можно найти всё необходимое для полноценной кооперации, чтобы проникнуть в банк. Например:

• купить готовый рабочий инструмент для формирования заражённого вложения, которое не будет обнаружено антивирусом;
• купить список почтовых адресов сотрудников одного или нескольких банков;
• нанять группу, которая разошлёт письма с заражённым вложением по сотрудникам банка;
• а также группу, которая уговорит кого-то из сотрудников банка под благовидным предлогом открыть заражённый файл;
• а также группу, которая, получив точку входа внутри периметра банка, проведёт взлом его внутренних ресурсов и организует отправку платежа по нужным реквизитам;
• а также обнальщиков, которые, получив платёж, превратят его в наличные деньги и положат их на ваш счёт.

ТИПИЧНЫЕ СЦЕНАРИИ И ИНСТРУМЕНТЫ

Давайте рассмотрим типичные сценарии и инструменты злоумышленников, а также меры по защите от них.

Удалённый доступ

Злоумышленникам надо разобраться с тем, что и как устроено у клиента. И они это успешно делают. Узнают динамику платежей, вычисляют, когда есть деньги и когда их легче украсть (например, в пятницу после обеда). Как им в этом помешать? Отсутствие прямого доступа к компьютеру, где работают с Интернет-банком, значительно осложнит им хищение. Для клиента – это отдельный компьютер (например, самый дешёвый ноутбук) с отдельным каналом доступа в интернет и хорошим антивирусом, платежки на который и с которого переносят на флешке. Не гарантия безопасности, но так украсть будет гораздо сложнее.

Кража средств доступа или управления

Если вы не подтверждаете паролем из СМС или паролем из токена с экраном каждый отправляемый из Интернет-банка документ или пакет документов, то злоумышленник может украсть у вас токен авторизации или криптографический ключ с флешки или жёсткого диска. После этого вы и ваш компьютер ему не нужны, он просто отправит нужную платежку за вас. Лучший вариант защиты – СМС на отдельное устройство (самый простой сотовый телефон) и использование криптографического ключа на специальном носителе, не позволяющем скопировать с него ключ.

Компрометация средств подтверждения

Использование СМС для подтверждения операций и токенов для хранения криптографических ключей заставляет злоумышленников преодолевать и эти трудности. Где-то используется социальная инженерия. «Уговаривают», представляясь сотрудниками Банка России, правоохранительных органов или сотрудниками обслуживающего банка, но уровень бдительности сегодня повысился и такое уже редко удаётся. Поэтому прибегают к выпуску «клона» SIM-карты или заражению вашего смартфона («Перейди по ссылке, чтобы посмотреть забавные фото котиков»). Защититься от незаконного получения SIM-карты, привязанной к вашему номеру телефона, тяжело, это больше относится к компетенции служб безопасности операторов сотовой связи. Но вот использовать для защиты криптографический ключ на токене, работающем в режиме «неизвлекаемого» ключа, заставит злоумышленников действовать только тогда, когда токен подключён. Если токен выключен и убран в сейф – ничего у них не получится. Удалённо сейфы пока ещё вскрывать не научились…

Антивирусная защита

Сегодня все антивирусы преодолеваются. Но антивирус со свежими базами заставляет злоумышленника использовать ещё более свежий инструмент. Да, от «первой волны» заражений такой антивирус не защитит, но от «второй волны» защитит. Он заставляет злоумышленника использовать свежие средства взлома и уникальные средства сбора информации – иначе тот будет обнаружен. Для сравнения: бегать можно и с чугунной гирей в два пуда, но это тяжело, неудобно и далеко не убежишь…

Преодоление антифрод-систем

Волшебное слово «антифрод». Модно, актуально, дорого и специалистов на рынке нет. Только у крупных банков. Что же это такое? Система сбора информации о платежах, их предварительной оценки на базе правил и принятия решения по исполнению платежа:

• «нет подозрений или они незначительные, отправить»;
• «сомнительный, пусть клиент подтвердит, после отправить»;
• «в высшей степени сомнительный, позвонить клиенту и узнать, всё ли у него хорошо? Если клиент отвечает и подтверждает платёж, то отправить»;
• «блокировать сразу, КРАДУТ!»

В реальности антифрод эффективен, когда пытаются «дёрнуть» деньги сразу, много и нагло. Он не спасает от подготовленных взломов. Но эффективен для снижения размера ущерба – можно поставить планку, выше которой кражи без подготовки не получаться. В случае предварительной подготовки злоумышленник может поднять сумму возможного ущерба, но это становится для него сложной задачей, на поток её ставить сложно.

ПОЗИЦИЯ РЕГУЛЯТОРОВ

Что нам говорят об этом «сверху»? Чтобы не завязнуть в дебрях, посмотрим только основные моменты применительно к клиентам. Основных документов по защите два:

• положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации» Банка России от 09.06.2012 № 382-П;
• федеральный закон «О национальной платёжной системе» от 27.06.2011 № 161-ФЗ.

Основные моменты по 382-П:

• банк может по заявлению клиента устанавливать лимиты на совершение операций клиентом (вступил в силу с 01.01.2020, можно установить лимиты на сумму операции разово или за период, время осуществления платежей, список получателей и т.п.).
• С 01.01.2020 есть три возможных технологии работы клиентов, упрощённо это:

- банк контролирует антивирус на компьютере или смартфоне клиента (актуально для мобильных приложений);

- клиент составляет документы на одном техническом средстве, а подтверждает на другом;

- клиент обеспечивает приемлемый для себя уровень риска за счёт установки лимитов на операции.

• Использование систем Интернет-банкинга и мобильных приложений после аудита безопасности или сертификации.

Основные моменты по 161-ФЗ:

• есть разрешение на официальное применение антифрод-систем банками.
• ЦБ РФ будет вести базу признаков платежей злоумышленников и доводить её до банков. Насчёт оперативности ЦБ РФ ничего не обещает. Очень хорошо, если «в течении 5 рабочих дней» уже «после того, как» мошенники осуществили попытку списания денежных средств об использованном им счёте уведомят другие банки. Высока вероятность, что это просто заставит мошенников вовремя менять реквизиты для приёма украденных денег. В случае физических лиц «чистые» новые реквизиты одной операцией не окупаются, но в случае юридических лиц окупаются легко.
• Банк вправе приостанавливать платежи до подтверждения на срок до 2-х рабочих дней, если у него есть сомнения.
• Есть официальная процедура возврата платежа, осуществлённого злоумышленниками. Для клиентов тут главное – своевременно обратиться в банк. Злоумышленники не могут мгновенно снять деньги – если клиент обратился сразу после платежа, деньги обналичить не успеют.

ТЕХНОЛОГИИ ЗАЩИТЫ

Предлагаю кратко рассмотреть, а от чего меры безопасности, используемые банками, спасают.

Логин — пароль

От честных людей. От злоумышленников не спасает. Это средство идентификации, а не защиты.

Одноразовые пароли

Можно подтвердить факт совершения действия, но не его содержание.

Генераторы кодов подтверждения с клавиатурой

Подтверждение факта и основного содержания действия. Более 1-2 платежей в день – очень неудобны.

СМС с кодами подтверждения

Подтверждение факта и, при соответствующем тексте, содержания действия. Зависит от защищённости самого технического средства. Не защищает от возможного получения дубликата SIM-карты или компрометации смартфона.

Криптографический ключ на незащищённом носителе

Требует дополнительных манипуляций от злоумышленника по получению доступа к ключу. Защищает только от явного перехвата в канале связи. Чтобы было понятно, передаваемые вами в Интернет-банк данные никто, после вашего компьютера, не видит в «читаемом» незашифрованном виде и не может ни изменить, ни подменить. Ни оператор связи, ни Роскомнадзор.

Криптографический ключ на функциональном ключевом носителе

Надёжная защита криптографического ключа — доверенный сеанс связи с банком и подтверждение авторства. Не защищает от подмены на компьютере клиента, но жёстко фиксирует точку «приложения силы» злоумышленников (клиентский компьютер). Подтверждение факта и, с оговорками, содержания действия.

MAC-токены

Надёжная защита криптографического ключа, надёжное средство подтверждения содержания действия — доверенный сеанс связи с банком и подтверждение авторства и содержания, показанного на экране. Защищает от подмены на компьютере клиента.

Приложения на смартфонах

Сильно зависит от функционала такого приложения. Если устройство защищено, то эффект может быть сравним с MAC-токеном. Если устройство может быть заражено или периодически подключается к внутренней сети организации, уровень безопасности не повышается заметно. Если устройство сертифицировано производителем и предприняты все меры безопасности – свежая версия, устройство без ROOT-доступа, стойкий код блокировки, система отладки отключена производителем, наличие антивируса и программы удалённой блокировки/сброса смартфона, отсутствие необходимых для работы программ и т.д., – то использование достаточно безопасно.

Антифрод

Спасает от попыток украсть много и сразу. Сильно осложняет существенные кражи.

Организационные меры

Наименее используемый раздел. Кто из клиентов с ним занимается серьёзно, кроме крупных государственных или окологосударственных контор? А многое можно использовать и защитить себя от внутренних нарушителей и сильно осложнить жизнь внешним. Как правило, очень дешёвые меры (кроме отдельного рабочего места для отправки платежей в Интернет-банке), которые дают очень существенный эффект.

Примеры:

• можно персонально разграничить зоны ответственности сотрудников: «Ты пользуешься токеном, а ты – получаешь и проверяешь СМС с кодами».
• Гарантированно лишить возможности осуществить переводы при сомнениях в лояльности: «Токен на стол».
• Защитить себя от переводов вне обычного времени: «Токен подключай только когда платежи отправляешь, потом сразу же отключай».
• Обеспечить контроль за переводами: «Доступ на просмотр, без права отправки переводов. Проверяешь ежедневно после отправки всех переводов. Платежи до 16:00, выверка и контроль до 16:15». Да, он не защитит от хищения, но позволит своевременно поднять тревогу и с высокой вероятностью вернуть деньги – их не успеют снять.
• Висящий на стене кабинета/шкафа или лежащий под стеклом на столе список основных контрагентов, которым делают крупные переводы: наименование, ИНН и последние 4-6 цифр номера счёта. Это осложняет злоумышленнику подмену реквизитов (№ счёта или ИНН не совпал) или отправку крупного платежа себе (нет в списке).

ПРЕДЛОЖЕНИЯ ПО ЗАЩИТЕ ОТ БАНКА

Чего хочет банк и что он может дать по технологиям защиты

Чего мы хотим от нашего Интернет-банкинга:

• удобства и привлекательности для клиента.
• Защищённости и однозначности для обмена с клиентом.
• Гибкости настройки и работы.

Что мы можем предложить клиенту:

• защиту с помощью криптографических методов. По-простому: «Посередине никто не влезет. Возможно получить однозначный ответ о том, было или не было направлено/получено, подделать невозможно или практически невозможно».
• Защиту с использованием СМС-сообщений. Удобно, можно быстро проверить и подтвердить платёж.
• Использование криптографических токенов с неизвлекаемым ключом – достаточно надёжное обеспечение защиты и полное обеспечение контроля.
• Использование мобильного приложения.
• Использование лимитов на операции.
• Использование схем подписания «n из M». Т.е. не менее n подписей из M возможных.
• Списки доверенных получателей.
• Договорные схемы работы для самых сложных случаев: «Если надо по 500 платежей в час, мы найдём надёжное и безопасное для вас решение».

Чего хочет клиент и на что он может согласиться. Взгляд третьей стороны

Клиент хочет удобства, скорости и не хочет платить или брать на себя риски. Очень редко он хочет быть защищённым. Ещё реже он задумывается о рисках «у себя».

Банк хочет большего числа клиентов, большего числа их. Вкладывать в защиту клиентов он хочет минимум, тем более, вкладывать не на стороне банка, а в собственно защиту клиентов. Но банк вынужден навязывать клиенту более защищённые схемы работы – для минимизации своих рисков, в первую очередь репутационных, и выполнения в минимально необходимом объёме требований регуляторов.

Может показаться, что компромисс и для клиента, и для банка – это точка где-то посередине? Это было бы слишком просто. На самом деле – это область решений, которые существуют с оглядкой и на меры защиты, имеющиеся у банка, и на специфику бизнеса клиента – кому-то крайне важно оплатить товар тут же, до того, как его «перекупит» кто-то из конкурентов.

Глупо использовать одну и ту же схему работы и для школы, и для частного магазина, завода или холдинга. Для одних она будет слишком неудобной, для других – слишком небезопасной. Лучше подбирать решения исходя из специфики конкретного клиента.

К сожалению, не всегда у клиента есть своё видение мер защиты и рисков, которые он готов принять на себя – надо искать разумный компромисс между удобством конкретной схемы работы и остаточными рисками, от которых она не защищает.

А ЕСЛИ ХОЧЕТСЯ НАДЁЖНО И ЕСТЬ НЕМНОГО СРЕДСТВ?     

Если у вас крупные операции, существенные остатки по счетам, высокая динамичность платежей, понимание привлекательности всего этого для злоумышленников и небольшой бюджет «на оборону». Как защищаться? Стандартные меры уже не обеспечат требуемого высокого уровня защиты, но это не значит, что от них надо отказаться – можно из базовых кирпичей построить свою «крепость», например:

• Схема подписания документов: «Под документом должны быть любые 2 разные подписи из списка».
• АРМ бухгалтера с доступом в Интернет-банк для загрузки платежей и выгрузки информации по совершенным операциям.
• Отдельный выделенный АРМ Контроля для работы с Интернет-банком – с изоляцией от остальной сети и, желательно, своим каналом доступа – для контроля операций и осуществления второй подписи под проверенными платежами.
• Минимум 2-3, а лучше 4-5 сотрудников, и у каждого свой токен с неизвлекаемым ключом, защищённым своим паролем.
• Хороший коммерческий антивирус.
• Регламентированные процедуры контроля платежей, списки обычных контрагентов (распечатка на стене – последние цифры номера счёта и наименование), процедуры контроля операций на сумму более 100-200-500 тысяч рублей.

КАК ЭТО БУДЕТ РАБОТАТЬ?

При проникновении во внутреннюю сеть организации злоумышленники увидят АРМ Бухгалтера, увидят процесс загрузки платёжных документов и технически они могут подменить платежку. Но они не видят АРМ контроля, а если и видят, то доступ к нему для них максимально затруднён – он автономен, и канал доступа в Интернет для злоумышленников не подконтролен (чтобы не допустить проникновение заражения). «Исправленные» и «левые» платежи будут выявлены при контроле другим сотрудником на выделенном АРМ. При увольнении/командировке/больничном имеющийся «запас» сотрудников с ключами доступа позволит продолжить работу. При этом каждый сотрудник знает, что его доступ персональный, и сказать «это не я» невозможно из-за персональных криптографических ключей. Указанная схема также защитит вас и от внутреннего мошенничества и позволит в большей степени контролировать платежи.

Да, по сравнению со схемой «1-2 токена и 2-3 человека без выделенного АРМ» есть дополнительные расходы: ноутбук, модем, дополнительные 2-4 токена и дополнительные 2-4 сертификата. Но зато от хакеров вы достаточно защищены (самый лёгкий из оставшихся каналов для них – создать в системе бухгалтерского учёта платёжный документ штатными средствами) при том, что попытка шаблонного вывода средств у вас с крайне высокой степенью вероятности будет вовремя обнаружена и пресечена до списания денег со счёта. У вас будет резервный доверенный канал до банка – вы сможете работать с выделенного АРМ Контроля, несмотря на борьбу с хакерами внутри вашей инфраструктуры.