19 августа, 2014, BIS Journal №3(14)/2014

Что говорит зеркало официальной статистики


Федоров Алексей

начальник отдела развития информационной защиты управления информационной безопасности Департамента безопасности (ОАО «Россельхозбанк»)

Чтобы снизить количество инцидентов в сфере электронных платежей, нужно усилить взаимодействия на более высоком уровне, чем банк – клиент

Общая тенденция к снижению киберпреступлений в России налицо. Экспертное сообщество это объясняет многими причинами: успешной борьбой с киберпреступниками, появлением более надёжных систем защиты, например антифрод-систем, более эффективным взаимодействием участников противодействия киберпреступности. Однако анализ официальной отчётности показывает, что для снижения уровня киберпреступности в сфере банковских электронных платежей ещё есть значительные резервы.

 

ИСХОДНЫЕ СТАТИСТИЧЕСКИЕ ДАННЫЕ

Полной статистики совершения компьютерных преступлений нет, но есть данные, публикуемые частными организациями, которые занимаются расследованием подобных преступлений. Из официальной государственной статистки можно найти только сводные обезличенные итоговые данные об инцидентах. Формируются они по материалам отчётности, подаваемой кредитными организациями в Банк России по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Статистика инцидентов информационной безопасности при осуществлении банками денежных переводов за первое полугодие 2013 года, ведущаяся Банком России, может быть проиллюстрирована следующим образом (см. Диаграмму и Схему).

ДИАГРАММА. Статистика инцидентов информационной безопасности при осуществлении банками денежных переводов

СХЕМА. Распределение инцидентов по федеральным округам и регионам России

КЛАССИФИКАЦИЯ АТАК И ОСНОВНЫЕ ТЕНДЕНЦИИ

Общая классификация инцидентов информационной безопасности в системах банковских электронных переводов денежных средств такова.

  1. Целевые и адресные атаки.
  2. Социальная инженерия.
  3. Атаки на мобильные платформы (при распространении систем мобильного банкинга).
  4. Использование уязвимостей и эксплойтов нулевого дня.
  5. Трансграничные преступления.

1. Целевые и адресные атаки

Если раньше мы были свидетелями массовых заражений компьютеров, созданий ботсетей и продажей «дедиков»/«ботов», то в 2013 году наблюдается тенденция подготовки целевых/адресных атак. Организация, планирование или подготовка целевой атаки может занимать несколько месяцев и для ее реализации может быть задействован весь рассматриваемый ниже арсенал: социальная инженерия, использование новых уязвимостей и разработка под них новых эксплойтов, разработка фальшивых веб-сайтов.

Характерные черты этих атак:

  •  тщательная и долговременная подготовка;
  •  сложность и быстрота совершения;
  •  беспрецедентность/уникальность;
  •  сложность противодействия и расследования.

Примерами целевых/адресных атак могут служить:

  • взлом программного обеспечения автоматизированного рабочего места клиента Банка России, с которого банк управляет своим корреспондентским счетом (в конце 2013 года атаке подверглись рабочие места более 10 коммерческих банков);
  •  веб-сайты 5 крупнейших российских банков стали жертвами серии DDoS-атак (веб-порталы ОАО «Сбербанк России», ОАО «Альфа-Банк», ОАО «Газпромбанк», ОАО «Банк ВТБ» и Банка России);
  • отказ от приема купюр номиналом 5000 рублей банкоматами 4-х банков в Москве и Московской области.

 

2. Социальная инженерия

По наглости, беспрецедентности и безнаказанности целевые атаки можно сравнивать с использованием мошенниками методов социальной инженерии. Большинство целевых атак начиналось с использования «человеческого фактора». Особенно такие преступления актуальны в России, где, несмотря на предупреждения и обучение, сотрудники банков совершают по просьбе мошенников поступки, нарушающие все нормы и правила информационной безопасности. Оправдания, что мошенник был убедителен, уверен, называл запрошенные данные и ссылался на конкретные фамилии, не выдерживают никакой критики.

Характерные черты подобного рода атак:

  • осведомленность мошенников;
  • непрофессионализм персонала (несобранность, излишняя доверчивость и порой безответственность);
  • несовершенство взаимодействий внутри банка (многие вопросы решаются по телефону, удаленная техническая поддержка);
  • безнаказанность мошенников.

Примеры использования методов социальной инженерии:

  • атаки банков-партнеров систем денежных переводов телефонными мошенниками, когда сотрудница банка совершает «тестовый платеж» в системе денежных переводов (суммы таких платежей превышают 500 000 рублей, причем операционист делает несколько реальных переводов, а ино-гда и в нескольких системах денежных переводов);
  • обман мошенниками-гипнотизерами кассиров в офисах банков (кассир, например, на принятую купюру в 5000 рублей дает сдачу в 500 000 рублей).

3. Атаки на мобильные платформы

Согласно результатам исследования компании Berg Insight, число пользователей услуг мобильного банка в Европе преодолело отметку в 100 млн человек, превзойдя показатель США – порядка 80 млн клиентов. Результаты исследования Mobile Banking Rank 2012 свидетельствуют о том, что услуга «Мобильный банк» доступна 20 млн клиентов российских банков, однако пользуются ей 1–2 млн человек в месяц.

По статистике «Лаборатории Касперского», на текущий момент существует 148 000 модификаций мобильных вредоносов, причем большинство из них (98,05% от всех обнаруженных) написано для платформы Android. Мошенники в массовом порядке создают поддельные веб-сайты магазинов приложений.

Характерные черты «мобильных» атак:

  • постоянная доступность мобильных устройств;
  • неискушенность пользователей мобильных устройств;
  • стандартные задачи ботнетов по рассылке спама, DDoS-атак и кражи личной информации не требуют вычислительных мощностей.

Примерами атак на мобильные плат-формы могут служить:

  • мобильный троянец Obad (отправляет SMS-сообщения на платные номера, загружает и устанавливает вредоносы, использует Bluetooth для заражения других устройств, удаленно выполняет команды с консоли);
  • появление мобильных ботнетов MTK, Opfake и других.

4. Использование уязвимостей и эксплойтов нулевого дня

Мошенники предпочитают использовать давно известные уязвимости, теневая индустрия исправно снабжает их написанными наборами эксплойтов, но все чаще, особенно в целевых атаках используются неизвестные уязвимости (уязвимости «нулевого дня»).

Характерные черты атак «нулевого дня»:

  • угрозы нулевого дня не могут быть детектированы стандартными средствами;
  • беспрецедентность/уникальность;
  • сложность противодействия и расследования.

Примерами атак с использованием уязвимостей нулевого дня могут служить:

  • 17 сентября компания Microsoft сообщила о новой уязвимости нулевого дня браузера Internet Explorer (CVE-2013-3893);
  • газета The New York Times пишет, что получившие информацию об уязвимости в iOS итальянские хакеры выставили ее на продажу на специализированном сайте по цене в $500 000 и вскоре «дыра» безопасности была продана.

5. Трансграничные преступления

Наиболее трудно расследуемые киберпреступления, когда места начала и окончания преступления разделены границами государств.

Характерные черты атак такого рода:

  • взлом компьютера или обналичивание похищенных средств происходят на территории другого государства;
  • высокий уровень организации и согласования между разными стадиями преступления (обналичивание проходит через 20–30 минут после хищения).

Примерами межграничных преступлений могут служить:

  • атака на офис банка в Якутии, был взломан компьютер и отправлены ложные переводы по 2-м системам денежных переводов, «Мигом» и «Контакт». Деньги были обналичены в городе Баку, первая выплата совершена через 23 минуты после ложного фальшивого поручения перевода;
  • взлом компьютера банка-партнера в одной из систем денежных переводов в Таджикистане, деньги были обналичены в Екатеринбурге.

НАСКОЛЬКО ЭФФЕКТИВНЫ СИСТЕМЫ ЗАЩИТЫ ДБО

В настоящее время противодействие компьютерному мошенничеству в системах ДБО проходит на уровне взаимоотношений банк – клиент, широко применяются как технические, так и организационные мероприятия. Хотелось бы отметить несколько моментов:

  • технические меры на стороне банка дорогостоящи и неэффективны (если говорить о среднем или небольшом банке, то инцидентов немного, да и финансовые потери несут клиенты – банк редко компенсирует эти потери), бизнес обычно не дает деньги на средства защиты без хорошего обоснования расходов, репутационные риски обычно не рассматриваются;
  • технические меры на стороне клиента отсутствуют, отмечается стойкое нежелание клиентов проводить мероприятия по защите систем ДБО, а помогает жесткое принудительное внедрение таких средств, прописываемое в договорах обслуживания;
  • технические средства защиты в системах ДБО со стороны производителей систем ДБО, как правило, отстают от средств нападения, нет ни требований к обеспечению информационной безопасности, ни контроля за уязвимостями этих систем и обязательств разработчиков по устранению выявленных уязвимостей;
  • банк не может выйти за пределы своих систем защиты и полномочий, сферы его деятельности ограничены.

Кроме «узких мест» в сфере технического противодействия компьютерному мошенничеству, возможны и другие, среди которых правовые пробелы в договоре банковского обслуживания:

  • если правила безопасной работы не включены в договор, то и для банка нет оснований контролировать, выполняет их клиент или нет (и в случае инцидента требования ст. 9 161-ФЗ от 27 июня 2011 года «О национальной платёжной системе» на клиента не распространяются, поскольку выходит, что он сам виноват);
  • отсутствие описания процедур блокировки похищенных средств, предотвращения их обналичивания
  • и расследования инцидента, а также обязанности клиента предоставлять полную информацию об обстоятельствах инцидента;
  • не прописана процедура обмена информацией между банком и клиентом в случае инцидента.

ЧТО ПРЕДОСТОИТ СДЕЛАТЬ

Чего же в настоящее время не хватает, чтобы более успешно предотвращать инциденты информационной безопасности в банковских системах электронных платежей?

Перечень актуальных задач таков:

  • сертификация систем ДБО, выработка требований к обеспечению их информационной безопасности и контролю уязвимостей, а также реализация указанных требований разработчиками и поставщиками систем ДБО (пока неясно, кто будет разрабатывать такие требования, проводить сертификацию и контролировать выполнение);
  • законодательно урегулировать блокировку и возврат похищенных денежных средств (сейчас ведётся работа над соотвествующими поправками в 161-ФЗ);
  • ужесточение наказания за компьютерные преступления (содержится в новых поправках к ст. 159 Уголовного кодекса РФ);
  • налаживание взаимодействия между банками при инцидентах в системах ДБО (организационное оформление и регистрация существующих неформальных объединений, создание коллективных, межбанковских систем антифрода);
  • укрепление правоохранительных органов, особенно структур, занимающихся расследованием компьютерных преступлений, создание необходимых оперативных служб, экспертных и аналитических подразделений;
  • увеличение числа независимых организаций, которые занимаются расследованием компьютерных преступлений, в том числе в финансовой сфере – рынок должен развиться до предложения услуг не только расследования уже совершенных преступлений, но и предупреждения потенциальных.

Решение перечисленных проблем требует более высокого уровня взаимодействия, чем взаимоотношения клиентов и банка. Необходимо привлечение других участников – разработчиков систем ДБО, Банка России, правоохранительных органов, специализированных объединений банков и сторонних организаций, которые занимаются расследованием компьютерных преступлений. Только в таком составе можно решить перечисленные задачи.

 

 

Смотрите также

Подпишись на новости!
Подписаться