
OFFZONE 2019: Finance.Zone о вертикали проблем кибербезопасности дистанционного банковского обслуживания
Павел Никифоров
Секция Finance.Zone на мероприятии ИБ-компании «из контура Сбербанка» была многолюдной и весьма системной. Как в контексте сквозной темы OFFZONE 2019 – безопасность аппаратных платформ, так и в контексте одной из болевых точек современного банковского бизнеса – ДБО.
Финансово-кредитные организации любят своих клиентов, но предпочитают делать это на расстоянии. Так дешевле и охват шире. Но «пластик», банкоматы и смартфоны с финансовыми приложениями взяты на вооружение не только банками и их клиентами, но и кибермошенниками. Об этом и шла речь на Finance.Zone в течении 6 часов с полудня и до закрытия конференции.
Дистанционный банкинг – это «серебряная пуля» для современных любителей чужих денег.
Населению не только тяжело дойти до банковского офиса, но и жаль на это времени, которое придётся оторвать от висения в Инстаграмме. В этих слабостях – сила кибермошенников, о методах отъёма денег которыми и опыте борьбы с этими методами рассказал в первом же докладе на секции представитель BI.ZONE Борис Иванов. Судя по рассказу, его коллеги трудятся не покладая рук, но похоже, что они пытаются вычерпать море кружками. Разрозненные усилия банковских антифродовцев и телекомовских ибэшников разбиваются, похоже, о системную злоумышленную цифровую трансформацию «умных» телефонов в инструментарий киберпреступников.
И в этом противостоянии не известно ещё на чьей стороне оказывается сумятица законодательных цифровых инициатив.
Об этом вскользь, дипломатично, с подобающими реверансами в сторону несомненных польз современной регуляторики, упомянул, например, Сергей Вельц (Cybertronica), когда рассказывал о создании систем антифрода. Не всегда согласуются указания GDPR и ФЗ 152 о правах граждан на «забвение» своей истории с потребностями антифрода по использованию поведенческой истории и знаний «обычаев» пользователей ДБО.
Откровенно пугающим оказалось выступление представителей «Лаборатории Касперского», раскрывших тайны полишинеля современных банкоматов и обслуживающего их персонала. Первые на протяжении десятилетий представляют собой, по сути, системные блоки ПК с некоторым комплектом периферии, несложной в понимании особенностей её работы, а другие оказываются зачастую разгильдяями, апофеозом деятельности которых может оказаться заткнутый в какую-либо щель кабелёк с USB-разъёмом, открывающий доступ к ИТ-потрохам ящика с 25 млн рублей. И этот бардачок поддерживается всей технологической мощью «даркнета», по объявлениям в котором можно приобрести и ПО, и «железо» для извлечения упомянутых миллионов.
Positive Technologies, «уступившая» на Finance.Zone тему банкоматов «Лаборатории Касперского», сорвала свою долю аплодисментов, рассказав устами Алексея Стенникова об основах хакинга платёжных POS-терминалов, недалеко ушедших от банкоматов во своей «дырявой» защите.
Сухой остаток от услышанного и обсуждённого – необходим переход от искусства антифрода к технологиям систем для ответственных применений, от потребительской элементной базы – к заказным специализированным платформам, от местечковых разрозненных усилий к взвешенным и согласованным технологическим и законодательным инициативам. Точки роста для этого уже сформировались. Некоторые из них были представлены на Finance.Zone.