Вместе с удобством и экономией цифровизация банковских услуг принесла риски: теперь для того, чтобы ограбить банк, не нужно даже выходить из дома — достаточно найти лазейку в банковском ПО. В свою очередь, банки теперь охраняют не только свои физические отделения, но и виртуальные. О том, как это происходит, «Эксперту» рассказал Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка.
— Как бы вы распределили по опасности и потенциальному объему потерь основные угрозы в плане кибербезопасности — клиентское мошенничество, происки киберпреступников, атаки на банк, атаки на клиентов, атаки на дистанционное банковское обслуживание (ДБО), инсайдерские инциденты? В каком направлении сейчас смещается основной вектор угроз?
— Мы рассматриваем четыре основные группы угроз. Это угрозы, связанные с атаками непосредственно на банк, когда злоумышленники ищут какие-то платежные системы, платежные шлюзы и стараются либо добавить туда платежи, либо модифицировать уже существующие. Вторая группа угроз — атаки на клиентов банка. Это и получение доступа к личным кабинетам клиентов в дистанционном банковском обслуживании (ДБО), и совершение переводов с карты на карту от имени клиентов. Еще одна группа угроз — атаки на банкоматы и терминалы для приема денежных средств. Это либо использование программных средств, которые выдают деньги без карт, либо какие-то программы, которые говорят от имени терминала: «У меня побывала такая карта, она пополнена на такую-то сумму, зачислите, пожалуйста». Процессинг может принять решение: «Зачисляем». Кстати, угрозы, связанные с скиммингом (в устройство для работы с картами встраивается специальная накладка, которая копирует карту, после чего остается только узнать пин-код — и можно карточку использовать, создав дубликат) сходят на нет по мере распространения чиповых карт, так как скопировать чип пока невозможно.
Четвертая группа угроз — разглашение клиентских данных. Здесь действует законодательство, связанное с соблюдением банковской тайны, в том числе с защитой персональных данных, как наше отечественное, так и требования Еврокомиссии (GDPR).
Банк платит, если виноват
— Как изменялось количество и объем атак и хищений?
— Злоумышленники начали активно атаковать банки в 2014 году. Тогда в фокусе их внимания были изменения платежной информации, когда во внешние платежи — в сведения, кому и сколько надо начислить, — в платежной системе корреспондентских счетов добавлялись платежи злоумышленников. Так как «приказы» приходили от имени банка, они исполнялись, происходило зачисление денежных средств в других банках. При этом было понятно, что виновен тот банк, который взломали и от имени которого были направлены соответствующие платежные инструкции. В таких трендах банковская сфера прожила несколько лет. Потом цель поменялась: в 2016 году злоумышленники стали атаковать процессинги (внутренние банковские системы совершения операций. — «Эксперт»). На картах искусственно увеличивали баланс, а дальше злодеи снимали с карт «надувные» денежные средства. Через год целью стал SWIFT — с валютных счетов деньги перечислялись на специально подготовленные счета юридических лиц в других банках. За этот праздник тоже платил атакованный банк, потому что, по сути, списания были с его счетов. Потом общими усилиями служб информационной безопасности в банках и «ФинЦерта» (орган в ЦБ по информационной безопасности. — «Эксперт») этот тренд сошел на нет. Мы в прошлом году зафиксировали около 900 попыток целенаправленных атак на нас, которые успешно отразили.
— Это были атаки всех перечисленных типов?
— Да. Проникновение в банк происходит примерно одинаково — как правило, через почту. Отправляют вредоносное вложение работнику банка и определенными манипуляциями вынуждают открыть его. Дальше зараженный компьютер выбирает какую-то цель для финансовой атаки.
Фоновые атаки есть всегда — мы, например, сейчас фиксируем попытки кражи денежных средств у наших клиентов через систему ДБО. К счастью, неуспешные. Что касается атак на банкоматы и терминалы для внесения наличных, там все выглядит сезонно и какого-то тренда, связанного с откровенным ростом или, наоборот, падением, нет. Это единичные всплески, когда появляются определенные преступные группировки. Потом их успешно отлавливает полиция, и снова какое-то время ничего не происходит. Но так как предсказать, когда это произойдет, проблематично, все банки постоянно готовятся к отражению атак.
— Как выглядит со стороны банка работа по обеспечению безопасности, что в нее входит?
— Я пришел работать в МКБ чуть больше года назад. По результатам аудита (что есть, что умеем, что делаем, чего не делаем) была сформирована стратегия — это полновесное описание процессов, которые информационная безопасность в банке должна выполнять. У нас их всего 72. Под них рассчитаны необходимые людские ресурсы и технические средства. Естественно, названные четыре основные угрозы являются компонентами стратегии, также там «живет» принцип нулевой толерантности к мошенничествам, принцип четкого исполнения нормативных и регуляторных требований и еще один из главенствующих принципов — «запрещено запрещать». Если мы видим, что бизнес или ИТ хочет что-то сделать и это что-то полезное, но сама реализация не выглядит безопасной, тогда мы просто предлагаем альтернативную реализацию, которая будет более безопасной, но при этом позволит исполнить бизнес-цели.
— Всегда ли можно найти какое-то более безопасное решение?
— В общем, да. Не сталкивался ни разу с кейсами, когда хочется сделать что-то адекватное с точки зрения бизнеса и при этом невозможно сделать это безопасно. Единственное, что нужно предусмотреть, — чтобы цикл разработки банковских продуктов включал радиус нашего контроля. Что я имею в виду? Мы начинаем участвовать в разработке продукта в тот момент, когда появилась бизнес-постановка задачи. Здесь у нас происходит обсуждение вместе с бизнесом: насколько это правильно или неправильно и насколько корректный контроль заложен на стадии бизнес-постановки? Дальше мы совместно с ИТ прорабатываем, каким образом это будет реализовано технически, и вносим какие-то коррективы, если это необходимо. Наконец, наша команда проверяет эту реализацию с точки зрения потенциальных хакеров. Возможно нанести ущерб или нет? И только по результатам такого анализа вносятся доработки в прод (промышленную эксплуатацию. — «Эксперт»), и дальше решение начинает функционировать во благо клиента.
— Правда, что в подразделениях информационной безопасности работают бывшие хакеры, которые проверяют, могут ли другие хакеры взломать защиту банка?
— Я бы сказал, что работают люди, у которых в какой-то момент был выбор: либо встать на темную сторону силы, либо на светлую. Есть, конечно, прецеденты, когда хакеры меняли профиль и уходили в какие-то честные бизнесы, но что-то мне подсказывает, что человек, который однажды своровал, все-таки не самый лучший работник в банке. Да и наша экономическая и внутренняя безопасность этого не допустит, и тут я с ними буду согласен.
Доверие как фактор риска
— У обычных людей информационная безопасность выглядит так: мы не открываем письма с неизвестных ящиков, а если и открыли, то наш антивирус, особенно платный, должен это отловить. В банке это не так?
— Почта — это основной канал, через который пытаются атаковать, но не единственный. Есть же еще различные сервисы, которые доступны из интернета, те же самые системы ДБО, различные порталы для приема заявок от потенциальных клиентов, сайты и так далее, можно атаковать через них. Можно атаковать через третьи стороны. Например, есть интеграция у банка с каким-то партнером. И если банковский контрагент менее защищен, а банк не подумал о том, что нужно защищаться еще и от него, тогда можно ждать атаки с этой стороны. Если же говорить о собственно e-mail, то для целенаправленных атак используются вредоносы, которые не детектируются стандартным антивирусным ПО. У преступников есть специальные сервисы, которые не сообщают вендорам о найденных вредоносах, на них мошенники тестируют свои вложения, и поэтому стандартные антивирусы уже не спасают. В банках используются достаточно сложные решения под названием «песочницы». Стоят они дорого, работают хорошо: принимают входящее письмо и моделируют: что будет, если пользователь откроет такое вложение или пройдет по такой вот ссылке? Если «песочница» видит, что происходят странные действия, которые не должны происходить от обычного вордовского файла или при визите на определенный сайт, то она помещает письмо в карантин для ручного анализа.
— Какие есть правила в обращении с персональными данными для сотрудников банка?
— У нас основные действия нацелены на то, чтобы минимальное количество работников имело доступ к персональным данным. Мы прекрасно понимаем, что работника фронт-офиса (отдел по работе с клиентами. — «Эксперт») невозможно оградить от доступа к персональным данным клиента. Если мы говорим про отчеты, выгрузки из систем, то основное требование, чтобы там не содержались персональные данные. Если мы говорим про уровень наших прикладных систем, то это управление доступом: мы даем сотрудникам доступ только такой, какой нужен для выполнения их функций, и не больше. И если доступ совмещен с возможностью просмотра и изменения какой-то конфиденциальной или чувствительной информации, то мы должны знать, кто и к какой информации имел доступ. Завершающий штрих — система противодействия утечкам информации, которая запрещает копировать информацию из банка по определенным каналам и шаблонам, которые в нее заложены. Например, если в каком-то сообщении большое количество номеров телефонов, такое сообщение будет заблокировано и отправлено в ручной разбор, чтобы выяснить, нужно ли такое сообщение отправлять. Я думаю, что в основном все банки это делают. При обучении людей мы доносим до них, что персональные данные — это конфиденциальная информация, с ней нужно обращаться бережно, и в случае, если доступ к ней предоставлен, нельзя создавать копии и дополнительные места, где она хранится.
— Что касается защиты на стороне клиента, то основные правила известны: никому не сообщать пин-коды и коды из СМС, не передавать никому данные карты, особенно CVV-код и так далее. Но все-таки хищения происходят. Может, есть еще какие-то правила, которые позволяют обезопасить клиента?
— В дополнение к стандартным мерам безопасности есть простые советы: обновляйте операционные системы, не ставьте себе на телефон (ноутбук или настольный ПК) непроверенные приложения, не посещайте все подряд в интернете, не проходите по ссылкам от неизвестных источников и не открывайте неизвестных вложений. Я всегда смотрю на количество скачиваний и рейтинги приложений, чтобы понять, насколько они легитимны и востребованы. Это меня избавляет от установки фальшивого банковского приложения. Еще один очень важный совет для пользователей — никому не доверять. К сожалению, в последнее время хищения в основном происходят за счет фишинга и социальной инженерии. Но если особо никому не верить, то и пострадать достаточно сложно. Не нужно верить людям, которые говорят: «Здравствуйте, мы из банка! Назовите данные карточки, назовите пароль, который сейчас придет для того, чтобы мы проверили, что вы это вы, иначе случится что-нибудь плохое — заблокируется счет и так далее». Надо просто перезванивать в банк по номеру, указанному на обороте вашей карты. Этого достаточно — я так живу давно и каких-то инцидентов, связанных с попытками кражи, у меня, не было.