Круглый стол «Информационная безопасность в банковском секторе»

В мероприятии приняли участие более 90 человек, среди которых были топ-менеджеры финансово-кредитных организаций, руководители управлений и служб информационной безопасности банков, представители Банка России, компаний-интеграторов, а также независимые эксперты в области ИБ. Своей экспертной оценкой по заявленной теме поделился Владимир Иванов, директор по развитию компании «Актив».

Круглый стол «Информационная безопасность в банковском секторе»

Тема круглого стола не только не теряет актуальности, но и приобретает по мере развития и внедрения передовых технологий дополнительную остроту.

В ходе круглого стола обсуждался широкий спектр вопросов, в числе которых были следующие: какие новые проблемы и вызовы в сфере ИБ возникают перед банками в контексте быстрого развития цифровых технологий и диджитализации банковского бизнеса; почему, несмотря на краткосрочный всплеск атак на банковские корсчета, хакеры вновь вернулись к взлому старого доброго ДБО; кого важнее обучать основам соблюдения правил и принципов информационной безопасности — сотрудников или клиентов банков и т. д.

NBJ: Коллеги, мы регулярно проводим круглые столы на тему информационной безопасности в банках и можем констатировать, что с каждым разом число их участников растет, и это лучше всяких слов свидетельствует об актуальности обсуждаемых вопросов. Периодичность обсуждения позволяет составить представление и о тенденциях, в тот или иной момент превалирующих на рынке. Так, полгода назад темами дня были атаки хакеров на корсчета банков, сокращение штата непрофильных служб и возможные последствия этого для ИБ. А что же мы видим сегодня? С весны 2015 года мы констатируем уменьшение количества инцидентов в сфере ИБ. Тут может быть три объяснения: либо банки стали уделять больше внимания ИБ, либо они стали тщательнее скрывать свои потери, либо хакеры переключили свое внимание на другие сферы экономики. И тут возникает вопрос: стоит ли ожидать их возвращения на это поле?

За время, прошедшее с нашего прошлогоднего круглого стола, случилось еще одно событие: на рынок вышла компания «БИЗОН». Сбербанк, через который проходит половина всех финансовых транзакций, заявил, что он готов объединить усилия банков в деле борьбы с хакерами на добровольной основе. При этом, как всем известно, уже больше года работает созданный Банком России FinCert. Уживутся ли в одной «клетке» частная компания, коей является «БИЗОН», и FinCert?

Как вы можете убедиться, темы для обсуждения есть. Но нашу дискуссию я хотел бы начать с первого вопроса: на самом ли деле с весны прошлого года ситуация с атаками на корсчета в банках изменилась в лучшую сторону? Можно ли констатировать существенный сдвиг в данном вопросе, или это всего лишь иллюзия?

Артем Сударенко: Начиная с весны прошлого года информации об успешных атаках на корсчета не поступало.

Зоя Боровкова: Я поделюсь нашими наблюдениями: мы видим, что по АРМ КБР (автоматизированное рабочее место клиента Банка России. — Прим. ред.) в последнее время хищений не наблюдается, но зато старое доброе ДБО по-прежнему пользуется популярностью среди хакеров. Способы, к которым прибегают злоумышленники, становятся при этом более сложными, деньги вернуть практически невозможно, участились случаи трансграничных хищений, в результате чего правоохранительные органы затрудняются ответить на вопрос, где территориально следует возбуждать уголовные дела. То есть деньги похищаются в одной стране, выводятся в другую, и расследовать подобные преступления можно только на основе международного сотрудничества.

NBJ: Наверное, трансграничные хищения — не новая проблема?

Зоя Боровкова: Конечно нет, но дело в том, что злоумышленники научились ювелирно использовать для вывода и обналичивания денежных средств в том числе и различные системы платежей и переводов.

Вячеслав Медведев: Я бы не сказал, что хакеры переключились с одного на другое. Скорее, интерес к ДБО со стороны злоумышленников не падает, и это объективный момент. Технологии здесь отлаженные, проблем с фишингом у злоумышленников не возникает, пользователи не переходят на изолированные машины для взаимодействия с их помощью исключительно с ДБО. Так что это вечная тема, а вот атаки на корсчета — это был некий момент, когда хакеры нашли уязвимость в конкретной технологии, банки нашли способы таким атакам противостоять, и злоумышленники вернулись к ДБО, поскольку здесь им все ясно и понятно. Особенно их действия становятся перспективными в условиях, когда все больше людей используют планшеты и смартфоны для совершения финансовых транзакций, а эти устройства обычно никак не защищены.

Владимир Иванов: Я хотел бы задать уточняющий вопрос Зое Боровковой. Вы сказали, что в последнее время не наблюдается хищений через АРМ КБР — а наблюдаются ли попытки совершать хищения через атаки на корсчета?

Зоя Боровкова: Нам о таких случаях неизвестно.

Александр Виноградов: Я хотел бы отметить следующее: действительно, по 203-й форме банки не сообщают о подобных прецедентах, но нам известно, что в течение лета было несколько атак на корсчета, правда, не завершившихся выводом средств. Что касается вирусов, то в день приходит от трех до пяти новых вирусов, которые никем не детектируются.

NBJ: То есть прав Вячеслав Медведев — первая волна атак на АРМ КБР спала, хакеры получили определенный бэкграунд, кто-то из них ушел с опытом, кто-то — с деньгами. И следующую волну нам следует ожидать, когда они усовершенствуют свои технологии — ведь известно, что в основе таких атак лежат человеческий фактор и социальная инженерия. Значит, они будут изучать и эксплуатировать их.

Вячеслав Медведев: Наиболее активные и часто не публикуемые случаи, с которыми сталкивается наша компания, — это заражение компьютеров сотрудников, после чего вирус расползается по серверам и сети банка, вплоть до поражения банкоматов. Кстати, стоит отметить, что налицо рост интереса злоумышленников к банкоматам — не резкий, но, по нашим наблюдениям, устойчивый. При этом во многих случаях явным образом просматривается инсайд: злоумышленники знают, что это за банкоматы, какие у них уязвимости, как быстро приезжает служба реагирования и другие подробности.

Естественно, заражения банковских серверов, систем и банкоматов происходят и случайным образом, когда обслуживающий персонал, например, заносит вирусы со своих домашних устройств. Но если мы говорим об атаках на финансовые структуры и в частности на банкоматы, то успешные атаки идут со знанием конкретных особенностей конкретных систем.

NBJ: И здесь как раз мы можем перейти к проблеме инсайдерства. Даже ЦБ фиксирует, что в результате нынешнего кризиса многие сотрудники банков ушли, унеся с собой знания о банковских системах, о внутренних процессах и т. д. Какие меры противодействия — организационные, технические или методологические — помогут защититься от инсайдеров?

Михаил Левашов: Я бы хотел сказать несколько слов по ранее обсужденным вопросам. В первую очередь по АРМ КБР. Мы сформулировали некоторые предложения, которые нам кажутся достаточно эффективными: например, предложили «принцип петли», когда проверяются на соответствие первичным документам все платежки из уже подписанного рейса. При таком подходе риски проведения не санкционированных банками платежей резко уменьшаются, хотя, конечно, остаются.

По поводу новых вирусов. Мы изучали системы мобильного банка, которые участники рынка всячески рекламируют. Известно, что такие системы используют короткие пароли (4—5 символов) и не имеют других (кроме самого смартфона) каналов аутентификации и подтверждения платежа, поэтому в значительно большей степени подвержены угрозам (и атакам), чем полномасштабные системы интернет-банкинга с разными каналами. Это происходит в силу того, что смартфоны рано или поздно оказываются зараженными новыми вирусами, которые производят на нем все необходимые злоумышленнику финансовые операции вместо владельца устройства.

Причем владелец не видит промежуточные этапы этих операций. Эффективно противодействовать этому можно только путем использования разных каналов для разных этапов проведения платежа: входа (аутентификации) в систему интернет-банкинга, подтверждения платежа, смены пароля. То есть применять принципы two-channel security (multi-channel security). ­Поэтому мы считаем, что банкам, наряду с рекламой мобильного банкинга, необходимо внушать пользователям, что нельзя производить все финансовые операции с помощью только одного устройства, будь то смартфон, планшет или стационарный компьютер.

В качестве примера можно предложить такой вариант: подготовка платежного документа осуществляется в интерфейсе полноценного интернет-банка на компьютере, планшете или смартфоне, подтверждение операции — с помощью СМС на мобильном телефоне, а смена пароля — в банкомате.

Тимур Аитов: Со своей стороны, я хотел бы напомнить коллегам о главных принципах построения эффективной системы ИБ. Первый из них — риск-ориентированный подход, второй — не класть все яйца в одну корзину. И вот как раз вторым принципом, на мой взгляд, сейчас пренебрегают, когда речь идет о карте «МИР». Я ни в коем случае не против нее, но мне непонятно, почему все бюджетники с 1 января 2018 года должны получать зарплаты и иные выплаты только на нее. Что плохого в том, что бюджетник будет иметь две и более карты, одной из которых будет карта «МИР»?

Владимир Иванов: Возвращаясь к теме инсайдеров, я хотел бы сказать следующее. Весной этого года я видел замечательную статистику, собранную компанией SailPoint по теме учетных корпоративных записей. И выяснился совершенно потрясающий лично для меня факт: порядка 42% пользователей после увольнения продолжают иметь доступ к корпоративным информационным системам. Я думаю, истоком этой проблемы является недостаточное внимание служб информационной безопасности к вопросам управления учетными записями, особенно учетными записями привилегированных пользователей.

Как с этим бороться? Наверное, в том числе с помощью пересмотра зачастую безумных парольных политик, которые ведут исключительно к тому, что мы сами себе делаем хуже. Приходится выдумывать и запоминать настоящую цифровую и буквенную абракадабру.

Есть, на мой взгляд, совершенно необоснованная иллюзия, что эту проблему могут решить биометрические технологии, и их активно внедряют. Но это же технологии идентификации, и мы должны понимать, что человек не может контролировать свои биометрические параметры. Он оставляет свои отпечатки повсюду, и получается, вопрос лишь в том, насколько быстро и с какими затратами злоумышленники научатся делать муляжи хоть лица, хоть голоса, хоть пальцев пользователя. Особенно учитывая нарастающую популярность 3D-печати.

Виктор Гудков: Говоря о парольной политике организаций, хочу напомнить, что помимо учетных записей пользователей в современных компаниях есть учетные записи систем, которые, как правило, никто не меняет. Обычно после 3—4 смен команд внедрения уже никто не помнит, что и как надо менять, чтобы не нарушить взаимодействие различных частей. С доступом извне та же проблема — в крупной организации обычно неизвестно, что открыто, а что закрыто по совокупности правил. Это серьезная проблема, поскольку при таких условиях тот код, который должен активироваться исключительно изнутри, легко может быть задействован снаружи.

Александр Дворянский: Я готов поделиться нашим опытом по вопросу о «мертвых учетках». У нас разработан и интегрирован в инфраструктуру простейший скрипт, который по заранее заданному расписанию — как правило, раз в сутки — актуализирует по различным информационным системам данные по сотрудникам и в автоматическом режиме формирует сообщения всем заинтересованным группам. Благодаря этому нам удается на 99% решать проблему «мертвых» учетных записей.

Антон Запольский: Тема инсайдерской информации очень злободневная. Тут есть несколько аспектов, которые нас очень беспокоят. Первый аспект: отношение к инсайдерской информации со стороны сотрудников банков, мягко говоря, легкомысленное, очень часто они не понимают, что распространяют информацию, представляющую банковскую тайну. Эта информация передается сотрудникам, которые не должны иметь к ней доступа, она остается на серверах, и к ней после увольнения пользователя, ответственного за ее хранение и использование, имеют доступ буквально все сотрудники банка. Фактически не проводятся мероприятия по инструктажу сотрудников, как надо с такой информацией обращаться. Доходит до того, что некоторые сотрудники даже не знают о Федеральном законе № 224-ФЗ и при этом уже имеют доступ к конфиденциальной информации.

Второй аспект: невозможно полностью устранить риск утечки инсайдерской информации. Любой сотрудник, например специалист call-центра, может быть источником утечки. Это большая проблема. И в этом контексте представляется закономерным, что Банк России требует построения так называемых китайских стен между различными категориями сотрудников, вплоть до того, чтобы они не могли даже физически общаться друг с другом, потому что конфиденциальная информация может быть донесена не до тех «ушей» просто во время обеда или любого другого вида неформального общения.

Александр Книжник: По нашим наблюдениям, очень слабая работа ведется с подбором кадров и с мониторингом изменений психологического портрета сотрудников. Между тем такие технологии есть, и есть нормальные, хорошие современные средства, которые позволяют это делать. Проведение такого мониторинга на периодической основе позволит минимизировать риски инсайдерства, поскольку будут очевидны психологические изменения, происходящие с тем или иным сотрудником.

Виктор Гудков: К сожалению, канал утечки есть всегда — можно его расширить или сузить, но нельзя его полностью ликвидировать. Можно сфотографировать клиентские данные на мобильный телефон, записать их на бумагу, в случае если запрещено пользоваться мобильным телефоном, или попросту запомнить их. Максимум, что можно сделать — это контролировать специфические активности сотрудников по поиску клиентской информации и реагировать в соответствии с ранее предложенными сценариями.

Алексей Сабанов: Фактически все, что здесь обсуждается, — звенья одной цепи, это вопросы контроля доступа. Мое предложение в связи с этим очень простое: есть разные виды аудита для банков, и разумно проведение отдельного аудита для банка и отдельного аудита с точки зрения аутентификации. Недавно государство выделило группу системно значимых банков, но я вас уверяю, что даже там не всегда все организовано как надо.

Что касается ДБО, то это отдельная песня, как там организована система доступа. К сожалению, мы здесь ограничены временем, иначе я мог бы подробно рассказать, какой «дырявой» является система 3D-Secure и как легко можно выводить средства клиентов, используя уязвимости этой системы.

Андрей Янкин: Я позволю себе высказать альтернативное мнение. По нашему опыту, основываясь на результатах пентестов, которые проводила наша компания, проблема инсайдерства несколько преувеличена. Сначала банки считали, что разобраться в АБС и системах ДБО никто не сможет. Когда смогли, все стали списывать на инсайдеров. Наш опыт показывает, что более чем в половине случаев за одну неделю пентестер с правами рядового сотрудника банка получает доступ, например, к карточным данным. И для этого ему не приходится разбираться во всех тонкостях банковских систем.

Что же касается парольной политики, то мы видим, что даже сами специалисты банка по безопасности зачастую совершают грубейшие ошибки при выборе паролей. Например, «хитрый» словарный пароль, набранный русскими буквами в английской раскладке, ломается за 15 мин. Соответственно, они не могут научить и пользователей правильной парольной политике. Поэтому нам кажется, что им самим надо просвещаться на этот счет. Недавно появился очень хороший новый NIST, чуть раньше — британский стандарт по парольной политике. Стоит обратиться к ним.

Михаил Левашов: Создается впечатление, что пароли устарели и всем нужно переходить на другие, например, биометрические способы аутентификации. Конечно, это далеко не так. Практически все биометрические методы имеют серьезные недостатки, и без детального изучения новых, привнесенных этими методами рисков пользоваться ими нельзя. Мы с вами уже знаем, что любой биометрический признак можно подделать или воспользоваться оригиналом без его согласия! А если элиминировать все другие (кроме биометрического) пути входа в систему, то можно попасть на ошибку второго рода, то есть вообще «запереть» систему. В свою очередь, существуют простые в реализации принципы парольной политики, при которых пароли легко запоминаются и их практически невозможно подобрать в реальное время.

Алексей Сабанов: Проблема на самом деле очень большая, и она обсуждается во всем мире. Я изучал почти все международные стандарты в части идентификации и аутентификации. В чем же корень зла? Каждый из нас регистрируется во множестве систем, при этом в каждой системе вас нужно отличить от других пользователей. Если вы пользуетесь больше чем 5—10 информационными системами, то у вас будут совпадать идентификационные данные. И если ваш аккаунт в одной системе взломали, значит, будут атаки и на другие ваши аккаунты в других системах.

В качестве рекомендации могу посоветовать одно: если риски небольшие, пользуйтесь паролями, если большие — обязательно прибегайте к строгой аутентификации. Третьего не дано. Все промежуточные варианты — это на самом деле опасная иллюзия.

NBJ: Перейдем к следующему вопросу. Какие новые угрозы сопровождают ДБО, интернет-банкинг и т. д. ? Мы знаем, что все переходят на использование мобильных платформ, но при этом безопасники говорят, что система защиты андроидов «дырявая». Значит ли это, что нас ожидает всплеск прецедентов со взломом счетов, или есть способы защитить клиентов банков, которые являются пользователями андроидов?

Денис Калемберг: Пока ни от одного из профессиональных игроков рынка не поступало информации о том, что кража денег из мобильного банка осуществляется с использованием взлома самого мобильного приложения. В большинстве случаев атаки проводятся следующим образом: вредоносное ПО получает доступ к СМС-шлюзу смартфона и, соответственно, к паролям, которые рассылают банки. Так становится возможным хищение средств со счетов пользователей.

Вообще, ситуация с уровнем безопасности систем ДБО выглядит довольно грустно: практически все классические средства подтверждения транзакций — токены, СМС, программные криптопровайдеры и т. д.  — на сегодняшний день не обеспечивают адекватный уровень защиты от мошенников. То есть мы имеем ситуацию, когда технологии, которые призваны защищать транзакции, практически неэффективны. И вся нагрузка по предотвращению краж ложится на системы фрод-мониторинга. Понятно, что они созданы для этого, но это не означает, что все надежды следует возлагать исключительно на них.

NBJ: То есть Вы считаете, что хуже уже не станет, поскольку хуже уже некуда?

Денис Калемберг: Задел для ухудшения есть, и значительный, но не хотелось бы доводить ситуацию до «дна». И Банк России, насколько мне известно, уже анонсировал внесение изменений в Положение 382-П, которые должны ужесточить требования к обеспечению безопасности платежных операций в системах ДБО. В частности, речь идет о разделении среды создания и среды подтверждения платежного поручения. И если я правильно понял, планируется некое принуждение со стороны регулятора к выполнению этого стандарта.

Евгений Царев: Когда мы говорим об информационной безопасности, надо понимать, что есть три группы проблем: технологические, организационные и процессные. Какая из них важнее и нужнее, решайте сами для себя. Для иллюстрации я приведу такой кейс: у клиента украли деньги, частично их удалось вывести и снять в другом банке, частично они были «заморожены» на год. Что происходит? Через год арест снимается, а возврат средств не происходит, и злоумышленники, наверняка очень удивленные таким развитием ситуации, получают месяц для того, чтобы завершить транзакцию. Самое поразительное в том, что транзакция осуществляется и средства выводятся. Это к вопросу о правоприменительной практике и ее несовершенстве.

Второй момент, который я хотел бы затронуть в своем выступлении, — споры банков с клиентами, возникающие в контексте хищения клиентских средств. Должен сказать, что если они доходят до суда, то банки выигрывают практически всегда. Но при этом все больше становится мировых соглашений, и в немалой степени это связано с тем, что клиенты становятся все более технологически подкованными.

Для клиента, потерявшего большую сумму денег, неважно, посадят ли злоумышленника, ему важно вернуть деньги. Поэтому для него лучше, чтобы жесткого диска не было, то есть не было той рабочей станции, с которой проводилась операция. Для правоохранительных структур и банков, как мы понимаем, как раз лучше, чтобы жесткие диски сохранялись и предоставлялись в качестве доказательств. И я думаю, что это создает определенную коллизию. Скорее всего, в недалеком будущем мы увидим, что клиенты будут все чаще уничтожать или портить жесткие диски, понимая, что их экспертиза может привести к снижению шансов выиграть дело.

Александр Вильдман: Мы говорим о том, что регулятор будет заставлять банки что-то делать, что банки должны что-то делать. Тогда надо уж сразу выдавать нам шприцы, чтобы мы могли делать инъекцию мозгов клиентам. Потому что в 90% случаев виноват как раз клиент: он не вчитывается в суть получаемых СМС-сообщений, не пользуется многоканальной аутентификацией, разбрасывает ключи и пароли в свободном доступе. В этом виноват банк? Мы все знаем массу случаев, когда инциденты, связанные с хищением средств, происходят в силу этих причин.

Что касается жестких дисков. У нас в договоре четко прописано, что клиент обязан предоставлять компьютеры, на которых был установлен клиент-банк.

Алексей Сизов: Все достаточно сложно — мы все прекрасно понимаем, что никакой сотрудник бухгалтерии не будет выверять каждую платежку, на десятый раз он перестанет смотреть на запросы, которые будет генерировать система, а станет отвечать автоматически «да-да-да». Получается, что защитить клиента нельзя по одной простой причине: все, что уходит к нему в качестве средств защиты, компрометируется самим же клиентом. Поэтому я сторонник следующего тезиса: если банк на своей стороне не будет ничего делать, то никакого снижения фрод-рисков мы не получим. И я должен сказать, что с распространением мобильных устройств, с увеличением количества мобильных приложений и расширением их функционала лучше не станет — будет только хуже, и работа служб безопасности станет более сложной и напряженной.

NBJ: Когда все же банки начнут массово обучать своих пользователей и клиентов принципам безопасности работы с ДБО? По идее, банки же должны быть заинтересованы в том, чтобы клиенты остались с ними. Может, имеет смысл проводить «курсы молодого бойца»?

Павел Мельниченко: Хотел бы немного поделиться опытом. Есть способы сделать так, чтобы пользователи реагировали на сообщения системы и не отвечали автоматически «да-да-да». Просто нужно правильно подойти к решению задачи.

И я хотел бы ответить на комментарий коллеги об инъекциях мозга клиентам и о том, что регулятор заставляет что-то делать банки. Призываю нас всех подняться немного выше в своих размышлениях. Функция регулятора заключается в том, чтобы «сгладить перегибы» при их возникновении не для единичных случаев, а для общей массы рынка. Банки зарабатывали на клиентах «без инъекции» путем их кредитования и перекредитования — регулятор это «сгладил».

Сейчас регулятор решает, что для повышения безопасности этих же пользователей «без инъекции» необходимо сделать ряд мероприятий по безопасности обязательными со стороны банка. Ведь если регулятор видит, что где-то наблюдается очень сильный «перегиб», что какое-то негативное явление приобретает массовый характер, как это происходит в области хищений в ДБО, то он закрывает этот риск мерами регуляторного воздействия. Это нормально, и это правильно.

Александр Вильдман: Вы неправильно поняли мою фразу об инъекции мозга. Я не говорил о том, что не надо защищаться. Я говорю о том, что не надо априори делать виноватыми в инцидентах в сфере ИБ банки.

Михаил Левашов: Я хочу выступить на стороне клиента. Скажите, пожалуйста, коллеги, почему многие банки предлагают клиентам (иногда «добровольно-принудительно») при попытке входа в интернет-банк загрузить мобильное приложение? И при этом банки не разъясняют все дополнительные правила и риски использования такого приложения.

Дмитрий Кологоров: Внесу небольшую ремарку, своего рода ответ на обвинения в адрес банков со стороны неких клиентов. Абсолютное большинство клиентов не хотят вводить даже СМС-коды подтверждений. Они хотят совершать платежи максимально быстро и просто. И бизнесу приходится отвечать на эти их пожелания.

Михаил Левашов: Если банк что-то предлагает клиенту, он должен все ему объяс­нить. Не хочешь вводить СМС-код — не надо, но тогда банк не отвечает за тот ущерб, который ты, как клиент, можешь понести. Вот тогда все будет по-честному.

Антон Запольский: Давайте я добавлю в нашу дискуссию немного макроэкономики. Мы все в курсе, что классический кредитный банковский бизнес стагнирует, рынок кредитования сжимается. В этих условиях бизнес будет давить и дальше, особенно с точки зрения поиска путей увеличения комиссионных доходов. И он, конечно же, будет выискивать все новые и новые способы облегчения процессов совершения транзакций. Через мобильный банкинг уже предлагается совершать операции на фондовом рынке, естественно, что предлагаются и транзакции между счетами. И это станет «окном возможностей» для злоумышленников. Единственная наша надежда — это русский характер. По данным последних соцопросов, 60% наших сограждан сказали, что они никогда не будут совершать покупки в интернете.

Алексей Сабанов: Любой кризис — это, конечно же, сжимание бизнеса, но точно так же любой кризис используется для того, чтобы производить «чистку» бизнеса, развивать технологии. Выживут только те компании, которые предоставляют технологически правильные решения. Это первое замечание. Второе — мы говорим о дистанционном банковском обслуживании, и мне кажется, что в этом вопросе банки должны обратить внимание на следующий момент. Если у тебя в интернет-банке «болтается» 10 тыс. рублей, то ты можешь игнорировать средства безопасности, поскольку, по сути, мало чем рискуешь. А вот если можно через твой личный кабинет пробраться к счетам с крупными суммами, это уже совсем другая история и риски здесь совсем иные. Вот что нужно объяснять клиентам.

Алексей Качалин: Тема СМС-оповещений очень интересна в контексте того, что сейчас можно зарегистрировать виртуального сотового оператора. Он будет располагаться где-нибудь в Африке, ваши СМС будут уходить к нему, и зарегистрировавшая его группа злоумышленников может организовать весьма недорогую мультиканальную атаку. А если учесть, что сейчас банки охотно идут на сотрудничество с телеком-компаниями, реализуют с ними совместные кобрендинговые проекты, то риски такого мошенничества возрастают.

Алексей Сизов: ОТР (one-time password. — Прим. ред.) на базе СМС и его ненадежность — это не проблема клиента. Банки сами выбрали этот способ отправки, недостаточно просчитав риски данной технологии. При этом ни один банк не имеет договора с сотовым оператором на доставку банковской тайны посредством СМС. Таким образом, претензии в сторону сотовых операторов также неправомерны. Аналогично будет и с рисками, которые еще понесут банковские сервисы, где транспорт или услуга связаны с деятельностью сотового оператора.

NBJ: Давайте перейдем к вопросу о новом в регулировании и в законодательстве. Хотелось бы узнать мнения участников дискуссии о тех нововведениях, которые предлагаются.

Евгений Калинин: Из рассмотренных вопросов здесь, на мой взгляд, не хватает одного: усиления уголовной ответственности за совершение хищения денежных средств с банковского счета. На сегодняшний день 91% всех транзакций в стране осуществляется дистанционно, через удаленные каналы обслуживания. Если говорить о Сбербанке, то это 95%. Новые формы банковского обслуживания существенно привлекают внимание преступников, которые используют как высокотехнологические формы хакерских атак, так и весьма эффективные методы социальной инженерии, не требующие от злоумышленников специальных знаний и средств.

В настоящее время абсолютное большинство преступлений против граждан, связанных с хищением денежных средств со счетов, совершается методами социальной инженерии, при этом работают целые преступные группы, которые действуют организованно, распределяя роли между участниками. Используя такие методы, преступники путем обмана, психологического воздействия или злоупотребления доверием граждан получают от них всю необходимую информацию для совершения платежа (реквизиты карт, документов, удостоверяющих личность, контрольную информацию, пароли и прочее). Либо введенный в заблуждение клиент сам проводит платеж со своего счета или электронного кошелька на счета преступников через любые возможные каналы обслуживания: системы ДБО, банкоматы и терминалы самообслуживания, колл-центры, через операционных работников в офисах банка.

Масштабы такой противоправной деятельности с каждым годом удваиваются, что опасно не только для банковской сферы, но и для государства в целом. Применение методов социальной инженерии правоохранительные органы квалифицируют по статье 159 УК РФ «Мошенничество», при этом для привлечения к ответственности необходимо установить всю цепочку взаимодействий в преступной группе с момента подготовки преступления до момента его завершения.

Кроме этого, повышенные границы наступления ответственности за хищение денежных средств в крупном размере по статье 159 УК РФ «Мошенничество» не соответствуют массовости и социальной опасности совершаемых против граждан преступлений по сравнению с преступлениями по статье 158 УК РФ «Кража». Так, согласно статье 159, ответственность за хищение средств в крупном размере предусмотрена в случае, если украдены средства на сумму свыше 1,5 млн рублей, а в особо крупном — 6 млн рублей. В то время как крупным размером, согласно статье 158, признается стоимость имущества, превышающая 250 тыс. рублей, а особо крупным — 1 млн рублей.

В настоящее время в Аппарате Правительства РФ рассматривается законопроект, разработанный депутатом Государственной думы Ильей Костуновым, который предлагает ввести в УК РФ статью 158. 2 «Хищение денежных средств с банковского счета или электронных денежных средств», которой предусматривается существенное ужесточение уголовной ответственности за совершение указанных преступлений. ПАО Сбербанк полностью поддерживает указанный законопроект. По нашему мнению, изменения позволят:

  • установить единую степень и границы ответственности и наказания за преступления, наносящие гражданам эквивалентный ущерб, независимо от того, каким способом они совершаются: кражей кошелька с наличными или банковской карты из сумочки или незаконным переводом с банковского счета или электронного кошелька;
  • значительно упростить возбуждение уголовных дел по заявлениям граждан, повысить ответственность и результативность раскрытия таких дел, исключить имеющуюся практику пересылки заявлений между различными органами внутренних дел;
  • декомпозировать преступления, совершаемые организованными преступными группами, со специализацией их участников. В результате этого можно будет привлекать к уголовной ответственности преступников, непосредственно осуществляющих переговоры с гражданами, без установления всех участников группы, которые действуют, как правило, экстерриториально.

Владимир Иванов: Я внимательно выслушал коллег и вот что хочу сказать: не кажется ли вам, что мы движемся к тому, чтобы жить в паранойе, всего боясь и постоянно подозревая, что вот-вот наши счета будут взломаны, а деньги выведены? А люди между тем не могут постоянно думать о плохом. Клиенты не будут постоянно держать в памяти 50 паролей для входа в различные информационные системы, контактные телефоны банков и т. д. Понимаем ли мы, что предъявляем к людям такие требования, которым они никогда не будут соответствовать и, более того, не должны соответствовать?

Вячеслав Медведев: Проблема в том, что мы все время говорим о людях, в то время как у нас наступает «интернет вещей». Мы говорим о мерах защиты, которые могут предпринимать люди, но надо готовиться к будущему — ко времени, когда большую часть операций будут проводить системы. И надо думать о том, какую рисковую модель следует создавать с учетом этой тенденции.

NBJ: Коллеги, мы видим, что наше обсуждение оказалось не только очень оживленным, но и весьма содержательным. К сожалению, не все темы, которые мы хотели обсудить, оказались освещенными в достаточной мере, но это объясняется, на мой взгляд, многогранностью темы обеспечения информационной безопасности в банковских организациях.

Мы видим, что здесь возникает целый ряд вопросов — и о том, какие коррективы следует внести в привычные механизмы идентификации и аутентификации, и о «гигиене» в сфере информационной безопасности, которую следует прививать и клиентам, и сотрудникам банковских организаций, и о том, какие риски может таить в себе распространение мобильных устройств, и о расширении функционала мобильных приложений, и о необходимости совершенствования законодательства, регулирующего вопросы ИБ, и о правоприменительной практике.

Вся наша дискуссия лишний раз подтвердила, что заявленная тема круглого стола не только не теряет актуальности, но и приобретает по мере развития и внедрения передовых технологий дополнительную остроту. Так что в завершение сегодняшней беседы позвольте нам выразить уверенность в том, что мы собираемся в этом формате не в последний раз и что на следующем аналогичном круглом столе у нас обязательно найдутся новые вопросы для обсуждения и дискуссии.

Александр Кузнецов

Руководитель направления информационной безопасности, НТЦ «Вулкан»

На мой взгляд, в рамках прошедшего круглого стола большую часть времени слово держали производители современных средств защиты информации, что, безусловно, привело к появлению «крена» в область определенных технических решений.

При этом хотелось бы обратить внимание, что обеспечение информационной безопасности банков сегодня — это не только комплексная задача, требующая учета технических и организационных (процессных) вопросов, а также роли и места персонала, но и в первую очередь задача обеспечения и поддержания бизнес-деятельности, о чем многие очень часто забывают. В связи с этим просто «насаждение» средств защиты информации, пусть даже самых современных и лучших на рынке, может в лучшем случае обернуться неэффективными инвестициями, а в худшем — создать чувство ложной защищенности.

На сегодняшний день краеугольным камнем являются возможности по своевременному выявлению инцидентов, реагированию на них и их комплексному расследованию. Некоторые специалисты по защите информации даже рассматривают процесс управления инцидентами как основу СУИБ, и здесь хотелось бы отметить, что без привнесения бизнес-контекста (какие бизнес-процессы и бизнес-активы затронуты инцидентом, как это влияет на бизнес-деятельность и т. п. ) процесс обеспечения информационной безопасности будет ущербным.

В качестве положительного момента хочется отметить, что ряд производителей современных решений, в том числе SIEM-систем и DLP-систем, уже учитывают этот момент и делают серьезные шаги по данному направлению.

Участники круглого стола

  • Артем Сударенко, начальник отдела центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере главного управления безопасности и защиты информации Банка России;
  • Зоя Боровкова, аналитик компании «БИЗОН»;
  • Антон Запольский, директор департамента по связям с общественностью Национального рейтингового агентства (НРА);
  • Михаил Левашов, советник банка «ФК Открытие»;
  • Вячеслав Медведев, ведущий аналитик отдела развития компании «Доктор Веб»;
  • Владимир Иванов, директор по развитию ЗАО «Актив-Софт»;
  • Александр Виноградов, начальник управления информационной безопасности АО «КБ Златкомбанк»;
  • Тимур Аитов, член комитета по финансовым рынкам и кредитным организациям Торгово-промышленной палаты РФ;
  • Виктор Гудков, руководитель направления Intellinx ITD;
  • Александр Дворянский, коммерческий директор ГК «Инфосекьюрити»;
  • Александр Книжник, член общества «Бизнес Коллегия»;
  • Алексей Сабанов, заместитель генерального директора компании «Аладдин Р. Д.»;
  • Андрей Янкин, начальник отдела консалтинга центра информационной безопасности компании «Инфосистемы Джет»;
  • Денис Калемберг, генеральный директор компании SafeTech;
  • Евгений Царев, преподаватель Академии информационных систем, независимый судебный эксперт по вопросам ИБ;
  • Александр Вильдман, советник председателя правления МТИ-Банка;
  • Алексей Сизов, руководитель направления противодействия мошенничеству центра информационной безопасности компании «Инфосистемы Джет»;
  • Павел Мельниченко, технический директор компании SafeTech;
  • Дмитрий Кологоров, начальник управления информационной безопасности Банка «ЗЕНИТ»;
  • Алексей Качалин, заместитель директора по развитию бизнеса компании Positive Technologies;
  • Евгений Калинин, начальник отдела взаимодействия с госорганами и внешними организациями Сбербанка РФ.

Модератор

  • Игорь Елисеев, заместитель генерального директора Академии информационных систем (АИС).

Организатор

  • Национальный Банковский Журнал (NBJ) при содействии Ассоциации российских банков.