Високі доходи і незначний ризик затримання привели до бурхливого зростання кількості кіберзлочинів. І хоча учасників окремих угруповань час від часу затримують, на їх місце приходять все нові і нові зловмисники, які застосовують все більш витончені методи кібератак. Про наростаючою проблеми і загрози для безпеки - Михайло Кондрашин, технічний директор Trend Micro в Росії і СНД.
Кібератака, або хакерська атака, - це атака на комп'ютерну мережу, мета якої - захопити контроль над системою, порушити нормальне її функціонування або змусити її виконувати різні шкідливі завдання.
За даними дослідження Positive Technologies, сім з десяти кібератак в 2017 році були здійснені з метою отримання прямої фінансової вигоди, наприклад, для виведення грошей з банківських рахунків жертви. При цьому абсолютними лідерами за кількістю кіберінцідентов стали США і Росія. За оцінкою Ощадбанку, щорічні збитки від кібератак в Росії складають більше 600 мільярдів рублів .
Банки завжди привертали злочинців, що бажають здійснити пограбування століття і все життя насолоджуватися багатством. З розвитком технологій зробити це стало простіше: вже не потрібно вриватися в офіс банку в масках і зі зброєю, укладати всіх на підлогу і вимагати відкрити сховище, а потім тягти сумки, набиті купюрами, в машину і під рев поліцейських сирен ховатися від погоні. Сучасне пограбування відбувається в повній тиші і не вимагає присутності в банку: кіберзлодії стежать за виявленням нових вразливостей і застосовують їх для атак швидше, ніж служби безпеки банків встановлять відповідні оновлення.
Потенційному злочинцеві достатньо придбати програми для проведення атаки на одному з форумів даркнета, знайти неохайного співробітника банку та організувати переведення в готівку викрадених грошей. Виходить, що проникнути в мережу банку і викрасти багатомільйонні суми може навіть не володіє глибокими технічними знаннями людина.
уразливості
Основними об'єктами кібератак стають системи міжбанківських переказів, процесингові системи, платіжні шлюзи, дистанційний банкінг і інфраструктура управління банкоматами. Доступ до таких систем може принести зловмисниками значно більший дохід, ніж навіть масовий обман клієнтів банку.
Кожна угруповання кібершахраїв використовує різні способи для організації кібератаки, але всі вони, як правило, містять такі етапи:
- збір інформації,
- впровадження у внутрішню мережу,
- закріплення у внутрішній мережі,
- проникнення в банківські системи і розкрадання грошей,
- приховування слідів.
Найбільш поширені такі види вразливостей, які зловмисники можуть використовувати для проникнення в банки: уразливості веб-додатків, недостатня мережева безпека, недоліки конфігурації серверів і недоліки управління обліковими записами і паролями.
Основні уразливості мережевого периметра банків. Джерело: Positive Technologies.
Незважаючи на окремі недоліки, банки в цілому захищені від кібератак краще, ніж інші організації. Але захист не обмежується мережевим периметром. Протистояти порушників, що проникли у внутрішню мережу, значно складніше. Тому зловмисники обходять системи захисту периметра за допомогою фішингових листів, що містять шкідливе ПЗ. Навіть одноразового відкриття вкладень з такого листа достатньо, щоб злочинці проникли в корпоративну мережу.
Проникнувши в мережу, злочинці можуть швидко захопити контроль над інфраструктурою банку, експлуатуючи відомі уразливості і легітимне ПО, що не викликає підозр у адміністраторів.
Свіжий приклад
Вірус, що проник в мережу ПІР Банку через фішингові лист, забезпечив зловмисникам доступ до АРМ КБР (автоматизованого робочого місця клієнта Банку Россі), завдяки чому в ніч на 4 липня 2018 року ці фірми вивели з кореспондентському рахунку банку понад 58 мільйонів рублів . Виведення грошей здійснювався віяловій розсилкою на пластикові карти фізичних осіб в 22 банках з топ-50, велика частина грошових перевести в готівку вже в ніч розкрадання.
роль регулятора
Для підвищення ефективності протидії кібератакам критично важливо забезпечити обмін інформацією про інциденти та атаках всередині галузі, щоб інші учасники ринку вчасно дізнавалися індикатори компрометації і вжили необхідних заходів. Усвідомлюючи важливість цього, Банк Росії і Уряд РФ розробляють комплекс заходів для попередження кібератак і труднощі дистанційного розкрадання грошових коштів.
У грудні 2014 року президент Володимир Путін затвердив концепцію державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси РФ - ГосСОПКА, в якій, зокрема, вводиться поняття суб'єктів критичної інфраструктури, серед яких присутні в тому числі банки.
З 1 січня 2018 року в відповідно до Указу №620 «Про вдосконалення державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації» за виявлення і запобігання кібератак на російські мережі відповідає Федеральна служба безпеки.
Держдума РФ прийняла в третьому читанні законопроект, спрямований на протидію розкраданню коштів при здійсненні операцій з використанням систем дистанційного банківського обслуговування (ДБО) .
Документ доповнює Федеральний Закон від 27 червня 2011 року №161-ФЗ «Про національну платіжній системі» статтею «Ознаки здійснення переказу грошових коштів без згоди клієнта і порядок дій оператора з переказу грошових коштів при їх виявленні». Цей же законопроект передбачає можливість створення міжбанківського реєстру рахунків кібершахраїв , Які використовуються для виведення викрадених грошових коштів.
У 2017 році за участю ГосСОПКА було відпрацьовано понад 300 серйозних комп'ютерних інцидентів, що більш ніж в п'ять разів більше показників 2016 року.
Що робити, щоб протистояти атакам на банки
Складність процесу організації кібератаки дозволяє зупинити зловмисника на будь-якому етапі і запобігти розкраданню коштів, якщо атака буде вчасно виявлена. Це можливо, якщо забезпечити адекватні заходи захисту, в числі яких не тільки установка захисних рішень на периметрі і антивірусів на файлових серверах, а й обов'язкова перевірка поштових вкладень в ізольованому оточенні, використання систем виявлення вторгнень (IDS) і негайна реакція на їх оповіщення.
Серйозна увага в захисних заходах слід приділити навчанню персоналу. Необхідно домогтися, щоб кожен співробітник знав основні ознаки шкідливих листів і чітко усвідомлював наслідки клацання по посиланню в такому листі або відкриття містяться в них вкладень. З метою підвищення обізнаності персоналу в питаннях інформаційної безпеки банки проводять навчання співробітників та перевірки їх довірливості.
В рамках однієї з таких перевірок Сбербанк розіслав співробітникам фальшиву новина про запуск корпоративної авіакомпанії, щоб перевірити вміння відрізняти шахрайські листи.
У розсилці співробітникам пропонують перейти на сайт «дочірньої організації» Sberbank Airlines і пройти авторизацію за допомогою корпоративної облікового запису. У листі йдеться, що компанія почне здійснювати польоти в вересні 2017 року і для співробітників Ощадбанку передбачені пільгові ціни, наприклад, квитки в Прагу і назад від шести тисяч рублів.
Після кількох перевірок частка співробітників, які відкривають фішингові листи, скоротилося з 80% до кількох відсотків.
Велика увага, що приділяється протидії кіберзлочинів на найвищому рівні, а також системна робота, яка проводиться в цьому напрямку регулятором і банками, дозволяє прогнозувати поступове зниження кількості успішних кібератак на кредитні організації Російської Федерації.
