Шрифт:
Интервал:
Закладка:
3. Низкая организованность при предоставлении доступа. Например, нередко в банках можно наблюдать ситуацию, когда на площадке (в помещении), где работают дилеры, используется вход в системы под одной учетной записью, что усложняет контроль действий дилеров и расследование инцидентов.
4. Экономия на средствах безопасности. Злоумышленники имеют высокую мотивацию и хорошую подготовку, в том числе используют средства машинного обучения, чтобы обходить шаблоны и правила стандартных средств безопасности. В большинстве случаев в банках требуется наличие инструментов Threat Intelligence, SOAR, WAF, а также Deception Technologies для противодействия таргетированным атакам.
5. Плохое сегментирование сети на сетевом уровне, отсутствие шифрования.
6. Нерегулярное сканирование инфраструктуры на наличие уязвимостей, а также отсутствие полноценных пентестов, в том числе с участием Red Team. В тех банках, в которых ведется собственная разработка кода, не всегда присутствует полноценный цикл безопасной разработки, включающий в себя обучение разработчиков основным уязвимостям, формирование требований к безопасной архитектуре программы, статический и динамический анализ кода и т. д.
7. Сокращение штата подразделения, ответственного за информационную безопасность (неудивительно, что большую часть противоправных действий осуществляют бывшие сотрудники банковских подразделений ИТ/ИБ), или наличие непрофессиональных сотрудников. Нередка ситуация, когда менеджерский состав подразделения информационной безопасности формируется по принципу «свой-чужой», при этом предпочтение отдается надежности, а не талантливости и качеству работы.
8. Несвоевременное обеспечение информационной безопасности систем интернет-банкинга. Показательный инцидент произошел в марте 2014 г., когда, используя уязвимости Heartbleed, злоумышленники вмешались в работу системы продажи билетов РЖД и смогли перехватывать платежи процессинга ВТБ[76].
9. Отсутствие риск-ориентированного подхода к обеспечению информационной безопасности. Это, пожалуй, самая распространенная ошибка, даже среди крупных банков. Риск-ориентированный подход подразумевает баланс между потребностями бизнеса и решением проблем безопасности, а также использование инновационных ИТ-решений в области безопасности. К сожалению, в большинстве случаев преобладает или узкотехнический, или нормативно-регламентирующий подход.
Данный список неполон. Однако названные типичные проблемы и ошибки предоставляют злоумышленникам хорошую возможность, заразив сеть банка или используя уязвимости систем интернет-банкинга, получить доступ к управлению денежными средствами с целью их кражи. Только вовлеченность руководства кредитных организаций и риск-ориентированный подход позволят изменить ситуацию и повысить уровень безопасности ЭБ.
3.7. Проблемы обеспечения информационной безопасности на стороне клиента
Если слепой, споткнувшись о камень, упадет на дороге, всегда ругает камень, хотя виною его слепота.
Генрик Сенкевич, польский писатель, лауреат Нобелевской премииКонцептуальная схема, выработанная российским банковским сообществом, предполагает, что большую часть рисков при использовании систем интернет-банкинга несет сам клиент.
Нередки случаи, когда банки навязывают средства безопасности, которые фактически не выполняют свою функцию. В том числе это касается различных токенов, которые не в состоянии защитить от подмены платежа в момент подписания, а SMS могут быть перехвачены. К сожалению, в России очень медленно внедряются технологии типа Mobile ID[77], которые в ЕС в настоящий момент доступны за символическую плату.
Банковские системы по противодействию мошенничеству также могут быть обойдены злоумышленниками с помощью имитации повседневного платежа, постепенного вывода денег, использования всех данных самого клиента и т. д.
Сами клиенты часто пренебрегают правилами безопасности:
1) сообщают пароль и данные банковской карты незнакомым лицам, в том числе по телефону;
2) переходят на поддельные веб-сайты, не обращая внимания на оформление и адрес веб-сайта;
3) размещают в свободном доступе паспортные данные, что позволяет злоумышленникам подделать доверенность и выпустить новую SIM-карту для подтверждения платежей;
4) не заботятся об антивирусной защите, поэтому мошенникам не составляет труда получить доступ к СЭБ.
Данный список также неполон, однако демонстрирует слабую осведомленность клиентов о мерах безопасности. Отсутствие у банков жесткой обязанности предоставлять клиентам безопасный сервис ведет к тому, что мошенники и по сей день имеют возможность наращивать капитал, полученный преступным путем.
Обеспечение безопасности СЭБ в России требует комплексного подхода. Отсутствие большого числа ИТ-систем собственного производства, широкое распространение «теневого интернета», нежелание банков обеспечивать информационную безопасность на местах, низкая осведомленность обычных пользователей, в первую очередь граждан и представителей малого бизнеса, создают плодотворное поле для процветания мошеннического контингента.
Предстоит большая работа для того, чтобы изменить ситуацию. Однако в России есть люди, которым небезразлично состояние информационной безопасности как на их рабочих местах, так и в стране в целом. При поддержке Банка России и силовых ведомств, а также правильном законодательном фоне возможно обеспечить защищенный ЭБ и создать качественно новый интернет-продукт для клиентов кредитных организаций и не только для них.
4. Характеристика хищений денежных средств с использованием вредоносных компьютерных программ неправомерного доступа к информации
Наибольший соблазн преступления заключается в расчете на безнаказанность.
Марк Туллий Цицерон, древнеримский политический деятель4.1. Вредоносные компьютерные программы как средство совершения хищений денежных средств
Не пренебрегай врагами: они первыми замечают твои ошибки.
Антисфен, древнегреческий философИстория рассматриваемых преступлений сравнительно коротка. Появление и массовое распространение вредоносных программ, специально предназначенных для совершения хищений денежных средств в системах платежей, впервые стали отмечаться специалистами в 20052006 гг.[78] В 2007 г. была обнаружена ставшая впоследствии самой массовой и по-своему знаменитой троянская программа «Зевс» (Zeus, Zbot). В 2009 г. появился SpyEye, в 2010 г. – «Карберп» (Carberp, «Цербер») и HodProt (Origami). Некоторые из этих программ до сих пор используются преступными группами – прежде всего вредоносные программы, являющиеся новыми версиями «Зевса» или созданные на его основе[79]. Кроме того, в последние годы появилось большое количество новых специализированных вредоносных программ. В настоящее время актуальны такие банковские троянские программы (или их модификации более широкого назначения), как Corkow, Ranbyus, Lurk, Shiz, BifitAgent. Отдельно и очень активно развиваются троянские программы, специально предназначенные для работы на мобильных устройствах.
Разумеется, хищения в электронных системах, использовавшихся в нашей стране, как уже было отмечено, примерно с середины 90-х гг., происходили и раньше, в том числе с применением различных вредоносных программ. Однако эти преступления носили преимущественно индивидуальный характер и часто совершались с участием человеческого фактора в той или иной форме или с использованием различных приемов социальной инженерии, а вредоносные программы распространялись только адресно. Быстрое распространение недорогого широкополосного доступа к интернету и сопутствовавшее ему развитие различных электронных систем переводов денежных средств открыли компьютерным преступникам новые возможности монетизации их деятельности, причем с доходностью, значительно превышающей доходность от любых других видов компьютерных преступлений.
Для получения скрытого доступа к электронным средствам платежа (ЭСП), перехвата и копирования необходимой для совершения перевода денежных средств информации, а затем и совершения самих несанкционированных переводов со счетов жертв потребовалось создание нового класса вредоносных программ – так называемых банковских троянских программ.
Согласно ст. 273 УК РФ вредоносными считаются «компьютерные программы либо иная компьютерная информация, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации». Согласно примечанию 1 к ст. 272 УК РФ, «под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи». Определения, данные в УК