Удаленное обслуживание — важная функциональная составляющая современных банковских систем. Именно удаленные услуги в последнее время становятся все более уязвимыми для атак злоумышленников. Поэтому для поддержания функционала банковских систем необходимо сообща повысить безопасность удаленных финансовых услуг, считает Александр Володин, директор по информационной безопасности компании ЦФТ.
— Александр, какие сейчас существуют угрозы безопасности для дистанционного банкинга?
— В прошлом году произошли, можно сказать, революционные изменения, связанные с разработкой вредоносного программного обеспечения. Суть в следующем. На первом шаге в компьютер жертвы внедряется небольшая вредоносная программа, которая позволяет получить удаленное управление этим компьютером. И далее злоумышленники либо могут сделать зараженный компьютер частью botnet и использовать его для атак на другие системы, либо крадут интересующую их закрытую информацию, расположенную непосредственно на компьютере жертвы.
Одно из следствий этого качественного скачка заключается в том, что стало довольно легко похищать файлы закрытых ключей электронной цифровой подписи и пароли доступа к ним. В результате электронно-цифровая подпись, которая до недавнего времени считалась надежной, с некоторой вероятностью может оказываться скомпрометированной. Злоумышленники получают закрытый ключ, заходят в системы интернет-банкинга и совершают финансовые операции от имени владельца счета. Например, переводят деньги на счета систем электронной наличности или на счета в других банках и обналичивают их.
| В прошлом году произошли революционные изменения, связанные с разработкой вредоносного программного обеспечения. |
— У вас есть статистика на этот счет?
— Одна из проблем, затрудняющих противодействие таким атакам, связана с тем, что банки, конечно, стремятся избегать репутационного ущерба и стараются не раскрывать подобную информацию. Но у этой скрытности есть и оборотная сторона — пользователи не получают предупреждения о новой угрозе и продолжают пренебрежительно относиться к защите своих компьютеров. В тех случаях, когда были совершены хищения, мы обнаруживали у клиентов отсутствие даже элементарных средств защиты. У пользователей не настроены сетевые экраны, операционные системы не обновлялись с момента установки и т. д. А это означает, что на таком компьютере, как минимум, есть тысячи и десятки тысяч различных уязвимостей. И именно эти уязвимости используются для заражения компьютера вредоносными программами.
По имеющейся информации, единомоментно атакуются от 20 до 30 систем удаленного банковского обслуживания. Проблема масштабная, и для меня очевидно, что если ничего не предпринимать, то ситуация будет только ухудшаться. Потому что очень выгодно воровать ключи и деньги. Атака организуется как бизнес-проект, и это будет происходить изо дня в день, так как приносит доход.
— Какие сейчас есть возможности защиты?
— Есть несколько механизмов. Самый простой — это когда сотрудник банка подтверждает все операции вручную. То есть он видит запрос на операцию, перезванивает клиенту и запрашивает подтверждение. Это эффективно с точки зрения безопасности, но нереалистично, потому что операций много.
Другой путь — использование системы мониторинга. Такая система анализирует запрос на операцию и определяет степень угрозы в зависимости от различных настраиваемых параметров — сумма платежа, назначение, IP-адрес и т. д. По результатам анализа принимается решение: либо операция будет проведена автоматически, либо по ней все-таки надо предварительно получить подтверждение у клиента.
Существуют механизмы, которые позволяют контролировать такие рисковые операции самому клиенту. Например, при запросе на операцию система направляет клиенту на телефон одноразовый пароль. Но и эту защиту можно обойти, например, с помощью перерегистрации телефона злоумышленниками.
И есть еще один способ, который на сегодняшний день является наиболее эффективным, — это использование специализированных смарт-карт. Эта карта в виде специального небольшого устройства подключается к USB-порту. Такие устройства мы впервые предложили клиентам в 2004 году. Ни одного случая хищения, даже ни одной попытки хищения по этим картам не было. Смысл заключается в том, что смарт-карта подписывает документ сама. Закрытый ключ при этом в компьютер не передается, и скопировать его невозможно.
| Защита должна быть активной — преступники должны понимать, что им противостоят специалисты, способные схватить их за руку. |
— А в нее «залезть» с компьютера невозможно?
— Смарт-карта специально разработана так, что такого функционала она попросту не предоставляет.
Не так давно появилась смарт-карта, которая соответствует стандартам России и сертифицирована Федеральной службой безопасности. Она соответствует законодательным требованиям и может использоваться в том числе в государственных учреждениях. И это действительно актуально, потому что некоторые банки в основном ориентированы на работу с госорганами. Новые устройства стоят дешевле, чем многие программные средства, и при этом несравненно более надежны. В нашей системе Faktura.ru работает 230 банков, и банки активно закупают эти устройства и предлагают их клиентам.
Основные риски удаленного банковскоого обслуживания сегодня лежат исключительно в плоскости безопасности. Либо удаленное обслуживание исчезнет, потому что станет экономически слишком накладным, а без удаленного обслуживания любая банковская система сегодня неполноценна, либо необходимо предпринять комплекс мер для того, чтобы хищения прекратились.
В этом смысле, наверное, главным аспектом обеспечения безопасности является именно комплексный характер мер. Как минимум должна быть возможность оперативного изменения параметров защиты, таких очевидных, как, например, платежные лимиты. Реакция другого уровня — совершенствование аналитических систем, чтобы они умели обнаруживать подозрительные операции и своевременно сигнализировать, возможно — самообучаться для противодействия таким операциям.
Очень важно выстроить рабочие отношения с правоохранительными органами. Наше рабочее взаимодействие с Федеральной службой безопасности оказывается весьма эффективным. Я не перестаю удивляться той скорости и профессионализму, с которыми они реагируют на поступающие сигналы об угрозах. Защита должна быть активной — преступники должны понимать, что им противостоят специалисты, способные схватить их за руку. Иначе преступления будут идти только по нарастающей.
И, наконец, очень важно взаимодействие с регулятором — Банком России, который тоже принимает системные меры по повышению уровня безопасности.
В одиночку с возросшими рисками никто не справится. Поэтому и мы, как поставщики решений и оборудования, и банки, и их клиенты, и правоохранительные органы, и регулятор только сообща можем адекватно отреагировать на возросшие угрозы.
Начать дискуссию