Проблемы обеспечения ИБ на местах в банковском секторе

Электронные системы, за исключением случаев аутсорсинга, являются неотъемлемой частью инфраструктуры банка, а качество локальной безопасности напрямую влияет на способность злоумышленника атаковать банк. Зачастую банк сам является пользователем систем интернет-банкинга. К ним относятся системы управления депозитарными счетами в уполномоченных банках Московской биржи, системы денежных переводов через Банк России, отчетность перед Банком России, взаимодействие с платежными системами, такими как город или QIWI, для ускоренного перевода платежей, связанных с мобильными платежами связи и др., Система SWIFT, мгновенная платежная система, такая как Western Union и т.д.

Положение Банка России от 9 июня 2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» № 382-П, а также отраслевые стандарты Банка России по информационной безопасности призваны максимально обезопасить банки от возможных попыток киберпреступников похитить деньги или нанести вред банку, например, сорвать сделку крупного банковского клиента, которому необходимо внести предоплату до определенного времени, чтобы начать сотрудничество с конкретным покупателем.

Основные ошибки и проблемы в обеспечении ИБ

Основные ошибки и проблемы в обеспечении информационной безопасности на местах:

  • Плохо сформированный процесс управления криптографическими ключами. Обычно это проявляется в том, что ключи передаются посторонним лицам, окончательная отправка платежей происходит не с выделенного рабочего места, как физически, так и отделенного от банковской сети.
  • В небольших банках можно встретить ситуацию, когда ключи нескольких пользователей записываются на один диск, а компьютер находится на постоянной основе, с которого администраторы удаленно выполняют редактирование. Такая ситуация предоставляет хорошую возможность злоумышленникам, которые каким — то образом проникли в банк-через подкупленного сотрудника, вирус или нелояльного сотрудника самого банка, в том числе сотрудника ИТ-отдела.
  • Неготовность персонала к внешним воздействиям. Социальная инженерия остается одним из самых актуальных вопросов. Часто злоумышленники собирают информацию о тех или иных сотрудниках из социальных сетей, форумов и т.д. Далее, представившись сотрудниками регуляторов, различных ведомств, сотрудниками техподдержки, преступники просят перевести денежные средства. Также нередки случаи, когда злоумышленники отправляют сотрудникам письма от имени некоторых проверяющих органов с приложением (якобы отчетом), вскрыв которое сотрудник банка заражает рабочее место.
  • Низкая организованность в предоставлении доступа. Часто в банках можно столкнуться с ситуацией, когда на площадке (в помещении), где работают дилеры, они используют логин в систему под одним аккаунтом, что затрудняет возможность контролировать действия дилеров, а также расследования инцидентов.
  • Экономия на характеристиках безопасности. Прежде всего, нарушаются требования по разделению антивирусной безопасности, что как минимум разделяет серверный и пользовательский сегменты в банке. Эти нарушения облегчают задачу злоумышленника по заражению станций.
  • Плохая сегментация сети на сетевом уровне, отсутствие шифрования.
  • Нерегулярное сканирование инфраструктуры на наличие уязвимостей.
  • Сокращение штата в подразделении, отвечающем за формационную безопасность (неудивительно, что большая часть вредоносных действий осуществляется бывшими сотрудниками IT / IB банков), или наличие непрофессиональных сотрудников. Часто возникают ситуации, когда управленческая команда по информационной безопасности строится по принципу “свой-чужой”, а предпочтение отдается “доверенным людям”, а не талантливым и профессиональным.
  • Несвоевременное обеспечение информационной безопасности систем интернет-банкинга. Очень показательный инцидент произошел в марте 2014 года, когда, используя уязвимости Heartbleed, злоумышленники вмешались в работу системы продажи билетов РЖД и смогли перехватить процессинг платежей ВТБ118.
  • И, пожалуй, самой распространенной ошибкой, даже для крупных банков, является отсутствие риск-ориентированного подхода к информационной безопасности. Это находит свое отражение в поиске баланса между потребностями бизнеса, вопросами безопасности, а также разницей в возможностях современных технологий безопасности с тем, что является инновационным в мире информационных технологий. К сожалению, в большинстве случаев преобладает либо узкотехнический подход, либо нормативный.

Этот список далеко не полон, но даже такие распространенные проблемы и ошибки предоставляют злоумышленникам хорошие возможности для заражения сети банка или с помощью уязвимостей самих систем интернет-банкинга получить доступ к управлению денежными средствами с целью их кражи. Только вовлечение руководства кредитных организаций и риск-ориентированный подход способны изменить ситуацию и улучшить состояние безопасности ЭБ.