Проблемы обеспечения информационной безопасности на местах в банковском секторе

ИБ в банке

Системы ЭБ, кроме случаев аутсорсинга, являются неотъемлемой частью инфраструктуры банка, и качество обеспечения безопасности на местах напрямую сказывается на возможностях злоумышленника произвести атаку на банк. Зачастую сам банк является пользователем систем интернет-банкинга. К ним можно отнести системы управления депозитарными счетами в уполномоченных банках Московской биржи, системы перевода денежных средств через Банк России, отправку отчетности в Банк России, взаимодействие с платежными системами, как то «Город» или QIWI, для ускоренного перевода платежей, связанных с оплатой мобильной связи и т.д., систему SWIFT, системы перевода моментальных платежей типа Western Union и т.д.

Положение Банка России от 9 июня 2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» № 382-П (обзор здесь), а также отраслевые стандарты Банка России по информационной безопасности (c содержанием Стандартов Банка России по информационной безопасности можно ознакомиться на официальном сайте Банка России http://www.cbr.ru/psystem/) призваны максимально обезопасить банки от возможных попыток злоумышленников украсть деньги или нанести вред банку, например сорвать сделку крупного клиента банка, который должен внести до какого-то времени авансовый платеж, чтобы начать сотрудничество с определенным покупателем.

Основные ошибки и проблемы при обеспечении информационной безопасности на местах:

  • Некачественно сформированный процесс управления криптографическими ключами. Обычно это проявляется в том, что ключи передаются неуполномоченным лицам, конечная отправка платежей осуществляется не с выделенного рабочего места как физически, так и отделенного от сети банка.
  • В небольших банках можно встретить ситуацию, когда ключи нескольких пользователей записаны на один накопитель, а также на постоянной основе размещен компьютер, с которого администраторы удаленно осуществляют отправку. Данная ситуация дает хорошую возможность для злоумышленников, которые каким-то образом проникли в банк — через подкупленного сотрудника, занесенного вируса или нелояльного сотрудника самого банка, в том числе сотрудника ИТ-подразделения.
  • Неподготовленность персонала к воздействиям извне. Социальная инженерия остается одной из самых актуальных проблем. Нередко злоумышленники собирают информацию об определенных сотрудниках из социальных сетей, форумов и т.д. Далее, представляясь сотрудниками регуляторов, различных ведомств, сотрудниками технической поддержки, преступники просят произвести перевод денежных средств. Также нередки случаи, когда злоумышленники направляют письма сотрудникам от имени каких-то проверяющих органов с вложением (якобы отчетом), открыв которое сотрудник банка заражает рабочую станцию.
  • Низкая организованность в предоставлении доступа. Нередко в банках можно встретить ситуацию, когда на площадке (в помещении), где работают дилеры, используется вход в системы под одной учетной записью, что усложняет возможность контроля действий дилеров, а также расследования инцидентов.
  • Экономия на средствах безопасности. В первую очередь нарушаются требования об эшелонировании антивирусной безопасности, которая хотя бы разделяет серверный и пользовательский сегмент в банке. Данные нарушения облегчают задачу злоумышленнику произвести заражение станций.
  • Плохое сегментирование сети на сетевом уровне, отсутствие шифрования.
  • Нерегулярное сканирование инфраструктуры на наличие уязвимостей.
  • Сокращение штатов в подразделении, ответственном за информационную безопасность (неудивительно, что большая часть злоумышленных действий проводится бывшими сотрудниками ИТ/ИБ банков), или наличие непрофессиональных сотрудников. Нередки ситуации, когда менеджерский состав по информационной безопасности выстраивается по принципу «свой-чужой», и предпочтение отдается «проверенным людям», а не талантливым и профессиональным.
  • Несвоевременное обеспечение информационной безопасности систем интернет-банкинга. Очень показательный инцидент был в марте 2014 г., когда, используя уязвимости Heartbleed, злоумышленники вмешались в работу системы продажи билетов РЖД и могли перехватывать платежи процессинга ВТБ118.
  • И, пожалуй, самой распространенной ошибкой, даже для крупных банков, является отсутствие риск-ориентированного подхода к информационной безопасности. Это выражается в поиске баланса между потребностями бизнеса, проблемами безопасности, а также разницей в возможностях современных технологий безопасности с тем, что есть инновационного в мире информационных технологий. К сожалению, в большинстве случаях преобладает или узкотехнический подход, или нормативно-регламентирующий.

Данный список неполон, однако даже такие типовые проблемы и ошибки дают хорошие возможности для злоумышленников, заразив сеть банка или используя уязвимости самих систем интернет-банкинга, получить доступ к управлению средствами с целью их кражи. Только вовлеченность руководства кредитных организаций и риск-ориентированный подход в состоянии изменить проблему и улучшить состояние безопасности ЭБ.

Защита от кибератак

Защита человека от кибератакЗащита человека от кибератак

За каждой угрозой, даже высокоавтоматизированной, всегда стоит человек. Современные хакеры всегда ищут новые и лучшие стратегии атак. Автоматизированная защита здесь часто терпит неудачу, поскольку угрозы не подчиняются правилам. Это болезненный

Архитектура кибербезопасности

Зачем нужна консолидированная архитектура кибербезопасности?Зачем нужна консолидированная архитектура кибербезопасности?

По мере того, как мир становится все более взаимосвязанным, а сети продолжают развиваться, обеспечение безопасности ИТ-среды становится все более сложным. Изощренные кибератаки последнего поколения быстро распространяются по всем направлениям и

original

Угрозы безопасности информацииУгрозы безопасности информации

Для идентификации угроз необходима: – информация об угрозах, полученная результате анализа выявленных инцидентов; – информация об угрозах, полученная из любых источников, включая внешние доступные реестры угроз. Любые сведения об угрозах