Системы ЭБ, кроме случаев аутсорсинга, являются неотъемлемой частью инфраструктуры банка, и качество обеспечения безопасности на местах напрямую сказывается на возможностях злоумышленника произвести атаку на банк. Зачастую сам банк является пользователем систем интернет-банкинга. К ним можно отнести системы управления депозитарными счетами в уполномоченных банках Московской биржи, системы перевода денежных средств через Банк России, отправку отчетности в Банк России, взаимодействие с платежными системами, как то «Город» или QIWI, для ускоренного перевода платежей, связанных с оплатой мобильной связи и т.д., систему SWIFT, системы перевода моментальных платежей типа Western Union и т.д.
Положение Банка России от 9 июня 2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» № 382-П (обзор здесь), а также отраслевые стандарты Банка России по информационной безопасности (c содержанием Стандартов Банка России по информационной безопасности можно ознакомиться на официальном сайте Банка России http://www.cbr.ru/psystem/) призваны максимально обезопасить банки от возможных попыток злоумышленников украсть деньги или нанести вред банку, например сорвать сделку крупного клиента банка, который должен внести до какого-то времени авансовый платеж, чтобы начать сотрудничество с определенным покупателем.
Основные ошибки и проблемы при обеспечении информационной безопасности на местах:
- Некачественно сформированный процесс управления криптографическими ключами. Обычно это проявляется в том, что ключи передаются неуполномоченным лицам, конечная отправка платежей осуществляется не с выделенного рабочего места как физически, так и отделенного от сети банка.
- В небольших банках можно встретить ситуацию, когда ключи нескольких пользователей записаны на один накопитель, а также на постоянной основе размещен компьютер, с которого администраторы удаленно осуществляют отправку. Данная ситуация дает хорошую возможность для злоумышленников, которые каким-то образом проникли в банк — через подкупленного сотрудника, занесенного вируса или нелояльного сотрудника самого банка, в том числе сотрудника ИТ-подразделения.
- Неподготовленность персонала к воздействиям извне. Социальная инженерия остается одной из самых актуальных проблем. Нередко злоумышленники собирают информацию об определенных сотрудниках из социальных сетей, форумов и т.д. Далее, представляясь сотрудниками регуляторов, различных ведомств, сотрудниками технической поддержки, преступники просят произвести перевод денежных средств. Также нередки случаи, когда злоумышленники направляют письма сотрудникам от имени каких-то проверяющих органов с вложением (якобы отчетом), открыв которое сотрудник банка заражает рабочую станцию.
- Низкая организованность в предоставлении доступа. Нередко в банках можно встретить ситуацию, когда на площадке (в помещении), где работают дилеры, используется вход в системы под одной учетной записью, что усложняет возможность контроля действий дилеров, а также расследования инцидентов.
- Экономия на средствах безопасности. В первую очередь нарушаются требования об эшелонировании антивирусной безопасности, которая хотя бы разделяет серверный и пользовательский сегмент в банке. Данные нарушения облегчают задачу злоумышленнику произвести заражение станций.
- Плохое сегментирование сети на сетевом уровне, отсутствие шифрования.
- Нерегулярное сканирование инфраструктуры на наличие уязвимостей.
- Сокращение штатов в подразделении, ответственном за информационную безопасность (неудивительно, что большая часть злоумышленных действий проводится бывшими сотрудниками ИТ/ИБ банков), или наличие непрофессиональных сотрудников. Нередки ситуации, когда менеджерский состав по информационной безопасности выстраивается по принципу «свой-чужой», и предпочтение отдается «проверенным людям», а не талантливым и профессиональным.
- Несвоевременное обеспечение информационной безопасности систем интернет-банкинга. Очень показательный инцидент был в марте 2014 г., когда, используя уязвимости Heartbleed, злоумышленники вмешались в работу системы продажи билетов РЖД и могли перехватывать платежи процессинга ВТБ118.
- И, пожалуй, самой распространенной ошибкой, даже для крупных банков, является отсутствие риск-ориентированного подхода к информационной безопасности. Это выражается в поиске баланса между потребностями бизнеса, проблемами безопасности, а также разницей в возможностях современных технологий безопасности с тем, что есть инновационного в мире информационных технологий. К сожалению, в большинстве случаях преобладает или узкотехнический подход, или нормативно-регламентирующий.
Данный список неполон, однако даже такие типовые проблемы и ошибки дают хорошие возможности для злоумышленников, заразив сеть банка или используя уязвимости самих систем интернет-банкинга, получить доступ к управлению средствами с целью их кражи. Только вовлеченность руководства кредитных организаций и риск-ориентированный подход в состоянии изменить проблему и улучшить состояние безопасности ЭБ.