Как защититься от хакеров и не получить штраф от ЦБ

Сейчас активно развиваются цифровые каналы продаж, клиентские онлайн-сервисы, внедряются новые системы идентификации, облачные технологии и искусственный интеллект, инструменты для анализа Big Data. По данным исследования Deloitte & SAP, проведенного осенью 2020-го — зимой 2021 года, банковская сфера является лидером в РФ по «индексу цифровой зрелости», по этому показателю она опережает даже отечественные телеком-компании.

Однако у этой медали есть и обратная сторона. В нашей стране, как и во всем мире, на фоне развития цифровых технологий растет количество кибератак, причиняющих банкам, компаниям и физическим лицам значительный финансовый ущерб.

Мошенники активизировались

Потери организаций и физлиц от действий кибермошенников в 2020 году достигли 9,8 млрд рублей (в 2019-м — 6,4 млрд рублей), сообщил Банк России. Это годовой бюджет таких городов, как Вологда, Набережные Челны и Салехард. В прошлом году зафиксировано 773 008 банковских операций, проведенных без согласия клиентов, — на 34% больше, чем в предшествующем году.

Такая динамика интернет-мошенничеств вынудила Центробанк обратиться к финансовым организациям с рекомендацией организовать СМС-рассылку, а также разместить информацию о возможных мошеннических действиях в банковских приложениях, соцсетях, на сайтах и экранах банкоматов.

Очевидно, что банки получили и другую рекомендацию: внимательнее относиться к кибербезопасности.

Какая угроза сейчас наиболее актуальна для финансового сектора?

Не буду отдельно останавливаться на мошеннических действиях при помощи телефонных звонков и СМС-уведомлений, цель которых — списание денежных средств с карты или расчетного счета. Отмечу лишь, что их количество растет с каждым годом.

Фишинговые атаки — еще один популярный вид мошенничества. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России в 2020 году инициировал блокировку 7680 мошеннических сайтов. Большинство из них (6256) — ресурсы, маскирующиеся под продажу авиа-и железнодорожных билетов, p2p-переводы, обменники. Более тысячи сайтов выдавали себя за продукты банков, 45 — за сайты страховых организаций, это в два раза больше, чем в 2019 году. Подделывали также сайты для профессиональных участников рынка ценных бумаг, а также микрофинансовых организаций.

Помимо незаконного списания денежных средств фишинг позволяет хакерам (принято считать, что фишингом занимаются уже хакеры, а не обычные преступники) получать доступ к инфраструктуре организаций со всеми вытекающими отсюда последствиями. Все, наверное, слышали об утечках в интернет различных баз данных с личными данными клиентов…

Жертвами фишинговых рассылок часто становятся из-за невнимательности. Сотрудники компаний открывают поддельные сайты и вводят учетные данные, пуская вредоносную программу к информации не только на своем компьютере, но и на компьютерах всей организации. Это означает, что над обеспечением информационной безопасности должны работать не только IT-специалисты, но и HR специалисты, объясняя последствия при взаимодействии с подозрительными порталами.

Увеличение числа сотрудников на удаленной работе в финансовом секторе и возросшая зависимость от облачных технологий привели к возникновению еще одной угрозы — хищению паролей и проникновению хакеров в облачные хранилища данных. Без сильной защиты удаленного доступа здесь не обойтись.

Организация защищенного удаленного доступа может включать в себя криптографическую защиту канала, многофакторную аутентификацию пользователей, в том числе с использованием защищенных носителей идентификационной информации. В этот комплекс решений также входят обеспечение автоматизированного управления идентификационными носителями, ключами и сертификатами доступа; сквозная интеграция серверов доступа, межсетевых экранов, порталов доступа, прикладных систем и их встроенных средств разграничения доступа с реализацией технологии единого входа (SSO) и контроль клиентских устройств.

Защитники информационных систем

Использование таких продуктов, как MaxPatrol (Positive Technologies), Appercut (InfoWatch), SafeERP («Газинформсервис»), Nessus (Tenable Network Security), AppScan (IBM), Arbor Pravail NSI (Arbor Networks) позволяют провести аудит информационной безопасности финансовой организации. Он включает в себя проверку защищенности IT-инфраструктуры и информационных систем, тест на проникновение (реи-тест), проверку информационных потоков и контроль исходного кода приложений на уязвимости/закладки.

В результате аудита можно получить оценку состояния информационной безопасности организации, степень ее соответствия обязательным законодательным, нормативным и отраслевым требованиям по защите информации, степени уязвимости ИТ- и ИБ-инфраструктуры и информационных систем к современным угрозам. Могут быть выявлены свидетельства противоправной деятельности в информационном пространстве различного характера.

Логическим продолжением аудита является разработка корпоративных документов верхнего уровня по вопросам безопасности информации. Они обеспечат основу для выстраивания комплекса работ по приведению процессов и технологий обеспечения и управления ИБ в организации в соответствие требованиям законодательства, нормативным документам, лучшим практикам ИБ.

Впрочем, защитой информационной безопасности организаций финансовой сферы озабочены не только разработчики финтеха. Большую работу проводит Банк России. Регулятор подготовил «Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019‒2021 годов».

Согласно документу, информационная безопасность кредитных и некредитных финансовых организаций должна обеспечиваться на уровне инфраструктуры, прикладного программного обеспечения и приложений. Кроме того, приоритетное внимание необходимо уделять безопасности технологий обработки и протоколирования действий и операций. Среди стратегических задач и защита прав потребителей финансовых услуг.

Ожидается, что в текущем году будет сформировано полное видение уровня риска отдельных организаций кредитно-финансовой сферы, их готовности противостоять кибератакам.

А теперь давайте посмотрим, какие конкретные шаги в этом направлении делает Банк России.

В мае стало известно, что ЦБ планирует разработать законопроект об упрощенном возврате денег жертвам киберпреступников. Регулятор предлагает автоматически блокировать сумму, переведенную на счет мошенников, после обращения пострадавшего, а потом в ускоренном судебном порядке осуществлять возврат денежных средств.

По данным ЦБ, в половине случаев мошенники снимают украденные деньги в течение часа после перевода. В 47% они обналичивают средства в течение двух-трех часов и только в 3% — в течение суток. Иногда похищенную сумму переводят на счет подставного лица, чтобы банк не смог заблокировать зачисленные на счет средства или отказать в их выдаче.

Центробанк также намерен обязать банки закрывать онлайн-доступ к счетам по просьбе клиентов. За счет этой меры (клиент не сможет переводить деньги) планируется снизить количество мошеннических операций.

В конце прошлого года ЦБ запустил дистанционные антихакерские учения для сотрудников 22 финансовых организаций. Было смоделировано несколько сценариев компьютерных атак в дистанционном режиме. Проверялась возможность противостоять этим атакам подразделений информационной безопасности и информационных технологий банков, а также готовность оперативно взаимодействовать и устранять возникшие проблемы.

По итогам учений разработан отчет, в котором дана оценка готовности финансовых организаций к отражению киберугроз и предоставлены рекомендации по улучшению механизмов их выявления и устранения.

Помимо вышеперечисленных инициатив регулятора в отношении финансовых организаций действуют нормативные документы по информационной безопасности. Все они обязательны к исполнению. Среди них положение Банка России от 17 апреля 2019 году № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»; Положение Банка России от 17 апреля 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»; ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

* Управляющий партнер сегмента «Финансовые институты» IBS.