Карты, деньги, ваш пароль: насколько киберзащищен украинский финсектор

Современным преступникам уже не обязательно врываться в банк с оружием, чтобы завладеть деньгами, – достаточно хакнуть компьютерную систему и получить все данные, не выходя из дома или кафе. Кстати, почти 86% кибератак имеют финансовую мотивацию. Banker.ua разбирался, как банки обеспечивают информационную и финансовую безопасность своих клиентов, какие технологии используют и какие решения предлагает украинский ІТ-сектор.

Интервью опубликовано в журнале Banker. Купить журнал и ознакомиться с полной версией вы можете по ссылке.

Ожидается, что к концу 2021 года мировой ущерб от киберпреступности достигнет $6 трлн и будет расти примерно на 15% ежегодно, достигнув к 2025 году $10,5 трлн.

Если представить киберпреступность как страну, то она была бы третьей по размеру экономикой мира после США и Китая, считает мировой исследователь в сфере глобальной киберэкономики Cybersecurity Ventures.

Ландшафт угроз постоянно меняется, поэтому важно понимать, как развиваются кибератаки, и какие меры безопасности работают. Статистика киберпреступлений за последний год ошеломляет:

• В 2020 году выявлено 113,10 млн новых образцов вредоносного ПО.
• Почти 50% корпоративных ПК и 53% частных, которые однажды были заражены, были повторно инфицированы в течение того же года.
• 81% опрошенных организаций пострадали от успешной кибератаки (отчет CyberEdge Group за 2020 год).
• 51% организаций говорят, что они плохо подготовлены к кибератакам.

Вполне логично, что НБУ усилил контроль за выполнением банками мер по обеспечению киберзащиты и информационной безопасности, чтобы усовершенствовать работу банков в условиях современных киберугроз. Соответствующее постановление вступило в силу с 21 января 2021 года. Почему сегодня столь важна цифровая безопасность финансовой системы в Украине?

«Все помнят июнь 2017 года, когда произошла массовая кибератака с использованием вредоносного кода, который затем идентифицировали как «Petya.A», в результате чего пострадали не только финансовые учреждения, но и государственные и коммерческие организации. А теперь предположим, что во всех учреждениях на тот момент были бы введены, например, сегментация сети, использование IDS, IPS и SIEM-систем с соответственно настроенными «алертами». Последствия кибератаки тогда были бы мизерными и не такими разрушительными», — считает Сергей Соловей, начальник отдела информационной безопасности АО «АБ «РАДАБАНК».

Хотя добавляет, что те организации, которые попали под влияние кибератаки, смогли в реальных условиях проверить свои возможности по восстановлению штатного функционирования. Тогда руководители финучреждений сравнили стоимость внедрения мер по киберзащите и расходы на восстановление.

Директор департамента коммуникаций Кредобанка Виктор Гальчинский также поддерживает необходимость защиты электронных данных: «Поскольку бизнес зависит от информации, которой владеет, ее защита становится ключевой. С каждым днем увеличивается количество новых выявленных технических уязвимостей, которые злоумышленники используют в своих преступных целях».

В поисках слабого звена

Чтобы вовремя идентифицировать угрозы, службы безопасности банков должны постоянно мониторить и выявлять уязвимости в своих системах защиты.

По словам Елены Кузьминой, директора департамента информационной безопасности и безопасности систем и электронных транзакций Креди Агриколь Банка, информационная безопасность состоит из трех ключевых элементов: людей, технологий и процессов. Но, к сожалению, банк не в состоянии устранить угрозы, однако может к ним приспособиться и минимизировать потенциальный вред. В качестве превентивных мер используются передовые технологии и инструменты от производителей мирового уровня. И, конечно, высокая квалификация сотрудников — также важная составляющая в противостоянии киберугрозам. Если обнаруживается уязвимость системы, ее максимально быстро устраняют за счет командной работы с ИТ-специалистами и наличия четких алгоритмов и процедур. А что касается собственных хакеров-тестировщиков, Елена считает это неэффективным.

«Сомневаюсь, что среди отечественных финансовых компаний есть настолько зрелые в части информационной безопасности, которые имеют собственный внутренний Red Teaming. У “хакера-тестировщика” на стороне банка со временем взгляд замыливается, и эффективность его работы станет переоцененной. Как показывает практика, целесообразнее периодически привлекать сторонние компании, которые обладают соответствующей компетенцией», — говорит эксперт.

Такая же ситуация и в Конкорд банке. Поиск возможных уязвимостей информационных активов банка осуществляется с помощью специализированного программного обеспечения с актуальными базами данных и уже известных уязвимостей.

«Штатных хакеров мы не держим, но банк регулярно пользуется услугами внешних компаний, специализирующихся на информационной безопасности. Они проводят необходимые тесты на проникновение в системы и помогают усилить безопасность, если это необходимо», — утверждает Юрий Задоя, председатель правления ConcordBank. По его словам, активные угрозы для информационных систем банка растут. Это могут быть попытки спровоцировать отказ в обслуживании, дистанционного или локального проникновения в системы, фишинг в электронной почте. Например, в 2020 году банк зафиксировал рост угроз на 26% по сравнению с 2019 годом.

Для понимания того, насколько сейчас легко можно получить чужую личную и финансовую информацию, достаточно посмотреть на порядок цен в Даркнете.

Порядок цен в Даркнете-2020

Категория	Товар	Цена (в долл. США)
Данные кредитной карты	Клонирована карта Mastercard с PIN-кодом	15
	Клонирована VISA с PIN-кодом	25
	Украденные логины онлайн-банкинга, минимум $100 на счету	35
Услуги по обработке платежей	Украденные данные учетной записи PayPal, минимум $100	198,56
	Перевод Western Union с украденного счета на сумму более $1000	98,15
Поддельные документы	Паспорт США, Канады либо Европы	1500
	Национальная идентификационная карта Европы	550
DDoS-атака	Незащищенный сайт, 10-50к запросов в секунду, 1 час	10
	Премиум-защищенный сайт, 20-50к запросов в секунду, несколько элитных прокси, 24 часа	200

(Источник: PrivacyAffairs.com)

Хакну банк легально!

Часто банки и другие финучреждения пользуются услугами «белых» хакеров, которые проверяют их системы на возможность взлома, потому что каким бы качественным ни был софт, его рано или поздно кому-то удастся хакнуть. Поэтому стоит вкладывать деньги в специалистов. К тому же, в Украине есть много IT-компаний, которые разрабатывают ПО для украинского финсектора, а также имеют имя на международной арене.

Руслан Колодяжный, CTO компании Wirex, рассказал, что программы bug bounty (позволяют выплачивать вознаграждения за найденные уязвимости в софте — ред.) в нашей стране заново поднялись с запуском приложения «Дія». На самом деле это очень распространенный способ поиска уязвимостей в IT-продуктах, и на такие активности привлекают именно «белых» хакеров.

«Многие технологические компании вроде Google и Facebook выделяют огромные бюджеты для взлома своих сервисов. Однако в Украине bug bounty — единичные случаи (Prozorro, Дія), а тем более от финансовых учреждений. Причина – в устаревших подходах, которые в основном предусматривают, что если в продукте найдена уязвимость, то решить это возможно лишь через административное наказание. Однако любой софт можно взломать, вопрос в том, сколько времени на это потребуется», — говорит эксперт.

Поэтому важно постоянно тестировать ПО, и использование консультантов по безопасности является очень распространенной практикой. Delivery Director подразделения banking and capital markets компании Luxoft Ukraine Вадим Панькин уверяет, что много «белых» хакеров сейчас работают в профильных компаниях, которые занимаются тестированием на проникновение в системы различных компаний и учреждений. Их также называют “пентестеры” (рentest — симуляция атаки на систему — ред.). Олег Худяков, директор по вопросам цифровой безопасности Miratech, говорит, что это могут быть внутренние специалисты по различным направлениям информационных систем или внешняя компания.

Как спасают наши деньги

Сами банкиры утверждают, что, в соответствии с требованиями НБУ, внедряют все необходимые меры по защите данных клиентов. Например, в Кредобанке работает большинство современных инструментов для защиты информации и проведения самооценки.

Глобус Банк постоянно мониторит информацию о новых киберугрозах, векторах кибератак и схемах кибермошенников. По словам Владислава Голубченко, начальника Управления информационной безопасности Глобус Банка, это нужно для оперативного анализа, оценки рисков и просмотра своих процессов, а при необходимости — их корректировка и совершенствование.

РАДАБАНК уже несколько лет подряд пользуется услугами внешних аудиторов, в частности для осуществления проверки системы управления информационной безопасностью и оценки ее внедрения, а также PEN-теста. Полученные результаты дают уверенность в надлежащем уровне безопасности информации, а следовательно, банк сможет без проблем составить отчет по вопросам оценки рисков информационной безопасности/киберрисков и в течение апреля 2021 года направить его в НБУ.

Никто не застрахован от опытных хакеров и решительных киберпреступников. Однако наличие сильной защиты может заставить их переосмыслить свои намерения. Как же сами разработчики ПО обеспечивают защиту своего продукта от взлома?

Юрий Волошинский, AVP Delivery в IТ-компании N-iX: «Чтобы обеспечить защиту продукта клиентов от взлома, мы используем самые современные криптографические методы и алгоритмы, а также проверяем, соответствует ли разработанный софт таким стандартам оценки безопасности приложений, как OWASP Application Security и FAPI».

Он добавляет, что для защиты банковского софта от неавторизированного входа лучше всего использовать приложения-аутентификаторы на основе алгоритма TOTP, который генерирует уникальный пароль, используя два параметра: секретный ключ (shared secret) — уникальный код длиной в 16-32 символов, и интервал времени. Поскольку оба параметра одинаковы для клиента и сервера, пароль генерируется синхронно. Он является действительным для одного сеанса (до 30 секунд на ввод). Интервал оставляют небольшим, чтобы исключить возможность успешного перехвата данных и блокировки компьютера клиента.

С недавних пор появилось отдельное направление защиты софта – аналитические системы с использованием искусственного интеллекта, которые могут анализировать паттерны действия внутри системы и адаптивно изолировать подозрительные участки сервисов, чтобы предотвратить распространение угрозы. По словам Руслана Колодяжного, CTO Wirex, пока украинские компании не спешат внедрять такие инструменты, однако в Европе эта технология используется очень активно.

Среди прочего, в зрелых компаниях по разработке ПО используют модель Secure Development Lifecycle (SDL), которая была предложена компанией Microsoft еще в 2002 году. Виктор Голуб, Senior Security Architect в Infopulse говорит, что эта модель предполагает интеграцию специалистов по кибербезопасности в процесс разработки и внедрения ПО. Основной задачей таких специалистов является разработка требований безопасности к коду программного обеспечения с последующей верификацией этих требований при каждой компиляции ПО.

«Одним из распространенных стандартов является open web application security project (OWASP) — стандарты, документы и установки открытого проекта для разработки безопасных веб-приложений», — утверждает Евгений Яремчук, IT-архитектор Miratech.

Такого же мнения относительно OWASP придерживается и Тарас Крет, Information Security Consultant в ELEKS. Однако также одним из непременных элементов защиты он считает проведение статического и динамического анализа кода. В частности, хорошим средством для этого является решение SonarQube, которое поддерживает различные языки программирования.

Поэтому, как видим, IT-сектору есть, что предложить украинским банкам для защиты персональных данных. Существует множество методик, среди которых моделирование угроз (Threat Modeling), статическое тестирование безопасности приложений (SAST), управление «секретами» (Secret Management) и уязвимостями (Vulnerability Management), динамическое тестирование безопасности приложений (DAST), мониторинг, логирование, контрольные списки, тренинги персонала и тому подобное. Главное, чтобы игроки финансового рынка Украины были готовы вкладывать деньги в кибербезопасность, постоянное тестирование своего ПО и развитие финтеха.

Надежда Алейник, Banker.ua