Продовжуючи користуватися цим сайтом або натиснувши "Приймаю", Ви даєте згоду на обробку файлів cookie і приймаєте умови Політики конфіденційності.
Картки, гроші, ваш пароль: наскільки кіберзахищений український фінсектор
Сучасним злочинцям вже не обов’язково вриватися в банк зі зброєю, аби заволодіти грошима, – достатньо хакнути комп’ютерну систему та отримати всі дані, не виходячи з дому чи кафе. До речі, майже 86% кібератак мають саме фінансову мотивацію. Banker.ua розбирався, як банки забезпечують інформаційну та фінансову безпеку своїх клієнтів, які технології використовують, та які рішення пропонує український ITсектор.
Матеріал опубліковано в журналі Banker. Купити журнал і ознайомитися з повною версією ви можете за посиланням.
Очікується, що до кінця 2021 року світовий збиток від кіберзлочинності досягне $6 трлн і зростатиме приблизно на 15% щорічно, досягнувши до 2025 року $10,5 трлн. Якщо уявити кіберзлочинність як країну, то вона була б третьою за розміром економікою світу після США і Китаю, вважає світовий дослідник у сфері глобальної кіберекономіки Cybersecurity Ventures.
Ландшафт загроз постійно змінюється, тому важливо розуміти, як розвиваються кібератаки, і які заходи безпеки працюють. Статистика кіберзлочинів за останній рік приголомшує:
- У 2020 році виявлено 113,10 млн нових зразків шкідливого ПЗ.
- Майже 50% корпоративних ПК і 53% приватних, які одного разу були заражені, були повторно інфіковані протягом того ж року.
- 81% опитаних організацій постраждали від успішної кібератаки (звіт CyberEdge Group за 2020 рік).
- 51% організацій кажуть, що вони погано підготовлені до кібератак.
Цілком логічно, що НБУ посилив контроль за виконанням банками заходів із забезпечення кіберзахисту та інформаційної безпеки, щоб удосконалити роботу банків в умовах сучасних кіберзагроз. Відповідна постанова набрала чинності з 21 січня 2021 року. Чому сьогодні настільки важлива цифрова безпека фінансової системи в Україні?
«Всі пам’ятають червень 2017 року, коли відбулася масова кібератака з використанням зловмисного коду, який потім ідентифікували як «Petya.A»,
в результаті чого постраждали не лише фінансові установи, а й державні та комерційні організації.А тепер припустимо, що в усіх установах на той момент були б запроваджені, наприклад, сегментація мережі, використання IDS, IPS та SIEM-систем з відповідно налаштованими «алертами».Наслідки кібератаки тоді були б мізерними і не такими руйнівними», — вважає Сергій Соловей, начальник відділу інформаційної безпеки АТ «АБ «РАДАБАНК».
Хоча додає, що ті організації, які потрапили під вплив кібератаки, змогли в реальних умовах перевірити свої можливості з відновлення штатного функціонування. Тоді керівники фінустанов порівняли вартість впровадження заходів із кіберзахисту та витрати на відновлення.
Директор департаменту комунікацій Кредобанку Віктор Гальчинський також підтримує необхідність захисту електронних даних: «Оскільки бізнес залежить від інформації, якою володіє, її захист стає ключовим. З кожним днем збільшується кількість нових виявлених технічних вразливостей, які зловмисники використовують у своїх злочинних цілях».
У пошуках слабкої ланки
Аби вчасно ідентифікувати загрози, служби безпеки банків повинні постійно моніторити і виявляти уразливості у своїх системах захисту.
За словами Олени Кузьміної, директора департаменту інформаційної безпеки і безпеки систем і електронних транзакцій Креді Агріколь Банку, інформаційна безпека складається з трьох ключових елементів: людей, технологій і процесів. Але, на жаль, банк не в змозі усунути загрози, проте може до них пристосуватися і мінімізувати потенційну шкоду. В якості превентивних заходів використовуються передові технології й інструменти від виробників світового рівня. І, звичайно, висока кваліфікація співробітників — також важлива складова у протистоянні кіберзагрозам. Якщо виявляється уразливість системи, її максимально швидко усувають за рахунок командної роботи з IТ-фахівцями і наявності чітких алгоритмів і процедур. А що стосується власних хакерів-тестувальників, пані Олена вважає це неефективним.
«Сумніваюся, що серед вітчизняних фінансових компаній є настільки зрілі в частині інформаційної безпеки, які мають власний внутрішній Red Teaming. У «хакера-тестувальника» на боці банку з часом погляд замилюється, й ефективність його роботи стане переоціненою. Як показує практика, доцільніше періодично залучати сторонні компанії, які володіють відповідною компетенцією», — каже експерт.
Така ж ситуація і в Конкорд банку. Пошук можливих вразливостей інформаційних активів банку здійснюється за допомогою спеціалізованого програмного забезпечення за актуальними базами даних вже відомих вразливостей.
«Штатних хакерів ми не тримаємо, але банк регулярно користується послугами зовнішніх компаній, що спеціалізуються на інформаційній безпеці. Вони проводять необхідні тести на проникнення до систем і допомагають посилити безпеку, якщо це необхідно», — стверджує Юрій Задоя, голова правління ConcordBank. За його словами, активні загрози для інформаційних систем банку зростають. Це можуть бути спроби спровокувати відмову в обслуговуванні, дистанційного або локального проникнення до систем, фішинг в електронній пошті. Наприклад, у 2020 році банк зафіксував зростання загроз на 26% у порівнянні з 2019 роком.
Для розуміння того, наскільки зараз легко можна отримати чужу особисту та фінансову інформацію, достатньо подивитися на порядок цін у Даркнеті.
Порядок цін у Даркнеті-2020
Категорія | Товар | Ціна (в дол. США) |
Дані кредитної картки | Клонована карта Mastercard з PIN-кодом | 15 |
Клонована VISA з PIN-кодом | 25 | |
Вкрадені логіни онлайн-банкінгу, мінімум $100 на рахунку | 35 | |
Послуги з обробки платежів | Вкрадені дані облікового запису PayPal, мінімум $100 | 198,56 |
Переказ Western Union із вкраденого рахунку на суму більше $1000 | 98,15 | |
Підроблені документи | Паспорт США, Канади або Європи | 1500 |
Національна ідентифікаційна картка Європи | 550 | |
DDoS-атака | Незахищений сайт, 10-50к запитів на секунду, 1 година | 10 |
Преміум-захищений сайт, 20-50к запитів на секунду, декілька елітних проксі, 24 години | 200 |
(Джерело: PrivacyAffairs.com)
Хакну банк легально!
Часто банки та інші фінустанови користуються послугами «білих» хакерів, які перевіряють їхні системи на можливість злому, тому що яким би якісним не був софт, його рано чи пізно комусь вдасться хакнути. Тому варто вкладати гроші у спеціалістів. До того ж, в Україні є багато IT-компаній, які розробляють ПЗ для українського фінсектору, а також мають ім’я на міжнародній арені.
Руслан Колодяжний, CTO компанії Wirex, розказав, що програми bug bounty (дозволяють виплачувати винагороди за знайдені вразливості в софті — ред.) у нашій країні заново піднялися із запуском застосунку «Дiя». Насправді це дуже поширений спосіб пошуку вразливостей в IT-продуктах, і на такі активності залучають саме «білих» хакерів.
«Багато технологічних компаній на зразок Google і Facebook виділяють величезні бюджети для злому своїх сервісів. Однак в Україні bug bounty — поодинокі випадки (Prozorro, Дія), а тим більше від фінансових установ. Причина — у застарілих підходах, які в основному передбачають, що якщо у продукті знайдено вразливість, то вирішити це можливо лише через адміністративне покарання. Однак будь-який софт можна зламати, питання в тому, скільки часу на це буде потрібно», — каже експерт.
Тому важливо постійно тестувати ПЗ, і використання консультантів із безпеки є дуже поширеною практикою. Delivery Director підрозділу banking and capital markets компанії Luxoft Ukraine Вадим Панькін запевняє, що багато «білих» хакерів зараз працюють у профільних компаніях, які займаються тестуванням на проникнення в системи різних компаній та установ. Їх також назвивають «пентестери» (рentest — симуляція атаки на систему — ред.). Олег Худяков, директор з питань цифрової безпеки Miratech, каже, що це можуть бути внутрішні спеціалісти з різних напрямків інформаційних систем чи зовнішня компанія.
Як рятують наші гроші
Самі банкіри стверджують, що, відповідно до вимог НБУ, впроваджують всі необхідні заходи з захисту даних клієнтів. Наприклад, у Кредобанку працює більшість сучасних інструментів для захисту інформації та проведення самооцінки.
Глобус Банк постійно моніторить інформацію про нові кіберзагрози, вектори кібератак і схеми кібершахраїв. За словами Владислава Голубченка, начальника Управління інформаційної безпеки Глобус Банку, це потрібно для оперативного аналізу, оцінки ризиків та перегляду своїх процесів, а за необхідності — їхнього коригування та вдосконалення.
РАДАБАНК вже кілька років поспіль користується послугами зовнішніх аудиторів, зокрема для здійснення перевірки системи управління інформаційною безпекою та оцінки її впровадження, а також PEN-тесту. Отримані результати дають упевненість про належний рівень безпеки інформації, а отже банк зможе без проблем скласти звіт із питань оцінювання ризиків інформаційної безпеки/кіберризиків та протягом квітня 2021 року направити його до НБУ.
Ніхто не застрахований від досвідчених хакерів і рішучих кіберзлочинців. Однак наявність сильного захисту може змусити їх переосмислити свої наміри. Як же самі розробники ПЗ забезпечують захист свого продукту від злому?
Юрій Волошинський, AVP Delivery в ІТ-компанії N-iX: «Щоб забезпечити захист продукту клієнтів від злому, ми використовуємо найсучасніші криптографічні методи та алгоритми, а також перевіряємо, чи відповідає розроблений софт таким стандартам оцінювання безпеки додатків, як OWASP Application Security та FAPI».
Він додає, що для захисту банківського софту від неавторизованого входу найкраще використовувати додатки-аутентифікатори на основі алгоритму TOTP, який генерує унікальний пароль, використовуючи два параметри: секретний ключ (shared secret) — унікальний код довжиною в 16-32 символів, та інтервал часу. Оскільки обидва параметри однакові для клієнта та сервера, пароль генерується синхронно. Він є дійсним для одного сеансу (до 30 секунд на введення). Інтервал залишають невеликим, щоб виключити можливість успішного перехоплення даних та блокування комп’ютера клієнта.
Віднедавна з’явився окремий напрямок захисту софту — аналітичні системи з використанням штучного інтелекту, що можуть аналізувати патерни дії всередині системи та адаптивно ізолювати підозрілі ділянки сервісів, щоб запобігти розповсюдженню загрози. За словами Руслана Колодяжного, CTO Wirex, поки українські компанії не поспішають впроваджувати такі інструменти, однак у Європі ця технологія використовується дуже активно.
Серед іншого, у зрілих компаніях з розробки ПЗ використовують модель Secure Development Lifecycle (SDL), що була запропонована компанією Microsoft ще у 2002 році. Віктор Голуб, Senior Security Architect в Infopulse каже, що ця модель передбачає інтеграцію фахівців із кібербезпеки у процес розробки та впровадження ПЗ. Основним завданням таких фахівців є розробка вимог безпеки до коду програмного забезпечення з наступною верифікацією цих вимог при кожній компіляції ПЗ.
«Одним із поширених стандартів є open web application security project (OWASP) — стандарти, документи та установки відкритого проекту для розробки безпечних веб-додатків», — стверджує Євгеній Яремчук, IT-архітектор Miratech.
Такої ж думки щодо OWASP дотримується і Тарас Крет, Information Security Consultant в ELEKS. Проте також одним з неодмінних елементів захисту він вважає проведення статичного та динамічного аналізу коду. Зокрема, гарним засобом для цього є рішення SonarQube, яке підтримує різні мови програмування.
Тож, як бачимо, IT-сектору є, що запропонувати українським банкам для захисту персональних даних. Існує безліч методик, серед яких моделювання загроз (Threat Modeling), статичне тестування безпеки додатків (SAST), управління «секретами» (Secret Management) та вразливостями (Vulnerability Management), динамічне тестування безпеки додатків (DAST), моніторинг, логування, контрольні списки, тренінги персоналу тощо. Головне, аби гравці фінансового ринку України були готові вкладати гроші у кібербезпеку, постійне тестування свого ПЗ та розвиток фінтеху.
Надія Алейнік, Banker.ua