22 Февраля, 2012

Магнитогорские впечатления (часть 3)

Алексей Лукацкий
Продолжаем...

Дистанционное банковское обслуживание

Пожалуй, наиболее активным был день, посвященный ДБО. Оно и понятно. С хищениями средств сталкиваются почти все банки - это реальная угроза для банковского сообщества и гораздо более реальная (на данный момент), чем НПС или СТО. Поэтому и докладчики и слушатели были активны.

Артем Сычев (Россельхозбанк) начал с того, что привел цифры. Средняя сумма покушения составляет около 400 тысяч рублей (для юриков). Стоимость же организации самой атаки - всего 30 тысяч рублей. В итоге злоумышленники всегда в выигрыше. Специализированные банковские ботнеты имеют средний улов в 20-40 тысяч аккаунтов ДБО, что позволило сделать о том, что проституция, наркотики и терроризм "отдыхают" по сравнению с хищениями в ДБО (то ли еще будет).


При этом действующее законодательство находится на стороне преступников, а вступающий в силу ФЗ-161 "О национальной платежной системе" ситуацию только усугбляет, не только формируя ощущение безнаказанности у преступников, но и по сути узаконивая мошенничество. В пресловутой 9-й статье ФЗ-161 говорится о том, что по завялению клиента банк сначала обязан возместить ему потери, а потом уже доказывать, что виноват клиент. Представляете себе каким буйным цветом расцветет мошенничество в России? Пока действующее законодательство тоже не сильно помогает банкам. Например, хищения, как правило, происходят не там, где выводятся деньги. А по УПК дело возбуждается по месту вывода денег, а не их хищения. Это дает возможность следственным органам перекидывать дела между собой, что убийственно сказывается на результате действий банковских служб безопасности. Ведь деньги выводятся мобильно - за 2-3 часа. Судебное решение получить за это время нереально; как и осуществить коммуникации с коллегами. При этом атаки осуществляются преимущественно из регионов с большим количеством "зон". Деньги уходят в тюрьмы, в теневой бизнес, и вернуть их оттуда почти невозможно.

Попытка самостоятельно решить эту задачу без привлечения правоохранительных органов обречено на неудачу. Расследование инцидентов и сбор доказательной базы - это задача не банка. Собранные им доказательства в суде разбиваются в пух и прах и могут быть
признаны незаконно собранными, т.к. доказательства могут собирать только уполномоченные на это органы.

Если раньше милиция не горела большим желанием заниматься киберпреступлениями, т.к. это портит статистику, то сейчас в МВД наметился сдвиг в решении этой проблемы. В частности, комитет АРБ по ИБ получил рекомендации МВД, адресованные Мошковым Тосуняну, по оформлению инцидентов с хищениями средства. Получить их можно через комитет АРБ по информационной безопасности . В них, в частности, говорится о том, какие документы нужны при разборе преступлений в отношении юридических и физических лиц.


Проблема усугуьляется тем, что у киберпреступников создана целая индустрия ; у банков - только разрозненные элементы, не объединенные целостной системой, включающей помимо служб безопасности, отраслевого регулятора, правоохранительные органы, центры обучения и т.д. Но поэтапное движение для решения проблем с ДБО уже началось. Как я уже писал в понедельник ЦБ на уровне надзора и регулирования платежной системы обратил свой взгляд на
проблему и сейчас готовит свои предложения по данному вопросу.

А пока суть да дело в АРБ создана группа по координации усилий банков и правоохранительных органов в решении проблем с хищениями в ДБО. Находится она в процессе становления, но уже сейчас в нее входит 123 банка, взаимодействующих по различным вопросам мошенничества.

Без такого взаимодействия действия отдельных банков обречены на неудачу. Ведь атака обычно идет через цепочку банков (в одном похитили, в другой перевели). Поэтому в одиночку противостоять проблеме нереально. Даже упавшие на счет дроппера (мула) деньги по Гражданскому Кодексу принадлежат клиенту и банк не имеет права ими распоряжаться по своему усмотрению; а факт воровства надо доказать. Когда же доказательства получены, то обычно деньги уже выведены (как я написал выше на это уходит всего несколько часов). Оснований же для приостановления платежа у банков нет - инструкций и разъяснений ЦБ на эту тему пока нет. Некоторые банки блокируют перевод средств под соусом 115-ФЗ, но на это идут не все.

Ситуацию осложняет то, что часто вывод денег осуществляется через мобильных операторов и системы мгновенных платежей (например, Юнистрим), с которыми тоже нужно взаимодействовать. А пока, как было сказано на конференции, из большой тройки только Билайн и МТС озабочены данной проблемой и пытаются бороться с ней.

Как сказал председатель Нацбанка Башкирии Марданов Р.Х., основная причина хищений - недостаточная защищенность ДБО. Причем подвержены атакам и уязвимостям все типы ДБО - и "тонкие" и "толстые" клиенты. Об этом говорят и последнее исследование Digital Security и webinar'ы Positive Technologies. Производители же ДБО игнорируют эту проблему и считают, что их это не касается. Им пора уже задуматься! Сейчас формируются стандарты и требования для разработчиков платежных приложений в части ИБ, которые позволят унифицировать рекомендации не только в части повышения защищенности ДБО, но и сформируют единый набор требований к системе сбора доказательств, которые должны будут фиксировать системы ДБО.


3 главных угрозы ДБО - кража ключей электронной подписи, удаленное управление пользовательским компьютером без ведома владельца и подмена/модификация платежных поручений.Для нейтрализации этих угроз на конференции представлены были различные решения - TrustScreen, MAC-токены, QR-мидлеты и LiveCD/LiveUSB. "Актив", Аладдин Р.Д., VASCO, Бифит, С-Терра представляли все из них. Интересно, что о TrustScreen'ах - доверенных средствах отображения подписываемых платежных документов заговорили на прошлогодней конференции и вот уже сейчас рабочие решения были представлены потребителям.

Немного с другой стороны проблему показал Дмитрий Кузнецов из Positive Technologies. В своей презентации он высказал идею о том, что хакеры атакуют клиентов, что дает повод банкам думать о своей защищенности. Это не так! Банки занимаются только теми угрозами, с которыми реально сталкивались (вспомните мою заметку о психологии восприятия рисков). Кстати, Positive Technologies представила и свой сервис SurfPatrol для бесплатного анализа защищенности клиентских рабочих мест ДБО. Я про этот сервис уже писал . Иван Янсон из Промсвязьбанка продолжил тему, начатую предыдущими коллегами, и рассказал о том, как они борятся с хищениями. По мнению Янсона наиболее надежный превентивный способ - мониторинг истории платежей и контроль новых получателей, ранее незанесенных в предварительный список одобренных получаталей платежей. К другим способам можно отнести контроль аномалий платежа (некоторые АБС имеют такой функционал) и контроль изменений программной среды совершения платежа (например, смену IP-адреса, местоположения, браузера, версии ОС и т.п.).

Вот так примерно выглядел третий день деловой программы конференции.

ЗЫ. Завтра поговорим о мобильных устройствах и облаках в банковской деятельности.