ЦБ изменит подход к проведению платежей в целях борьбы с хакерами

В рамках борьбы с хакерскими атаками Банк России предложил изменить действующий подход к проведению платежей. По данным издания «КоммерсантЪ», регулятор направил в кредитные организации письмо с просьбой до 10 февраля текущего года оценить сроки внедрения новой системы шифрования, предполагающей шифрование платежей, направляемых в платежную систему ЦБ, на уровне автоматизированной банковской системы (АБС).

Сейчас в АБС формируются реестры платежей, которые после уходят в АРМ КБР (автоматизированное рабочее место клиента ЦБ), где осуществляется шифрование. Далее зашифрованный платеж отправляется в Банк России.

Внедрение систем шифрования в АБС банка, пояснили в пресс-службе ЦБ, позволит защищать данные на более раннем этапе, что «усложнит для злоумышленников условия атак и снизит уровень хищений». Мера предлагается на основе анализа фактов хищений у коммерческих банков и учитывает мировой опыт и современные тенденции, отметили в ЦБ.

Как пояснил специалист центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов, некоторые банки нарушают рекомендации ЦБ, касающиеся изолированности от сети банка и переноса данных на съемных носителях. При отправке реестров часто используется промежуточная папка на файловом сервере корпоративной сети банка. Именно здесь хакеры подменяют файл с реестрами, и в АРМ КБР поступают уже частично или полностью фиктивные данные, которые шифруются и отправляются в ЦБ. В зашифрованном виде выявить фиктивный платеж невозможно, но если шифровать реестры сразу в АБС, то возможности подменить платеж по пути к АРМ КБР не будет.

По словам представителей банков, кредитные организации только оценивают сроки и возможные затраты на реализацию инициативы регулятора. Как отметил Павлов, банкам придется проводить масштабное техническое обновление. Решения под ключ не соответствуют всем требованиям законодательства о криптозащите, поэтому нужно будет привлекать специалистов, имеющих специальную лицензию ФСБ. В конечном итоге внедрение инициативы может занять минимум год и обойдется банкам в несколько миллионов рублей.

В основном банкиры с неодобрением относятся к идее ЦБ и официально комментировать ее не хотят, отмечает «Ъ». Как пояснили собеседники издания, АБС - это сотни компьютеров, которым потребуется дополнительная защита. К тому же, при шифровании АБС будет утеряна возможность сверки выгруженных из АБС реестров с попавшими в АРМ КБР, и выявления фиктивного платежа.

Центробанк уже потребовал от банков к 30 июня 2017 года усилить меры безопасности на участке АРМ КБР, что потребует расходов, а теперь регулятор меняет подход, отметил представитель одного из крупных банков.

Яков Ставринов, руководитель направления по работе с кредитно-финансовыми организациями, компания "Аладдин Р.Д."

Почему банкам не нравится новая система шифрования?

Это, в первую очередь, связанно с переносом вектора ответственности вслед за смещением вектора атаки. Во-вторых, - с доработкой автоматизированной банковской системы (АБС). Это дорого и небыстро, каждую доработку нужно не только внедрить (на что требуются специалисты с соответствующей лицензией ФСБ России), но и провести контроль встраивания, только после этого можно пускать в эксплуатацию.

Поможет ли новая система снизить объемы банковского мошенничества?

Шифрование на уровне АБС, безусловно, будет препятствовать злоумышленникам (хакерам) в подмене реквизитов в реестрах платежей при передаче в АРМ КБР. Но надо понимать, что если хакер добрался до AБС банка, то что ему мешает провести операцию от легального пользователя АБС. С точки зрения безопасности, также необходимо ввести строгую двухфакторную аутентификацию пользователей в АБС не по принципу логин + пароль, а использовать ключи с реализацией аппаратной криптографии, и каждый вход в критические системы должен быть на контроле в службах ИБ и ИТ банка. Также все данные в АБС должны шифроваться как на входе, так и на выходе. Не стоит забывать про внутренний инсайд, социальную инженерию и админов с правами «бога».

Алексей Коняев, старший консультант SAS Россия/СНГ по решениям для обеспечения безопасности и противодействия мошенничеству

Текущие возможности АРМ КБР, отвечающего за информационный обмен между банками и ЦБ, не предусматривает шифрования реестров платежей, несмотря на то, что это уже давно стало нормальной практикой в большинстве крупных платежных систем. При этом инициатива ЦБ совершенно понятна – в течение последних двух лет мы стали свидетелями ряда инцидентов на общую сумму почти в три миллиарда рублей, практически половину из которых злоумышленникам реально удалось похитить. И все эти инциденты были напрямую связаны с работой АРМ КБР, а именно с формированием реестра платежей непосредственно перед отправкой в Центральный Банк, когда у злоумышленников была возможность внести изменения в такой реестр для исполнения подложных платежных документов.

Стоит отметить, что реализация упомянутых выше инцидентов стала возможной, с одной стороны, в результате компрометации корпоративной сети банка, а с другой – в результате игнорирования пострадавшими банками (а по факту — и большинством других) рекомендаций по изолированию от всей сети банка той рабочей станции, которая отвечает за информационный обмен между банком и ЦБ. Таким образом, ЦБ, понимая утопичность идеи по контролю за своим ПО на стороне кредитных организаций, пытается защитить особенность своей системы другими методами.

Однако нужно понимать, что такая доработка полностью ляжет на плечи самих финансовых учреждений, займет уйму времени и ресурсов и потребует определенных финансовых вложений, несмотря на то что эффективность такой меры совсем неочевидна.

При этом особенность злоумышленников заключается в том, что они всегда двигаются по пути наименьшего сопротивления. Так, например, если в карточном бизнесе мы видим, что в результате EMV миграции объем скиммингового фрода уменьшается пропорционально увеличению фрода в онлайн каналах, по причине того, что скомпрометировать чип пока сложнее, чем украсть средства посредством, например, фишинга, то и здесь при внедрении шифрования мошенники, очевидно, придумают другой способ незаконного вывода средств из банка. Например, посредством взлома АБС, что уже в прошлом году всерьез обсуждали специалисты в области информационной безопасности.                   

Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании Инфосистемы Джет

Процесс приведения АБС в соответствие требованиям ЦБ по шифрованию исходящих в сторону АРМ КБР данных действительно может оказаться не самым простым для финансовых учреждений. Банки используют разные АБС, и включение функций шифрования для ряда инсталляций может потребовать обновления версий и соответствующих процессов миграций. Это действительно ресурсоемкие процессы.

Идея защиты именно транспортного уровня передачи данных возникла еще при разборе первых атак на АРМ КБР. При этом сразу пришло понимание, что защита только сегмента передачи будет лишь шагом к решению такой глобальной проблемы, как доступ злоумышленников (или соответствующего вредоносного ПО) к наиболее критичным сегментам банковских систем. С точки зрения данной атаки - злоумышленники перейдут на попытки вскрыть АБС. А учитывая, что система имеет множество серверов, модулей, ролей и прав доступа большого количества сотрудников, можно предположить, что ее взлом не станет для злоумышленников принципиально сложнее, чем атака непосредственно на АРМ КБР.

С нашей точки зрения, требование по шифрованию позволит лишь перестать ассоциировать активность злоумышленников, выводящих средства с банковских счетов (в том числе с корреспондентских), с АРМ КБР. Но при этом системность проблемы останется почти низменной.