ЦБ РФ опубликовал отчет по инцидентам ИБ

ЦБ РФ опубликовал отчет по инцидентам ИБ
Банк России опубликовал ежегодный (и долгожданный) отчет " Обзор о несанкционированных переводах денежных средств " за 2015 год.
"В обзоре за 2015 год приведены данные о количестве и объеме несанкционированных операций, совершенных с использованием электронных средств платежа (включая платежные карты, системы ДБО).
Обзор составлен на основе сведений, предоставленных в Банк России в рамках отчетности по формам 0403203 и 0409258 организациями, осуществляющими в соответствии с Федеральным законом № 161-ФЗ функции операторов по переводу денежных средств, операторов услуг платежной инфраструктуры.
В рамках обзора под несанкционированными операциями понимаются операции с использованием ЭСП, совершенные без согласия, либо введением в заблуждение клиента, являющегося держателем ЭСП. К таким операциям относятся:
– несанкционированные операции, совершенные с использованием платежных карт;
– несанкционированные операции, совершенные с использованием систем ДБО."

Выбрал несколько ключевых тезисов:
  • Объем несанкционированных операций с использованием платежных карт, эмитированных (выданных) на территории РФ, в 2015 году составил более 1,14 млрд руб., что ниже аналогичного показателя за 2014 год на 27%. 
  • Доля утерянных или украденных платежных карт, используемых для совершения несанкционированных операций, не превышает 10% от общего числа карт, с использованием которых в 2015 году совершались такие операции, что повторяет отмеченную в 2014 году тенденцию.
  • В 2015 году в Банк России было сообщено о 32,5 тыс. попыток осуществления несанкционированных операций посредством систем ДБО на общую сумму 5,13 млрд руб. Из них на долю остановленных полностью или частично операций приходится не менее 48% от общего объема денежных средств. 
  • Больше половины несанкционированных операций со счетов юридических лиц (57%) были остановлены в полном объеме, в том числе, по обращениям клиентов, до наступления окончательности перевода денежных средств. 
  • Подавляющее большинство несанкционированных операций со счетов физических лиц (91%) выявляются клиентами самостоятельно и возникают вследствии применения к клиентам методов социальной инженерии. Информация о таких операциях в кредитную организацию поступает после списания денежных средств со счета клиента.

  • Наиболее распространенным методом осуществления несанкционированных переводов денежных средств с использованием мобильного устройства является его заражение вредоносным кодом. Использование методов социальной инженерии (ссылки в SMS-сообщениях, реклама на сайтах) существенно повышает вероятность заражения мобильного устройства.
  • Банк России отмечает смещение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб.

Но вот, к сожалению, информации о типовых векторах атак, используемых уязвимостях и прочих полезных деталей инцидентов ИБ в отчете не представлено...


Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Andrey Prozorov

Информационная безопасность в России и мире