ИТ-безопасность для финансового сектора

ИТ-безопасность для финансового сектора
Был на конференции «ИТ-безопасность для финансового сектора», на которой законспектировал суть выступлений докладчиков с точки зрения интереса для меня лично.

ЛевашовОткрытиеИнфосекьюрити Сервис
Есть стандарты: национальные, отраслевые, организаций. Все знают СТО БР. Еще есть стандарты у РЖД, Газпрома, ассоциации пенс фондов и страховщиков. ИСС разработал стандарт для Науфор. Науфор не бедная организация, т.к. взносы большие. Отраслевые стандарты разрабатываются, чтобы уйти от невыполнимых требований регуляторов. Например, антивирус фондовому рынку часто противопоказан т.к. нагружает системы и это не позволяет получать прибыть в нужном объеме. В отличии от ЦБ Науфоровские документы обязательны для выполнения. Предлагается поднять науфоровский стандарт на уровень ФСФР. Плюсами могут быть в т.ч. легитимизация конкретных СЗИ, применение компенсационных мер при наличии модели угроз.

ВологдинRSA (EMC)
Атак становится все больше и больше. Выводом денег из России путем дропов уже стали заниматься хакеры. 299$ в месяц стоит подписка на ботнет в формате SaaS. Формат атаки – MitM в браузере. Предлагается RSA antifraud, адаптивная аутентификация (по сути, поведенческий профиль пользователя), система обнаружения мошеннических схем. В сеть RSA входит около 6000 банков. попытки сделать аналогичную сеть в России были, но закончились неудачей. У многих банков есть какие-либо свои системы, но методы, основанные на правилах по сравнению с поведенческими методами, всегда проигрывает. Нужно учитывать, что мошенничество это очень доходный бизнес.

ГиленкоРосбанк
Есть мошенничество не против клиентов, а против банков, о чем говорят мало. Для бизнеса эффективнее, когда CIO и CISO работают не как начальник-подчиненный, а как равноправные партнеры. В СТО БР не спроста говорится, что управление ИТ и ИБ должны быть разнесены. Качество работы банка выгодно акционерам, клиентам, партнерам, регуляторам. Стратегия ИБ должна коррелировать со стратегией развития банка. Для розничных банков приоритет следующий: доступность, целостность, конфиденциальность. Для иных банков последовательность будет иной.

КазиевИнгосстрах
Есть программы страхования информационных рисков: информационные ресурсы, финансовые активы. Страхование от чего: от действий сотрудников, от компьютерных атак, от вирусов, от технических сбоев, в т.ч. перед третьими лицами. А также страхование профессиональной ответственности ИТ и ИБ персонала при оказании информационных услуг. Вопрос: можно ли застраховать риск non-compliance, т.е. организация ничего делать не будет, а если придет регулятор, то будет выплачена страховка.

КлимовRISSPA
Все начинается с генерального директора, который купил себе IPad. Его нужно обязательно подключить. Далее другие сотрудники начинают приносить свои устройства, мотивируя тем, чем они не хуже и что они будут работать более эффективно. Обычно всё начинается с почты. Многие им верят, однако часто происходит все наоборот. Будет ли работодатель компенсировать сотруднику более эффективную работу на своем оборудовании? Открытый вопрос для IOS, чем обеспечивать удаленный доступ для технической поддержки устройства, когда сотрудник в недосягаемости? А как использовать российскую криптографию? Является ли контент, наработанный на личном ПК, собственностью компании? Новый класс СЗИ это Mobile Device Management (MDM). Согласится ли сотрудник, что будут отслеживать его местоположение? Софт должен блокировать пересылку инфы из корпоративной части в личную. Можно использовать обезличенные устройства, когда сотрудник перед командировкой берет с полки любое устройство и едет, тем самым пропадает смысл хранить на нем личные данные.

БабенкоИнформзащита
В интернете очень много пишется про утечки, про то, что клиенты начинают подавать в суды на банки. Раньше хакерами были одиночки, сейчас это организованный бизнес. ДБО и интернет-банки доступны в любой точки Земли, а значит они потенциально доступны для взлома любым жителем планеты. Разработчики таких систем думают о ИБ в последнюю очередь, т.к. бизнес требования всегда важнее. Безопасность в банке это не разовое мероприятие это процесс. Не надо забывать про модель угроз. Сканеры безопасности тоже ошибаются, их результаты нужно перепроверять. Часто реализация требований заканчивается складыванием политик ИБ в сейф, а до реализации процессов дела не доходят.

СинцовDigital Security
Разработчики ДБО всегда будут скрывать свои уязвимости по многим причинам. Если атака началась с ПО Adobe, то кто виноват? А если с клиентской части ДБО, то кто? (разработчик ПО или банк). Самый популярный тип для взлома XSS. На втором месте SQLi. Включать ли в Scope ДБО? Начинают появляться атаки, когда на экран выводится одно, а в токен на подпись уходит другое. Это решается либо вторичным каналом (SMS) или токенами с экранами, которые стали уже появляться. Но можно поменять только счет, а сумму оставить прежнюю, бухгалтер это может и не заметить. Нужно учитывать, что ДБО очень инертные системы - банки их обновляют годами. Вывод презентации в том, что уязвимости часто присутствуют на всех этапах прохождения платежей и во всех компонентах системы, притом, что используемые СКЗИ являются сертифицированными.

ГоловлевАРБ
Если продавать услугу с запрашиванием ПДн, но чуть дешевле, то она сразу начинает пользоваться большим спросом, чем услуга без запрашивания ПДн. Это значит, что собственные ПДн часто ничего не стоят. Тогда что можно говорить о защите чужих ПДн. Удобство всегда перевешивает безопасность, поэтому сотрудникам ИБ банка трудно реализовать не клиенто-ориентированное решение. Управление «К» выпустило рекомендации общего характера. Во взаимодействие по теме мошенничества ДБО и инцидентов ИБ уже вовлечено 173 банка, формально во благо 152-ФЗ. Это взаимодействие пока находится в теневой части бизнеса. Расследование мошенничества по уже открытым данным компанией Group-IB стоит 400 тыс. руб., поэтому по экономическим соображениям их услуги вряд ли будут востребованы.

ТихоновАльба Альянс
Некоторые клиенты говорят, что вирусы им не мешают работать, поэтому защищаться им не нужно. Практический пример: происходит подмена платежа, однако вирусов на ПК нет. По логам клиента все ОК, по логам банка платеж другой. Произошла просто подмена платежа. Оказывается, что на ПК используется технология типа Team Viewer. Из невнятного рассказа я лично понял, что одновременно используются 2 VPN: клиент-банк и клиент-злоумышленник.Проблема в том, что клиенты, производители ДБО, производители СКЗИ, да и сам банк образно находятся в разных углах комнаты и на рынке никто не предлагает комплексную услугу по защите транзакций. Решение видится в устройствах с экранами, но они дорогие и подходят не для всех. Для ИП, для малого и среднего бизнеса, но не для крупных компаний. Кто будет обеспечивать в ДБО поддержку разных профилей защиты для разных профилей пользователей? Скорее всего не производители, т.к. в настоящее время на такие услуги нет спроса.

Круглый стол
Тренды информационной безопасности в текущем году:
  • Мобильный банкинг. Об этом сегодня говорили все.
  • Защита клиента от фишинга. Пример кириллица в URL.
  • Биометрия для защиты банковской информации. Всегда найдутся инвалиды, поэтому всегда в системе будут исключения.
  • Сертификация инновационных решений. Пример окно в обновлениях сертифицированных Windows.
  • Защита ПДн физиков. Модный постоянный тренд.
  • Интегрированные средства защиты. Что считать средством защиты? Любой похожий функционал сертифицированного средства или не сертифицированного?
  • Оценка эффективности проектов. Должна быть никто не спорит.
Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Евгений Шауро

Блог специалиста по информационной безопасности