2019/11/06 14:24:30

Информационная безопасность в банках

Мошенничество по текущим счетам не только подразумевает использование полного лимита овердрафта держателя счета, но и зачастую открывает двери для последующей мошеннической деятельности. Преступники могут использовать информацию, полученную в результате успешной кражи ваших персональных данных, для последующих махинаций с другими финансовыми продуктами, такими как потребительские кредиты или кредитные карты.

Содержание

Потери банков от киберпреступности

Основная статья: Потери банков от киберпреступности

Политика ЦБ в сфере защиты информации в банках

Основная статья: Политика ЦБ в сфере защиты информации в банковской системе

Какие стандарты по информационной безопасности затрагивают компании финансового сектора в РФ?

  • СТО БР ИББС-1.0-2014
  • Письмо Банка России от 24 марта 2014 г. №49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»
  • Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств …»
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».
  • Закон о Критической информационной инфраструктуре
  • 152-ФЗ «О персональных данных»
  • PCI DSS
  • ПП № 1119 `Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных`
  • Положение Банка России от 24 августа 2016-го года №552-П "О требованиях к защите информации в платежной системе Банка России"

А также

  • Требования ФСБ (для обладателей лицензий на криптографию)
  • 149-ФЗ «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ»
  • 63-ФЗ «Об электронной цифровой подписи»
  • 98-ФЗ «О КОММЕРЧЕСКОЙ ТАЙНЕ»
  • Гражданский кодекс
  • Уголовные кодекс
  • КоАП РФ

Направления атак

Мошенничество с банковскими картами

Взлом банкоматов

Фишинг

Единая биометрическая система (ЕБС)

Основная статья Единая биометрическая система идентификации

Страхование кибер-рисков

Основная статья Страхование кибер-рисков

Поставщики технологий информационной безопасности для банков

В апреле 2019 года аналитический центр TAdviser выпустил карту «Информационные технологии в банке», на которой отразил структуру ключевых процессов банковского бизнеса и отметил ИТ-компании, разрабатывающие продукты и оказывающие услуги для цифровизации этих процессов. Карта охватила 270 игроков рынка – 230 поставщиков ИТ-продуктов, применяемых для цифровизации основных процессов банковской деятельности, и 40 разработчиков решений для обеспечения информационной безопасности (подробнее).

Карта \"Информационные технологии в банке\" (кликните, чтобы увеличить)
Карта "Информационные технологии в банке" (кликните, чтобы увеличить)

2019

В России появился новый способ хищения данных банковских клиентов

В начале ноября 2019 года стало известно о новом способе краже данных банковских клиентов в России. Злоумышленники разработали схему корпоративного фишинга, которая связана с имитацией тестирования сотрудников кредитных организаций.

Как пишут «Известия» со ссылкой на «Лабораторию Касперского», банковским работникам отправляют на электронную почту сообщение с «приглашением» пройти аттестацию. После прохождения по ссылке им предлагают ввести логин и пароль от рабочей почты, в результате чего киберпреступники могут получить доступ к переписке, в которой могут содержаться файлы с персональными данными клиентов банков.

Стало известно о новом способе краже данных банковских клиентов в России.
Стало известно о новом способе краже данных банковских клиентов в России.

Старший контент-аналитик «Лаборатории Касперского» Татьяна Щербакова говорит, что масштаб атак по такой схеме зависит от содержимого взломанной электронной почты. Первое, к чему могут получить доступ мошенники, — это корпоративная переписка. А если логины и пароли от баз данных с персональной информацией о клиентах или сами базы пересылаются в открытом виде, то злоумышленники получат в распоряжение и их тоже.

Щербакова добавила, что «Лаборатория Касперского» узнала о новом способе фишинга от своих клиентов.

В подразделении ЦБ по кибербезопасности отмечают, что фишинг — первый среди основных факторов, способствовавших успешным атакам на банки с целью завладеть персональными данными жителей страны. Часто мошенники пользуются именно человеческим фактором при рассылке писем сотрудникам банков.

В кредитных организациях газете пояснили, что банки довольно часто проводят обучение и аттестации, поэтому такие письма не вызывают у сотрудников подозрений. К тому же банки — это, как правило, довольно формализованные системы, поэтому для работников привычно общение через электронную почту.[1]

Positive Technologies: Техники APT-группировок при атаках на кредитно-финансовые организации

10 октября 2019 года компания Positive Technologies сообщила, что её эксперты проанализировали тактики и техники десяти APT-группировок, атаковавших финансовые компании за последние два года[2], и выяснили, что каждая из них прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные. Подробнее здесь.

Банковский ботнет Geost инфицировал 800 тыс. Android-устройств в РФ

3 октября 2019 года стало известно, что исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast обнаружили один из банковских ботнетов, получивший название Geost. Жертвами вредоносной кампании стали по меньшей мере 800 тыс. владельцев Android-устройств в РФ, в частности злоумышленники получили доступ к их банковским счетам, на которых в общей сложности хранилось несколько миллионов евро. Подробнее здесь.

ЦБ: резко растёт число мошеннических звонков с подменой номеров банков

27 сентября 2019 года стало известно об участившихся в России мошеннических звонков с подменой номера банка. По данным ЦБ, только в июне-августе мошенникам удалось подменить около 200 банковских номеров.

Как пишет «Коммерсантъ», летом 2019 года Центробанк направил операторам связи информацию о более чем 2,5 тысячи номеров, с которых поступали звонки российским клиентам. По требованию финансового регулятора операторы в 218 случаях блокировали номер, в 59 — вводили ограничения на использование финансовых сервисов, и в 198 — обнаруживали подмену номера банка. Однако более чем в двух тысячах случаев никаких мер не принимали из-за отсутствия правовых оснований.

Мошенники стали чаще звонить россиянам с подменой номеров банков
Мошенники стали чаще звонить россиянам с подменой номеров банков

Доля звонков с подменой номера банка к середине лета достигла 35% от общего числа мошеннических звонков, сообщил замдиректора департамента информационной безопасности банка «Открытие» |Илья Сулоев. Росбанк столкнулся с волной звонков от мошенников в начале июля. Альфа-банк тоже фиксировал подмену номера.

Новый всплеск мошеннических звонков был зафиксирован в сентябре 2019 года, рассказал изданию первый замглавы департамента информационной безопасности Банка России Артем Сычев. По его словам, для реализации технических мер защиты потребуются и законодательные поправки.

Многие из поступивших летом обращений ЦБ были «технически некорректны», объяснил изданию представитель «ВымпелКома». По его словам, иногда в списках предоставленных для блокировки номеров были указаны те, которые банки используют для исходящих звонков клиентам. Блокировка таких номеров привела бы к тому, что банки не смогли бы дозвониться клиентам, отметил оператор.

Статистика ЦБ отражает только малую часть проблемы, заявил изданию коммерческий директор «МегаФона» Влад Вольфсон.[3]

Trend Micro: безопасность в банковской сфере в условиях PSD2

24 сентября 2019 года компания Trend Micro представила исследование о состоянии банковской безопасности в рамках платёжной директивы Европарламента и Еврокомиссии, PSD2. В исследовании The Risks of Open Banking — Are Banks and their Customers Ready for PSD2? рассказывается о рисках, с которыми придётся столкнуться финансовым структурам, и о возможных методах киберпреступников, желающих воспользоваться уязвимостями системы Open Banking.

Обновлённая версия платёжной директивы Европейского cоюза PSD2, которую также называют Open Banking, вступила в действие 14 сентября 2019 года. Целью PSD2 стало предоставление пользователям услуг банков дополнительных возможностей и большего контроля над своими банковскими данными. Также директива даёт сторонним компаниям, которые специализируются на финансовых технологиях и предоставляют свои услуги банкам и клиентам, равнозначный с банками доступ к данным пользователей для их анализа и предоставления финансовых рекомендаций.

В PSD2, которая заменит утверждённую в 2007 году первую версию директивы, более чётко описываются конкретные процедуры защиты данных, права и обязанности провайдеров услуг и пользователей, а целью обновленной директивы является стимуляция инноваций и конкуренции в финансовой сфере. И хотя она разработана в первую очередь для государств-членов ЕС, действие и последствия принятия PSD2 распространятся далеко за рамки Европейского союза. Директива считается важным шагом для всей отрасли, так как она отбирает полный контроль над клиентскими данными у банков и даёт пользователям право делиться этой информацией с другими поставщиками финансовых услуг.

Для соблюдения требований PSD2 в сфере безопасности банки открывают свои API финтех-компаниям (когда в этих компаниях создаётся необходимая инфраструктура для обеспечения безопасности данных и клиенты дают согласие на передачу этих данных). Но существует ряд опасений касательно реальной готовности банковской сферы и финтех-компаний к работе в условиях PSD2.

Клиенты, которые решили использовать приложения системы Open Banking для хранения своих финансовых данных и управления ими, вступают в абсолютно новые доверительные отношения: ранее они раскрывали эту информацию учреждениям с многолетней историей и устоявшейся репутацией, а теперь данные будут передаваться намного менее известным сторонним поставщикам услуг, у которых нет такого опыта борьбы с мошенничеством. При этом системы защиты банков станут получать меньше данных для обучения и выявления случаев мошенничества в режиме реального времени, так как финансовая информация их клиентов начнёт «распыляться» по нескольким организациям.

Несмотря на то, что клиенты будут лучше осведомлены о фишинге и методах, которые используются киберпреступниками для получения их данных, у злоумышленников появятся новые возможности для обмана — например, преступники могут назвать себя представителями финтех-компаний, работающих с банками. Также принятие директивы наверняка приведёт к появлению новых фишинговых схем.

Банки уже не раз были замечены в раскрытии персональных данных их клиентов, которые содержались в открытом виде в URL их систем и API. В то же время некоторые финтех-компании используют явно недостаточные меры безопасности и рискованные методы сбора данных, например, screen scraping (сбор и анализ экранных данных). Поэтому очень возможно, что киберпреступники смогут найти уязвимые приложения и функции, которыми постараются воспользоваться сразу после запуска системы.

Для злоумышленников информация о банковских транзакциях крайне ценна — она помогает выявить поведенческие паттерны пользователей, их привычки, расписание и финансовый статус. Поэтому за доступ к таким данным будут готовы платить рекламные агентства, которые занимаются рассылкой спама и рекламы сомнительного содержания, а также некоторые государственные учреждения, связанные, например, с безопасностью или разведкой.

За год работы платформа обмена данными о киберугрозах помогла банкам предотвратить ущерб в 8 млрд рублей

29 августа 2019 года компания BI.ZONE совместно с Ассоциацией банков России сообщили о подведении итогов первого года работы платформы обмена данными о киберугрозах, участниками которой уже стали порядка 70 финансовых организаций. За год работы платформа помогла банкам предотвратить ущерб в 8 млрд рублей. Подробнее здесь.

Банковский троян Amavaldo использует снимки экрана для хищения информации

8 августа 2019 года международная антивирусная компания ESET сообщила, что изучила ряд банковских троянов, которые атакуют пользователей Латинской Америки. Подробнее здесь.

Check Point: Число атак на мобильный банкинг в первом полугодии возросло в 2 раза

1 августа 2019 года компания Check Point Software Technologies выпустила отчет Cyber Attack Trends: 2019 Mid-Year Report. Хакеры продолжают разрабатывать новые наборы инструментов и методы, нацеленные на корпоративные данные, которые хранятся в облачной инфраструктуре; личные мобильные устройства; различные приложения и даже популярные почтовые платформы. Исследователи отмечают, что ни один из секторов полностью не защищен от кибератак. Подробнее здесь.

Немецкие банки отказываются от поддержки авторизации по одноразовому SMS-коду

Несколько немецких банков объявили в июле 2019 года о планах отказаться от использования одноразовых SMS-паролей в качестве метода авторизации и подтверждения транзакции. Причиной отказа от одноразовых SMS-паролей является новое законодательство ЕС, которое вступит в полную силу 14 сентября 2019 года[4].

Handelsblatt сообщает, что Postbank откажется от поддержки одноразовых SMS-паролей в августе, Raiffeisen Bank и Volksbank AG осенью, а Consorsbank сделает это к концу 2019 года. Deutsche Bank и Commerzbank также планируют отказаться от поддержки, но пока не объявили сроки. Другие банки, такие как DKB и N26, никогда не использовали данную технологию, а ING пока не делал публичных заявлений о своих планах.

В 2015 году ЕС пересмотрела первую директиву 2007 года о платежных сервисах (набор правил, регулирующий online-платежи в ЕС) и выпустила обновленную версию PSD 2, требующую реализацию надежных механизмов аутентификации клиентов.

За последние несколько лет возросло количество атак с использованием метода «SIM swapping», благодаря которому мошенник может обмануть оператора связи и перенести номер телефон пользователя на другую SIM-карту, получив доступ к online-счетам пользователя в банках и на криптовалютных биржах.

Специалисты кибербезопасности уже несколько лет предостерегают от использования одноразовых SMS-паролей, но не из-за атак методом «SIM swapping». Проблема заключается в присущих и не поддающихся исправлению недостатках протокола ОКС-7 (SS7), которая используется для настройки большинства телефонных станций по всему миру. Уязвимости в этом протоколе позволяют злоумышленникам незаметно похитить номер телефона пользователя, даже без ведома провайдера, позволяя отслеживать его владельца, а также авторизовать online-платежи или запросы на вход в систему.

Эксперты по кибербезопасности рекомендуют использовать приложения-аутентификаторы или аппаратные токены вместо аутентификации на основе SMS.

97% крупных банков уязвимы к кибератакам

10 июля 2019 года стало известно, что только три банка из ста получили высшую оценку в том, что касается обеспечения безопасности своих сайтов и реализации SSL-шифрования.

Подавляющее большинство крупных финансовых организаций из рейтинга S&P Global уязвимы к хакерским атакам. К такому выводу пришли специалисты швейцарской компании ImmuniWeb по итогам масштабного исследования , в ходе которого были изучены 100 сайтов, принадлежащих крупным банкам, 2 336 поддоменов, 102 приложения интернет-банкинга, 55 мобильных банковских приложений и 298 API мобильных банковских приложений.

Специалисты проводили анализ по ряду критериев, включая меры по обеспечению безопасности, соответствие требованиям Общего регламента по защите данных ЕС (GDPR), соответствие стандартам (PCI DSS), использование устаревшего и уязвимого программного обеспечения, реализацию шифрования SSL/TLS и пр.

На сайтах 31% банков были обнаружены уязвимости или некорректная конфигурация, а 5% сайтов содержали эксплуатируемые известные уязвимости, а на 13% ресурсов отсутствовало шифрование или имелись эксплуатируемые уязвимости. При этом только на 4% сайтов не было обнаружено никаких проблем.

По данным специалистов, 40% приложений для интернет-банкинга подвержены уязвимостям или содержат проблемы, связанные с некорректной конфигурацией, 7% содержали известные уязвимости, а в 2% приложений отсутствовало шифрование. Безопасными оказались только 15% из общего числа изученных приложений.

Что касается соответствия стандартам PCI DSS, хорошие результаты показали 62% сайтов и 58% приложений интернет-банкинга, а 38% сайтов и 49% приложений - не прошли проверку. В категории соответствия нормам GDPR ситуация значительно хуже – требования регламента соблюдают только 39% сайтов и 17% приложений интернет-банкинга.

Исследование также показало, что 29% сайтов содержат по меньшей мере одну известную и неисправленную уязвимость средней или высокой степени опасности. В числе наиболее распространенных уязвимостей оказались XSS-уязвимости, а также проблемы, связанные с риском раскрытия данных и некорректными настройками.

55% изученных мобильных банковских приложений содержали уязвимости, раскрывающие конфиденциальные банковские данные, 100% решений – как минимум одну незначительную уязвимость, 92% - по меньшей мере одну уязвимость средней опасности, а 20% приложений были подвержены хотя бы одной серьезной уязвимости[5].

Сбербанк, ВТБ, «ЮниКредит» и «Открытие» запретили сотрудникам фотографировать экраны ПК

24 июня 2019 года стало известно о том, что крупные банки в России запретили своим сотрудникам фотографировать экраны компьютеров с помощью личных мобильных телефонов.

Как пишет РБК, ограничения введены в Сбербанке, «ЮниКредите», банке «Открытие» и ВТБ. Так, банк «Открытие» запрещает сотрудникам делать фото- и видеосъемку экранов мониторов, служебных документов, презентаций и клиентских данных, а также вести аудиозапись служебных переговоров. В ВТБ фотографирование на объектах банка разрешается только по согласованию с ответственными подразделениями.

К
К

Запрет объясняют тем, что сотрудники нередко фотографируют личные данные клиентов, чтобы затем продать их на чёрном рынке, где на них есть спрос со стороны мошенников. По информации издания, цена на персональные данные может варьироваться от 800 до 8000 рублей.

Заместитель главы лаборатории компьютерной криминалистики Group-IB Сергей Никитин пояснил, что мошенники размещают объявление в даркнете, чтобы выяснить баланс карты жертвы, паспортные данные и другое.

По словам эксперта, распространенность фотографирования экранов можно объяснить тем, что компании стали вводить системы защиты от внутренних угроз и утечек, поэтому сотрудники просто фотографируют экран. Факт фотографирования доказать очень тяжело.

Заместитель председателя Сбербанка Станислав Кузнецов рассказал, что системы банка, как правило, не позволяют передавать служебные данные в третьи руки, в противном случае дело передают полиции.

Директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев говорит, что банковские данные можно использовать в мошеннических схемах с применением методов социальной инженерии. За нарушение запрета предусмотрены жесткие санкции вплоть до увольнения, сообщил он.[6]

Житель Красноярского края похищал средства с чужих счетов с помощью вредоносного ПО

В мае 2019 года стало известно о том, что сотрудники отдела «К» МВД по Чувашской Республике установили личность киберпреступника, похищавшего деньги с чужих банковских счетов с помощью вредоносной программы. Подозреваемым оказался 31-летний житель Красноярского края, ранее уже привлекавшийся к уголовной ответственности.

Как сообщает[7] в мае 2019 года пресс-служба МВД по Чувашской Республике, весной прошлого года в отделы полиции городов Чебоксары, Новочебоксарск и Канаш одновременно поступили три заявления от граждан о краже средств. Неизвестный перевел деньги с их счетов, но никаких SMS-сообщений о проведенных транзакциях жертвы не получали и узнали о случившемся, только войдя в мобильное приложение. У двоих граждан злоумышленник похитил по 10 тыс. руб., а жительница Канаша лишилась 47 тыс. руб.

Специалисты отдела «К» изучили мобильные устройства потерпевших и обнаружили на них вредоносное ПО, блокирующее сообщения от банка. Вредонос попал на телефоны вместе с популярными мессенджерами, скачанными с неофициальных сайтов.

В отношении жителя Красноярского края возбуждено уголовное дело по ч. 2 ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». По данным МВД, ранее он уже привлекался к уголовной ответственности по ст. 138.1 УК РФ «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации».

В настоящее время подозреваемый находится под подпиской о невыезде. Причиненный ущерб потерпевшим был полностью возмещен.

Positive Technologies: Угрозе несанкционированного доступа к банковской тайне подвержены все онлайн-банки

5 апреля 2019 года компания Positive Technologies сообщила, что её эксперты оценили уровень защищенности онлайн-банков в 2018 году и выяснили, что 54% из обследованных систем позволяют злоумышленникам похитить денежные средства, а угрозе несанкционированного доступа к личным данным и банковской тайне подвержены все онлайн-банки. По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям.

Среднее число уязвимостей в одном онлайн-банке

Угроза несанкционированного доступа к информации клиентов и банковской тайне, например к выпискам по счету или платежным поручениям других пользователей, оказалась актуальной для каждого исследованного онлайн-банка, а в отдельных случаях уязвимости позволяли развивать атаку на ресурсы корпоративной сети банка. Исследования Positive Technologies показывают, что данные входят в ТОП наиболее популярных для продажи в дарквебе продуктов. При этом непосредственно на долю учетных данных и данных банковских карт приходится более 80% в общем объеме продающихся данных. Средняя стоимость данных одного пользователя онлайн-банка составляет 22 долл. США.

Возможные последствия атак на онлайн-банки (доля приложений)

В ходе анализа в 77% обследованных онлайн-банков были обнаружены недостатки реализации механизмов двухфакторной аутентификации. По словам аналитика Positive Technologies Яны Авезовой, в некоторых онлайн-банках одноразовые пароли для критически важных действий (например, для аутентификации) не применяются или имеют слишком большой срок действия. Эксперты связывают это с тем, что банки стремятся найти баланс между безопасностью и удобством использования.

Уровень защищенности онлайн-банков (доля систем)
«
Отказ даже от части мер безопасности в пользу удобства повышает риск совершения мошеннических операций. Если нет необходимости подтверждать операцию с помощью одноразового пароля, злоумышленнику больше не требуется доступ к мобильному телефону жертвы, а слишком большой срок действия пароля повышает шанс его успешного подбора, поскольку при отсутствии ограничений на подбор одноразовый пароль из четырех символов можно подобрать за считаные минуты, — отметил руководитель группы исследования безопасности банковских систем Positive Technologies Ярослав Бабин.

»

Сравнительный анализ показал, что изученные готовые решения, предлагаемые вендорами, содержат в три раза меньше уязвимостей, чем системы, разработанные банками самостоятельно. А вот количество уязвимостей в продуктивных и тестовых системах сравнялось: согласно статистике, в 2018 году оба эти типа систем в большинстве случаев содержат как минимум одну критически опасную уязвимость. Эксперты связывают это с тем, что разработчики, единожды протестировав систему на безопасность, склонны откладывать повторный анализ защищенности после внесения изменений в программный код, что неминуемо приводит к накоплению уязвимостей, и со временем их число становится сопоставимо с тем, которое было обнаружено при первичной проверке.

Главной позитивной тенденцией в безопасности финансовых онлайн-приложений в 2018 году стало сокращение доли уязвимостей высокого уровня риска в общем числе всех выявленных недостатков. По данным специалистов Positive Technologies, доля критически опасных уязвимостей снизилась вдвое по сравнению с 2017 годом. Однако в целом уровень защищенности онлайн-банков остается низким.

Доли уязвимостей различного уровня риска

2018

75% банков уязвимы для атак методами социальной инженерии

5 июля 2019 года компания Positive Technologies представила сводные данные по основным типам компьютерных атак в кредитно-финансовой сфере за 2018 год. Документ подготовлен специалистами ФинЦЕРТ Банка России совместно с ведущими российскими компаниями в области расследования инцидентов информационной безопасности.

Оценивая защищенность отрасли, эксперты Positive Technologies отметили, что три четверти банков уязвимы для атак методами социальной инженерии. В 75% банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25% — вводят свои учетные данные в ложную форму аутентификации; также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок.

Далека от совершенства и безопасность внутренней сети банков. Наиболее частые проблемы в конфигурации серверов — несвоевременное обновление ПО (67% банков) и хранение чувствительных данных в открытом виде (58% банков). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение доступ к управлению банкоматами из внутренней сети удалось получить в 25% банков.

Низким остается уровень защищенности мобильных приложений: уязвимости высокого уровня риска обнаружены в 38% приложений для iOS и в 43% приложений для платформ под управлением Android. В 76% мобильных приложений выявлено небезопасное хранение данных, которое может привести к утечкам паролей, финансовой информации и персональных данных пользователей.

Эксперты Positive Technologies подчеркивают оперативность APT-группировок, которые быстро применяют появившиеся возможности в своей деятельности. Так, группа Cobalt провела вредоносную рассылку через 34 часа с момента публикации информации об уязвимости нулевого дня CVE-2018-15982. Всего эта группировка за 2018 год выполнила 61 рассылку по кредитно-финансовым организациям в России и странах СНГ.

Другая APT-группа — RTM, на счету которой 59 рассылок в 2018 году, — использовала в качестве одного из центров управления домены в защищенной от цензуры децентрализованной зоне .bit. Однако особенности архитектуры блокчейна сыграли против злоумышленников. Специалисты PT Expert Security Center разработали алгоритм отслеживания регистрации доменов группировки RTM (или смены их IP-адресов), что позволяет уведомлять банки о появившихся управляющих серверах через несколько минут после начала их использования злоумышленниками (а иногда и до вредоносной рассылки).

Несмотря на общий рост числа атак в 2018 году, финансовый ущерб значительно снизился по сравнению с предыдущим годом. Этому во многом способствует информационный обмен внутри отрасли, в частности запуск автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ. Согласно данным ФинЦЕРТ, ущерб российских организаций кредитно-финансовой сферы от атак группы Cobalt в 2018 году составил не менее 44 млн рублей, а от атак группы Silence — не менее 14,4 млн рублей. Всего за год ФинЦЕРТ получил сведения о 590 атаках на кредитно-финансовые организации, в том числе о 177 целевых атаках.

«
Несмотря на то, что система информационного обмена ФинЦЕРТ позволила снизить суммы потерь банков, опасность целевых атак по-прежнему высока. APT-группировки постоянно совершенствуют техники атак, улучшают качество рассылок, следят за публикацией уязвимостей, приобретают уязвимости нулевого дня и вводят их в свой арсенал за считаные часы. Кредитно-финансовым организациям нельзя больше ставить во главу угла традиционное возведение защитных барьеров. Ситуация изменилась: преступники научились обходить антивирусы, песочницы, системы IDS. Банкам следует исходить из того, что гипотетический злоумышленник уже находится внутри их периметра; главная задача — максимально сократить время его присутствия в ИТ-инфраструктуре и лишить его возможности действовать,
отметил Борис Симис
»

Qrator Labs: Более 55% банков отметили увеличение своего ИБ-бюджета с 2016 года

5 марта 2019 года компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представила результаты исследования информационной безопасности в финансовом секторе в 2018 году. Опрос был организован среди банков и платежных систем, работающих в России. В выборку включены банки из рейтинга ТОП 200 по размеру активов.

В Qrator Labs отметили, что количество кибератак в банковской сфере продолжает расти как глобально, так и в России, при этом сами атаки становятся технически все более сложными. Крупнейшие игроки отрасли констатируют рост количества попыток инцидентов в 1,5-2 раза относительно показателей за аналогичный период 2017 года. Осознание масштаба проблемы и рисков стимулирует увеличение инвестиций большинства банков в системы безопасности.

55,3% респондентов, участвующих в исследовании на протяжении двух лет, отметили увеличение своего ИБ-бюджета с 2016 года. Также 35,3% респондентов увеличивали свой бюджет в 2017 году, и 10,6% респондентов адаптировали свой ИБ-бюджет к растущим угрозам непрерывно на протяжении двух лет (2016-2018).

Более половины опрошенных отмечают в числе наиболее существенных последствий от ИБ-инцидентов финансовые издержки, еще около половины – репутационные. Повышение риска отзыва лицензии фиксируют треть респондентов (годом ранее - около четверти).

Обращает на себя внимание реакция финансовых организаций на европейское регулирование о защите данных. Около четверти опрошенных банков отмечают, что на 2018 год уже привели свои системы в соответствие с требованиями GDPR (General Data Protection Regulation), и еще около трети планируют реализовать эту задачу в ближайший год.

«
«Учитывая, что требование GDPR предъявляется не российским законодательством, то есть не подразумевает введение санкций и отзыв лицензии ЦБ, тот факт, что уже четверть банковских систем соответствует нормам европейского регулирования, говорит о высокой приоритизации банками работы с клиентами с европейскими паспортами. Самое главное – мы видим, что банки продолжают всерьез относиться к законодательно предписанной безопасности в любом ее виде».
»

Стимулирует к замене ранее внедренных средств ИБ их недостаточный на фоне растущих угроз уровень защиты, что подтверждают пентесты либо уже зафиксированные инциденты (62% опрошенных, 53% - годом ранее). 31% видят такую необходимость в ситуации перехода на другие инфраструктуры (облака и пр.), где используемые решения перестают быть эффективными (более четверти – годом ранее).

При подходе к выбору решения WAF (web application firewall) 68% респондентов ориентируются на решение реально возникающих технологических задач: от защиты от атак «нулевого дня» до контроля безопасности часто обновляемого кода. В то же время для трети респондентов ключевой фактор — формальное соответствие требованиям стандарта PCI DSS.

Более половины респондентов из финансового сектора отмечают, что за 2018 год уровень угроз DDoS вырос (аналогичный результат фиксировался и годом ранее). По оценке еще около четверти опрошенных, количество атак оставалось за тот же период неизменным (более трети – годом ранее).

Более половины респондентов также указывают, что сталкивались с DDoS-атаками за последний год (в прошлом году таковых было 26%). Помимо DDoS, наиболее часто опрошенные компании из финансового сектора сталкиваются по-прежнему с фишингом (46%). Более трети утверждают, что избегали инцидентов ИБ за последний год.

«
«Среди причин, которые могли спровоцировать подобный рост, можно назвать резкое падение курсов всех криптовалют. DDoS-атаки остаются одним из простейших методов монетизации вредоносного ПО, будь то зараженные серверы или ботнеты, основанные на персональных компьютерах и телефонах. В 2017 году у злоумышленников была возможность с определенной выгодой для себя использовать ботнеты и взломанные серверы для майнинга криптовалют. Как известно, основные затраты от майнинга – это электроэнергия, и если доступ к компьютеру получен нелегитимным образом, то за энергию злоумышленнику платить не приходится, и криптовалюту он получает «из воздуха» вне зависимости от ее объемов. В 2018 году не только в связи с падением обменных курсов, но и категорической нестабильностью курса криптовалют для злоумышленников определенную привлекательность вновь обрели «старые добрые» способы зарабатывания на ботнетах: проведение атак с целью вымогательства».

Артем Гавриченков, технический директор Qrator Labs
»

Большинство респондентов (65%) считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети).

Как отметили в Qrator Labs, рост количества банков, привлекающих внешние решения для защиты от атак, также во многом связан с повышенным уровнем угроз за 2018 год и ростом числа высокоскоростных DDoS-атак с использованием техники амплификации на основе memcache, LDAP-амплификации, атак с использованием протокола CoAP (Constrained Application Protocol) и пр.

Group-IB: более 70% банков не готовы противостоять кибератакам

19 февраля 2019 года Group-IB, международная компания, специализирующейся на предотвращении кибератак, проанализировала высокотехнологичные преступления 2018 года, к реагированию на которые привлекались ее эксперты-киберкриминалисты. По данным исследования, основная масса хакерских атак традиционно пришлась на финансовый сектор, при этом 74% банков оказались не готовы к кибератакам, у 29% были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом. Среди опасных тенденций 2018 года — трансграничные атаки, запускающие «цепную реакцию», что приводит ко множественным заражениям финансовых организаций. В 2018 году команда реагирования Group-IB фиксировала использование данного вектора как в России, так и в Восточной Европе.

Общее количество реагирований (Incident Response) Лаборатории компьютерной криминалистики Group-IB выросло более чем в 2 раза относительно 2017 года. Основные угрозы, с которыми сталкивались пострадавшие компании, возглавляют целевые атаки, конкурентный шпионаж, атаки с помощью вирусов-шифровальщиков, криптомайнинг. Главный вывод экспертов-криминалистов Group-IB – подавляющее большинство российских компаний, ставших жертвами хакерских атак в 2018 году, не имели плана реагирования на киберинцидент, не были готовы в сжатые сроки мобилизовать работу профильных подразделений и не способны организационно и технически противостоять действиям атакующих. Эксперты Group-IB обращают внимание на высокую вероятность повторных инцидентов в таких компаниях.

Группа риска: банки не готовы отразить кибератаку

По данным исследования Group-IB, на банки пришлось порядка 70% хакерской активности в 2018 году. Схемы для обналичивания денежных средств хакерами остались прежними: через заранее открытые «под обнал» банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и SIM-карты. При этом скорость обналичивания в России выросла в несколько раз: если 3 года назад вывод суммы в 200 млн руб., в среднем, занимал около 25-30 часов, то в 2018-м году компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно, в разных городах России.

Анализируя данные, полученные в рамках реагирований на киберинциденты, эксперты пришли к выводу, что 74% атакованных в 2018 году банков не были готовы к хакерским атакам: более 60% не способны централизованно управлять свой сетью, особенно, в территориально распределенной инфраструктуре, около 80% не имеют достаточной глубины журналирования событий протяженностью более месяца, более 65% тратили на согласование работ между подразделениями более 4 часов. При этом среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента составляло 12 часов.

Цепная реакция

Исследование Group-IB выявляет не только несогласованность в работе внутренних подразделений и слабую проработку организационных процедур, необходимых для установления источника заражения, масштаба компрометации и локализации инцидента, но и недостаточную техническую подготовку персонала банков. По данным компании, профильные навыки по поиску следов заражения и несанкционированной активности в сети отсутствуют или недостаточны у персонала 70% организаций. Столько же не имеют четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения. Высокие риски несет неготовность технических специалистов к оперативной реакции на инцидент: более 60% пострадавших банков не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка.

«
Банк, чья инфраструктура оказалась взломанной, может не просто потерять денежные средства, но и стать угрозой для других игроков финансового рынка. Атакуя цель, финансово мотивированная хакерская группа стремится извлечь максимальную выгоду: получая контроль над системами банка, она заинтересована не только в выводе денег из него, но и в заражении максимального количества жертв. Для этой цели запускается «принцип домино» — вредоносная рассылка из скомпрометированной инфраструктуры идет по спискам компаний-партнеров банка. Такой вектор опасен, прежде всего тем, что письма отправляются из реального банка, то есть отправитель не подделан, что повышает вероятность их открытия в банке-партнере. Таким образом запускается цепная реакция, которая может привести ко множественным заражениям финансовых организаций. В 2018 году мы зафиксировали использование данного вектора как в России, так и в Восточной Европе.
Валерий Баулин, глава Лаборатории компьютерной криминалистики компании Group-IB
»

«Двойное дно» кибератаки

По данным Group-IB, не менее 17% компаний, в которых проводилось реагирование, подверглись повторной эксплуатации ранее не устраненных уязвимостей в течение года после последнего заражения. В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций по устранению последствий киберинцидента, а также халатности со стороны персонала банков. Кроме того, в течение 2018 года у 29% организаций финансового сектора экспертами Group-IB были обнаружены активные заражения, о существовании которых внутренняя служба информационной безопасности ранее не подозревала. В 52% случаев обнаружены следы совершения атак в прошлом.

В 2018-м году командой реагирования Group-IB зафиксированы случаи, когда киберинцидент приводил к созданию резко негативного фона вокруг банка, что провоцировало информационную атаку, репутационные потери, а в отдельных случаях – уход с рынка.

«
Вокруг банка намеренно или уже по факту создается негативный фон: оценки потенциального ущерба, недопустимо низкий уровень защиты, вероятный отзыв лицензии. Это приводит к оттоку клиентов и партнеров, банк сталкивается с недостаточной капитализацией. Использование кибератаки, как инструмента нанесения урона репутации и вытеснения конкурента с рынка, еще один опасный вектор, который потенциально может получить дальнейшее развитие, так как уровень кибербезопасности небольших банков по-прежнему остается крайне низким.
Валерий Баулин, глава Лаборатории компьютерной криминалистики компании Group-IB
»

Ситуация на рынке информационной безопасности банков в 2018 году

Автоматизация бизнес-процессов в банковской сфере вышла за рамки применения стандартных, привычных для банков решений, как например АБС или ДБО – систем для автоматизации банковских операций или дистанционного обслуживания клиентов. Информационным технологиям доверяют все больше задач по оптимизации нетипичных процессов с применением новых математических моделей и алгоритмов – это и автоматизация управления различными видами рисков, претензионно-исковой работы, решения для борьбы с мошенничествами и т.п.

При реализации стратегии цифровой трансформации высокотехнологичный банк становится гораздо более уязвимым к киберугрозам, считает Дмитрий Лившиц, генеральный директор «Диджитал Дизайн». Поэтому целью автоматизации становится не только сокращение издержек на операционную деятельность за счет ускорения внутренних процессов или предоставление новых сервисов клиентам.

«
На первое место выходит информационная безопасность, и, полагаю, в ближайшие два года это направление будет удерживать первенство среди трендов банковской информатизации, - отмечает он.
»

Максим Болышев, заместитель директора департамента банковского ПО RS-Bank компании R-Style Softlab, говорит, что в настоящее время банковский сектор находится под пристальным вниманием ЦБ в связи с участившимися кибератаками, объектами которых становятся не только клиенты банков, но и сами банки. В связи с этим Банк России разрабатывает требования к кибербезопасности (например, 382-П или 552-П) и настаивает на их выполнении. ЦБ организует участие информационного обмена банков с ФинЦЕРТ для коллективной борьбы с киберугрозами.

Владимир Волков, старший вице-президент компании «Техносерв», считает, что финансовый сектор является законодателем моды в информационной безопасности, ориентиром для всего остального рынка. Банки - это самый лакомый кусок для киберпреступников различной степени подготовки и возможность быстро монетизировать свои навыки и умения.

«
В отношении банковского сектора применяется большое количество регуляторных требований в области информационной безопасности, от традиционных международных PCI DSS и SOX, до выпущенных за последний год новых обязательных требований со стороны ЦБ РФ и Swift в области информационной безопасности. Напомню, что сперва начал свою работу ФинЦЕРТ и только теперь все остальные отрасли начинают подключаться к государственной системе противодействия компьютерным атакам ГОССОПКА. Сбербанк строит, пожалуй, крупнейший корпоративный Security Operations Center (SOC) в мире, - борьба с киберпреступностью ведется ежедневно, так как злоумышленники постоянно находят новые способы атак на банки, - рассказывает Владимир Волков.
»

Еще одним ключевым сегментом для банков является обеспечение так называемой "реальной" безопасности.

«
Понимание банками проблем в защите своих информационных систем, наличие логических дыр – это сохранение не только средств банка, но и его репутации. «Техносерв» может предложить банкам защиту от киберугроз, включая такие технологии как "песочницы", защиту от целевых атак, построение SOC с особым упором на проработку методологии, процессов (например, реагирования на инциденты, управления уязвимостями), - добавляет он.
»

В банках складывается интересная ситуация: с одной стороны, необходимо стремительно выводить на рынок новые онлайн-продукты и постоянно менять ИТ-инфраструктуру, чтобы не отстать от рынка; с другой – обеспечивать высокий уровень безопасности. Главный вызов для ИБ-служб в том, чтобы найти и удержать этот баланс.

«
Распространенное решение данной проблемы – формирование типовых сервисов ИБ, которыми удобно пользоваться ИТ и бизнесу, а также сильное вовлечение в вопросы ИБ этих блоков, - считает Вадим Шустов, заместитель генерального директора компании «Инфосистемы Джет».
»

По его словам, с точки зрения регулирования в области ИБ, в России давление на финсектор одно из самых сильных, но и сам регулятор, очевидно, наиболее продвинутый в этой области.

«
Его требования не пустая формальность – они действительно продиктованы печальными примерами взломанных банков. В результате требования ужесточаются каждый год и их выполнение, особенно для небольших финансово-кредитных организаций, становится все более и более неподъемной задачей, - полагает Шустов.
»

Анатолий Набока, директор по работе с корпоративными заказчиками компании «Системный софт», считает, что наибольший интерес с точки зрения безопасности сейчас представляют EDR-решения — системы обнаружения инцидентов на рабочих местах с возможностью оперативного реагирования на них. В этом сегменте на российском рынке появляются новые интересные игроки: например, сейчас на рынок выходят предиктивные ИБ-системы Carbon Black, объединяющие в себе функциональность EDR, антивируса, системы управляемого поиска и сортировки угроз, а также решения для безопасности на уровне дата-центра.

«
Банки заинтересованы в таких инструментах, так как в них применяется проактивный подход: EDR собирают и анализируют большие объемы данных и помогают предотвратить новые, ранее неиспользованные злоумышленниками виды атак. Для финансовой организации это означает уровень киберзащиты, предоставляющий очевидное конкурентное преимущество, - отмечает Анатолий Набока.
»

Россиянам дали крупные сроки за кражу денег из интернет-банков

В Москве закончилось рассмотрение дела о банде киберпреступников, которые взламывали личные кабинеты граждан в банках, после чего выводили оттуда различные суммы денег[8].

Всего речь идет о 30 эпизодах, которые подпадают под несколько статей уголовного кодекса: создание, использование и распространение вредоносных компьютерных программ, неправомерный доступ к компьютерной информации, мошенничество в сфере компьютерной информации. Группа состояла из двух лидеров и четырех их подельников, все они получили разные сроки.

«
«Братья Дмитрий и Евгений Попелыши приговорены к наказанию в виде восьми лет колонии со штрафом 900 тысяч рублей каждый, еще трое получили наказание от четырех с половиной до шести лет колонии со штрафами до 700 тысяч рублей. Отбывать наказание они будут в колонии общего режима. Еще один подсудимый был приговорен к трем годам условно, но амнистирован», - рассказала пресс-секретарь Савеловского суда Мария Михайлова.
»

Проблемы информационной безопасности банков

В российском банковском секторе отмечается рост уровня информационной безопасности. В связи c появлением большого числа киберугроз, организации финансовой сферы переходят от «бумажной» безопасности к реальному эшелонированному подходу, который основан на оценке рисков. Так за 2017 год количество ИБ-инцидентов в финансовой сфере выросло более чем в два раза по сравнению с предыдущим годом. Атаки происходят как на клиентов — физических и юридических лиц, так и на банки и платежные системы.

Низкий уровень культуры ИБ

Высокая доля успешных атак связана в первую очередь с низким уровнем культуры информационной безопасности как среди клиентов, так и среди сотрудников банков.

«
Пренебрежение основным правилам кибергигиены влечет за собой риски, например, социальной инженерии — инструмента кибермошенничества, который также может служить началом масштабной кибератаки, - поясняет Мария Воронова, руководитель направления консалтинга ГК InfoWatch.
»

Решению озвученной проблемы, по её мнению, способствует качественное регулирование вопросов информационной безопасности отрасли — с 1 января 2018 года вступил в силу новый ГОСТ по защите информации финансовых организаций. Стандарт предлагает комплексный подход к планированию, реализации, контролю и совершенствованию процесса защиты информации в финансовых организациях.

Андрей Гридин, руководитель отдела решений информационной безопасности компании «Форс – Центр разработки» (ГК Форс), считает, что необходимо информировать сотрудников о важности безопасности, проводить инструктаж по основам ИБ с приведением примеров из практики, вводить личную ответственность каждого сотрудника, и при необходимости привлекать административные ресурсы.

Аналогичного мнения придерживается и Сергей Шерстобитов, генеральный директор Angara Technologies Group. По его словам, потеря конфиденциальных данных, как правило, связана не с «дырами» в ИТ-системах или несовершенством технических средств защиты, а с человеческим фактором, поэтому особое внимание должно уделяться обучению персонала в области информационной безопасности и повышению осведомленности в ИБ.

Антон Головатый, директор по развитию бизнеса «Ланит-Интеграция», добавляет, что все больше наших данных находится у финансовых организаций. При этом, с ростом количества совместных платформ количество персонализированных данных от банков и их партнеров будет только расти, а информация будет ещё более детализированной. Поэтому вопрос о защите персонализированных данных в будущем будет еще актуальнее, уверен он.

Алексей Трефилов, директор ELMA, говорит об опасности, которая подстерегает клиентов.

«
Удобные банковские сервисы стали для всех привычными. Парадоксально, но удобство и доступность банковских услуг, делают нас более легкомысленными. Если все вокруг постоянно пользуются телефоном для оплаты услуг и получения информации о состоянии счета, то и нам это кажется абсолютно безопасным. Поэтому очень просто потерять бдительность и, например, случайно разрешить какой-нибудь игре в телефоне читать ваши СМС, в том числе и от банка, - поясняет он.
»

Фишинг и DDoS-атаки

По данным исследования Qrator Labs, наиболее часто компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). Подробнее здесь.

Слабое взаимодействие специалистов ИБ и ИТ

Как правило, при построении новых или модернизации существующих систем специалисты по ИБ не участвуют в процессе проектирования, а только «согласовывают документацию», и защита информации ограничивается размещением оборудования в защищенном сегменте, обеспечением сетевого доступа и разграничением прав пользователей, а после ввода системы на нее «навешиваются» средства защиты информации. В результате начинаются проблемы с производительностью, рассказывает Андрей Гридин, руководитель отдела решений информационной безопасности компании «Форс – Центр разработки» (ГК Форс).

По его словам, для решения проблемы должны быть четко сформулированы требования к интеграции/взаимодействию с компонентами системы ИБ. Следует проводить регулярный инструктаж специалистов ИТ по применению/реализации этих требований. Также должно быть регламентировано обязательное включение специалиста по ИБ в проектную команду еще на этапе проектирования или модернизации системы.

Защита мобильных рабочих мест

По мнению экспертов, уже недостаточно обеспечить безопасность на уровне мобильного приложения. Когда личное устройство становится полноценным рабочим местом сотрудников, необходим более широкий, но не менее надёжный способ защиты данных.

Дмитрий Лившиц, генеральный директор «Диджитал Дизайн», рассказывает, что для устранения этой проблемы его компания разработала решение, которое позволяет произвольное корпоративное приложение заказчика погружать в защищённую среду, так называемый защищённый контейнер. В нем можно работать с любым приложением на персональном устройстве, не переживая, что информация утечет во вне.

«
Интеграция приложения в «контейнер» реализуется путём «обёртывания» – автоматической подмены используемых в приложении стандартных библиотек работы с файлами, локальной базой данных и сетью на их шифрованные аналоги, - поясняет он.
»

Безопасность мобильных и интернет-банков

Максим Никитин, вице-президент Maykor, генеральный директор БТЕ (BTE), отмечает, что в банковской сфере по-прежнему не теряют актуальности проблемы в области безопасности мобильных и интернет-банков в следствии недостаточного уровня шифрования данных и возможности запуска мобильного приложения в общественных интернет-сетях, где высока вероятность перехвата трафика.

«
Решение лежит на поверхности и заключается в разработке и внедрении улучшенных систем шифрования и тестировании приложений на возможность атак в общественном месте, - поясняет он.
»

Несертифицированные средства защиты информации

Банки столкнулись с тем, что для обработки огромных массивов данных, которые растут ежедневно, они не могут так же бесконечно наращивать ресурсы. Имеет смысл хотя бы часть данных переносить в облака, куда устремляются не только централизованные ресурсы, сосредоточенные в ЦОД, но и конечные рабочие станции.

Поэтому актуальность перехода в облака растет, но с выполнением стандартов Банка России и других нормативных документов в части выполнения требований по защите информации, отмечает Михаил Головачев, генеральный директор «Амтел-Сервис». При этом, проблема, по его словам, состоит в том, что многие современные средства ИБ не сертифицированы на соответствие требованиям по защите информации.

Большие финансы киберпреступности

Киберпреступность – огромный, хорошо организованный бизнес, который ежегодно оперирует миллиардами долларов по всему миру. Далеко не всегда от кибератак защищают антивирусные программы или технологии защиты данных, потому что технологии хакеров так же постоянно совершенствуются, как и инструменты безопасности.

«
Основная проблема в том, что финансирование киберпреступности на порядок выше финансирования компаний, которые борются с ней. Как следствие, продолжение наращивания возможностей у ИТ-преступников, и все возрастающая потребность в новых технологиях ИТ-безопасности. В целом, сотрудники информационной безопасности еще долгое время будут ценными кадрами для кредитных организаций, - отмечает Алексей Колесников, директор по продажам iSimpleLab.
»

Юрий Гольцер, технический директор департамента CRM компании Navicon, добавляет, что постоянно совершенствуются механизмы защиты информации клиентов, в том числе разрабатываются новейшие алгоритмы шифрования.

«
В 2017 году начались тестирования инструментов квантового шифрования: Российский квантовый центр (РКЦ) запустил первую в России линию связи с квантовой защитой между двумя офисами Сбербанка. Сейчас за экспериментами в области применения квантовых компьютеров для обеспечения безопасности данных пристально следят разработчики блокчейн-проектов. Кроме того, банки видят перспективы защиты от киберпреступности в создании универсальных механизмов совместной работы с правительствами и правоохранительными органами. По мнению участников рынка, чтобы сделать рынки, инструменты и системы киберпреступниками неэффективными, необходимо, прежде всего, налаживать коммуникацию между банковскими системами различных стран, - говорит представитель Navicon.
»

Он также напоминает, что в начале года американские банки и онлайн-кредитеры Citigroup, Kabbage, Depository Trust & Clearing Corporation, Hewlett Packard и швейцарская Zurich Insurance Group объявили о создании консорциума по кибербезопасности в сфере финтеха – управлять им будет Всемирный экономический форум.

«
Подобные инициативы мы видим по всему миру. Например, британские офисы Lloyds joins Barclays, Deutsche Bank, Santander UK и Standard Chartered объединились в Альянс по киберзащите (Cyber Defence Alliance). Тенденция к объединению против общей угрозы будет только расти, - уверен Юрий Гольцер.
»

Минюст обязал банки проводить пентесты и аудит кибербезопасности

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного оборудования. Документ подписало летом 2018 года Министерство юстиции Российской Федерации. Само собой, соответствие этим требованиям ляжет финансовым грузом не только на плечи банков, но также и на плечи их клиентов. Таким образом, поправки в положение ЦБ 382-П наконец приобрели завершенный вид и были зарегистрированы Минюстом. 26 июня, два дня назад, ЦБ направил банкам этот документ. Теперь кредитным организациям придется использовать программное обеспечение, сертифицированное ФСТЭК.

Специалисты считают, что в некоторых случаях банки не уделяют сертификации должного внимания, что приводит к последующему обнаружению уязвимостей в программах. Анализ защищенности могут себе позволить лишь те финансовые организации, в штате которых имеются сильные ИБ-специалисты. Пентесты теперь, согласно документу, будут проводиться ежегодно, а раз в два года кредитным организациям придется осуществлять внешний аудит кибербезопасности. Основная озабоченность в данной ситуации — рост расходов. Центробанк же считает, что расходы не будут чрезмерными.

Банки РФ получили возможность блокировать операции по снятию средств через системы ДБО

Госдума РФ 5 июня 2018 года одобрила в третьем чтении правительственный законопроект, направленный на противодействие хищению денежных средств при совершении операций с использованием систем дистанционного банковского обслуживания (ДБО).

Документ устанавливает порядок действий банков при выявлении признаков нелегитимных транзакций — то есть, переводов средств, совершаемых без ведома и согласия владельца счёта. За банком или оператором по переводу денежных средств закрепляется обязанность приостановить на срок не более двух рабочих дней исполнение распоряжения, а также заблокировать на такой же срок электронное средство платежа, если обнаружены признаки совершения перевода денежных средств без согласия клиента.

Эти признаки определяются Центральным банком РФ. Наряду с этим, банку предлагается предоставить право совершать аналогичные действия при выявлении дополнительных признаков совершения перевода денежных средств без согласия плательщика — их банки будут вправе устанавливать самостоятельно в соответствии с требованиями ЦБ.

После приостановки перевода денежных средств и блокировки электронного средства платежа банк будет обязан незамедлительно запросить у клиента подтверждение о возможности исполнения платежного поручения (возобновления использования электронного средства платежа). При получении подтверждения клиента банк обязан будет исполнить распоряжение (возобновить использование электронного средства платежа) незамедлительно, при неполучении — совершить аналогичные действия по истечении двух рабочих дней.

Кроме того, вводится особый порядок действий банка, нацеленных на возврат денежных средств законному владельцу в случае осуществления несанкционированного списания со счета клиента. Указанный порядок предназначен только для защиты юридических лиц: для физических лиц процедура возврата средств была закреплена более ранним законом.

Законопроект закрепляет полномочия ЦБ по формированию и ведению базы данных о случаях совершения перевода денежных средств без согласия клиента и определению порядка направления и получения операторами по переводу денежных средств, операторами платежных систем и операторами платежной инфраструктуры информации из указанной базы данных.

«
Банковская система во всём мире несёт колоссальные убытки из-за действий кибермошенников, крадущих средства со счетов физлиц и организаций, — отметил Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". — Злоумышленники постоянно совершенствуют свои инструменты, используемые для хищений, однако нелегитимные транзакции всегда имеют определённые индикаторы, по которым их можно выявить. Предлагаемый законопроект регламентирует процедуры, которые необходимо предпринимать, если происходит подозрительная транзакция. Вопрос пока только в том, насколько грамотно будут составлены списки признаков таких транзакций — на уровне ЦБ и отдельных банков.
»

Документ вступит в силу по истечении 90 дней после дня его официального опубликования; по-видимому, осенью 2018 года он уже будет действовать.[9]

ЕЦБ привлечет хакеров для проверки кибербезопасности финансового сектора

Европейский Центробанк (ЕЦБ) объявил в мае 2018 года о запуске программы проверки на кибербезопасность банковской системы. Как сообщает «Коммерсантъ» со ссылкой на заявление банка, тестировать системы на прочность будут штатные сотрудники, а также специально нанятые команды хакеров, которые попытаются обнаружить недочеты, моделируя реальные попытки взлома.

Соответствующий проект называется «Европейская программа по отражению угроз с использованием специальных экспертов, атакующих систему извне» (European Framework for Threat Intelligence-based Ethical Red Teaming — TIBER-EU). Программа носит рекомендательный характер — в ЕЦБ подчеркивают, что страны-члены ЕС могут сами решать, когда и как проводить проверки своих финансовых учреждений.

В ходе тестов предлагается использовать «полный спектр приемов, которые применяют реальные хакеры». В частности, ЕЦБ предлагает подвергнуть условным кибератакам критически важные системы финансовых учреждений.

По итогам проверок будут даны рекомендации по совершенствованию конкретной системы безопасности того или иного финансового учреждения, уточнили в ЕЦБ. При этом в пояснениях к программе TIBER-EU говорится, что «власти будут признавать прохождение тестов только в том случае, если в них будут участвовать не только внутренние специалисты, но и внешние стороны».

Positive Technologies: веб-приложения банков наиболее уязвимы

Специалисты Positive Technologies подготовили статистику по уязвимостям веб-приложений, которые были исследованы в рамках работ по автоматизированному анализу защищенности с применением PT Application Inspector в 2017 году.

По результатам автоматизированного анализа исходного кода было установлено, что все веб-приложения имеют уязвимости, причем всего лишь в 6% исследованных систем отсутствуют уязвимости высокой степени риска.

Наибольшему риску, как и следовало ожидать, подвержен финансовый сектор (его доля составляет 46% от общего количества исследованных веб-приложений). Во всех приложениях банков и других финансовых организаций были найдены уязвимости высокой степени риска.

Финансовые, а также государственные организации, отмечают эксперты Positive Technologies, наиболее заинтересованы в анализе исходного кода, так как их веб-ресурсы являются приоритетными целями для злоумышленников, что подтверждается регулярными аналитическими отчетами компании.

Автоматизированный анализ защищенности с применением PT AI показал, что все протестированные веб-приложения содержат уязвимости различной степени риска. При классификации уязвимостей по степени риска было установлено, что большая их часть (65%) относится к среднему уровню опасности, 27% — к высокому.

Самой распространенной уязвимостью, выявляемой при автоматизированном анализе исходного кода приложений, является «Межсайтовое выполнение сценариев», с помощью которой злоумышленник может проводить фишинговые атаки на клиентов веб-приложения или заражать их рабочие станции вредоносным программным обеспечением (встречается в 82% протестированных систем).

На основании анализа последствий от эксплуатации выявленных в веб-приложениях уязвимостей специалисты Positive Technologies составили рейтинг угроз безопасности. Самая распространенная угроза — это возможность проведения атак на пользователей веб-приложения (ей подвержены 87% банков и все без исключения государственные учреждения).

Как подчеркнули в Positive Technologies, большинство пользователей таких веб-ресурсов очень плохо осведомлены в вопросах информационной безопасности и легко могут стать жертвами злоумышленников. Кроме того, среди веб-ресурсов госучреждений распространены и другие критически опасные уязвимости. Например, при исследовании веб-приложения администрации одного из муниципальных образований была обнаружена уязвимость высокой степени риска «Внедрение SQL-кода», с помощью эксплуатации которой возможно получить чувствительную информацию из базы данных.

Уязвимости, проводящие к отказу в обслуживании, представляют наибольшую проблему для интернет-магазинов, так как сбой в работе веб-приложения для организации, занимающейся электронной торговлей, напрямую связан с финансовыми потерями. Кроме того, чем популярнее интернет-магазин, тем больше клиентов посещают его каждый день и тем вероятней, что злоумышленник попытается использовать уязвимости данного веб-ресурса для атак на его пользователей.

«
Веб-приложения являются одной из основных мишеней для злоумышленников, потому что большое число неисправленных уязвимостей и простота их эксплуатации помогают атакующим успешно достигать своих целей — от кражи чувствительной информации до доступа к внутренним ресурсам локальной вычислительной сети, — отметила Анастасия Гришина, аналитик Positive Technologies. — Важно понимать, что большинство уязвимостей можно выявить задолго до атаки, а анализ исходного кода веб-приложений позволяет обнаружить в несколько раз больше критически опасных уязвимостей, чем тестирование систем без исследования кода.
»

FinCERT: главные факты о финансовом мошенничестве в России

Как стало известно в феврале 2018 года, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ выпустил обзор мошеннических финансовых операций в России за 2017 год.

Первая удачная атака через SWIFT

Согласно обзору, в 2017 году хакерам впервые удалось успешно атаковать российский банк через систему SWIFT и похитить при этом 339,5 млн рублей. По информации "Ведомостей" и "Коммерсанта", жертвой атаки стал банк "Глобэкс". Президент финансовой организации Валерий Овсянников подтвердил, что "была попытка атаки", но отметил, что средства клиентов не пострадали. Сумму хищения банк раскрыл в конце декабря 2017 года: хакеры смогли вывести около $1 млн, но большую часть средств удалось заблокировать и вернуть.

В целом, по словам экспертов, использование канала SWIFT необычно для России. Как правило, хакеры используют для вывода средств карты. В мировой практике эту систему используют намного чаще.

Мошенничество со счетами юрлиц

В 2017 году со счетов компаний пытались похитить средства 841 раз. При этом объем таких операций за 2017 год снизился на 17,4% до 1,57 млрд рублей. Вернуть удалось чуть больше половины этой суммы.

Наибольший интерес для мошенников представляют суммы от 100 тысяч до 1 млн рублей. На этот сегмент приходится половина мошеннических операций со счетами компаний. Чуть более трети — на сегмент от одного до десяти миллионов.

Самым популярным способом похищения денег является внедрение вредоносного кода, так как операции в большинстве своем совершаются со стационарных компьютеров.

Атаки на карты

Согласно данным обзора FinCERT, средняя сумма мошенничества с картами в 2017 году в России составила 3 тысячи рублей. Этот показатель снизился, как и объем операций злоумышленников с картами, выпущенными в России, который в 2017 году составил около 1 млрд рублей.

Чуть менее половины операций по российским банковским картам проходит за пределами России. При этом абсолютный лидер по количеству и объему мошеннических операций с использованием банковских карт в России — Москва, отмечается в обзоре.

Возможным объяснением снижения интереса к хищениям с банковским карт, по мнению экспертов, могло бы стать все более активное развитие криптовалют и, как результат, переключение внимания мошенников на них. Однако такая тенденция может оказаться недолгой. Законодательное регулирование рынка криптовалют может привести к росту мошеннических операций, полагают в FinCERT[10].

«
Законодательное регулирование соответствующего рынка (криптовалют — прим. TAdviser) может снизить его привлекательность для злоумышленников, что, возможно, повлечет за собой повышение их активности в области дистанционных платежных сервисов и, как следствие, увеличение количества и объема несанкционированных операций, — говорится в обзоре.
»

Как оказалось, многие россияне и компании предпочитают не обращаться в правоохранительные органы в случае мошенничества с их банковской картой. Так, в случае с 97% несанкционированных операций с использованием карт либо точно известно, что обращения в правохранительные органы не было, либо о таком обращении нет никаких данных.Только 20% юрлиц, сталкивающихся с мошенничеством, обращались в правоохранительные органы.

Атаки на банкоматы и терминалы

Согласно статистике, интерес мошенников к ним снижается. Так, объем незаконных операций с ними сократился на треть до 230,7 млн рублей. А ущерб от действий мошенников составил 42 млн рублей.

По информации FinCERT, в основном используются несколько способов взлома банкоматов: подключение к аппаратам устройств, позволяющих ими управлять, удаленное управление после заражения вирусом и физическое воздействие на них (например, взрыв).

Внимание злоумышленников переключилось на CNP-транзакции (англ. Card not present transaction), при которых держатель карты физически может не присутствовать во время и в месте проведения оплаты. Объем последних несущественно (примерно на 1,5%), но вырос, составив 726,4 млн рублей.

2017

Исследование TAdviser и VMware

Компания VMware представила в декабре 2017 года результаты исследования крупнейших финансовых организаций, проведенного совместно с аналитическим центром TAdviser. Согласно отчету, больше половины (52%) банков и страховых компаний России и СНГ увеличили бюджет на информационную безопасность в 2016-17 г. в связи с ростом киберугроз и активности вредоносных программ[11].

Исследование еще раз подтвердило, что за последний год количество угроз информационной безопасности для корпоративного сектора выросло значительно — это подтверждают 80% опрошенных финансовых организаций. Лишь 16% зафиксировали сохранение прежнего уровня киберпреступности. Репутационные и финансовые потери (в том числе, упущенная выгода) — наиболее критические последствия от инцидентов ИБ в финансовых организациях, считают около 50% опрошенных. Поэтому в условиях роста киберугроз более половины (52%) компаний увеличили бюджет на средства защиты.

Почти треть респондентов (28%) также опасаются мер со стороны регуляторов (например, отзыва лицензий) в результате успешной атаки или утечки данных. Однако какими бы ни были последствия, ни у кого нет сомнений в том, что они неизбежны.

Банки активно предлагают своим клиентам возможность онлайн-взаимодействия, например, через онлайн-банкнинг и мобильные приложения. Поэтому неудивительно, что среди наиболее распространенных угроз компании финансового сектора отметили DDoS-атаки (28%). Недоступность мобильного или онлайн-банка даже в течение нескольких часов может значительно испортить репутацию банка или привести к прямым финансовым потерям. Среди других угроз респонденты отметили фишинг (26%) и атаки шифровальщиков (10%).

Цифровая трансформация банковского бизнеса также подразумевает перевод вычислений в облако. Например, по данным исследования VMware[12], в США 81% респондентов из банков с активами в 100 млрд долларов и более и 68% банков с активами от 15 до 100 миллиардов долларов в настоящее время осваивают облачные вычисления. Однако у финансовых компаний в России есть серьезные опасения в связи с облачной моделью. Так, более двух третей (70%) считают потеряю или хищение данных главными рисками при миграции в облачную среду. С большим отрывом респонденты отметили простои по вине провайдера (26%).

Использование мобильных устройств для решения рабочих задач становится нормой и для самих сотрудников банков. Однако больше половины финансовых организаций (53%) не используют никаких решений по управлению мобильными устройствами (MDM/EMM), что в результате может привести к утечке корпоративных данных.

Опасность для бизнеса состоит в том, что растет не просто количество и масштаб атак — все чаще злоумышленники используют неизвестное вредоносное ПО. Это зловреды, которые не может отследить традиционный антивирус, потому что данных о них еще нет в базах ИБ-компаний. Эффективным ответом на эту новую угрозу является модель «нулевого доверия», которая стала возможной благодаря использованию программно-определяемых сетей (Software-Defined Networks, SDN) — она реализована в решении VMware NSX. Согласно опросу, половина банков (50%) и страховых компаний ориентируются на модель «нулевого доверия» при построении ИБ-систем, однако лишь 4% респондентов уже развернули программно-определяемые сети. К счастью, почти половина организаций (40%) подтверждают свои планы использования SDN.

«В современной цифровой экономике данные являются основным активом банков и страховых компаний. Их утечка или несанкционированный доступ к ним может привести к критическим последствиям для всей организации. Технологии SDN (программно-определенных сетей) призваны помочь нашим заказчикам ответить на эти вызовы в области информационной безопасности, — говорит Александр Василенко, глава представительства компании VMware в России и СНГ. — Стратегия информационной безопасности VMware совместно с партнерскими решениями позволяет обеспечить встроенную защиту на всех уровнях сетей, облаков и конечных устройств. Например, благодаря технологии микросегментации VMware NSX в случае взлома одного сегмента сети можно остановить распространение эпидемии на остальные сегменты. Этот подход позволяет существенно минимизировать ущерб, даже если злоумышленникам уже удалось проникнуть в вашу сеть».

В Google Play бум троянцев, маскирующихся под мобильные приложения банков

Group-IB в конце ноября 2017 года отметила волну массового распространения троянцев, маскирующихся под мобильные приложения ведущих банков страны. Специалисты Group-IB блокируют ресурсы, с которых идет распространение этих приложений, но их объем постоянно растет.

Трояны, предназначенные для мобильных устройств под управлением ОС Android, распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. При этом эксперты Group-IB отметили высокое качество программ-подделок, что сбивает с толку многих пользователей, не обращающих внимание на подозрительные «мелочи». Подробнее здесь.

Исследование Qrator Labs и Валарм

Работы в рамках настоящего исследования проводились в формате полевого опроса. Респондентам предлагалось ответить на вопросы анкеты. Опрос был организован среди банков и платежных систем, работающих в России. В выборку включены банки из рейтинга ТОП 200 по размеру активов.

Бюджет на ИБ

Отрасль информационной безопасности закономерно продолжает расти. По данным проведенного опроса, более трети (32%) респондентов из финансовой отрасли подтвердили увеличение своего ИБ-бюджета в 2016 г., а еще 39% отметили сохранение инвестиций в безопасность в прежнем объёме.

Заметно, что рост ИБ-бюджетов становится напрямую связанным с практической составляющей: финансовые организации планируют увеличение расходов на безопасность, оказавшись перед лицом реальной угрозы. Это примечательно по двум причинам: в то время как формальное соответствие требованиям регуляторов перестаёт быть основным драйвером роста, тем не менее, проактивная тактика защиты и планирование ИБ-архитектуры на основе, по крайней мере, тестирования на проникновение (или пентеста) всё ещё таким драйвером не является.

13% респондентов сообщили, что бюджет на ИБ в их организациях в 2016 г. несколько снизился. При этом опрошенные в целом отмечают отсутствие связи между снижением бюджета и реальным уровнем угроз – причины снижения ИБ-бюджетов в основном лежат в иной плоскости и не зависят от состояния и вызовов дисциплины ИБ. По сути, перед заметной частью департаментов ИБ в 2016 году была поставлена задача оптимизации расходов при сохранении и даже повышении требуемого уровня защищенности от внешних неблагоприятных условий, хотя в целом по индустрии тенденция к росту бюджетов на данный момент сохраняется.

Замена используемых средств защиты

Методы защиты, внедряемые ранее, сегодня обеспечивают недостаточный уровень безопасности: выросли угрозы по уже существующим направлениям, появились и новые риски.

В подавляющем большинстве случаев основной стимул для обновления инфраструктуры ИБ – это внешняя активность: инциденты, связанные с демонстрацией недостаточной защиты и проблемами, которые организованы либо «черными шляпами» – взломщиками, либо «белыми» – тестировщиками. Более четверти респондентов видят для себя необходимость в замене используемых средств защиты при переходе на новые инфраструктуры (облака, микросервисы и пр.), где используемые решения перестают быть эффективными.

Заметную роль при принятии решения об обновлении используемых средств защиты играет вопрос происхождения закупаемых продуктов: около 13% респондентов ответили, что в первую очередь склонны заменять импортные решения на российские аналоги.

Приобретение решения WAF

В качестве основного фактора для покупки решения WAF респонденты отметили защиту от уязвимостей 0 дня – 37%. Такой возможностью обладают только решения нового поколения, использующие бессигнатурный подход для детектирования атак. По-прежнему значительная часть компаний использует WAF для соответствия стандарту PCI DSS – 27%.

36% респондентов используют WAF для обеспечения высокого темпа разработки: 19% – для защиты часто обновляемого кода и 17% – для использования виртуального патчинга уязвимостей. Увеличение числа компаний, применяющих решения по обеспечению безопасности на этапе написания кода, говорит об общем росте осведомленности о стандартных практиках информационной безопасности и формировании качественного подхода к обеспечению комплексной защиты веб-приложений.

Типы угроз

Более половины респондентов из финансового сектора (55%) отмечают, что за последний год уровень угроз DDoS вырос. По-прежнему DDoS-атаки на организации финансового сектора устраиваются чаще, чем на компании из других отраслей, например, ритейл, СМИ. Однако теперь важно не только то, что злоумышленники обладают всей полнотой знаний, где именно хранятся интересующие их средства, но также они понимают, с помощью каких методов эти деньги можно получить. Запустив DDoS-атаку в качестве отвлекающего фактора, злоумышленники с помощью вредоносных программ могут произвести захват системы управления безналичными платежами и, таким образом, получают возможность переводить деньги между любыми счетами до момента своего обнаружения.

Отсюда следует, что системы защиты, применяемые в финансовых организациях, несовершенны, и подходы к развитию ИТ-инфраструктуры требуют пересмотра и обновления.

Угроза атак на отказ в обслуживании продолжает расти: почти половина опрошенных испытывала по крайней мере одну DDoS-атаку в 2016 году. Столкнувшись с наличием мер по защите от атак, злоумышленники обычно переключают своё внимание на иные цели. В том числе, вероятно, ввиду этого целый ряд компаний в финансовой сфере столкнулся с DDoS-атаками в 2016 году впервые. При этом, однако, около 20% компаний находятся в фокусе злоумышленников и вынуждены применять продвинутые методы защиты. Среди основных причин, ведущих к попаданию финансовой организации в фокус организаторов DDoS-атак, можно назвать как размеры организации и её популярность на рынке, так и отсутствие внедрённых адекватных контрмер для борьбы с DDoS-атаками, вследствие чего организация может стать лёгкой добычей для кибервымогателей.

Таким образом, по мере широкого внедрения различных решений для борьбы с DDoS-атаками ландшафт рынка может меняться. В частности, ожидаемое усложнение `пробных` атак продолжит приводить к эволюции средств защиты и к росту угрозы для организаций и предпринимателей, не планирующих адекватные вызовам инвестиции в ИБ.

Наиболее часто опрошенные компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). По сравнению с результатами опроса 2015 года, угроза DDoS-атак осталась примерно такой же (24% в 2015 году). Сохранение числа DDoS-атак и внимания к ним со стороны банковского сектора на достаточно высоком уровне обусловлено волной массированных DDoS-атак на ряд крупных российских банков: в 2016 году были атакованы веб-сайты многих известных финансовых организаций из топ-10.

Угроза фишинга существенно выросла (с 21% в 2015 году до 30% в 2016-м) в связи с компаниями, выходящими на ICO. Неутихающий ажиотаж вокруг ICO привел к высокому риску мошенничества, и среднестатистические пользователи не имеют точного представления, как обеспечить собственную защиту и склонны не замечать интернет-мошенничество. В сфере ICO фишинг стал серьезной проблемой, и это позволяет судить о том, что и в смежных отраслях, например, в финансовом секторе, фокус злоумышленников также смещается в сторону такого метода получения доступа к конфиденциальным данным пользователей.

Смещение фокуса в сторону фишинга – одно из следствий развития инструментов, доступных киберпреступникам. В частности, несмотря на то, что число взломов в единицу времени в целом за последние годы сохраняется на одном уровне, на данный момент финансовые организации уже не всегда могут своевременно обнаруживать и точно фиксировать подобные инциденты.

Среднее количество атак на веб-приложения в финансовой сфере, по данным Валарм, составляет 1500 в день. Основная часть из них – это автоматизированные инструменты и сканеры. Такая активность автоматизированных средств создает большой информационный фон и усложняет выявление реальных инцидентов. По статистике Валарм, основные векторы атак на веб-приложения - это внедрение SQLi операторов – 26,8% и межсайтовая подделка запросов (XSS) – 25,6%. Повышенный интерес к этим типам атак связан с возможностью получения информации о базах данных клиентов и персональной информации пользователей. Третье и четвертое место занимают выход за пределы значений директории - 25% и удаленное выполнение кода – 19,5%. При этом основная часть инцидентов – 60% – связана с удалённым выполнением кода.

Типы используемых решений

Большинство респондентов (68%) считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети).

Как показало исследование, информационная безопасность остается значимым приоритетом для организаций финансового сектора, и этот приоритет неуклонно растет: отрасль находится в стадии пробуждения. Участники рынка пока неокончательно сфокусировались на угрозах ИБ, но в определенной степени уже можно говорить о достижении российскими финансовыми организациями определенного уровня зрелости в вопросах защиты и управления рисками. Переосмысление политик безопасности в банковской отрасли будет продолжать свое развитие, о чем свидетельствует то, что расходы на ИБ не сокращаются, а, наоборот, в основном растут. В ближайшей перспективе с ростом бюджета мы увидим повышения уровня защищенности компаний.

Сбербанк: Большинство хищений денег со счетов клиентов «происходит руками самих клиентов»

Большая часть мошенничества, связанного с хищением денег со счетов клиентов, «происходит руками самих клиентов». Об этом в ноябре 2017 года TAdviser заявил руководитель службы кибербезопасности Сбербанка Сергей Лебедь. Они сами отдают свои пароли, свои карточки, телефоны, передают SMS-коды подтверждения. Такое мошенничество называется социальной инженерией, а внутри социальной инженерии - «самопереводом», говорит он.

В рамках социальной инженерии злоумышленники находят причину, по которой человек может совершить действия, ведущие к утрате денег. Как правило, задействован корыстный интерес - например, купить что-то по скидке или интересное коммерческое предложение. Также используется предлог, что якобы родственник клиента попал в беду, рассказал TAdviser Лебедь.

Сергей Лебедь уверен, что технические способы защиты клиентов Сбербанка достаточно эффективны
Сергей Лебедь уверен, что технические способы защиты клиентов Сбербанка достаточно эффективны

Особенно подвержены такому воздействию люди пожилого возраста, которые думают о своих внуках, детях и получив просьбу, сразу бегут к банкомату, делают то, что им говорят злоумышленники, отмечает он

По его словам, часто бывают случаи, когда системы противодействия мошенничеству банка «видят», что мошенничество происходит и почему: когда клиент ни с того ни с сего начал переводить деньги на карту мошенника, и мы знаем, что это карта мошенника. В этом случае мы останавливаем транзакцию и звоним клиенту с целью предупредить и остановить.

Бывает, что на удочку социальных инженеров попадаются даже сами сотрудники Сбербанка, следует из слов Сергея Лебедя.

Технические способы защиты клиентов Сбербанка достаточно эффективны, но противодействие социальным инженерам представляет достаточно большую проблему. Ее решение банк видит в повышении финансовой и компьютерной грамотности населения. По словам Сергея Лебедя, банк проводит большую работу по этому направлению: разъяснительную работу и на площадках Сбербанка, и на федеральных каналах.

Представитель Сбербанка добавил, что одна из задач службы кибербезопасности, помимо предотвращения хищений денежных средств, это обеспечение устойчивости и непрерывности бизнес-процессов банка и обслуживания клиентов. Сергей Лебедь заявил TAdviser, что от компьютерных атак простои Сбербанка в 2017 году были ноль минут: «то есть, мы ни на секунду не прерывали деятельность банка вследствие различных атак».

Верховный суд РФ пояснил тонкости квалификации кибермошенничества

Верховный суд РФ разъяснил судьям, как следует квалифицировать кибермошенничество и мошенничество с банковскими картами. Пленум ВС РФ выпустил постановление «О судебной практике по делам о мошенничестве, присвоении и растрате», в котором впервые объясняется, в каких случаях и каким образом должны применяться новые статьи о мошенничестве, добавленные в УК РФ в 2012 году, сообщает в ноябре 2017 года ТАСС[13].

В статье «Мошенничество в сфере компьютерной информации» (159.6 УК РФ) предусматривается использование ПО или программно-аппаратных средств для воздействия на серверы, компьютеры (в том числе портативные) или на информационно-телекоммуникационные сети с целью незаконного завладения чужим имуществом или получения права на него. Подобные действия должны быть квалифицированы дополнительно по статьям УК о неправомерном доступе к компьютерной информации или о создании, использовании и распространении вредоносного ПО.

Использование чужих учетных данных подлежит квалификации по статье «Кража». Под использованием чужих учетных данных имеется в виду тайное или обманное использование подключенного к услуге «Мобильный банк» телефона жертвы, авторизация в системе интернет-платежей под похищенными учетными данными и т.п.

Как обычное мошенничество, предусмотренное ст. 159 УК РФ, следует рассматривать хищение имущества путем распространения в Сети заведомо ложных сведений (создание поддельных сайтов, online-магазинов, использование электронной почты).

К статье «Мошенничество с использованием платежных карт» (159.3 УК РФ) следует прибегать в случаях, если мошенник выдавал себя за истинного владельца банковской карты при оплате покупок или осуществлении банковских операций. Обналичивание средств через банкоматы квалифицируется как кража.

Как поясняется в постановлении ВС РФ, хищение безналичных средств с помощью личных данных владельца, пароля, данных карты, полученных преступником от ее владельца путем обмана или злоупотребления доверием, также должно рассматриваться судом как кража.

Изготовление, хранение, перевозка поддельных платежных карт, технических устройств и ПО для неправомерного приема, выдачи, перевода денежных средств, следует считать приготовлением к преступлению (если преступление так и не было совершено по независящим от злоумышленника причинам).

Реализация непригодных к использованию поддельных платежных карт, технических устройств и ПО якобы для хищения денег расценивается как мошенничество или мелкое хищение.

Изготовление или покупка поддельных банковских карт с целью хищения в крупном или особо крупном размере без доведения умысла до конца (по независящим от злоумышленника причинам) является одновременно и приготовлением к хищению, и оконченным преступлением, предусмотренным ст. 187 УК РФ («Неправомерный оборот средств платежей»).

Атака вируса Silence

31 октября 2017 года «Лаборатория Касперского» сообщила о новой кибератаке на банки. Хакеры рассылают в финансовые учреждения зараженные электронные письма, которые маскируются под сообщения от реальных людей.

Злоумышленники используют троян под названием Silence, который прикрепляют к фишинговым письмам. Часто текст писем выглядит как стандартный запрос на открытие счета, предупреждают в «Лаборатории Касперского».

«Лаборатория Касперского» сообщила о хакерской атаке на российские банки
«Лаборатория Касперского» сообщила о хакерской атаке на российские банки
«
Злоумышленники используют легитимные администраторские инструменты, чтобы оставаться незамеченными. Это усложняет как обнаружение атаки, так и атрибуцию, — отметил старший антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин.
»

В письмах содержатся зараженные вложения формата .chm (файл справки Microsoft). При открытии вложения автоматически запускается прикрепленный него html-файл, содержащий вредоносный javascript-код. Скрипт загружает и активирует дроппер, а тот уже подгружает модули троянца Silence, работающие как службы Windows: модуль управления и контроля, модуль записи активности экрана, модуль связи с управляющими серверами и программу для удаленного выполнения консольных команд.

Таким образом, хакеры захватывают управление зараженным компьютером и могут рассылать письма с вредоносным вложением от имени реальных партнеров банков.

Атакующие получают доступ к внутренней банковской сети, какое-то время изучают ее внутреннюю инфраструктуру и записывают видео с экранов компьютеров сотрудников банка. После анализа того, как используется банковское ПО, злоумышленники осуществляют перевод денежных средств.

Первые атаки с использованием трояна Silence были зафиксированы в июле 2017 года. Распространение вируса продолжается к моменту написания статьи (31 октября). Хакерские атаки с использованием этого вируса замечены в России, а также в Армении и Малайзии.[14]

Банки получат право блокировать счета клиентов при проведении сомнительных операций

Правительство РФ внесло в Государственную Думу разработанный Министерством финансов законопроект, который дает право банкам блокировать карты и счета клиентов в том случае, если проводимые ими финансовые операции представляются кредитным организациям подозрительными. При подозрении на хищение банк должен незамедлительно связаться с физическим лицом по телефону или через электронную почту, с юридическим лицом — в порядке, установленном договором об использовании электронного средства платежа. Законодательная инициатива властей привела к всплеску активности в социальных сетях: пользователи опасаются возможной массовой блокировки личных счетов граждан в банках без веских на то оснований, а также выражают беспокойство, не станут ли кредитные организации злоупотреблять предоставленным им правом.

Критерии, по которым финансовые операции могут быть отнесены к сомнительным, пока не определены.

Комментарий эксперта ЦЕРИХ Кэпитал Менеджмент ИК: Сразу же стоит подчеркнуть, что подготовленный документ носит название «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия хищению денежных средств)». Таким образом, закон изначально нацелен на то, чтобы защитить добропорядочных граждан и осложнить жизнь исключительно мошенникам, пытающимся похитить деньги со счетов юридических и физических лиц.

Для этого Минфин предлагает дать право банкам приостанавливать на срок до двух рабочих дней перевод денег при выявлении признаков совершения такого перевода без согласия плательщика. При подозрении на хищение денег банк должен сразу же связаться с клиентом, чтобы получить подтверждение о необходимости провести проверку платежа.

То, как будет работать вновь принятый закон, во многом зависит от дополняющих его подзаконных актов. В данном случае мы имеем в виду разработку критериев, по которым финансовые операции, проводимые клиентами, могут быть отнесены к разряду подозрительных. Эта работа будет поручена Центробанку, и от точности формулировок регулятора зависит, будут ли возникать проблемы у законопослушных граждан. Поэтому мы предлагаем дождаться публикации данного документа и только после этого делать выводы о том, насколько точно он отражает нынешние экономические реалии.

Еще одним подводным камнем станет право самих кредитных организаций дополнять или изменять перечень установленных ЦБ РФ признаков в соответствии с особенностями их деятельности. Важно понять, имеется ли в виду в данном случае право законодательной инициативы или же кредитные организации, не дожидаясь ответа от вышестоящей инстанции, будут выстраивать отношения с клиентами на основе собственных критериев и оценок. Если ситуация будет развиваться по второму варианту, нельзя исключить возникновения неразберихи в банковском секторе в целом, поскольку у каждого банка будут собственные критерии для блокировки счетов. Причем проблемы у клиентов возникнут не из-за злоупотребления банков своими полномочиями, а из-за их желания перестраховаться.

Важно, как в свете нового закона будет выстраиваться взаимодействие между кредитной организацией и ее клиентом в случае возникновения спорной ситуации. Сегодня при блокировке счета (например, в случае внесения или снятия крупных сумм на карту, при крупных переводах на банковский счет клиента или при переводе крупных денежных сумм третьему лицу) банк просит предоставить пояснения и копии документов, подтверждающие источник поступления денежных средств. При этом после рассмотрения банк может отказаться разблокировать счет клиента с формулировкой «Документы не объясняют экономического смысла операций».

Сегодня уже при первом отказе банка в проведении операции как сомнительной (вне зависимости от того, было ли нарушение в действительности или нет) клиенты попадают в черный список отказников. Его формируют Росфинмониторинг и ЦБ и, начиная с июня текущего года, предоставляют банкам. И хотя список сам по себе носит информативный характер, зачастую именно попадание в список служит основанием для отказа банка клиенту в обслуживании. При этом сегодня отсутствует механизм реабилитации клиентов, которые попали в этот список по ошибке. А таковых, по оценкам ряда экспертов, может быть до 10 процентов.

Сегодня высказывается мнение, что после вступления в силу нового закона банкам следует ожидать массового оттока личных средств из банков и, как следствие, сокращения объемов транзакций. Якобы этот процесс уже активно идет на протяжении последних шести месяцев. Мы полагаем подобные опасения преувеличенными, как минимум, по двум причинам.

  • Во-первых, клиент, который забирает свои средства из банка на том лишь основании, что банк якобы может в любой момент заморозить его счет, должен иметь альтернативный механизм для расчетов с контрагентами. В настоящий момент подобного надежного и эффективно работающего механизма вне банковской системы не существует.
  • Во-вторых, комиссии за расчетно-кассовое обслуживание клиентов, использование систем денежных переводов и различных платежных сервисов составляют существенную долю в доходах кредитно-финансовых организаций. Уменьшение числа их клиентов автоматически приведет к снижению прибыли.

Платежные терминалы в России под атакой трояна

В начале июля 2017 года «Kaspersky (ранее Лаборатория Касперского)» объявила о том, что в России активно распространяется модификация трояна Neutrino, атакующего POS-терминалы и крадущего данные банковских карт. Согласно статистике компании, на страну пришлась четверть всех попыток проникновения этого зловреда в корпоративные системы. В зону интересов Neutrino также попали Алжир, Казахстан, Украина и Египет. Приблизительно 10% всех попыток заражений приходится на предприятия малого бизнеса.

Модификация Neutrino для POS-терминалов — не совсем типичная версия этого зловреда, который уже давно известен исследователям и неоднократно менял свои функции и методы распространения. На этот раз троян охотится за данными банковских карт, которые проходят через зараженные платежные терминалы. При этом Neutrino не сразу начинает активность и приступает к сбору информации — попав в операционную систему POS-терминала, троян выжидает некоторое время. Эксперты полагают, что таким образом он, скорее всего, пытается обойти защитные технологии, запускающие подозрительный код в изолированной виртуальной среде, так называемые «песочницы», с коротким периодом работы.

География распространения троянца Neutrino, атакующего POS-терминалы, март-июль 2017 года
География распространения троянца Neutrino, атакующего POS-терминалы, март-июль 2017 года


«Neutrino в очередной раз служит подтверждением тому, что киберугрозы постоянно эволюционируют. Новые версии известных зловредов становятся сложнее, их функциональность расширяется, а аппетиты растут. И по мере того, как число различных цифровых устройств увеличивается, области распространения вредоносного ПО также становятся шире. В таких условиях проактивная защита от всего многообразия киберугроз нужна как никогда прежде», – подчеркнул Сергей Юнаковский, антивирусный аналитик «Лаборатории Касперского».

Защитные решения «Лаборатории Касперского» распознают новую модификацию Neutrino как Trojan-Banker.Win32.NeutrinoPOS и блокируют его активность.

Атака вируса-шифровальщика Petya

В регуляторе сообщили 29 июня 2017 года, что атака вируса Petya началась с рассылки email-писем с вложенным вирусом. «В тексте сообщений злоумышленники убеждали пользователя открыть вредоносный файл, после чего активировалась вредоносная программа. Предположительно, заражение происходило при помощи эксплуатации уязвимости CVE-2017-0199 (исполнение произвольного кода из приложений Microsoft Office и WordPad)», — пояснили в ЦБ.

Вредоносное ПО представляется как Pokemon Go

В России зарегистрированы массовые случаи незаконного вывода средств с кредитных карт с помощью вредоносного ПО, которое распространяется под видом игры Pokemon Go. Программа перехватывает SMS, присланные банком, а также обеспечивает доступ к интернет-банкингу. Для максимально широкого распространения ПО преступники воспользовались популярностью игры Pokemon Go, официальный релиз которой в России до сих пор не состоялся[15].

Новость сообщили на пресс-конференции по борьбе с киберпреступностью начальник отдела «К» УМВД РФ по Ярославской области Денис Дуров и замуправляющего отделением по Ярославской области ГУ Центрального банка РФ по ЦФО Евгений Ефремов.

Дуров заявил, что в 2016 г. в Ярославской области было заведено 200 уголовных дел, связанных с мошенничеством, и 92 дела, касающихся незаконного вывода средств с кредитных карт. По его словам, основные способы хищения средств – это подключение к банкоматам специальных приборов, фишинг и использование вредоносных программ, причем последний метод становится все более распространенным.

Однако самым распространенным способом хищения средств с карт остается фишинг. Во время фишинговой акции преступники звонят жертвам, представляются сотрудниками банка и запрашивают данные о кредитной карте, отмечает Дуров. По состоянию на 1 октября 2016 г. в области было выдано 2,1 млн кредитных карт. Многие владельцы карт недостаточно информированы о мерах безопасности при работе с ними и считают нормальным сообщить данные карты сотруднику банка по телефону.

Плагины браузеров - средство для хищения средств с карт

27 января 2017 года компания «Яндекс» сообщила в СМИ: конфиденциальные данные о банковских картах пользователей воруются посредством расширений для браузеров. Киберпреступники научились похищать данные, распространяя вредоносные плагины с более 80 тыс. сайтов в сети Интернет.

Имеются ввиду зараженные программные расширения, которые снабжают пользователей полезной информацией не заходя на специальные сайты - курсы валют или прогноз погоды. Такие программы распространяются через магазин расширений или из непроверенных источников, и могут исполняться, как в стационарных, так и в мобильных версиях браузеров [16].

Реклама карт \"МИР\", (2015)
Реклама карт "МИР", (2015)

Устанавливая непроверенные вредоносные плагины, пользователь открывает кибермошенникам доступ к паролям, логинам и данным банковских карт. Согласно заявлению представителей «Яндекс», ежемесячно с такими проблемами сталкиваются 1,24 млн пользователей.

«
Для защиты от данного вида угроз, помимо общих рекомендаций, необходимо пользоваться только легальными расширениями из официальных магазинов. При этом данные угрозы делятся на два вида: угроза заражения персонального компьютера вредоносным программным обеспечением, которое похищает данные платежных карт при оплате в интернете, а также угроза заражения устройства, с которого осуществляется онлайн-управление банковским счетом (Интернет-банк, мобильный банк).

Николай Пятиизбянцев, начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка
»

Первый вид угроз, по мнению эксперта, можно нейтрализовать использованием технологии 3D-Secure.

«
Мошенник, похитив все данные карты и одноразовый пароль, не сможет ими воспользоваться для следующей операции. Некоторые банки предоставляют держателям карт право установить запрет на выполнение операций без данной технологии. Следует учитывать, что зараженный компьютер и мобильное устройство, на которое приходит одноразовый SMS-пароль - это разные устройства.
»

Второй вид угроз значительно серьезнее и защититься от него трудно.

«
В данном случае можно рекомендовать следующее: мобильный телефон, на который приходят одноразовые SMS-пароли, не должен использоваться для онлайн-банкинга (мобильного банка) - необходимо выделить отдельное устройство (компьютер, смартфон, планшет), с которого осуществляется доступ и управление банковским счетом, данное устройство не должно использоваться ни для каких других целей, кроме онлайн-банкинга, в том числе его нельзя использовать для просмотра Интернет-страниц, социальных сетей, электронной почты, на устройство должно быть установлено специальное программное обеспечение, реализующее функцию "запрет по умолчанию" или "белые списки" (всё, что не разрешено, то запрещено).
»

Греф: 98,5% киберпреступлений происходят в финансовой сфере

Доля киберпреступлений в финансовой сфере в 2016 г. составила 98,5%. Об этом сообщил в январе глава Сбербанка России Герман Греф. При этом Греф подчеркнул, что не смотря на то, что количество совершаемых в киберсреде преступлений исчисляется миллионами, число осужденных за их совершение не превышает нескольких десятков человек.

«Если посмотреть аллокацию специалистов, которые занимаются расследованиями киберпреступлений, то пропорция будет почти обратная: большинство сотрудников следственных органов занимаются расследованием традиционных преступлений. Либо они пытаются расследовать киберпреступления традиционными способами, а так она (киберпреступность) абсолютно не ищется, это трата времени и денег», - цитирует ТАСС Греф.

Глава Сбербанка считает, что для решения проблемы необходимо кардинально переработать учебные программы подготовки специалистов правоохранительных органов, в том числе с учетом планируемых к введению изменений в Уголовный кодекс РФ.

Разработанные с участием Сбербанка и внесенные в Госдуму поправки предусматривают вывод состава киберпреступлений из статьи 159 УК РФ "Мошенничество" и включение его в статью 158 УК РФ "Кража" одновременно с ужесточением наказания - до 10 лет лишения свободы.

«Доктор Веб»: ожидается рост числа атак на Android-системы

20 января 2017 года аналитики компании «Доктор Веб» озвучили вероятность значительного увеличения количества банковских "троянцев" на платформе Android (Android-банкеры) и роста числа атак, совершаемых при их посредстве.

Современные банковские троянцы для ОС Android создаются вирусописателями и продаются, как коммерческие продукты через подпольные интернет-площадки. На хакерском форуме в свободном доступе появился исходный код одного из вредоносных приложений с инструкциями по его использованию. Вирусные аналитики компании «Доктор Веб» полагают, что это может привести к возрастанию количества Android-банкеров и росту числа совершаемых с их помощью атак [17].

Скриншот экрана перед запуском вируса Android.BankBot.33.origin, (2016)
Скриншот экрана перед запуском вируса Android.BankBot.33.origin, (2016)

Создатели вирусов опубликовали исходный код вредоносного приложения в декабре 2016 года, а специалисты компании «Доктор Веб» обнаружили Android-банкера, созданного на основе предоставленной кибер-преступниками информации.

Этот троянец под именем Android.BankBot.149.origin распространяется под видом безобидных программ. После загрузки на смартфон, планшет и установки, банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Затем прячется от пользователя, убирая свой значок с главного экрана. Потом вирус подключается к управляющему серверу и ожидает команд.

Троянец может выполнять действия:

  • отправлять SMS-сообщения;
  • перехватывать SMS-сообщения;
  • запрашивать права администратора;
  • выполнять USSD-запросы;
  • получать из телефонной книги список номеров всех имеющихся контактов;
  • рассылать SMS с полученным в команде текстом по всем номерам из телефонной книги;
  • отслеживать местоположение устройства через спутники GPS;
  • запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку SMS-сообщений,
  • выполнение звонков,
  • доступ к телефонной книге
  • работа с GPS-приемником;
  • получение конфигурационного файла со списком атакуемых банковских приложений;
  • показ фишинговых окон.

Троянец крадет у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами. Исследованный вирусными аналитиками «Доктор Веб» образец контролирует запуск более трех десятков таких программ. Как только вирус обнаруживает, что одна из них начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка и показывает ее поверх атакуемого приложения.

Помимо кражи логинов и паролей троянец пытается похитить информацию о банковской карте владельца зараженного мобильного устройства. Для этого вирус отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter, Play Маркет и показывает поверх них фишинговое окно настроек платежного сервиса каталога Google Play. При поступлении SMS троянец выключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные SMS из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер.

Украденные данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью кибер-преступники получают информацию, управляют вредоносным приложением. Возможности этого троянца вполне стандартные для современных Android-банкеров. Однако, поскольку кибер-преступники создали его с использованием доступной всем информации, можно ожидать появления множества аналогичных троянцев.

Главные проблемы безопасности мобильных и интернет-банков

Проблемы безопасности мобильных и интернет-банков известны давно, а открываемые новые уязвимости, как правило, не вносят существенных изменений в сложившиеся модели угроз.

Image:Banki_mob_int_pas.png

Эксперты уверены, что основными проблемами на протяжении последних 3-5 лет остаются: априори недоверенная среда (мобильное устройство), опасность заражения мобильного устройства и компьютера через интернет, недостаточность встроенных средств защиты в программные продукты со стороны разработчиков систем ДБО и интернет-банкинга, а также невыполнение элементарных требований безопасности пользователями.

Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.", полагает, что задача имеет решение только в тех банках, где потери умеют считать и квалификация состава ИТ, ИБ и бизнес-подразделений на высоте. Профессионалы, когда это одна команда, всегда находят решение, не важно, чисто организационными или организационно-техническими средствами, уверен он.

Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании "Инфосистемы Джет" называет ключевой проблемой использования сервисов ДБО уязвимость клиента.

«
Любая схема защиты напрямую связана с действиями или знанием клиента. А, значит, какое бы средство защиты или подтверждение операций мы не предоставляли клиенту, оно может быть скомпрометировано как извне, так и самим пользователем, - уверен Сизов. - Именно относительная легкость воздействия на клиента, его доверчивость, неосведомленность, халатность в обращении со средствами ИБ позволяет злоумышленникам обходить самые совершенные средства защиты.
»

При этом использование мобильных платформ только снижает устойчивость продуктов и каналов обслуживания к мошенничеству. Если используя ПК и мобильный телефон для проведения операций (формально – это два независимых канала), обеспечивается некоторая степень информационной безопасности, то совмещая в одну точку и программу, и методы аутентификации, и подтверждение платежа – этот порог снижается.

«
Кто-то решает эту проблему снижением типов допустимых операций, установкой лимитов на такие платформы, но большинство не различают с точки зрения рисков классический web-банкинг и мобильный. К сожалению, это приводит к тому, что сегодня именно среди атак в сегменте мобильных платформ фиксируется наибольший рост, - отмечает эксперт.
»

Еще одой из проблем является рост доли использования социальной инженерии со стороны злоумышленников в схемах атак на клиентов. С одной стороны, это свидетельствует о повышении защищенности технических аспектов банковских сервисов, но с другой - показывает простоту и уязвимость именно клиентской стороны.

«
Если вчера «социалка» использовалась исключительно для получения части данных клиента, а атака проводилась в режиме «без клиентов», и сам пользователь не способствовал совершению неправомерной операции, то сегодня фраз от клиентов «а что же я наделал» становится все больше. Сегодня социальная инженерия это не только возможность провести одну нелегитимную операцию, но и способ получить полный доступ к счету или платежному инструменту, который «сводит на нет» многие технические аспекты защиты от злоумышленников, - считает Алексей Сизов.
»

Управляющий партнер Maykor-BTE Максим Никитин, к типичным проблемам в области безопасности мобильных и интернет-банков относит недостаточный уровень шифрования данных и возможность запуска мобильного приложения в общественных интернет-сетях, где вероятен перехват трафика.

«
Решение лежит на поверхности и заключается в разработке и внедрении улучшенных систем шифрования и тестировании приложений на возможность атак в общественном месте, - полагает он.
»

Дмитрий Демидов, руководитель департамента CRM компании «Норбит» (входит в группу компаний ЛАНИТ) с точки зрения безопасности видит большую проблему в средствах авторизации. В частности, он отмечает, что простая авторизация через код, полученный в SMS-сообщении, легко взламывается. Однако, применение других средств авторизации сильно усложняет активацию мобильного и интернет-банков.

«
Банки решают это проблему по-разному – через активацию при помощи банкоматов или через отделения. Сейчас ведется несколько проектов по созданию таких средств – как с применением аппаратной составляющей, так и при помощи только программного обеспечения. Очень надеюсь, что эта проблема будет решена, - говорит он.
»

Кроме того, разработка мобильных приложений зачастую производится в очень сжатые сроки. Возможно, еще мало кто серьезно занимался изучением взломостойкости мобильных приложений, считает Демидов.

«
Полагаю, что скорость реализации функций может ставиться во главу, в ущерб проработке вопросов безопасности. Не исключено, что нам еще предстоит услышать в новостях о взломах мобильных приложений, - отмечает эксперт.
»

В тоже время Виталий Патешман, директор по продажам компании BSS, говоря о возрастающей актуальности вопросов безопасности ДБО, отмечает, что эксперт в области предотвращения и расследования киберпреступлений и мошенничества с использованием высоких технологий компания Group-IB провела аудит безопасности платформы ДБО BSS, который показал, что эти решения на сегодняшний день обладают высокой степенью защищенности.

«
Дополнительно мы реализовали новые возможности за счет интеграции с решением Group-IB и с решениями компании SafeTech», - рассказывает представитель BSS.
»

Максим Болышев, заместитель директора департамента банковского ПО RS-Bank компании R-Style Softlab выделяет три основных проблемы безопасности. Так, по его мнению, безопасность интернет-банков идет в разрез с удобством пользования, поэтому банки вынуждены искать компромисс между удобством и безопасностью. Вторая проблема – дороговизна электронной подписи для физических лиц, вследствие чего она не получила широкого распространения среди этой группы пользователей. И третья - большое количество разнообразного вредоносного ПО для мобильных устройств и отсутствие универсального, гарантирующего стопроцентную безопасность решения для банка и клиента.

Директор по работе с финансовыми институтами компании «ФОРС-Центр разработки» Юрий Терехин главной проблемой называет увеличение объёмов хакерских атак при снижении их профессионального уровня.

По его словам, это связано с тем, что высокопрофессиональные группы хакеров сместились в более маржинальный сектор по сравнению с розницей, и стали осуществлять атаки на сами банки и платёжные системы (СВИФТ). Вместе с тем, высокая доступность инструментов взлома уязвимостей позволяет проводить атаки на розничных клиентов силами непрофессионалов или начинающих хакеров. Но, поскольку для банковских ИБ это уже пройденный этап, то потери банков в этом направлении, предположительно, не растут.

«
Хорошо известные методы защиты для мобильных и интернет-банков будут совершенствоваться и дальше ради увеличения безопасности клиентских средств, - считает Терехин. - Будет более широко использоваться многофакторная авторизация с использованием биометрических данных (сканирование отпечатков пальцев, радужной оболочки глаз, распознавание голоса и т.п.).
»

Михаил Домалевский, менеджер отдела развития департамента информационной безопасности группы компаний Softline, предлагает взглянуть на проблему безопасности банковской системы России в целом. По его данным, 2016 год оказался переломным для ИБ в банковском секторе. Именно в этом году открыто заговорили о действиях хакеров, мошенников и вообще злоумышленников, о масштабах вреда, который они причиняют банкам.

«
Раньше банки и их клиенты редко несли крупные финансовые потери непосредственно от хакерских атак, стараясь в первую очередь защититься от «сливов» клиентской базы через инсайдеров и не допустить просачивания подобной информации в СМИ. Сейчас из-за хакерских атак банк фактически может потерять лицензию, - рассказывает эксперт. - В ответ на этот вызов финансовые организации объединяют ресурсы и усилия для создания собственных центров мониторинга и реагирования на инциденты ИБ, для развития межбанковского обмена для борьбы с выводом украденных средств.
»

По мнению Домалевского, многое для защиты от хакерских атак делает и регулятор. Так, Центральный банк выпустил ряд дополнительных регламентирующих документов в области ИБ, в частности - положение «О требованиях к защите информации в платежной системе Банка России». Этот документ обязывает банки сообщать о киберинцидентах в жесткие временные сроки.

«
Создание регулятором собственного Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (FinCERT), интеграция его с имеющимися коммерческими и банковскими центрами мониторинга ИБ, четкий регламент взаимодействия всех участников процесса должны в перспективе уменьшить количество целенаправленных атак организованной киберпреступности и снизить потери от кибератак на банки до допустимых, - считает представитель Softline.
»

2016

Россия - лидер по числу мобильных банковских троянов

В 2016 году количество вредоносных установочных программ на мобильных устройствах по всему миру выросло в три раза по сравнению с 2015 годом, до 8,5 млн, говорится в отчете компании «Лаборатории Касперского». Речь идет о содержащих вирусы программах, которые пользователь устанавливает на устройство как осознанно (например, приобретая сомнительное приложение в магазине), так и неосознанно (уже зараженное устройство само приобретает и устанавливает приложение)[18].

При этом Россия оказалась лидером по количеству мобильных банковских троянов, то есть программ, предназначенных для кражи финансовой информации пользователей. С этим видом угроз столкнулись 4% мобильных пользователей. Следом идет Австралия с долей 2,26%. «Самый популярный мобильный банковский троян Svpeng распространялся в основном в России», — отмечается в сообщении компании. В прошлом году первенство в этом специализированном рейтинге занимала Южная Корея с долей в 13,8% от всех атакованных пользователей. Россия была третьей с 5,1%.

По доле пользователей, атакованных мобильными вредоносными программами всех разновидностей, лидером оказался Бангладеш, где 50,09% владельцев смартфонов или планшетов столкнулись с вирусами и вредоносными программами. В тройке также Иран (46,87%) и Непал (43,21%). Затем идет Китай (в прошлом году занимал первую позицию; в тройке также были Нигерия и Сирия).

В «Лаборатории Касперского» такие результаты объяснили тем, что в указанных странах сильно распространены так называемые рекламные трояны, которые получают доступ к системным настройкам смартфона для показа рекламы. Эти программы могут также воровать финансовую информацию или устанавливать сторонние приложения без ведома пользователя.

Positive Technologies: как крадут деньги у банка

16 декабря 2016 года компания Positive Technologies представила детальный отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации похищены несколько миллионов рублей (эквивалент в местной валюте).

Случай помог избежать более крупных потерь: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, что не позволило злоумышленникам в полном объеме выполнить свои задачи по выводу денег.

Эксперты Positive Technologies отметили ряд деталей, характерных для современных кибератак на финансовые организации:

  • Злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. В конкретном случае использовалось коммерческое ПО Cobalt Strike, включающее многофункциональный троян Beacon класса RAT (Remote Access Trojan), имеющий возможности по удаленному управлению системами. Использованы: программа Ammyy Admin, приложения Mimikatz, PsExec, SoftPerfect Network Scanner и Team Viewer.
  • Использование фишинговых рассылок остается одним из успешных векторов атаки из-за недостаточного уровня осведомленности работников в вопросах ИБ. Вектор заражения инфраструктуры банка основан на запуске файла documents.exe из RAR-архива, присланного по электронной почте одному из сотрудников и содержащего вредоносное ПО. Целенаправленная рассылка электронных писем, имитирующих финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время выполнили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них.
  • Нацеленные атаки становятся все более организованными и распределенными во времени. Расследование показало, что старт атаки пришелся на первую неделю августа. В начале сентября (после закрепления в инфраструктуре) начались атаки с целью выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и украли денежные средства: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.

«
Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь "для галочки", с целью соответствия требуемым стандартам.

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России
»

Positive Technologies. Ноябрь 2016

В ходе расследования инцидента экспертами Positive Technologies собрано множество хостовых и сетевых индикаторов компрометации, они направлены в FinCERT Банка России с целью распространения информации среди финансовых организаций и предотвращения подобных атак в будущем.

«За отчетный период FinCERT зафиксировал значительное число атак, связанных с подменой входных данных для АРМ КБР (изменение содержимого XML-документа, используемого для формирования электронного сообщения, направляемого в Банк России). Атака производилась по следующей схеме: В большинстве случаев в кредитную организацию злоумышленниками направлялось электронное письмо, содержащее вредоносное ПО, не детектируемое антивирусными средствами…»

Банковский троянец Tordow 2.0 пытается получить root-привилегии на смартфонах

Исследователи Comodo выявили новую версию банковского зловреда Tordow, атакующего пользователей в России. Троянец пытается получить root-привилегии на устройстве, что делает борьбу с ним чрезвычайно проблематичным делом.

Tordow 2.0 способен выполнять функции шифровальщика-вымогателя, а также перехватывать телефонные звонки, SMS-сообщения, скачивать и устанавливать приложения без ведома пользователя, красть логины-пароли, перезагружать устройства, и, что самое опасное, манипулировать банковскими данными и уничтожать мобильные антивирусы. Подробнее здесь.

SWIFT предупредила банки о растущей угрозе кибератак

Руководство SWIFT разослало в декабре клиентским банкам письмо, в котором предупредило о растущей угрозе кибератак. Аналогичный документ попал в распоряжение редакции Reuters[19].

В письме SWIFT также говорится о том, что хакеры усовершенствовали свои методы кибератак на местные банковские системы. Одна новая тактика связана с использованием программного обеспечения, которое позволяет хакерам получить доступ к компьютерам технической поддержки.

«Угрозы постоянны, изощренны и обладают хорошей степенью адаптивности — и уже вошли в норму, — говорится в письме SWIFT. - К сожалению, мы продолжаем наблюдать случаи, в которых некоторые из наших клиентов в настоящее время скомпрометированы от воров, которые затем рассылают мошеннические инструкции по оплате через SWIFT — аналогичный вид сообщений, которые использовались для кражи средств Банка Бангладеш».

«Ростелеком» отразил DDoS-атаки на крупнейшие банки и финансовые организации России

«Ростелеком» отразил в декабре DDoS-атаки на 5 крупнейших банков и финансовых организаций России. Отраженные атаки имели похожий почерк: тип – TCP SYN Flood. Пиковая мощность составляла 3.2 миллиона пакетов в секунду. При этом самая продолжительная атака длилась более 2 часов. Все отраженные атаки были зафиксированы 5 декабря 2016 года.

Подробнее: DDoS-атака

6-кратный рост числа кибератак на российские банки

В декабре 2016 года Центральный банк России опубликовал обзор финансовой стабильности, в котором сообщил более чем о шестикратном увеличении количества кибератак на кредитные организации.

По данным ЦБ, с января по сентябрь 2016 года число несанкционированных операций по счетам физических и юридических лиц с использованием систем дистанционного банковского обслуживания составило 103,1 тыс. против 16,9 тыс. за аналогичный период 2015-го.

Количество кибератак на российские банки выросло в 6 раз
Количество кибератак на российские банки выросло в 6 раз

При этом объем удачных хакерских атак уменьшился на 25%: если за первые три квартала 2015 года преступникам удалось похитить у банков около 2,16 млрд рублей, то спустя года — 1,62 млрд рублей. У физических лиц украли 1,2 млрд рублей в январе–сентябре 2016 года, у юридических — порядка 387 млн рублей.

В Банке России считают, что финансовые организации несут убытки от деятельности кибермошенников по следующим основным причинам:

  • уязвимости в ИТ-системах и платежных приложениях;
  • недостатки в  обеспечении информационной безопасности и отсутствие должного соблюдения требований, установленных нормативными актами и отраслевыми стандартами;
  • отсутствие необходимой координации деятельности банков в области противодействия массовым и типовым кибератакам.

Для проверки систем онлайн-банкинга на предмет уязвимости к кибератакам ЦБ намерен создать межведомственную рабочую группу, в состав которой, помимо представителей регулятора, войдут сотрудники МВД, Минкомсвязи, ФСТЭК и Министерства финансов. До 2018 года планируется создать систему стандартизации, сертификации и контроля онлайн-сервисов банков и внести соответствующие изменения в законодательство.

Кроме того, ЦБ собирается ввести обязательное двойное подтверждение транзакций, идущих по дистанционным каналам. К началу декабря 2016 года большинство кредитных организаций в РФ используют для идентификации клиента рассылку по SMS одноразовых паролей или специальные электронные USB-ключи и смарт-карты. [20]

ФСБ предупредила о готовящихся кибератаках на банки России

2 декабря 2016 года Федеральная служба безопасности (ФСБ) РФ сообщила о предстоящих кибератаках на российские банки с целью дестабилизации национальной финансовой системы.

«
ФСБ России получена информация о подготовке иностранными спецслужбами в период с 5 декабря 2016 года масштабных кибератак с целью дестабилизации финансовой системы Российской Федерации, в том числе деятельности ряда крупнейших российских банков, — говорится в сообщении российской спецслужбы.
»

Иностранные спецслужбы готовят кибератаки на российские банки
Иностранные спецслужбы готовят кибератаки на российские банки

По ее информации, серверные мощности и командные центры для проведения кибератак расположены на территории Нидерландов и принадлежат украинской хостинговой компании BlazingFast.

Силовики установили, что хакерские атаки будут сопровождаться массовой рассылкой SMS-сообщений и публикаций в социальных сетях и блогах провокационного характера в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ряда ведущих банков федерального и регионального значения.

Атака рассчитана на несколько десятков городов России, заявили в службе безопасности, добавив, что проводятся мероприятия по нейтрализации угроз экономической и информационной безопасности. [21]

В Центробанке сообщили, что регулятор осведомлен о готовящихся кибератаках на банки и работает со спецслужбами для их пресечения. [22]

Компания BlazingFast, которую ФСБ считает причастной к планам кибератак на РФ из Нидерландов, подтвердила сведения о клиентах там и будет проверять их возможную незаконную деятельность. Об этом РИА Новости сообщили в BlazingFast. [23]

«
У нас в основном зарубежные клиенты. У нас мало русских или украинских клиентов… Да, у нас есть в Нидерландах. Раз вы позвонили, и эта информацию уже где-то появилась, то мы сейчас быстро начнем проверять это все дело, — сообщил агентству представитель компании.т
»

DDoS-атаки на крупные российские банки

9 ноября 2016 года Сбербанк отразил мощную DDoS-атаку. Об этом в пресс-службе банка рассказали РИА Новости. Эксперты говорят, что атакован был не только Сбербанк.

«
Атаки организованы с ботнетов, включающих десятки тысяч машин, территориально распределенных по нескольким десяткам стран, — сообщили в Сбербанке.
»

DDoS-атаки на ИТ-системы Сбербанка осуществлялись в течение дня, при этом мощность кибернападений увеличивалась: первая атака была зафиксирована утром, следующая атака вечером уже состояла из нескольких этапов, каждый из которых был вдвое сильней предыдущего.

Хакеры атаковали крупнейшие российские банки
Хакеры атаковали крупнейшие российские банки

Специалисты по информационной безопасности Сбербанка смогли быстро выявить и локализовать атаку. В работе для клиентов банка не обнаружили сбоев.

«
Системы защиты банка отработали надежно, атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка, — заверили в крупнейшей в России кредитной организации.
»

Помимо Сбербанка, мощные DDoS-атаки пережили еще несколько крупных российских банков, уточнили РИА Новости в «Лаборатории Касперского». По данным агентства, атаки были направлены на пять крупнейших банков из топ-10. Факт атаки подтвердили в «Альфа-банке».

В компании сообщили РИА Новости, что атака была «достаточно краткосрочная и слабая». Инцидент никак не повлиял на работу бизнес-систем банка, заверили представители кредитной организации. Какие еще банки подверглись атакам, не уточняется.

Средняя продолжительность каждой DDoS-атаки на российские банки составляла около часа, самая долгая длилась почти 12 часов. Некоторые банки, по данным «Лаборатории Касперского, подверглись нападениям киберпреступников неоднократно — сериями от двух до четырех атак с небольшим интервалом. Какие еще кредитные организации были атакованы, не уточняется. [24]

Trend Micro: Трояны - главная угроза финансовой отрасли

22 сентября 2016 года компания Trend Micro Incorporated опубликовала отчет по информационной безопасности за первое полугодие 2016 года «Время программ-вымогателей» (The Reign of Ransomware), согласно данным которого, банковские трояны остаются одной из наиболее значимых угроз в финансовой отрасли.

В отчетном периоде отмечено повышение активности трояна QAKBOT - многокомпонентной угрозы, цель которой: банковские данные, информация о привычных действиях пользователя, другая конфиденциальная информация. Основная сложность в борьбе с троянами такого типа, как QAKBOT - их непрерывная эволюция и появление модификаций.

От атак с использованием троянов страдают банки, их корпоративные клиенты, сотрудники которых выполняют банковские транзакции, используя устройства, действующие в корпоративной сети. Похищенная банковская информация используется злоумышленниками для проведения мошеннических транзакций или продается на подпольных сайтах для извлечения прибыли. От действий банковских троянов финансовые организации несут потери на компенсацию убытков, которые понесли их клиенты в результате кибератак.

Технология, способная защитить систему пользователя, должна быть комплексной, отметила в отчете компания-исследователь. Система должна блокировать угрозы из Интернета, от вредоносных файлов и электронной почты. Помимо защиты конечных точек, банкам следует использовать на своих сайтах протоколы двухфакторной аутентификации и мотивировать клиентов быть предельно внимательными при открытии сообщений электронной почты, посещении сайтов и загрузке файлов.

24% российских банков подвергаются DDoS-атакам

В июне 2016 года Qrator Labs и Wallarm (Валарм) Онсек (Onsec) опубликовали результаты исследования ситуации с информационной безопасностью в финансовом секторе. Опрос показал, что почти четверть российских банков сталкивается с DDoS-атаками.

Для составления отчета было опрошено 150 представителей (руководителей ИТ-подразделений, их заместителей, а также руководителей департаментов, отвечающих за вопросы информационной безопасности) более 130 банков и 12 платежных систем.

Согласно результатам исследования, 24% российских банков в 2015 году пережили DDoS-атаки. Еще 21% и 17% учреждений столкнулись с фишингом и взломом соответственно. У 34% опрошенных не было проблем с информационной безопасностью.

Попытки взлома приложений были зафиксированы 17% опрошенных, поэтому компании уделяют все больше внимание защите своего периметра. Регулярно проводят аудит безопасности более 80% компаний.

Эксперты отмечают, что несмотря на сложную ситуацию в экономике, банки стараются сохранить ИБ-расходы на высоком уровне. Около трети респондентов увеличили в 2015 году свой ИБ-бюджет и еще 44% сохранили его в прежнем объеме.

Большинство участников опроса (69%) считают самым эффективным средством противодействия операторское решение по защите от DDoS. Однако эксперты Qrator и Wallarm предупреждают, что этот метод устарел. Лишь 9% опрошенных считают эффективными облачные решения.

Исследование также показало, что в отрасли понимают основные риски и последствия инцидентов ИБ: 61% опрошенных говорят, что проблемы с безопасностью могут привести к отзыву банковской лицензии.

Информационная безопасность — важный приоритет для организаций финансового сектора. Серьезность киберугроз здесь в достаточной мере осознают, что указывает на достижение определенной зрелости в вопросах ИБ, сообщили исследователи.

Группировка из 50 хакеров задержана за хищение 1,7 млрд рублей

В июне 2016 года СМИ со ссылкой на силовые структуры сообщали[25], что хакеры при помощи вредоносной программы похитили более 1,7 млрд рублей со счетов российских банков. Были задержаны 50 киберпреступников, которые действовали по всей стране. В рамках операции по задержанию хакеров проведены более 80 обысков в 15 регионах страны.

«
МВД России совместно с ФСБ России задержаны 50 подозреваемых в совершении многочисленных хищений денежных средств с расчетных счетов юридических лиц, а также с корреспондентских счетов кредитно-финансовых учреждений с использованием вредоносного программного обеспечения, - сообщила официальный представитель МВД России Ирина Волк.
»

Она добавила, что в результате оперативных мероприятий заблокированы фиктивные платежные поручения на 2,2 миллиарда рублей. В Центре общественных связей ФСБ рассказали агентству «Интерфакс», что в результате обысков были изъяты компьютерная техника, средства связи, банковские карты, оформленные на подставных лиц, а также финансовые документы и значительные суммы наличных.

Было возбуждено уголовное дело по статьям «Организация преступного сообщества и участие в нем» и «Мошенничество в сфере компьютерной информации».

2015

Банки в ЕС обязали делиться информацией о кибератаках

8 декабря 2015 года стало известно о том, что европейские чиновники поддержали первый для ЕС закон о регулировании кибербезопасности. Он обязывает компании делиться данными об атаках на их сервисы. В случае отказа на них могут быть наложены санкции, передает информационное агентство Reuters.

Представители Европейской комиссии, Европейского парламента и стран Европейского союза после пятичасового обсуждения договорились о принятии законопроекта о кибербезопасности. Одним из требований является то, что компании должны будут раскрывать властям информацию об инцидентах, связанных с хакерскими нападениями на их компьютерные системы. В противном случае им будут грозить крупные штрафы.

Европа согласилась принять первый киберзакон
Европа согласилась принять первый киберзакон

Это касается организаций и предприятий, представляющих критически важные для человека сферы деятельности, в том числе транспортную промышленность, энергетику, финансовый сектор и здравоохранение. Требования относятся и к интернет-компаниям, таким как Google, Amazon и eBay, но не распространяются на социальные сети.

Помимо необходимости уведомлять о кибератаках, от европейского бизнеса потребуют обеспечения высокого уровня информационной защиты своих инфраструктур.

По словам вице-президента Еврокомиссии по вопросам единого цифрового рынка ЕС Андруса Ансипа (Andrus Ansip), новая законодательная директива направлена на повышение доверия потребителей к онлайн-сервисам, особенно международным.

«Интернет не знает границ: проблема в одной стране может легко перекинуться на остальную часть Европы. Именно поэтому ЕС нуждается в глобальных решениях в области кибербезопасности. Принятое соглашение является важным шагом в этом направлении», — заявил Ансип.

Он также отметил, что в данном случае речь идет о первом когда-либо принятом законе, регулирующем вопросы кибербезопасности на территории всей Европы. О том, когда новые требования вступят в силу, не уточняется.[26]

Positive Technologies: основные тенденции кибератак в банках в 2015 году

15 октября 2015 года представители компании Positive Technologies (Позитив Текнолоджиз) выступили на конференции «Тенденции развития преступлений в области высоких технологий — 2015».

Среди основных тенденций в банковской сфере эксперты отметили рост случаев мошенничества по безналичным операциям (покупки в интернет-магазинах и т. п.) и атак на процессинг с обналичиваем украденных средств через банкоматы (потери в каждом из ставших известными случаев варьируются от 3 млн до 14 млн долл.). Также выросло количество физических атак на банкоматы: от традиционных ухищрений типа «ливанской петли» до вирусов GreenDispenser, позволяющих хакерам извлекать банкноты из кассет банкоматов.

По оценке экспертов Positive Technologies, общемировой объем потерь в 2014 году только по мошенничествам с пластиковыми картами составил около 16 млрд долл. По итогам 2015 года ожидается, что эта цифра увеличится на 25% и приблизится к 20 млрд. Это обусловлено ростом объема банковских операций, а не хорошей подготовкой преступников. При этом за последние 20 лет наблюдений доля случаев мошенничества в общем объеме операций практически не менялась: мошенники зарабатывают примерно 6 центов с каждых 100 долларов, проходящих через банки, и эта цифра из года в год меняется всего на плюс-минус полцента с сохранением среднего значения.

С 2006 года, с момента внедрения международного стандарта для операций по банковским картам с чипом EMV, неуклонно снижается объем потерь, связных со скиммингом (кража данных карты при помощи специального считывающего устройства — скиммера). И хотя уровень потерь по-прежнему высок, по итогам следующего года эксперты ожидают значительное снижение. Это связано с тем, что в октябре 2015 к общемировой практике присоединились США, на которых приходится примерно две трети общемировых потерь.

2011: Атаки трояна Carberp

Основная статья: Carberp (троян)

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность




Читайте также

Примечания

  1. Двойка за киберграмотность: мошенники освоили новый способ воровства данных из банков
  2. APT-атаки на кредитно-финансовую сферу в России: обзор тактик и техник
  3. Мошенники заняли телефоны
  4. Немецкие банки отказались от поддержки авторизации по одноразовому SMS-коду
  5. 97% крупных банков уязвимы к кибератакам
  6. Сотрудникам крупных банков запретили фотографировать экраны компьютеров
  7. Сотрудниками МВД по Чувашии раскрыты хищения денег с банковских счетов, которые совершались с помощью вирусных программ
  8. Россиянам дали крупные сроки за кражу денег из интернет-банков
  9. Госдума приняла законопроект о противодействии хищениям с банковских счетов
  10. Шесть главных фактов о финансовом мошенничестве в России
  11. Исследование провело аналитическое агентство TAdviser среди 50 самых крупных банков и страховых компаний России и СНГ. Экспертами выступали руководители ИТ-департаментов, их заместители, а также руководители со стороны служб ИБ. Агентство использовало формат телефонных интервью. Исследование проводилось в июле — августе 2017 г.
  12. Исследование VMware, проведенное в июне 2017 года среди 166 респондентов из банков с активами не менее 15 миллиардов долларов США: How Technology Will Shape the Bank of the Future
  13. Верховный суд РФ пояснил тонкости квалификации кибермошенничества
  14. «Лаборатория Касперского» предупредила о новой атаке на российские банки
  15. В России научились воровать деньги с кредитных карт с помощью Pokemon Go
  16. Кибермошенники создали новый способ краж денег с карт
  17. Банковские троянцы увеличат число атак на Android
  18. Россия в 2016 году стала лидером по числу мобильных банковских троянов
  19. SWIFT предупредила банки о растущей угрозе кибератак
  20. Обзор финансовой стабильности
  21. Иностранные спецслужбы готовят кибератаки, направленные на дестабилизацию финансовой системы России
  22. ЦБ осведомлен о готовящихся кибератаках на банки, работает со спецслужбами для их пресечения
  23. BlazingFast проверит клиентов на причастность к подготовке кибератак на РФ
  24. Сбербанк отразил мощную DDoS-атаку
  25. Группировка из 50 хакеров задержана за хищение 1,7 млрд рублей
  26. EU lawmakers, countries agree on bloc's first cyber-security law