Вход
Закрыть
Вход
Войти, используя:
Зарегистрироваться Экспертная сеть по вопросам государственного управления
Подтверждение удаления
Отменить
Удалить

Банк России: ущерб от хакерских атак может быть сопоставим с последствиями применения ядерного оружия

Угрозы информационной безопасности бизнеса приближаются к критическому масштабу. К такому неутешительному выводу пришли участники панельной дискуссии «Мобильная безопасность и управление безопасностью ИТ-инфраструктуры», состоявшейся в рамках прошедшего в Москве 4–5 февраля «Инфофорума 2016».

В двухчасовой дискуссии, которую вели Дмитрий Фролов, глава Центра реагирования на компьютерные атаки Банка России, и Тимур Аитов, эксперт Ассоциации «Россия», приняли участие целый ряд экспертов в области безопасности, представляющих российские и международные ИТ-компании, банки, правоохранительные органы и иные властные структуры. Среди ключевых тем – противодействие новейшим типам кибератак на кредитно-финансовые организации России, развитие инновационных платежных инструментов и противодействие преступности в кредитно-финансовой сфере, безопасность в сфере мобильных платежей и систем ДБО, и ряд других. 

К собравшимся со вступительным словом обратился ведущий Тимур Аитов.

Мобильная безопасность - это безопасность мобильных устройств, в первую очередь, мобильных платежей, которые становятся все более простыми, удобными, более доступными, однако, это порождает и новые угрозы, и новые риски, а защитить мобильные транзакции порой, не просто. Любая инновация в платежах всегда порождает новые угрозы и риски. И эти угрозы не всегда прослеживаются заранее.

sites/default/files/user_pictures/2016/02/12/IMG_2482_2.JPG

Как характерный пример , Аитов напомнил историю появления бесконтактных платежей на базе NFC- технологий, когда на первых порах сразу появились случаи атак pick-pockering которые заключались в установке фальшивых считывателей, имитирующих работу штатных устройств. Эти ридеры тайно скачивали деньги из электронных кошельков клиентов, к которым, как потом с иронией писали СМИ, «привязали» электронные антенны - как раз для удобства считывания. Однако, ситуация с кражами из кошельков быстро была поправлена – появились ограничения на суммы бесконтактных транзакций, для каждой транзакции потребовали подтверждение дополнительным мобильным ПИНом и угроза хищений практически исчезла. 

Повышенная защищенность клиентских частей, увы, стимулировала преступников обращать внимание непосредственно на ключевой объект атаки – на сам банк. Атака на банк предполагает использование прорех в системах АБС, и здесь преступники научились получать доступ к внутренним информационным системам, научились дистанционно формировать фальшивые переводы и таким образом снимать деньги со счетов уже самих банков. Впоследствии еще и затирая логи серверов и выводя даже сами серверы из работы. Сегодня это тренд. Таких успешных атак, по словам Аитова, прошло не менее десятка за последние три месяца. «Буквально на прошлой неделе пострадал очередной банк, у которого сняли с его счета в ЦБ сумму практически в полмиллиарда рублей, сообщил АитовТакая кража вполне может оказаться для банка смертельной, если банк небольшой».

По оценкам заместителя начальника ГУБЗИ Банка России Артема Сычева суммы похищенного у банков только в четвертом квартале прошлого года составили 1,5 миллиарда рублей. Эти цифры Сычев сообщил на Пленарном заседании Инфофорума. В то же время, начальник Бюро специальных технических мероприятий МВД России генерал Алексей Мошков, выступая на этом же заседании, призвал законодателей обязать банки сообщать абсолютно обо всех случаях краж. Нам же при этом разумно предположить, что подлинные цифры хищений выше, сказал Аитов.

 Как защититься банкам и кто в ответе за эти кражи? Сам коммерческий банк, у которого украли? Какова роль Банка России, из которого деньги ушли и который, видимо, выполнил указание преступника? С каждым случаем надо разбираться и давать ответы на эти деликатные вопросы.

По мнению Аитова, логика преступного перемещения внимания злоумышленников ко все более крупным объектам, приведет к усилению атак на платежную инфраструктуру в целом. Возможно, с помощью каких-то закладок, стимулирования сбоев коммутационного оборудования и проч. Аитов выразил уверенность, что в целях противодействия этим атакам, первостепенное значение приобретет постоянный мониторинг подозрительной активности всех станций и иных похожих устройств, которые могут попасть в руки злоумышленников. Этот мониторинг - в руках Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России.

Далее прошли выступления экспертов.

sites/default/files/user_pictures/2016/02/12/IMG_2522.JPG

Мария Воронова, ведущий эксперт по информационной безопасности компании InfoWatch, обсуждая вопрос совмещения интересов бизнеса, диктующего скорейший запуск на рынок нового сервиса, и необходимость обеспечить при этом максимальную безопасность, выразила мнение, что « правила игры диктует именно бизнес». Зачастую бизнес изначально предпочитает брать на себя все потенциальные риски, лишь бы проект оперативно был запущен в коммерческую эксплуатацию, а вопросы безопасности решать задним числом, по мере выявления проблем. Как подчеркнула М. Воронова, во-многом такая ситуация представляется ей оправданной, однако уже на этапе запуска сервисов необходимо инвестировать в некую ИТ-базу, которая впоследствии, по мере развития проекта, позволит обеспечивать безопасность на всех его этапах. 

Лев Шумский, начальник управления информационной безопасности Связного Банка,в развитие этой темы выразил уверенность, что в дилемме «интересы бизнеса – обеспечение безопасности» все зависит исключительно от зрелости бизнеса: «зрелый бизнес в обязательном порядке привлекает службу информационной безопасности во все свои процессы». Немаловажен, по его словам, и уровень зрелости самой службы ИБ – при этом развитому бизнесу вполне по силам решать эти задачи силами внутренних подразделений. 

sites/default/files/user_pictures/2016/02/18/IMG_2489.JPG

 По мнению Михаила Левашова, зам. генерального директора ГК «Инфосекьюрити», на практике вопросы обеспечения безопасности в новых проектах решаются на стадии подготовки далеко не всегда. В результате известны примеры, когда буквально через несколько недель после запуска платежного сервиса компании сталкиваются с многомиллионными убытками, и только после этого обращаются за помощью к специализированным структурам, в том числе, в рамках аутсорсинга. 

Говоря об атаках на АБС банка, Левашов отметил, что они происходят при отсутствии нарушений как со стороны работников банка, так и предусмотренных регламентами автоматизированных процедур. "Парадокс: злоумышленники научились проникать в сетевую структуру банка с помощью самих этих регламентных процедур, сообщил Левашов. Это относится в первую очередь к работе фронт офиса, который напрямую общается с клиентами". Отбить такие атаки оказывается крайне сложно. 

Тем не менее, Левашов привёл приемы, с помощью которых пользователь ДБО может защитить себя от распространённых атак. Основными элементами защиты являются регулярная смена основного пароля входа в систему (иногда после каждой операции), частая проверка работоспособности номера телефона, который, «привязан» к банковским картам (счетам), отключение этого номера от Интернета (включение на короткие временные промежутки по необходимости), использование доверенных магазинов для обновления и установки на смартфон нового ПО.

Илья Медведовский, генеральный директор компании Digital Security, выразил уверенность, что «ситуация с безопасностью в банковской отрасли сегодня едва ли быть может названа даже напряженной – в ряде случаев она откровенно ужасает». Вектор атак злоумышленников сместился с клиентов банков на сами банки. Медведовский назвал причины, почему это так. Последние несколько лет закрылось огромное количество банков - их сотрудники потеряли работу, а их знания попали в распоряжение злоумышленников. И схемы захвата контроля над внутренними системами стали реальностью. Очевидно, что, попав «внутрь» банковской ИТ-инфраструктуры, злоумышленник обретает широкий спектр возможностей по выводу денег. Здесь и центральная АБС банка, где фактически хранятся все данные о счетах клиентов, и АРМ КБР (автоматизированное рабочее место клиента Банка России), позволяющее перенаправлять деньги между банками, и интерфейс системы SWIFT для взаимодействия с иностранными банками. Мы видим, что атакуют сегодня в основном именно АРМ КБР, что далеко не случайно, поскольку именно эта точка входа более универсальна по сравнению с другими банковскими системами, считает эксперт. Суть атаки на АРМ КБР достаточно проста: с корреспондентского счета атакуемого банка деньги пересылают на счета в других банках, откуда они впоследствии выводятся. Сценарий, аналогичный вышеописанному, возможно реализовать и в отношении SWIFT.

sites/default/files/user_pictures/2016/02/18/IMG_2527.JPG

Валерий Конявский, заведующий кафедрой «Защита информации» МФТИ, научный руководитель ОАО «КБПМ», выразил уверенность, что в своей стратегии ИБ участникам рынка следует четко различать такие понятия, как угрозы и атаки. По его словам, именно угрозы, на которые своевременно не обратили внимания, очень быстро преобразуются в атаки. При этом он отметил, что самым слабым звеном в системах ДБО по-прежнему остается клиент, на которого нацелено большинство успешных атак преступников. На этом фоне, по мнению В. Конявского, клиента необходимо обеспечить средствами, которые позволят ему в случае мошенничества обезопасить себя от неправомерных претензий банка. В ходе своего выступления он продемонстрировал аудитории миникомпьютер российской разработки, который в первый день «Инфофорума 2016» вместе с другим решением – так называемым «Лучом Чемезова» – был показан президенту РФ Владимиру Путину. Главным достоинством представленной разработки В. Конявский назвал принципиальное отсутствие возможности заражения вирусами благодаря использованию принципиально нового типа аппаратной архитектуры, что позволяет эффективно использовать решение в системах ДБО на стороне клиента. 

Зав. кафедрой «Защита информации» МФТИ также отметил, что сегодня на запуск эффективного информационного сервиса может потребоваться не более нескольких недель, в то время как на то, чтобы сделать этот сервис действительно защищенным, действующие документы регуляторов заставляют тратить годы. Этот разрыв не зависит от разработчиков и целиком обусловлен текущей нормативной базой. На этом фоне нужно как можно скорее адаптировать требования регуляторов к реалиям современного рынка. 

Андрей Иванов,эксперт по информационной безопасности Microsoft, прокомментировал ситуацию с возможными сценариями импортозамещения в сегменте софтверных продуктов. По его мнению, если смотреть на импортозамещение с точки зрения обеспечения национальной безопасности, то открытыми остается целый ряд вопросов. Во-первых, нет никаких гарантий, что в той или иной российской компании не окажется инсайдеров, тайно обслуживающих интересы зарубежных правительств. Во-вторых, указал представитель Microsoft, сама компания-разработчик в лице своих владельцев и топ-менеджеров может быть спровоцирована заинтересованными структурами (например, зарубежными партнерами) на внесение тех или иных незадекларированных возможностей в свои софтверные продукты. Нельзя забывать, что любая российская ИТ-компания является прежде всего коммерческой структурой, закономерно ставящей интересы своего бизнеса превыше всего. Поэтому утверждения, что сам по себе переход на отечественный софт позволит обезопасить национальную экономику от попыток влияния извне, не имеют под собой объективных оснований.

sites/default/files/user_pictures/2016/02/18/IMG_2485.JPG

 В свою очередь, Виталий Матвиенко, начальник Центра разработок, производства и сертификации программно-технических средств и систем, Управление делами Президента РФ, подчеркнул, что задачи соблюдения национальной безопасности могут решаться не только переходом на отечественные программные решения, но и сертификацией продуктов зарубежных вендоров на отсутствие незадекларированных возможностей. По его словам, именно в этом направлении строится, начиная с 2003 года, сотрудничество с Microsoft. В настоящее время действуют 39 сертификатов в отношении продуктов этой компании, включая Windows 7, идут соответствующие переговоры в отношении Windows 10. Таким образом, все организационные вопросы с Microsoft уже давно решены, в том числе касающиеся системной поддержки сертифицированного регулярного обновления линейки ее продуктов с точки зрения обеспечения ИБ и устранения выявленных уязвимостей. Как отметил В. Матвиенко, к сожалению, кроме Microsoft, никто из международных вендоров не сотрудничает с Центром разработок системно, хотя интерес проявляют целый ряд зарубежных компаний – вопрос упирается в финансирование.

Игорь Бухарев, начальник службы по созданию и технической эксплуатации базы данных перенесенных номеров (БПДН) ФГУП «ЦНИИС» обратил внимание собравшихся, что основная цель мошенников – получение доступа к данным мобильного телефона либо к интернет-банку клиента и последующая кража денег с его счета. Достигается это методами фишинга, последующего изготовления поддельных документов и получения в отделении оператора мобильной связи дубликата SIM карты. Возможным решением проблемы в данном случае может быть создание некой системы федерального уровня для противодействия незаконным операциям с использованием SIM-карты, которая будет являться либо хранилищем, либо неким арбитром при осуществлении запросов банков о том или ином абонентском номере в адрес операторов связи.
В качестве информации в данном случае для банкам достаточно получать сведения о дате заключения с абонентом действующего договора об оказании услуг подвижной радиотелефонной связи и дате выдачи и/или последней замены (выдачи дубликата) модуля идентификации абонента подвижной радиотелефонной связи. В результате мы можем получить единый сервис получения информации от операторов связи, возможность дополнительной верификации пользователей и актуализации абонентских баз коллекторских служб. С похожей инициативой выступала Общественная палата РФ, идея создания такой системы, в целом, была поддержана банковским сообществом. ФГУП ЦНИИС, являясь оператором Базы данных перенесенных номеров (в соответствии с распоряжением Правительства Российской Федерации от 9 октября 2013 года № 1832-р) и непосредственно владея актуальной информацией о принадлежности номера тому или иному оператору связи, со своей стороны готов принимать активное участие в проработке данного вопроса, при этом считает, что в данном случае необходимо стараться учитывать интересы всех участников рынка, в том числе и банков, и операторов связи.

sites/default/files/user_pictures/2016/02/13/IMG_2483.jpg

Дмитрий Фролов, глава Центра реагирования на компьютерные атаки Банка России, отметил значительно возросшие за последнее время компетенции преступников, которые делают сегодня акцент на сканирование организационной и технологической составляющей ИБ-структуры банков, что позволяет им открывать все новые потенциальные уязвимости. Последние давно уже стали предметом активной купли-продажи, в том числе на уровне государств, не говоря уже о преступных сообществах. При этом Дмитрий Фролов подчеркнул: «StaffNet использовал только 4 уязвимости и аналогичное количество эксплойтов , если же в сфере промышленного ПО будет задействовано 2 000 эксплойтов, ущерб от такого рода атак будет сопоставим с применением ядерного оружия». 

Представитель управления «К» МВД России Евгений Михалев подчеркнул, что атаки на банки и их АБС идут непрерывно - с 1 января 2016 г. в России выявлено уже не менее трех преступных атак на ИТ-системы банков, целью которых было хищение денежных средств на общую сумму 2 млрд рублей. При этом он уточнил, что в результате мошенникам удалось похитить не более 300 млн рублей, в том числе, благодаря четкой работе правоохранительных органов. Отвечая на прямой вопрос, не могут ли сотрудники кредитной организации имитировать атаку злоумышленников на банк, чтобы совершить хищение, Михалев ответил в том смысле, что такая версия также рассматривается. В качестве примера успешной работы полицейских из управления «К», он напомнил прошлогодний инцидент, в котором удалось пресечь деятельность преступной организации, целью создания которой являлось хищение средств, находящихся на счетах нескольких банков страны. Среди ключевых направлений активности мошенников значились целенаправленные атаки на процессинговые центры российских и зарубежных банков, а также на мировые системы обмена межбанковскими финансовыми сообщениями. Помимо атак на банки, группа занималась созданием банкоматов, разработкой информационных программ и средств, позволяющих контролировать платежные системы.

(по материалам PLUSworld.ru)

О других итогах панельной дискуссии «Мобильная безопасность и управление безопасностью ИТ-инфраструктуры», состоявшейся в рамках «Инфофорума 2016», читайте в текущих материалах PLUSworld.ru 

sites/default/files/user_pictures/2016/02/27/Zal_sleva.jpg

ЭКСПЕРТЫ

· Елизов Валерий Владимирович, специалист по информационой безопасности в госсекторе Hewlett Packard Enterprise:
· Бейбутов Эльман Рафикович, руководитель направления аутсорсинга ИБ компании Solar Security:

Михалев Евгений Александрович, представитель Управления «К» МВД России;

· Иванов Андрей Вячеславович, эксперт по информационной безопасности Microsoft:

· Конявский Валерий Аркадьевич, д.т.н., зав каф «Защита информации» МФТИ, научный руководитель КОНСТРУКТОРСКОГО БЮРО ПОЛУПРОВОДНИКОВОГО МАШИНОСТРОЕНИЯ, ОАО 

· Лев Шумский, начальник управления информационной безопасности Связного Банка;

· Михаил Левашов, заместитель Генерального директора ГК «Инфосекьюрити»;

 Илья Медведовский,генеральный директор компании Digital Security·

Бухарев Игорь Александрович, начальник службы по созданию и технической эксплуатации БДПНФедерального государственного унитарного предприятие «Центральный научно-исследовательский институт связи»

· Воронова Мария, ведущий эксперт по информационной безопасности АО «ИнфоВотч», 

· Дмитрий Олегович Левиев

НП "Партнерство специалистов информационной безопасности"

=============================================

sites/default/files/user_pictures/2016/02/27/Zal_sprava.jpg

материлы по теме

http://tass.ru/infoforum2016

http://www.business-gazeta.ru/news/301180

К центру по борьбе с киберугрозами при ЦБ РФ подключились 190 банков

http://secretmag.ru/news/2016/02/12/hakery-rus-bank/

Хакеры попытались украсть у одного из российских банков 0,5 млрд рублей

http://www.kommersant.ru/doc/2908158

Банки усилят информационную безопасность

http://izvestia.ru/news/603370

К Центру по борьбе с киберугрозами подключились 190 банков

http://bankir.ru/novosti/20160205/90-bankov-iz-716-rabotayushchikh-v-rossii-dobrovolno-podklyuchilis-k-tsentru-po-borbe-s-kiberugrozami-10115689/

190 банков из 716, работающих в России, добровольно подключились к Центру по борьбе с киберугрозами

http://www.itsec.ru/newstext.php?news_id=108864

Российские банки обяжут докладывать о хищении средств со счетов клиентов 

http://tass.ru/ekonomika/2639165

ЦБ узаконит соблюдение банками требований информбезопасности в своей инфраструктуре

http://bankir.ru/novosti/20160204/otvetstvennost-bankov-za-informbezopasnost-zakrepyat-zakonodatelno-10115673/

Ответственность банков за информбезопасность закрепят законодательно

===============================================================

AUDIO record in DSS -FORMAT

https://www.dropbox.com/s/hoz2jdb75hrmlro/AUDIO%20in%20DSS-format.DSS?dl=0

sites/default/files/user_pictures/2016/02/12/IMG_2491.JPG

Прикрепленные файлы:
Прикрепленные файлы: 

Комментарии (6)

Сергей Заикин, Разное 

К сожалению рассмотрен лишь компьютерный аспект хакерского вмешательства в деятельность банка. 

Однако существуют вмешательства внешних игроков в банковскую систему страны в целом - это различные биткоинные платежные системы, которые пытаются подменить Центробанк и государственную платежную систему. 

Хакерское проникновение в банковскую компьютерную систему это же не просто компьютерный вирус, который осуществляет вредоносные программные действия. Их вредоносность носит экономический характер. В сущности это не столько компьютерные и программные, сколько экономические вирусы.

Ведь любой денежный платеж это воздействие на получателя, а воздействие на получателя это осуществление власти над получателем. Анонимные биткоинные платежные системы, не подконтрольные государственным органам, являются изначально вредоносными для государственной платежной системы. Элементы экономической власти над гражданнами страны получают анонимные плательщики криптовалют. 

Кроме анонимного осуществления экономической власти, они являются инструментом финансирования различных преступных операций (уклонения от налогов, терроризма, наркоторговли и т.п.).

Что же вы не затронули в обсуждении криптовалютные платежные системы?

Тимур АИТОВ, Бизнес 

Времени не хватило. Согласен затронуть надо. Вот пока взгляни те пож

http://moneynews.ru/interview/103244/?gclid=CjwKEAiAxfu1BRDF2cfnoPyB9jES...

Сергей Заикин, Разное 

По Конституции РФ единственной валютой может быть только рубль. Все криптовалюты изначально незаконны. 

Поэтому вызывает недоумение Ваш упрощенческий ответ в духе, что "биткоины придуманы не против банкиров", что это всего лишь новые технологии. 

Вопрос же касается не столько криптовалют, столько криптовалютных платежных систем, которые не только позволяют осуществлять анонимные платежи, что потворствует криминалу всех мастей, но и осуществлять неподконтрольную государству эмиссию денег и присваивать их.

Борис Бадаев, Бизнес 

Пока мы чешем репу и намереваемся запретить БИТКОЙН, Goldman Sachs, JP Morgan, UBS и Credit Suisse изучают БЛОКЧЕЙН как раз с целью защитить транзакции. Так и будем плестись в хвосте прогресса? Может, пора пригласить на ваши посиделки Виталика Бутерина? Только, думаю, он не приедет...

Тимур АИТОВ, Бизнес 

пригласим - тема актуальная

Тимур АИТОВ, Бизнес 

Что касается биткоинов их вредоосность сильно преувеличена мало компетентными экспертами. Весь рынок биткоинов составляет 0,00001% от общего объёма отмывания средств. По открытым данным биткоины не пользуются популярностью у преступников.