Контакты
Подписка
МЕНЮ
Контакты
Подписка

Безопасность банковской сферы: технологии защиты от целевых атак

Безопасность банковской сферы: технологии защиты от целевых атак

В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Безопасность банковской сферы: технологии защиты от целевых атак

2017 год был очень насыщенным в плане событий в сфере безопасности платежных технологий, в том числе со стороны законодательства. А поскольку на него пришелся памятный юбилей – с момента установки первого в мире банкомата прошло 50 лет – в данной статье рассмотрим тенденции, связанные с атаками на эти устройства самообслуживания
Николай Изумрудский
ЦМР Банк

Количество случаев установки скимминговых устройств в России продолжает снижаться, и эта проблема практически отошла на второй план и стала незначительной. Такая ситуация связана в первую очередь с требованием ЦБ РФ выпускать с 2015 г. исключительно микропроцессорные карты. Кроме того, крупные российские банки-эквайреры в большом количестве оснастили свои банкоматные сети устройствами активного антискимминга.

Напротив, серьезную проблему продолжают составлять атаки, направленные на несанкционированную выдачу наличных банкоматами: прямой диспенс – с использованием либо вредоносного программного обеспечения, либо аппаратных средств типа Black Box.

Локальный и удаленный контроль над банкоматами

Использование преступниками вредоносного программного обеспечения для выдачи наличных денежных средств несколько изменилось. Если на первоначальном этапе заражение банкоматов, как правило, осуществлялось локально, то в настоящий момент это делается в большинстве случаев удаленно – путем захвата контроля над компьютером, с которого осуществляется штатный удаленный контроль над банкоматами. После такого проникновения за защищаемый периметр злоумышленнику достаточно получить управление над компьютером, удаленно управляющим банкоматами, в результате возможно заражение большого количества устройств и, как следствие, крупная экономическая эффективность атаки.

В настоящий момент отсутствуют какие-либо требования по средствам удаленного управления ATM. Инструментарий, предлагаемый производителями банкоматов для банков, все еще достаточно дорог. Поэтому многие для данной цели используют более дешевые решения типа RAdmin, Active Directory и т.д. Данные решения позволяют выполнять задачи по удаленному управлению банкоматами, но снижают уровень их защищенности. Вероятно, тенденция атак на банки и процессинговые центры в 2018 г. усилится, так как подобные атаки становятся проще и выгоднее.

Новые законодательные меры

В 2017 г. произошли значимые события в области уголовного права, которые, безусловно, скажутся в 2018 г. 1 января 2018 г. вступила в силу ст. 274.1. УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации". Учитывая, что Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" относит к субъектам КИИ информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в том числе в банковской сфере и иных сферах финансового рынка, данная статья, безусловно, коснется противоправных действий в области платежных технологий и кибератак на банковские системы.

Очень важным является Постановление Пленума Верховного Суда Российской Федерации от 30 ноября 2017 г. № 48 "О судебной практике по делам о мошенничестве, присвоении и растрате". Из положительного можно отметить решение считать момент изъятия денежных средств с банковского счета их владельца моментом окончания преступления. Это будет способствовать возбуждению уголовных дел по месту хищения безналичных денежных средств.

Есть и решение, которое, напротив, может существенно затруднить процесс возбуждения уголовных дел. Речь идет о решении квалифицировать хищение в зависимости от способа его подготовки:

  • конфиденциальная информация передана злоумышленнику самим держателем платежной карты;
  • создание поддельных сайтов, использование электронной почты;
  • использование чужих учетных данных без вмешательства в штатный процесс либо с вмешательством, которое нарушает штатный процесс.

Дело в том, что для этого необходимо будет предварительно установить, каким образом осуществлялась подготовка к хищению. А сделать это без возбужденного уголовного дела будет значительно труднее.

В банковской сфере необходимо обратить внимание на указы Президента Российской Федерации "О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 08.05.1993 г. № 644, "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.1995 г. № 334, "О создании Государственной технической комиссии при Президенте Российской Федерации" от 05.01.1992 г. № 9, Положение о государственной системе защиты информации от ИТР и от утечки по техническим каналам, утвержденное постановлением Правительства РФ от 15.09.1993 г. № 912-51.

Защита конфиденциальной информации

Автоматизированные системы банка (АС) являются основой обеспечения практически любых бизнес-процессов. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к обострению проблем, связанных с их защитой. Однако не во всех банках уделяется должное внимание специалистам данного направления. Подтверждением этому служит тот факт, что за последние несколько лет как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.

В связи с этим руководителям подразделений безопасности банка необходимо направлять все усилия на организацию и материальное обеспечение защиты коммерческой тайны. Задача специалистов данного направления – противодействовать утечке конфиденциальной информации по техническим каналам. Кроме того, необходимо создание системы защиты информации ограниченного доступа, циркулирующей в технических средствах и помещениях банка, от утечки и умышленного перехвата с противоправными целями. Такая система должна состоять из двух блоков: технического и функционального. В рамках первого ведется разработка и внедрение технических средств защиты информации, циркулирующей в средствах техники и связи.

Решение данных технических задач, как правило, возлагается на подразделения безопасности банка (либо отдельных специалистов) по защите информации.

Опубликовано: Каталог "Системы безопасности"-2018
Посещений: 1359


  Автор
Николай Изумрудский

Николай Изумрудский

ЦМР Банк

Всего статей:  1

В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик  |  К списку авторов  |  К списку публикаций