От хакерских атак банки и иные организации денежно-кредитной системы страдают в наибольшей степени. Это заставляет обращать особое внимание на организацию системы информационной безопасности в финансовой системе страны. Основные правила и регламенты относительно характеристик безопасности, заложенных в АБС (автоматизированные банковские системы), разрабатывает и внедряет Центральный банк в качестве регулятора банковской деятельности.

Угрозы информационной безопасности, характерные для финансовых систем

На Всемирном экономическом форуме по глобальным рискам 2018 года кибератаки признали составной частью единого базового глобального технологического риска.

Выявлен мировой тренд, в котором компьютерные нападения на финансовую систему преследуют две цели:

• увеличение денежных потерь экономики в целом;
• нарушение целостности и непрерывности функционирования банковской системы.

Атаки на банковский сектор составляют 17 % от всего объема хакерских атак в мире. Характер хакерских атак на российские банки за последний год изменился. Основным риском признается несанкционированная операция по переводу денежных средств или списание средств с карты или счета клиента. Причинами такой операции могут быть действия хакеров или инсайдеров. По данным ФинЦЕРТ, в 2018 году объем средств, незаконно списанных со счетов юридических лиц, составил 1,469 миллиарда рублей. Но в сравнении с тем, что в 2015 году эта цифра составляла 3,7 миллиарда, можно говорить о существенном улучшении ситуации с информационной безопасностью в банковской системе. Для сравнения: количество денежных средств, потерянных клиентами банков в результате несанкционированных списаний с банковских карт, в 2018 году составило 1,384 миллиарда рублей, а в 2015-м – 1,14 миллиарда рублей.

Такую диспропорцию, когда при усилении мер безопасности объемы списания со счетов компаний уменьшаются, а со счетов граждан увеличиваются, можно объяснить двумя причинами:

• общим увеличением числа банковских карт;
• недостаточной экономической грамотностью населения.

Но более опасны системные сбои в работе банковской организации, способные затормозить или остановить экономическую деятельность клиентов на неопределенное время. Ключевыми рисками информационной безопасности, требующими внимания и устранения, в этой ситуации становятся:

• потери клиентов кредитных организаций (в том числе граждан, разово пользующихся банковскими услугами, например, банкоматом или системой переводов), подрывающие доверие к финансовой системе в целом, современным информационным технологиям и государству как регулятору;
• потери участников банковско-кредитного рынка как в части собственных средств, так и в части средств клиентов, способные негативно повлиять на их устойчивость и привести к банкротству;
• нарушение непрерывности операционного цикла оказания банковских услуг, что наносит ущерб репутации участников рынка и создает социальное напряжение в обществе. Социальная напряженность вызывается минимальным сбоем в работе банкоматов или систем онлайн-банкинга;
• системный кризис в отдельных секторах банковского рынка, спровоцированный систематическими и массированными кибератаками.

Для понимания, является ли вмешательство хакеров в операционную деятельность банковской организации проблемным, OSCO (международной организацией – регулятором денежных рынков) выработала критерии надлежащего функционирования системы:

• возможность восстановить операционную деятельность и осуществлять финансовые трансакции уже через два часа после инцидента информационной безопасности, нарушившего работоспособность системы;
• любой платеж должен быть осуществлен по наступлении определенного срока его завершения, например, платежное поручение исполняется банком не позднее следующего дня, а платеж по кредиту должен быть зачислен в оговоренные в договоре сроки, их нарушение по вине банка грозит убытками для клиента, возместить которые должен банк.

Если информационная система кредитной организации соответствует этим требованиям, значит, она надежна. Банки обязаны заботиться об информационной безопасности больше, чем обычные организации, так как они рискуют не только своими активами, но и средствами клиентов. Это порождает необходимость дополнительного регулирования соблюдения требований информационной безопасности в банковской и финансовой системе со стороны государства.

Кроме средств клиентов и банков, хакеров могут интересовать:

• персональные данные;
• программные коды и алгоритмы работы банковских продуктов;
• конфиденциальная информация, связанная с планами, стратегией, политикой кредитной организации.

Защита этих массивов информации осуществляется в соответствии с требованиями регуляторов (ФСТЭК, ФСБ, ЦБ РФ) и по собственным технологиям финансовой организации.

Типы массовых атак на компании банковско-кредитного сектора мало отличаются от атак на компании, работающие в других секторах экономики, это:

• DDoS-атаки (им подвергается каждое четвертое учреждение кредитно-финансовой сферы);
• фишинг (21 %);
• взлом систем (17 %);
• 20 % – инциденты прочего характера.

АБС (автоматизированные банковские системы) защищены в достаточной степени, наибольший объем атак приходится на клиентские мобильные приложения. Часто хакеры используют такие приложения для внедрения вредоносного ПО – шифровальщиков, кодирующих данные на мобильном устройстве и предлагающих раскодировать их за выкуп. Сообщается, что приложения мобильного банкинга 50 из 100 крупнейших мировых банков содержат уязвимости, страдают ими и другие front-end-системы, предлагающие мобильный банкинг для предприятий. В последние годы крупнейшие финансовые организации внедряют в систему «Клиент-Банк» фрод-модули, но риск несанкционированных трансакций в полной мере пока не снят.

Помимо классических хакерских атак, в последние годы для финансовых организаций возник новый тип рисков. Банковские бизнес-процессы уязвимы, и опытные мошенники могут перенастроить информационную систему таким образом, чтобы изменить течение процесса и сконцентрировать основную прибыль у себя. Business Process Compromise (BPC), так называется этот вид мошенничества, в банковском бизнесе чаще всего выражается в подложных поручениях на перевод средств. Ущерб от этого вида мошенничества по миру уже превысил несколько миллиардов долларов. Например, у Банка Бангладеша таким образом было похищено около 80 миллионов долларов.

Центробанк как регулятор ИБ

Полномочия ЦБ РФ как регулятора банковской деятельности, определяющего в том числе требования к информационной безопасности, установлены законом «О центральном банке». Ему предписано обеспечивать стабильность банковской и финансовой системы, и в этом качестве он вправе издавать документы, описывающие требования к информационной безопасности, обязательные для исполнения банками.

Центробанк издал основополагающее Постановление № 683-П от 17.04.19, устанавливающее обязательные требования к защите информации с целью исключения несанкционированных переводов.

Также за последние несколько лет в рамках усиления информационной безопасности в кредитной и финансовой сфере:

• приняты нормативные акты, согласно которым банки и финансовые организации обязаны уведомлять ЦБ РФ о выявленных инцидентах информационной безопасности;
• выпущены стандарты СТО БР БФБО-1.5-2018 об управлении инцидентами информационной безопасности и СТО БР ИББС-1.0-2014, освещающий общие вопросы информационной безопасности в финансовой и кредитной сферах;
• изданы разъяснения о порядке выполнения нормативных актов.

Это привело к заметному снижению числа инцидентов. ЦБ РФ устанавливает наиболее жесткие требования по информационной безопасности к следующим программным модулям:

• платформа удаленной идентификации в Единой биометрической системе (не в последнюю очередь из-за обработки биометрических персональных данных);
• системы быстрых платежей;
• платформы, обслуживающие маркетплейсы;
• цифровой профиль клиента.

Здесь требования регулятора могут быть жестче, чем соответствующие требования ФСТЭК РФ, связанные с защитой ПД.

В дальнейшем планируется доработать требования, связанные с:

• использованием Интернета вещей как новой угрозы;
• применением искусственного интеллекта и Big Data;
• применением технологии распределенных ресурсов и изменением архитектуры ИС.

ФинЦЕРТ

Существенную долю ответственности за обеспечение безопасности в банковской сфере взял на себя Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). Организация существует более четырех лет, и за этот период ей удалось систематизировать накопленный опыт в сфере информационной безопасности и снизить частоту нападений на банки и средний размер ущерба, причиняемого одной хакерской атакой. ФинЦЕРТ разработал собственную автоматизированную систему обработки информационных инцидентов. Подключиться к системе ФинЦЕРТ могут банки и небанковские кредитные организации.

ФинЦЕРТ вправе проводить проверки соблюдения требований информационной безопасности в банковской сфере. Во время 122 проверок, проведенных в 2019 году, выявлено около 700 нарушений требований, которые привели или могли привести к риску возникновения компьютерного инцидента и хищения денег клиентов.

Особенности систем информационной безопасности в банках

Большинство банков самостоятельно разрабатывают программное обеспечение – от общих систем до мобильных приложений. ЦБ РФ внес инициативу обязательной сертификации всех программ и обновлений, но она встретила сопротивление в финансовом сообществе. Банки отметили, что иногда обновление должно быть сделано в течение 1-2 недель после выявления ошибок в приложении, а сертификация замедлит его выход на рынок на месяцы. Сейчас в практической деятельности банков с целью предотвращения хищения средств клиентов при помощи компьютерных технологий используются следующие программные и технические средства осуществления информационной безопасности:

• программные средства защиты от внутреннего и внешнего фрода или мошенничества в сфере электронной коммерции;
• системы многофакторной аутентификации клиентов при онлайн-пользовании услугами банка;
• системы мониторинга информационных сетей и удаленных устройств, способных выявлять и реагировать на инциденты информационной безопасности;
• средства защиты банкоматов, исключающие несанкционированный доступ на физическом или информационном уровнях.

Стандартные программные средства защиты, предписанные регуляторами, ЦБ РФ, ФСТЭК, ФСБ, выбираются согласно классу системы, в которой обрабатываются персональные данные клиентов. Они обеспечивают уровень защиты информации, предписанный регулятором, но, если банк предполагает наличие риска целевых атак, защита должна быть усилена.

Пока в России не было хакерских атак на банковскую систему настолько интенсивных, чтобы была нарушена ее нормальная жизнедеятельность. Но регулярные сбои в работе банкоматов и онлайн-приложений создают напряженность в обществе, что побуждает уделять еще большее внимание информационной безопасности в финансовых системах.

30.01.2020