Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
3.4. Проблема борьбы с «теневым интернетом» и средствами анонимизации
Человек бывает настолько самонадеян, насколько он ограничен пониманием.
Александр Поп, английский поэт, один из крупнейших авторов британского классицизмаТекущие средства, направленные на деанонимизацию преступников, преимущественно связаны с поиском уязвимостей в системах анонимизации, привлечением машинного обучения для выявления особенностей поведения самого злоумышленника, активным мониторингом трафика и т. д. С учетом роста преступности данные меры в итоге станут неэффективными. «Теневой интернет», кроме того, используется как площадка для разворачивания серверов управления бот-сетями, серверов с машинным обучением для изменения поведения злоумышленников, изменения поведения систем взлома с целью обхода средств безопасности и т. д.
В этой неравной борьбе, по мнению авторов, необходимо менять правила работы самого интернета: отказываться от протоколов и технологий типа SOCKS, NAT, менять работу иных протоколов с целью однозначной привязки IP-адреса к пользователю и т. д.
Однако в настоящий момент повсеместные скандалы, связанные с манипулированием мнением избирателей (пример: Cambridge Analitica[71]), а также использование интернет-цензуры (в Иране, КНР, КНДР, а в последнее время и в РФ) не позволяют в полной мере убедить общественность и бизнес, активно участвующие в развитии интернета в рамках таких организаций, как ICANN, ISOC, IETF и др., что необходимо пожертвовать частью своей приватности в пользу борьбы с киберпреступностью. То есть желание пользователей интернета защитить свою частную жизнь и иметь свободный доступ к информации перевешивает риски, связанные с опасностями «теневого интернета» и средств анонимизации.
3.5. Проблемы законодательного характера
Добрые нравы имеют большую силу, чем хорошие законы.
Публий Тацит, древнеримский историкВ нынешних реалиях российские банки стараются максимально переложить риски информационной безопасности при предоставлении услуг ЭБ, включая риски кражи электронной подписи, несанкционированного доступа в личный кабинет, мошенничества и т. д., на самого клиента. Однако изменения в ч. 11 ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] кардинально улучшили ситуацию с защитой прав клиентов, переложив ответственность за безопасность денег клиента на сами банки.
Необходимо отметить, что ЭБ не ограничивается переводом электронных денежных средств: он также подразумевает возможность клиента давать поручение на приобретение ценных бумаг или валюты на Московской бирже в рамках брокерского договора. А риски по этому направлению иной раз куда выше, чем при переводе электронных денежных средств в системе «Банк-Клиент».
До сих пор большинство договоров банков по указанным услугам с клиентами выстраиваются с максимальной защитой интересов банков, а не клиентов. В подобных условиях банк обходится минимальным набором защитных механизмов.
Усложняет ситуацию то, что в Федеральном законе от 06.04.2011 № 63-ФЗ «Об электронной подписи» [60] отсутствует унифицированный подход к электронной подписи, выраженный в обязательстве любой организации принять документ, подписанный усиленной квалифицированной электронной подписью.
Гражданин или юридическое лицо не может сгенерировать ключи электронной подписи и выпустить в сертифицированном удостоверяющем центре по доступной цене квалифицированный сертификат, а далее использовать усиленную квалифицированную подпись в любой системе интернет-банкинга банка, микрофинансовой организации, ломбарда, платежного агента и т. д. С другой стороны, не решены проблемы идентификации клиентов в самих удостоверяющих центрах, за последние годы зафиксировано огромное количество случаев мошенничества, в том числе связанных с переоформлением собственности. Поэтому российские банки как нельзя кстати начали активно работать над внедрением средств биометрической идентификации клиентов, что в итоге должно повлиять и на уровень безопасности, и на удобство самих клиентов.
Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» [52] с учетом невысоких штрафных санкций, предусмотренных КоАП РФ, не обязывает со всей серьезностью относиться к обеспечению безопасности персональных данных. Яркими примерами стали утечки в 2019 г. у Сбербанка и ВТБ[72], сведения о каких-либо штрафных санкциях в отношении этих банков в СМИ отсутствуют. Европейская практика в рамках General Data Protection Regulation показала, что высокие штрафы[73] стимулируют коммерческие и государственные компании активнее тратиться на средства безопасности[74](в т. ч. средства двухфакторной аутентификации), а также внедрять процессы ИБ в соответствии с такими стандартами, как ISO 27001.
Законодательная база России в области информационной безопасности не в полной мере соответствует реальным нуждам в данной области. Создание новых законов и редактирование действующих, то есть процесс законотворчества, требуют вовлечения людей, непосредственно обеспечивающих информационную безопасность на местах. А высокие штрафы за невыполнение законов, стандартов и требований мегарегулятора должны побудить банки серьезнее относиться к защите конфиденциальной информации.
3.6. Проблемы обеспечения информационной безопасности в банковском секторе на местах
Нельзя добиться скорости второпях.
Добиться скорости можно, только действуя медленно.
Стивен Хантер. Я, снайперСЭБ, кроме случаев аутсорсинга, является неотъемлемой частью инфраструктуры банка, и качество обеспечения безопасности на местах напрямую сказывается на возможности злоумышленника произвести атаку на банк. Зачастую сам банк является пользователем систем интернет-банкинга. К ним можно отнести системы управления депозитарными счетами в уполномоченных банках Московской биржи, перевода денежных средств через Банк России, отправки отчетности в Банк России, взаимодействие с платежными системами, например «Город» или QIWI, для ускоренного перевода платежей, связанных с оплатой мобильной связи и т. д., систему SWIFT, системы перевода моментальных платежей типа Western Union и другие.
Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [21], а также отраслевые стандарты Банка России по информационной безопасности[75], ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» призваны максимально обезопасить банки от возможных попыток злоумышленников украсть деньги или нанести вред банку, например сорвать сделку крупного клиента, который должен внести до определенного времени авансовый платеж, чтобы начать сотрудничество с покупателем.
Основные ошибки и проблемы при обеспечении информационной безопасности на местах:
1. Некачественно сформированный процесс управления криптографическими ключами. Обычно это проявляется в том, что ключи передаются неуполномоченным лицам, конечная отправка рейсов, платежей осуществляется не с выделенного рабочего места – как выделенного физически, так и отделенного от основной сети банка.
В небольших банках встречается ситуация, когда ключи нескольких пользователей записаны на один накопитель, постоянно находятся на компьютере и администраторы удаленно осуществляют отправку.
Это открывает широкие возможности злоумышленникам, которые каким-то образом проникли в банк – через занесенный вирус или нелояльного сотрудника самого банка, в том числе сотрудника ИТ-подразделения.
2. Неподготовленность персонала к воздействиям извне. Социальная инженерия остается одной из самых актуальных проблем. Нередко злоумышленники собирают информацию о работниках в социальных сетях, на форумах и т. д. и затем, представляясь сотрудниками регуляторов, различных ведомств, специалистами технической поддержки, просят перевести денежные средства. Также нередки случаи, когда злоумышленники направляют работникам письма от имени проверяющих органов с вложением (якобы отчетом), открыв которое, сотрудник банка заражает рабочую станцию и злоумышленник осуществляет дальнейшее