Проблема информационной безопасности от года к году становится все острее. Количество хакерских атак и попыток мошенничества растет пропорционально числу пользователей компьютеров, интернет-банкинга, мобильного банкинга и т.д. Достижения цивилизации облегчают жизнь не только владельцам денег, но и мошенникам, стремящимся присвоить себе чужие средства с помощью высоких технологий.
ВЫЗОВЫ ВРЕМЕНИ
Российские коммерческие банки – не исключение из общего правила. Данные Visa и Mastercard свидетельствуют, что с карт этих платежных систем ежегодно пропадает порядка $1 млрд. Доля России в этом «негативе» пропорциональна количеству карт, эмитированных и имеющих хождение на территории нашей страны, говорят эксперты. Таким образом, наши владельцы пластика ежегодно лишаются десятков миллионов долларов. Поскольку путей мошенничества и воровства множество, а преступники работают все изощреннее, то и методы борьбы с ними необходимо непрерывно совершенствовать. Проблемы с безопасностью делятся на частные и системные. Зачастую сам пользователь делает все, чтобы облегчить жизнь мошенникам. «Никто не оставляет открытой квартиру, однако считается нормой оставить на незащищенном компьютере номера карточек и даже пароли доступа», – говорит Александр Баранов, заместитель начальника центра безопасности связи ФСБ РФ. Хищения при дистанционном банковском обслуживании, например, все чаще организованы в виде атак на компьютеры потребителей – юридических и физических лиц, у которых возникают проблемы с антивирусными программами, паролями и защитой информации со стороны провайдеров. Так что в некотором смысле защита информации – дело рук пользователя. Однако же представитель ФСБ в большей степени адресует посыл банкам. Эксперты предупреждают: если кто то овладел электронным ключом подписи, система воспринимает документ как легальный и проводит деньги. «Если замок вставить в дверь из фанерки, ее рядышком проткнут. Поэтому вы, когда дверь изготавливаете, требуете лицензии», – говорит Александр Баранов, на мекая на то, что службы безопасности в коммерческих банках должны работать так, чтобы пресекать попытки мошенничества. Ведь одно из главных зол для финансово-кредитных структур – это сотрудники, распространяющие внутреннюю информацию, убеждены эксперты.
Данные Visa и Mastercard свидетельствуют, что с карт этих платежных систем ежегодно пропадает порядка $1 млрд.
ИНСАЙДЕРЫ – ВОТ ГЛАВНАЯ ПРОБЛЕМА
«Инциденты, связанные с похищением денежных средств в банках, в основном, происходят с участием инсайдеров», – говорит Андрей Курило, замначальника главного управления безопасности и за щиты информации Банка России. Не секрет, что базы данных разной степени актуальности ходят по рынку, а базы данных и деньги – почти одно и то же, считают специалисты рынка безопасности информации. Если на Западе о пропаже таких баз принято заявлять (хотя бы на уровне правительственных учреждений), то в России подобные прецеденты зачастую замалчиваются до последнего. «В банках существует традиция скрывать инциденты, чтобы не портить себе репутацию», – говорит А. Курило. Поэтому эксперты не исключают, что реальный объем хищений средств в российских банках на несколько порядков превышает официальные данные. При этом вернуть удается всего 10% «уведенных» денег. Такая математика убеждает крупные банки: дешевле не допускать утечек, чем пытаться отобрать у преступников то, что они благополучно украли. По словам Курило, как правило, о проблемах в банках становится известно, когда «йодом мазать уже невозможно, надо болезнь лечить». Типовое хищение в российских финансово-кредитных структурах выглядит так: пропадает 1–2 млн рублей. По мнению экспертов, воровать меньше нет смысла, больше – сразу заметят и начнут искать. Как правило, во всех крупных мошеннических операциях находится след инсайдера.
СТАНДАРТИЗАЦИЯ БОРЬБЫ
Еще несколько лет назад каждый банк самостоятельно разбирался со своей безопасностью, а ЦБ – со своей. Однако в последние два года ситуация изменилась, говорят эксперты: ЦБ предложил коммерческим финансовым организациям воспользоваться разработанными его специалистами стандартами. В Банке России подчеркивают: имен но предложили, а не обязали этим стандартам следовать. Каждый по-прежнему волен выбирать собственные, но все больше кредитных организаций обращаются к опыту регулятора. «Стандарты представляют собой консолидированный опыт. Важна возможность не в одиночку биться, а объеди нить усилия», – говорит председатель комитета АРБ по информационной безопасности Александр Велигура. Тем более что «в условиях кризисной турбулентности повышается активность преступников», а количество банковского персонала и качество его работы, напротив, снижается. И этим пользуются мошенники. Формирование стратегии безопасности – вопрос, который решает для себя руководство каждого банка. «Прежде чем ставить дверь, нужно додуматься, что она вообще нужна, принять решение о том, какую именно поставить», – считает Велигура. По его мнению, стандарты Центробанка в этом смысле очень полезны. По словам зампреда ЦБ РФ Михаила Сенаторова, в системе Банка России уже более 10 лет хищений не было. Между тем через эту систему проходит около 60% всех платежей, а остальные 40% – через крупные банки, где хищения возможны. Банкиры не воспринимают стандарты ЦБ как очередной инструмент воздействия на кредитные организации, убежден Павел Гениевский, секретарь совета сообщества ABISS. По мнению Гениев ского, сейчас, когда банки столкнулись с реальными угрозами и рисками – мошенничеством через интернет-банкинг, вирусами, спамом, – руководство финансово-кредитных структур изменило свое отношение к проблемам информационной безопасности. «Теперь специалисты банков сами обращаются в Банк России, в сообщество и просят: дайте инструмент, который защитит наши активы», – гово рит Павел Гениевский. На сегодня более тысячи человек скачали с сайта Банка России стандарты информационной безопасности.
СМЕНА ПРИОРИТЕТОВ
«В этом году был проведен опрос, есть ли в банках выделенный отдел информаци онной безопасности. Только 30% сейчас не имеют такого отдела. Два года назад ситуация складывалась с точностью до наоборот», – говорит Павел Гениевский. Результаты опроса также показали, что в середине 2008 года порядка 80% коммерческих банков в той или иной мере использовали стандарты ЦБ или приняли решение об их использовании. Представители ФСБ, как и Центробанка, не призывают в обязательном порядке следовать принятым регулятором стандартам. Но настаивают на том, что защитой должны заниматься сертифицированные и лицензированные профессионалы, используя лицензированные программы. И что сотрудничество с ФСБ пойдет банкам не во вред, а во благо. «Многие боятся, что ФСБ будет подглядывать, что-то искать, – удивляется Баранов. – Смешная позиция. Уверяю: есть боковые методы защиты. А привлечение к защите людей некомпетентных – основной бич системы». Профессионалы в сфере IT объясняют нежелание работать с продуктами ФСБ вовсе не страхом перед всевидящим оком, а тем, что предлагаемые рынку криптографические программы стоят недешево, но не всегда оказываются высокого качества. Каких-то требований по обязательной сертификации пока нет. Но вероятнее всего, в дальнейшем системы защиты криптографии ФСБ будут рекомендоваться к использованию как минимум для критически важных узлов, которые представляют интерес с точки зрения вопросов национальной безопасности – считают на рынке.
КСТАТИ...
ПОЛ-ЕВРО ЗА НЕМЦА
Примерно в пол-евро оценили киберпираты детальные банковские данные на одного гражданина Германии. Корреспондентам еженедельного делового журнала Wirtschafts Woche предложили купить детальные банковские данные на 21 млн немцев за 12 млн евро. В результате угроза потери денег нависла над тремя четвертями немецких семей. За последние шесть месяцев это третий случай появления «черной» базы данных о миллионах немцев. Мошенники продемонстрировали сотрудникам Wirtschafts Woche демо-версию нелегальной базы данных, содержащую помимо их личных данных реквизиты банков, номера персональных счетов, идентификационные коды, а в ряде случаев и деталь ный баланс счета. Wirtschafts Woche передал диск с этими сведениями в прокурату ру, чтобы предотвратить их использование в преступных целях. Расследование дела только начинается. Чуть ранее, в октябре текущего года, в Deutsche Telekom признали, что из ком пании похитили базу данных на 17 млн абонентов, включая политиков и министров. В середине августа Федеральное объединение обществ защиты потребителей сообщило, что всего за 850 евро купило в Интернете личную информацию на 6 млн че ловек, где имелись данные на 4 млн банковских счетов. Аналитики полагают, что оживление пиратской деятельности напрямую связано с кризисом: сотрудники, опасающиеся увольнений, пытаются заработать на информации. Как отмечает KPMG, на финансовый сектор Германии в текущем году пришлось 14% всех инцидентов с утратой информации, а на госсектор – 19% (пострадали порядка 33 млн человек).
ЗАГРАНИЦА СТАВИТ ЗАСЛОНЫ
На сегодня информационная безопасность в банках «свыше» регламентируется законом об охране персональных данных и рекомендациями Центробанка по защите информации. Помимо стандартов, разработанных специалистами ЦБ, в России применяется еще и международный стандарт Базель-2: им интересуются банки, которые намерены выходить на международный рынок. Кроме того, в каждом банке существуют внутрибанковские приказы, где прописаны требования к обеспечению информационной безопасности. Никто не мешает банкам применять любые принятые в мире стандарты, подтверждают банкиры и разработчики IT технологий. Но с одной оговоркой. «Теоретически внедрение стандартов ЦБ – рекомендация, но практически все ждут, что в любой момент эти стандарты могут сделать обязательными, поэтому банки стараются их внедрять», – говорит Андрей Ларшин, директор по продажам финансового сектора России и СНГ компании Symantec. Таким образом, стратегии банковской информационной безопасности все же строятся с учетом рекомендаций ЦБ. Уже сейчас при проведении аудита банка возможны проверки стандартов безопасности. А несоответствие требованиям ЦБ может стать аргументом для закрытия банка, говорит представитель Symantec. Тем не менее в России всерьез озабочены безопасностью лишь несколько топ-банков, например Сбербанк, отмечает эксперт. Остальные же, оценив свои материальные возможности, предпочитают списать потери в 1–2 млн рублей или разобраться с клиентами, у которых с карт пропали средства. Требования ЦБ достаточно абстрактны, чтобы допускать различные трактовки того, что такое без опасность, убеждены эксперты.
ФАКТ
ЗА ПОЛУГОДИЕ КИБЕРПИРАТЫ УКРАЛИ ИНФОРМАЦИЮ ЦЕНОЙ В $1,7 МЛРД
Компании Symantec и Softline проана лизировали рынок подпольной сетевой экономики в докладе «Report on the Underground Economy». Стоимость то варов, рекламируемых на наблюдае мых серверах черного рынка за период с 1 июля 2007 года по 30 июня 2008 года, превысила $276 млн. 59% от этой суммы пришлись на информацию о кредитных картах. Отчет составлен на основе данных, собранных
организацией Symantec Security Technology and Response (STAR), и содержит описание некоторых из наиболее заметных групп, вовлеченных в эту деятельность. Информация о кредитных картах составляла на обследуемых серверах 31% от всех рекламируемых товаров и пользовалась наибольшим спросом – 24% всех запрашиваемых товаров. По итогам отчетного периода ин формация о кредитных картах оказалась наиболее часто рекламируемым товаром при самой высокой средней цене на нее на пиратском рынке. Составители доклада уточняют, что указанная сумма в $276 млн не учитывает практики использования продаваемых товаров, в том числе – объемы незаконных снятий денег с кредитных карт или банковских счетов. По оценкам Symantec, потенциальная сумма денежных средств на всех кредитных картах, информация о которых продавалась киберпиратами за пер вое полугодие 2008 года, составляет $5,3 млрд. Общую стоимость рекламируемых банковских реквизитов аналитики оценивают в $1,7 млрд. Краденые номера кредитных карт продаются по 10–25 центов, средняя стоимость рекламируемой партии номеров кредитных карт превысила $4000. Основные мошеннические операции, которые проводят с куп ленными данными: фишинговые схемы, наблюдение за авторизацией кредитных карт, использование считывателей магнитной полосы кредитных карт или взлом баз данных и других хранилищ конфиденциальной информации. Доля банковских реквизитов составила 18% от всех рекламируемых товаров, их цена колеблется в диапазоне от $10 до $1000 в зависимости от баланса счета и его местонахождения. Популярность данной информации аналитики объясняют «высоким и скорым потенциальным доходом»: в одном из описываемых случаев средства с банковских сче тов были переведены в неизвестном на правлении менее чем за 15 минут.
Начать дискуссию