28 ноября в Москве прошла IV Международная конференция AntiFraud Russia 2013, посвященная борьбе с мошенничеством в сфере высоких технологий. Портал Банки.ру узнал, какие настроения царят в международных кругах борцов с технологичным фродом.
Как оказалось, степень «международности» мероприятия сильно преувеличена: единственный заявленный заграничный участник — глава европейского отделения PCI Council Джереми Кинг — приехать не смог. Впрочем, состав участников и без него был очень представителен: видные эксперты в области информационной безопасности, представители Банка России, разработчики разного рода банковского программного обеспечения и несколько сотрудников управления «К» МВД, занимающегося борьбой с преступлениями в Сети, во главе с начальником,генералом-майором полиции Алексеем Мошковым.
Конференцию открыл как раз генерал-майор Мошков. Он привел статистические данные, касающиеся отношения наших соотечественников к информационной безопасности. В частности, генерал-майор полиции поведал о том, что половина владельцев мобильных устройств напрочь игнорируют все ее базовые принципы. Многие легкомысленно относятся и к безопасности своих компьютеров: 28% пользователей не устанавливают никаких защитных программ. Это не стало сюрпризом для участников конференции — многие из них сталкиваются с последствиями такого отношения чуть ли не ежедневно.
Следом выступил начальник управления департамента национальной платежной системы Банка России Вадим Кузнецов. Озвученные им цифры не сколько пугали, сколько успокаивали: по его данным, из операций по пластиковым картам отечественных банков, выполненных на территории России, лишь 0,003% являются несанкционированными (фродовыми). За границей процент фрода чуть больше — 0,06% от операций с картами наших банков. По всей видимости, это обусловлено обналичиванием средств с карт, подвергшихся скиммингу в России, — по неписаному закону кардеров, дамп карты (содержимое ее магнитной ленты) перед снятием средств должен пересечь границу.
Кузнецов указал на несколько ключевых направлений борьбы Центробанка с технологичными мошенничествами. Это анализ угроз на основе изучения отчетности по инцидентам, повышение безопасности банкоматов и интернет-платежей с помощью современных средств защиты. Кузнецов также сообщил, что регулятор готовит предложения по изменению уголовного законодательства касательно фрода. Помимо этого, Центробанк планирует создать специальную систему по обмену данными о фродах и их исполнителях.
Последняя идея выглядит весьма перспективно — как правило, методики выполнения фродов повторяются из раза в раз. И в них нередко задействуются одни и те же люди. На профильных конференциях банкиры неоднократно жаловались на отсутствие подобной системы, но воз пока и ныне там. Отчасти ее появлению препятствует закон 152-ФЗ «О персональных данных», и если кто и сможет решить эту проблему, то именно Центробанк.
Президент некоммерческого партнерства «Национальный платежный совет» Алексей Саватюгин отметил, что главным препятствием на пути перехода к безналичным платежам является их незащищенность. По его словам, совет надеется на принятие в ходе весенней сессии Госдумы предложенных им поправок в 161-ФЗ. Эти поправки, по замыслу НПС, должны будут усилить контроль за недобросовестными пользователями платежных систем.
Отвлекшись от темы, Саватюгин попенял организаторам конференции за проверку документов — два дюжих охранника на входе пускали участников строго по списку и с предъявлением документа, удостоверяющего личность. «Спасибо за то, что мы чувствуем себя здесь защищенными, но необязательно пускать по паспорту на конференцию, направленную на защиту интересов миллионов людей», — заявил оратор, чем вызвал оживление в зале и натянутые улыбки у организаторов.
Генеральный директор Group IB Илья Сачков пришел на конференцию с крайне содержательным отчетом о деятельности компании на поприще информзащиты. Собравшиеся узнали, что 80% экспертиз для управления «К» МВД проводит именно Group IB, что определенно придает компании авторитета в отрасли. С ее помощью впервые в истории российского правосудия был осужден организатор DDoS-атаки Павел Врублевский, получивший за свое преступление 2,5 года колонии-поселения.
По словам Сачкова, Group IB наблюдает нисходящий тренд потерь от фрода: число зафиксированных мошенничеств с 2011 по 2012 год упало вдвое (данные за этот год пока не подсчитаны), потери от мошенничеств с интернет-банкингом снизились на 10%, а от прочих видов интернет-мошенничества — на 12%. В 2013 году появилась новая волна атак. Все чаще целью злоумышленников становятся брокерские системы, POS-терминалы, сайты банков. Даже рабочие компьютеры банковских операционистов подвергаются заражению, в 2013 году Group IB зафиксировала 23 таких случая. Это приносит мошенникам несравнимо больше денег, чем кражи со счетов физических лиц. Но и выполнить такую операцию сложнее, поэтому, по словам Ильи Сачкова, «все новые технологии, внедряющиеся в банкинге, крайне внимательно изучаются киберпреступниками».
Вместо не приехавшего Джереми Кинга выступил ассоциированный вице-президент MasterCard в России Евгений Болезин. Начав свой доклад с оправданий, что к нему не готовился и выступает лишь по просьбе организаторов, докладчик взял резкий старт и предъявил участникам кое-какую статистику. Из его презентации мы узнали, что наиболее часто атакуемыми элементами платежной инфраструктуры являются отнюдь не банкоматы (1%), а интернет-магазины (25%) и POS-терминалы (24%). Последние чаще не заражаются, что технически достаточно сложно выполнить, а просто подменяются — например, специально внедренным сотрудником. Когда вы платите в ресторане пластиковой картой, стоит учитывать, что принесенный официантом POS-терминал может быть фальшивым, деньги уйдут не ресторану и в объеме, изрядно превышающем сумму счета.
По данным MasterCard, в 67% случаев фрода причиной является отказ от двухфакторной аутентификации при удаленном доступе к системе, а еще 27% — различные программные уязвимости веб-приложений. «При этом общее количество мошенничеств в России с использованием платежной системы относительно невелико и в два-три раза ниже, чем в Европе, не говоря уже о США. Как шутим мы в MasterCard, «в России фрода нет», — добавил Евгений Болезин.
Сменивший его на сцене директор центра информационной безопасности «Инфосистемы Джет» Игорь Ляпунов сходу ошарашил публику неожиданным выбором темы своего доклада. Решив, видимо, что на конференции по борьбе с высокотехнологичными мошенничествами выступлением об информационной безопасности никого не удивишь, он рассказал о самых обычных внутренних мошенничествах — то есть о банальном воровстве сотрудников у собственной компании.
По всей видимости, для Ляпунова эта тема была наболевшей: с горечью он поведал, что за последние годы не потерял ни рубля с пластиковой карты, а вот двух сотрудников, пытавшихся обокрасть компанию, выгнать пришлось. За этим признанием последовал увлекательный рассказ о закупке полуторагодичного запаса моцареллы для казахстанской торговой сети и методах кражи топлива с нефтеперерабатывающего завода. Основная мысль доклада была проста: не столь важно, какими средствами защищается компания от воровства, главное — отсутствие «дырок» в бизнес-процессе, в которые могут бесконтрольно утекать финансовые потоки.
Следующий докладчик, руководитель отдела расследований компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов вернул конференцию в «высокотехнологичное» русло. По его оценкам, лицо киберпреступного бизнеса последние десять лет стремительно менялось. Если на заре цифрового бандитизма этим ремеслом занимались высококвалифицированные элитные хакеры, то в наше время возрастной порог вхождения в электронную мафию снизился до предела: «Неофиты киберкрайма начинают приобщаться к преступной деятельности с 12—13 лет. Начинается все с посещения форумов, где подробно описано, что, где и как надо использовать для получения криминального дохода. Дальше они скачивают публичный криминальный софт, начинают пользоваться криминальными сервисами и гарантами, а полученный доход вкладывается в платные инструменты, за счет чего преступные доходы растут».
В отличие от большинства других докладчиков, Стоянов не ограничился статистикой и выводами, высказав несколько предложений по борьбе с киберпреступностью. По его мнению, закрытие доступа к хакерским форумам поднимет ценз вхождения в эту среду, а перенос фокуса борьбы на хакерскую инфраструктуру и сервисы также затруднит деятельность неквалифицированных мошенников. «Хакерство должно вновь стать элитарным. Элите — большие сроки!» — призвал Стоянов. Для исполнения последнего пункта докладчик предложил модернизировать законодательство в сторону ужесточения.
После пленарного заседания пришло время круглого стола по теме «Как защитить интересы банков и клиентов в рамках законодательства о национальной платежной системе?». Вел его вице-президентНП «Национальный платежный совет» Тимур Аитов. Обсуждение вылилось в полуторачасовой «плач Ярославны» по девятой статье 161-ФЗ. Долгое время участники круглого стола (почти все — банкиры и руководители банковских служб безопасности) вспоминали, каким хорошим был 161-ФЗ когда-то, сетовали, как испортили его своими правками неустановленные группы лоббистов, и ругали Государственную думу за неумение принимать специальные законы. В итоге сошлись на том, что девятая статья закона полностью дефектная, но поделать с ней уже ничего нельзя, по крайней мере до весны.
Вскоре фокус обсуждения сместился с защиты интересов банков и клиентов на защиту интересов банков от клиентов. С большим вниманием был выслушан рассказ представителя PayPal в России Михаила Якушева о том, как платежная система защищается от фрода со стороны собственных клиентов. Утешить собравшихся ему было нечем — по его словам, все трансакции тщательно исследуются на предмет аномалий штатом из тысяч сотрудников, что обходится компании крайне недешево, но в конечном итоге окупается.
В завершение конференции одновременно в разных залах прошло несколько секций и круглых столов. Наиболее многообещающим показался круглый стол по теме «Безопасная разработка банковского ПО: есть ли панацея от мошенников?». Судя по составу участников, организаторы явно рассчитывали на более чем оживленную дискуссию: за одним столом собрались представители компаний — разработчиков банковского ПО, банкиры и эксперты по информационной безопасности. Вел круглый стол заместитель начальника Главного управления безопасности и защиты информации (ГУБЗИ) Банка России Артем Сычев.
С учетом того, что вступать в дискуссию могли не только непосредственные участники круглого стола, но и банкиры из зрительного зала, обстановка неизбежно должна была накалиться. Так и случилось. В свете ожидаемого радикального роста потерь от разного рода высокотехнологичных мошенничеств банкиры всерьез ополчились на разработчиков программного обеспечения. Суть обвинений состояла в том, что разработчики представляют заказчику «дырявый» софт, не заботясь о поиске и искоренении уязвимостей в продукте. А заказчик в дальнейшем вынужден дорабатывать уже внедренную и запущенную систему, подвергаясь риску финансовых потерь.
Обстановка стремительно накалялась, и круглый стол быстро превратился в подобие товарищеского суда. В роли главного обвинителя выступал генеральный директор компании Digital Security Илья Медведовский, «подсудимыми» стали Рустэм Хайретдинов — генеральный директор Appercut, Станислав Шилов — директор по продажам компании «Бифит» и Андрей Бешков — руководитель программы информационной безопасности Microsoft Russia.
Прозвучали резкие высказывания. В ходе дискуссии Илья Медведовский заявил: «Мы с разработчиками на разных планетах. Разработчики могут говорить что угодно, но ситуация катастрофическая — безопасности просто нет. Очень много дыр». По его мнению, единственным выходом из ситуации для банкиров является самостоятельное тестирование продуктов с помощью наемных тестировщиков с последующей доработкой за счет разработчика. Правда, как отметил Медведовский, это не системное решение: поскольку банковское ПО зачастую индивидуально подгоняется под конкретного заказчика, патчи (информация для автоматизированного внесения определенных изменений в компьютерные файлы. — Прим. ред.) от одной версии не подойдут к другой.
Станислав Шилов парировал нападки стройными цифрами. По его данным, на 300 клиентов, закупивших комплекс ДБО, выпускаемый его компанией, зафиксировано лишь семь обращений с проблемами, выявленными при тестировании. При этом все обнаруженные уязвимости, при ближайшем рассмотрении, заключались в неверной конфигурации инфраструктуры — сети и серверов клиента.
Представитель Microsoft внезапно также обрушился на разработчиков с резкой критикой. По словам Андрея Бешкова, «софт пишут люди, и как все другие люди, они делают ошибки и не хотят их признавать. Разработчикам не интересно искать дыры, им интересно сделать быстро, у них нет мотивации делать защищенный продукт». На это ему заметили, что родоначальником традиции поставлять программный продукт As Is («как есть») является именно Microsoft и именно эта компания приучила всех, что разработчик за качество продукта не отвечает.
В этот момент ведущий снизил градус дискуссии, подняв тему дефицита в России грамотных специалистов — программистов и аудиторов ПО. Эта тема была близка всем. Дмитрий Левиев, эксперт Академии информационных систем, отметил, что сейчас «идет хорошая волна талантливой молодежи». Да вот беда — они все хотят быстро увидеть результат своей работы (и быстро получить деньги), а для разработки ПО это нехарактерно, зато очень характерно для работы хакера. Получается, что в настоящее время вузы куют кадры скорее для хакерских объединений, чем для компаний — разработчиков программного обеспечения. Шутка Шилова о том, что Министерство обороны поможет решить проблему волны молодых потенциальных хакеров, разрядила обстановку, и дискуссия перешла к завершающему вопросу — кто же все-таки должен отвечать за качество выпускаемого банковского ПО.
Мнения всех высказывавшихся по этому вопросу сводились к одному: аудит стоит денег, никто добровольно его делать не захочет, и потому отрасль нуждается в традиционном стимуле со стороны регулятора — Банка России. В своем завершающем слове представитель регулятора отверг эти предложения, заявив, что «Центробанк не может, не должен и не является регулятором разработчиков ПО. Введение обязательной сертификации банковского ПО очень плохо скажется на бизнесе, так как сроки, в которые государственные структуры, такие как ФСБ и Федеральная служба по техническому и экспортному контролю, выполняют такого рода сертификацию, крайне продолжительны». По его мнению, оказывать давление на разработчиков должны банки, причем не сами по себе, а их объединения. А дело регулятора — только давать рекомендации.
Начать дискуссию