Подарок для хакеров: дороговизна мешает обновить ОС в банкоматах

В крайне уязвимом положении могут оказаться банкоматы крупных белорусских банков после окончательного прекращения технической поддержки Windows XP Embedded – операционной системы, разработанной для банковской техники. Полное отсутствие техсопровождения не только открывает двери преступникам, но и угрожает крупными санкциями со стороны платежных систем Visa и MasterCard. 

Нужно ждать беды?

Корпорация Microsoft уже давно предупредила финансовые учреждения об опасности использования устаревшей ОС, которая официально считается «умершей» еще в январе 2016 года. При этом белорусские банки продолжают ее применять. Как рассказал Digital.Report технический директор одного из коммерческих банков, в Беларуси достаточно большой парк банкоматов на Windows XP Embedded. Причина – высокая стоимость обновления операционных систем (ОС) банкоматов до актуальных программных версий. «Недостаточно просто установить новую операционную систему, нужно для начала поменять аппаратную часть. Стоимость обновления только одного банкомата составляет $2-2,5 тыс., включая стоимость оборудования, программную лицензию и работы по установке и наладке. Если у банка несколько сотен или тысяч банкоматов по всей республике – это огромные деньги», – сказал эксперт, пожелавший остаться неизвестным.

Если ничего не менять, то можно ждать беды. Без технической поддержки банкоматы на устаревшей ОС хоть и будут работать, выдавать деньги, но будут крайне уязвимы. Хакеры смогут использовать программные лазейки, которые не были выявлены Microsoft. Кроме того, методики кибератак постоянно совершенствуются, и если в новых версиях ОС их эволюция учитывается, то в устаревших – нет. Как результат – взломы, потеря денег, репутации, доверия клиентов.

Зима – близко…

Белорусские банки уже находятся под прицелом киберзлоумышленников, целью которых является банковское оборудование. Недавно правоохранительные органы Беларуси, Молдовы и европейская полиция задержали преступную группу, которая украла из банкоматов стран Европы и Азии больше 3 млн евро. Об этом Digital.Report рассказал прокурор Генеральной прокуратуры Молдовы Вячеслав Солтан: «Работала международная преступная группа, в которую входили граждане Молдовы».

Факт подтвердили и в Следственном комитете Беларуси. Не исключено, что задержанные участники группы стояли и за недавним взломом банкоматов «Альфа-Банка» в Беларуси. «Деятельность организованной преступной группы заключалась в проведении тщательно спланированных атак на банкоматы, в результате которых участники получали все содержавшиеся в них деньги», – сообщили в ведомстве.

Представитель генпрокуратуры Молдовы подчеркнул, что хакеры, как и в случае с недавним задержанием, все чаще фокусируются на банковской сфере, а защищенность банковского оборудования – одна из текущих проблем, с которой нужно бороться.

Неравная борьба

По словам Солтана, в Молдове правительство и банки прикладывают серьезные усилия, чтобы закрыть бреши в финансовой сфере. Со стороны чиновников идет разработка законов, которые запретят использование устаревшего оборудования и ПО, финансовые учреждения же инвестируют средства, чтобы уже сейчас соответствовать будущим требованиям.

Аналогичная работа ведется и в Беларуси. Важный шаг в этой области – законодательное регулирование банковских обязательств. В республике действует принцип нулевой ответственности клиента, кроме этого Visa и MasterCard экстраполируют нулевую ответственность и на банки с современным оборудованием. Экс-руководитель карт-центра «Белинвестбанка», а ныне вице-президент MasterCard в Беларуси Вадим Головчиц в интервью корреспонденту Digital.Report рассказывал, что в стране работает принцип «переноса ответственности», регламентированный международными платежными системами. Например, если банк не поддерживает современные средства защиты от мошеннических операций, то на него будет возложена ответственность за действия злоумышленников с использованием этой бреши в защите.

Как стало известно Digital.Report, хакерам, взломавшим в Беларуси банкоматы «Альфа-Банка», удалось воспользоваться лазейкой в доступе к компьютеру администратора, с которого они впоследствии разослали на банкоматы команду выдать наличные средства. Эксперты говорят, что дыра в защите оказалась настолько серьезной, что банковские системы безопасности не смогли оперативно обнаружить утечку средств. О пропаже денег узнали только после инкассации банкоматов. Банку пришлось отключать все банкоматы.

Как прятать деньги?

Ситуация с пропавшими деньгами может повториться, тем более, что банкоматы остаются уязвимыми, несмотря на предупреждения и даже проверки со стороны платежных систем. Технический эксперт банка в разговоре с Digital.Report признался, что проверки на безопасность банкоматов проводятся не всегда тщательно. Дело в том, что стоимость такого технического аудита высока, а штрафные санкции за его непрохождение еще больше. «Аудит по стандарту безопасности PCI DSS (стандарт безопасности данных индустрии платежных карт, утвержденный международными платежными системами Visa, MasterCard, American Express, JCB и Discover – прим. DR) обходится банку в сумму около $0,5 млн. При этом штрафные санкции за провал аудита – около $1 млн. Все это заставляет банки искать возможности договориться с аудиторами, которыми выступают коммерческие компании», – сказал он.

Мы обратились в российскую компанию Deiteriy, которая проводит подобный аудит, где подтвердили порядок цен и список действий, которые включает в себя проверка соблюдения стандарта безопасности. А это: сбор свидетельств аудита и документирование наблюдений, подготовка отчета, оформление свидетельства выполнения стандарта и отправка его платежным системам. При этом «согласно требованиям международных платежных систем, аудит является ежегодной процедурой». Получается, с одной стороны, банки должны обеспечить высокий уровень безопасности расчетов, а с другой – безопасность очень дорого стоит. В результате финансовые структуры ищут хрупкий баланс между ценой и надежностью, надеясь, что его никто не нарушит.