Стало известно, что Центробанк РФ намерен уже к 2017 году ввести единые правила по безопасности российского интернет-банкинга. К такому решению координатор всей кредитно-денежной системы России пришел из-за различий уровня защиты данных в разных российских банках.
ЦБ намерен четко прописать правила по организации защиты информации клиентов и привести все банки к единому стандарту.
По мнению некоторых экспертов, это решение было вызвано не только масштабами электронного мошенничества, которое согласно официальной статистике достигает нескольких миллиардов рублей в год, но и количеством совершаемых правонарушений. К примеру, уголовные дела по хищению средств клиентов возбуждаются только по 1-5% от общего количества таких преступлений.
Известно, что на сегодняшний день ЦБ России совместно с ФСБ заняты анализом защищиты банковских систем коммерческих организаций. По завершению проверки появится отчет, с которым кабинет министров будет ознакомлен уже к концу этого месяца.
Digital Report попросил прокомментировать нынешнюю ситуацию с защитой интернет-банкинга директора департамента аудита защищенности Digital Security Алексея Тюрина.
— Для начала следует внести ряд пояснений касательно общей защиты банковской системы. Во-первых, желательно разделить ДБО системы на юридических и физических лиц.
В первом случае с юридическими лицами, чаще всего используется логин/пароль и электронная подпись. Во втором — чаще всего, логин/пароль и одноразовые пароли.
Во-вторых, можно выявить три основных типа атак на клиентов банка:
— когда атакующий получает доступ к компьютеру клиента и проводит операции, используя трояны;
— когда из-за уязвимостей в интернет-банкинге злоумышленник может украсть данные клиента, провести операции в банкинге или опять-таки заразить клиента трояном;
— когда злоумышленник получает удаленный доступ во внутреннюю сеть банка (сделать это не трудно), и, проводя атаки на внутренние банковские системы, может украсть деньги у клиента (или даже у самого банка).
Из-за того, что многие клиенты технически плохо образованны, они легко могут стать жертвой злоумышленников с их троянами.
Таким образом, мы имеем следующее. Формально банки технически достойно защищены: логин/пароль + второй фактор (одноразовый пароль или электронная подпись). Но реально ситуация значительно хуже. Различные уязвимости в большинстве систем интернет-банкинга позволяют атаковать их клиентов. Например, типовая простейшая уязвимость — когда можно читать платежные документы или письма других клиентов банка.
Все, что требуется, чаще всего — поменять идентификатор документа на принадлежащий другому клиенту.
Второй момент — некорректное внедрение второго фактора. Например, когда можно совсем не подтверждать платежки («пропускать» данный шаг), или когда можно автоматически подписать и отправить любую платежку незаметно для клиента банка. Т.е. он входит на сайт злоумышленника, а с этого сайта злоумышленник заставляет браузер клиента создать, подписать и отравить в банк платежку. И все это визуально незаметно для клиента. Примеров подобных атак — масса.
Что хуже всего, доказать клиенту, что деньги украли не по его вине, а из-за уязвимостей банка — очень трудно (чисто технически, не говоря уж о разбирательстве в суде).
Ситуация же с атаками на внутренние банковские системы — вообще катастрофическая. Потому как банки чаще всего считают свою внутреннюю сеть доверенной средой. А потому — защита внутри практически отсутствует. Даже захватив контроль над компьютером секретарши в банке, злоумышленник может атаковать центральную банковскую систему (АБС) и делать все, что ему угодно дальше. Например — любые операции со счетами напрямую.
Поэтому, по моему мнению, в первую очередь всем банкам было бы необходимо проверить безопасность своих продуктов (системах интернет-банкинга), а так же — в своей внутренней безопасности. Провести антифрод, мониторинг попыток атак на банк-клиент и взаимодействие с клиентами при подозрениях на атаки. Также не помешает ввести информирование клиентов об операциях и обучение клиентов о правильном и безопасным пользовании банкингом.
