Проблемы защиты информации в банковской сфере
о
сч
сч
OI
о ш m
X
3
<
m о х
X
Малофеев Сергей Николаевич,
кандидат экономических наук, доцент, Департамент «Корпоративные финансы и корпоративное управление» Финансовый университет при Правительстве Российской Федерации (Финансовый университет), [email protected]
В статье представлены результаты анализа обеспечения защиты информации в банковской сфере. Вместе с внедрением новых финансовых технологий, связанных прежде всего с развитием удаленных сервисов обслуживания клиентов банков, возникают новые риски и угрозы. На нейтрализацию этих рисков должны быть направлены требования к информационной безопасности банков, содержащиеся в отраслевых стандартах Банка России. В статье проведен анализ действующих требований Банка России по защите информации в банковской сфере, дана оценка их эффективности в условиях цифровой экономики, определены возможные направления совершенствования данных требований. В частности, указано на необходимость дополнения системы безопасности дистанционного банковского обслуживания комплексными инструкциями по финансовой и кибербезопасности, расширению нормативно определенных стандартов банковской деятельности необходимостью двухфакторной идентификации, а также защиты от несанкционированного доступа к криптографическим возможностям смарт-карты и ключей электронной подписи. Ключевые слова: информационная безопасность, банковский сектор, защита информации, требования стандарта, Банк России, удаленные каналы обслуживания
Статья подготовлена по результатам исследований, выполненных за счет бюджетных средств по государственному заданию Финуниверситета
В современном мире все большую ценность приобретают не материальные блага, а информационные ресурсы. Их защита от несанкционированного доступа и последующего использования связана с обеспечением информационной безопасности. Данная задача становится еще более важной в условиях развития цифровой экономики и сопровождающих ее финансовых технологий, основанных на информатизации всех сторон жизни современного общества. Финансовые технологии создают совершенно новую среду жизни современного человека, которая характеризуется как несомненными достоинствами и удобством использования всевозможных удаленных сервисов, так и рисками, связанными с незаконным завладением персональной и финансовой информацией или финансовыми ресурсами. По мере развития технологий, основанных на удаленном доступе, указанные риски растут в геометрической прогрессии. Банки постоянно отмечают рост мошеннических операций, которые сопровождают внедрение финансовых технологий. Мошенники становятся все изобретательнее, не останавливаясь на уже давно применяемых ки-бератаках и фишинге. В последнее время набирают обороты мошенники, пользующиеся приемами социальной инженерии. Новые вызовы требуют специального исследования проблем обеспечения информационной безопасности финансовых рынков в условиях развития финансовых технологий. Решение указанных проблем связано с нормативными требованиями к информационной безопасности банков со стороны Банка России и их совершенствованием.
Оценка и анализ рисков нарушения информационной безопасности связаны с понятиями уязвимости и источника угроз. Уязвимости (англ. vulnerability) - те или иные недостатки в системе, которые могут быть использованы для нарушения информационной безопасности. Они обусловлены недостатками проектирования системы и программирования, протоколами обмена и интерфейсами, аппаратной платформой, условиями эксплуатации.
Уязвимости рассматриваются в качестве факторов, которые совместно с источником угрозы могут привести к нарушению информационной безопасности. Источник выступает потенциальным носителем угрозы безопасности информационных ресурсов и может иметь антропогенный, техногенный или стихийный характер.
Антропогенные источники угроз связаны с ошибками или злоумышленными действиями персонала финансовых организаций или внешних субъектов. Техногенные источники угроз возникают как результат технических сбоев в работе каналов связи, интернета или систем хранения и обработки информации. Стихийный характер носят источники угроз, связанные с действием природных факторов (наводнение, землетрясение и др.)
Угрозы могут быть внутренние (сочетание уязвимости и источника в лице представителей персонала организации) и внешние (сочетание уязвимости и злоумышленников, не относящихся к персоналу организации). Различают также искусственные угрозы безопасности, в том числе преднамеренные и непреднамеренные, и естественные угрозы. Первые связаны со злоумышленными действиями персонала или других субъектов, вторые возникают в результате ошибочных действий персонала организации. Естественные угрозы безопасности возникают в результате стихийных бедствий, пожаров, технических аварий. Угрозы могут быть активные и пассивные. Наиболее значимыми признаются следующие типы угроз:
1) DDoS, DoS-атаки; они представляют собой преднамеренные действия злоумышленников, не использующих уязвимости информационных систем, а создающие их за счет перегрузки серверов и каналов связи и последующего отказа в обслуживании клиентов или подменой адреса злоумышленника на адрес клиента; результатом может быть захват систем управления безналичными платежами с целью перевода денежных средств между любыми счетами до момента возвращения целостности информационной системе;
2) фишинг, рост которого обусловлен развитием сферы ICO; фишинг используется для кражи злоумышленниками персональной информации (логины, пароли); в этом случае не используются уязвимости информационной системы, фишинг является одним из приемов социальной инженерии, направленной на клиента банка с помощью перехода последнего по ссылке из электронного письма на сайт мошенников вместо подлинного сайта или действий клиента в ответ на фальшивое СМС-сообщение из банка;
3) внедрение SQLi - операторов, которое представляет собой атаку на веб-приложение с использованием имеющихся уязвимостей; приводит к хищению информации о базах данных клиентов и персональной информации; три последующих типа угроз имеют аналогичные последствия;
4) межсайтовая подделка запросов (XSS);
5) выход за пределы значений директории (ptrav);
6) удаленное выполнение кода (RCE).
По статистике Валарм, атаки на веб-приложения в процентном отношении распределились следующим образом: внедрение SQLi операторов - 26,8%, межсайтовая подделка запросов (XSS) - 25,6%, выход за пределы значений директории - 25% и удаленное выполнение кода - 19,5%. Большая часть инцидентов была связана с удалённым выполнением кода (60%). [1]
Системы удаленного банковского обслуживания или системы дистанционного банковского обслуживания (ДБО) являются одним из краеугольных камней цифрового финансового сектора экономики, на котором основано большое количество различных финансовых цифровых технологий.
Система дистанционного банковского обслуживания основана на предоставлении банковских услуг клиентам с помощью различных средств телекоммуникационной связи без личного обращения в банк. Таким образом могут обслуживаться и физические, и юридические лица.
Технологически система ДБО представлена в трех видах:
1). Сервис «Банк-Клиент», который реализуется путем установки на компьютер клиента отдельной программы, поставляемой банком. Это самый первый по
времени возникновения из вариантов ДБО. В этом случае финансовая информация (платежные документы, выписки по счетам и др.) хранится на компьютере клиента, что несет за собой угрозы антропогенного характера. Для связи с банком система «Банк-Клиент» использует различные средства связи (телефонные линии, в том числе выделенные, сеть Интернет).
2). Сервис «Интернет-банк», который не требует установки на компьютер клиента специальной программы и работает при помощи Интернет-браузера. В этом случае финансовая информация хранится на сервере банка.
3) Сервис «Мобильный банк» или <^М^-Ьапктд» реализуется с использованием мобильной связи. Первоначально мобильный телефон в этом сервисе использовался для получения финансовой информации (выписок по счетам, остатка на счете и т.п.) Постепенно функции мобильного телефона стали расширяться, и он превратился в полноценный проводник банковских операций. При помощи этого сервиса можно проводить платежи и переводы, управлять своими финансами.
Кроме перечисленных финансовых сервисов в систему ДБО входят традиционные технологии банковского самообслуживания клиентов (банкоматы, платежные терминалы, информационные киоски). Современной тенденцией является развитие возможных функций этих устройств, например, смена ПИН-кода банковской карты.
Наибольшим потенциалом для развития в рамках современных финансовых технологий обладает сервис «Мобильный банк», выступающий основой для формирования цифрового офиса, в рамках которого клиент решает все свои задачи. Он может выбрать как любой продукт банка, не посещая лично офис, так и другие финансовые продукты. Банк превращается в финансовый супермаркет или в маркет-плейс, финансовую платформу, предоставляющую клиенту весь комплекс как финансовых, так и различных потребительских услуг. Именно в этом направлении развивается Сбербанк, имеющий много различных мобильных сервисов.
Проблема защиты информационной безопасности мобильных финансовых сервисов остается весьма острой. Эта проблема начинается с идентификации клиента. В отличие от двухпарольной системы входа в «Интернет-банк» (один пароль является постоянным, второй -одноразовый и вводится после получения СМС от банка) для сервиса «Мобильный банк» вводится один пароль. На мобильном телефоне установлено множество приложений, через которые могут проникать вирусы, способные украсть денежные средства или финансовую информацию. Мобильный телефон является конечной точкой. Именно они «становятся главными целями для заражения вредоносным ПО и для других изощренных атак, которые стремятся воспользоваться уязвимостями крупных организаций». [2]
Развитие финансовых технологий идет дальше в направлении применения искусственного интеллекта, который создает большие возможности для персонали-зации мобильных финансовых приложений. Сервис дает возможности создания шаблонов платежей, платежей по расписанию и автоплатежей, открытия вкладов и счетов. Удобный функционал дает сервис са^2са^, который позволят осуществить переводы с одной карты клиента на карту другого банка, проводить платежи при различных интернет покупках. Также можно оплачивать штрафы, налоги, коммунальные платежи. У некоторых
X X
о
го А с.
X
го m
о
ю 2
М О
о
сч
сч
OI
о ш m
X
3
<
m О X X
банков появилась возможность привязать к аккаунту в мобильном приложении карты других банков.
Для многих клиентов банков, пользующихся мобильными приложениями, привычной средой является общение в чатах и мессенджерах. В расчете на них создан Talkbank, который не имеет собственного мобильного приложения и работает в таких мессенджерах, как Telegram и Viber. Talkbank - это первый в мире виртуальный банк в мессенджере. Всё взаимодействие с банком происходит через чат бот в Telegram, Viber, Вкон-такте или Facebook.
Развитие мобильного банкинга связано с созданием дополнительных удобств для пользователя. Сюда можно отнести упрощение интерфейсов, в том числе распространение сканирования карт и штрих-кодов платежных документов, бесконтактной оплаты с помощью смартфона по технологии NFC.
Системы ДБО подвержены целому ряду критических уязвимостей и уязвимостей высокого уровня:
1) захват контроля над сервером дистанционного обслуживания; сопровождается угрозой кражи не только персональных данных и всей финансовой информации, но и всех денежных средств;
2) возможность перехвата, подбора правильных учетных данных; сопровождается угрозой кражи учетных данных;
3) недостаточная защита от атак, направленных на перехват данных, межсайтовое выполнение сценариев; сопровождается угрозой кражи персональной и финансовой информации;
4) недостаточная авторизация; сопровождается угрозой потери финансовой информации и финансовых средств;
5) недостатки реализации двухфакторной аутентификации, в том числе связанные с недостатками биометрической идентификации и отсутствием второго фактора для ряда важных операций; сопровождаются угрозой кражи личной и финансовой информации;
6) недостаточная проверка процесса; сопровождается угрозой кражи финансовой информации и денежных средств;
7) отсутствие защиты от подбора одноразового пароля; сопровождается угрозой кражи финансовой информации и денежных средств;
8) отсутствие ограничений количества попыток ввода или времени жизни одноразового пароля; сопровождается угрозой кражи финансовой информации и денежных средств;
9) перехват SMS-сообщений; сопровождается угрозой кражи финансовой информации и денежных средств.
Применительно к клиентам-юридическим лицам, использующим систему ДБО, наиболее часто встречается внедрение в компьютер с установленным программным обеспечением «Банк-клиент» вредоносного кода, который позволяет взломать ДБО с похищением ключей электронной подписи с незащищенных носителей, из оперативной памяти или осуществить несанкционированный доступ к криптографическим возможностям смарт-карты, что обеспечит подмену документа при передаче его на подпись в смарт-карту.
В «Основных направлениях развития финансовых технологий на период 2018-2020 годов», принятых Банком России, содержатся мероприятия по созданию и развитию финансовой инфраструктуры, в том числе таких важных элементов, как платформа для удаленной
идентификации, платформа быстрых платежей, платформа маркетплейс для финансовых услуг и продуктов. [3] Все эти платформы направлены на создание более благоприятной для потребителей сферы финансовых услуг.
Платформа для удаленной идентификации обеспечивает систему ДБО путем использования единой системы идентификации и аутентификации (ЕСИА) и биометрической системы. Предусмотрено поэтапная реализация этого проекта. На первом этапе реализуется возможность дистанционного открытия счетов, осуществления переводов и выдачи кредитов клиентам-физическим лицам без их личного присутствия.
В целях обеспечения безопасности для защиты от несанкционированного доступа предусмотрено обезличенное хранение биометрических данных в биометрической системе вне связи с персональными данными, по которым может быть установлена личность физического лиц (Ф.И.О., данные паспорта, СНИЛС и др.) Хранение персональных данных клиентов-физических лиц осуществляется в ЕСИА, авторизация клиента в которой с помощью логина и пароля предусматривается при проведении удаленной идентификации.
Создание и развитие дБо и других платформ удаленного доступа несет за собой не только существенные преимущества и удобства клиентам, но и весьма ощутимые риски потери персональных данных и финансовых средств. По оценкам разных исследователей, потери от онлайн-преступлений в нашей стране составляют порядка 500 млн руб. в год. [1]
По мнению специалистов Банка России, главными причинами потери денежных средств стали беспечность российских клиентов банков и их неосведомленность в вопросах информационной безопасности. Жертвой ки-бермошенников становится почти каждый третий россиянин (29%). На долю хищений средств в результате потери мобильного устройства приходится 27%, а на долю краж банковских карт - 11 %.
Большая часть жертв (80%, и этот показатель продолжает стремительно расти) попадается на удочку мошенников, использующих методы социальной инженерии. [1]
К этим рискам добавляются критически опасные уязвимости, доля которых хотя и снижается, тем не менее остается все еще высокой. Согласно исследованиям компании Positive Technologies, проведенным в 2018 году, критически опасные уязвимости высокого уровня риска были обнаружены в 56% проанализированных систем ДБО. Похожая ситуация наблюдается в мобильных приложениях. Почти в половине систем (48%) была выявлена хотя бы одна критически опасная уязвимость. Особенно настораживает тот факт, что в 52% мобильных банков уязвимости позволяли расшифровать, перехватить, подобрать учетные данные для доступа в мобильное приложение или вовсе обойти процесс аутентификации. [1]
На втором этапе развития платформы удаленного доступа реализуется дистанционное предоставление услуг другими финансовыми организациями, государственных и других услуг.
Банк России разработал и утвердил несколько стандартов, посвященных обеспечению информационной безопасности банковской системы. Общие требования к информационной безопасности содержатся в Стандарте Банка России "Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.2-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399). [4]
В тексте стандарта отмечается, что все бизнес-процессы банков и участвующие в них активы сопровождаются рисками и подвержены воздействию различного вида угроз. Реализация угроз происходит через их источники с определенной вероятностью реализации. Различают источники угроз природного, техногенного и антропогенного характера. Антропогенные источники угроз стандарт делит на злоумышленные и незлоумышленные.
Злоумышленник проводит общую оценку объекта нападения и пытается обнаружить существующие уязвимости информационной безопасности или создать их. В результате разрабатывается тактика нападения на объект информационной безопасности.
Наиболее вероятным источником злоумышленных действий по нанесению ущерба организациям банковской системы является их собственный персонал, имеющий для этого наивысшие возможности. Злоумышленник из числа персонала стремится нецелевым образом использовать активы, контроль над которыми был ему предоставлен в порядке выполнения служебных обязанностей, или получить несанкционированный контроль над активами. При этом злоумышленник делает все для сокрытия такой деятельности.
Последствия рисков нарушения информационной безопасности заключаются в «возможности потери состояния защищенности интересов (целей) организации БС РФ в информационной сфере и возникновения ущерба бизнесу организации БС РФ или убытков». [4] Состояние незащищенности в информационной сфере влечет за собой потерю свойств доступности, целостности или конфиденциальности информационных активов, потерю заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации БС РФ. [4]
Размер ущерба совместно с вероятностью инцидента ИБ определяет величину риска. Наибольшей эффективностью отличаются злоумышленные действия в направлении бизнес-процессов с целью получения контроля над информационными активами на этом уровне, в том числе путем раскрытия конфиденциальной банковской аналитической информации, что очень опасно для собственника. Злоумышленник может действовать в направлении нарушения функционирования бизнес-процессов банковской организации путем внедрения вредоносных программ или нарушения правил эксплуатации АБС.
Организации банковской системы РФ должны определить по уровням информационной инфраструктуры объекты информационных активов, подлежащие защите. В Стандарте названы основные источники угроз информационной безопасности, в том числе по отдельным уровням информационной инфраструктуры. Основные источники угроз информационной безопасности можно подразделить на группы: техногенные - сбои, отказы, разрушения/ повреждения программных и технических средств; антропогенные - террористы и криминальные элементы, работники организации банковской системы РФ в рамках использования легально предоставленных им прав и полномочий (внутренние нарушители), работники организации вне легально предоставленных прав и полномочий, физические лица (внешние
нарушители); природные - последствия стихийных природных факторов; социальные факторы - зависимость от поставщиков/ провайдеров/ партнеров/ клиентов; несоответствие требованиям действующего законодательства, надзорных и регулирующих органов.
На физическом уровне, уровне сетевого оборудования и уровне сетевых приложений можно выделить прежде всего внешних нарушителей, которые разрабатывают и внедряют вирусы и другие вредоносные программные коды, организуют DoS, DDoS и иные виды атак; лиц, осуществляющих попытки несанкционированного доступа и нерегламентированного доступа и нере-гламентированных действий в рамках предоставленных полномочий; представителей персонала, имеющих права доступа к аппаратному оборудованию, в том числе сетевому, администраторов серверов, сетевых приложений и т.п.; группу внутренних и внешних нарушителей, действующих совместно и (или) согласованно; сбои, отказы, разрушения/повреждения программных и технических средств.
На уровнях операционных систем, систем управления базами данных, банковских технологических процессов выделяют внутренних нарушителей информационной безопасности, например, администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.; группа внешних и внутренних нарушителей информационной безопасности, действующих в сговоре.
На уровнях бизнес-процессов могут действовать злоумышленники из числа внутренних нарушителей информационной безопасности, таких как, авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.; группа внешних и внутренних нарушителей информационной безопасности, действующих в сговоре. Источником угроз также может быть имеющееся несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.
Реализация угрозы происходит, когда ее источники используют уязвимости информационной безопасности.
Стандартом Банка России требования к системе информационной безопасности определены для ряда областей:
1) назначения и распределения ролей и обеспечения доверия к персоналу.
Основой для формирования ролей являются существующие в банковской организации бизнес-процессы. Целевым ориентиром должно быть исключение концентрации полномочий и снижение риска инцидентов информационной безопасности. При формировании и назначении ролей Стандарт требует соблюдать принцип предоставления минимальных прав и полномочий, необходимых для выполнения служебных обязанностей. Роли должны иметь персонифицированный характер, должна быть установлена задокументированная ответственность за их исполнение. В рамках одной роли не допускается совмещение таких функций, как разработка и сопровождение АБС и программного обеспечения, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора информационной безопасности, выполнения операций в АБС и контроля их выполнения.
Особого контроля требует выполнение ролей работниками, совокупные полномочия которых дают возможность получения контроля над тем или иным информа-
X X
о
го А с.
X
го т
о
ю 2
М О
о
CS
CS Ol
о ш m
X
<
m О X X
ционным активом. В этих целях должны быть определены соответствующие процедуры регистрации.
Требуют внимания и процедуры приема на работу персонала банковских организаций, а именно, проверка подлинности документов, квалификации, точности биографических фактов, профессиональных навыков и профпригодности. Результаты проверок должны быть зафиксированы, а сами проверки носить регулярный характер. Особенное внимание банкам следует обратить на это требование в свете последних инцидентов в Сбербанке, связанных с хищением информации о 200 владельцах кредитных карт банка. Злоумышленником оказался нерядовой сотрудник банка, имеющий права доступа к похищенной информации. [5]
2). Обеспечения информационной безопасности на стадиях жизненного цикла АБС.
Информационная безопасность должна обеспечиваться на всех стадиях автоматизации банковских процессов, сопровождаемой развитием АБС, с учетом интересов разработчиков, заказчиков, надзорных подразделений.
При разработке технического задания на системы дистанционного обслуживания необходимо принимать во внимание возможности попыток несанкционированного доступа злоумышленников с использованием сетей общего доступа, ошибок авторизованных пользователей систем, ненамеренного или неадекватного использования защищаемой информации авторизованными пользователями.
Эксплуатация АБС должна сопровождаться разработкой, выполнением и регистрацией ряда процедур, в том числе контроля работоспособности защитных мер, контроля отсутствия уязвимостей в оборудовании и программном обеспечении АБС, контроля обновления и внесения изменений. Требования 1 и 2 носят общий характер и не имеют непосредственного отношения к системе дистанционного обслуживания, за исключением противодействия попыткам несанкционированного доступа злоумышленников с использованием сетей общего доступа.
3). Защиты от несанкционированного доступа и нере-гламентированных действий, управления доступом и регистрацией всех действий в АБС, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д. Это требование имеет прямое отношение к системе дистанционного обслуживания клиентов и содержит большой набор правил и процедур, относящихся к идентификации, аутентификации, авторизации субъектов доступа, как внешних, так и работников; разграничению доступа к информационным активам на основе присвоенных ролей; управлению предоставлением/отзывом и блокированием доступа через внешние информационно-телекоммуникационные сети; регистрации действий субъектов доступа с обеспечением контроля целостности и защиты данных регистрации; управления идентификационными данными; аутенти-фикационными данными и средствами аутентификации; управления учетными записями субъектов доступа; выявления и блокирования неуспешных попыток доступа; блокирования сеанса доступа после установленного времени бездействия или по запросу субъекта доступа, требующего выполнения процедур повторной аутентификации и авторизации для продолжения работы; ограничения действий пользователей по изменению настроек их автоматизированных мест (использование ограничений на изменение BIOS) и др. Процедуры
управления доступом должны исключать возможность "самосанкционирования".
Рассмотрим требования, касающиеся идентификации и аутентификации. Речь идет об отсечении злоумышленников с помощью биометрических данных. Тем не менее регуляторы пока не готовы отказаться от двух-факторной идентификации, тем более имеются упоминания о возможности обхода биометрических данных. Логины и пароли при использовании интернет-банкинга для доступа подтверждаются паролем по SMS. Однако, некоторые банки не применяют в качестве второго фактора одноразовые пароли, передаваемые с помощью SMS-сообщений или высылают пароли с большим сроком действия. Это повышает риск угрозы мошенничества. Кроме того, имеется опасность перехвата SMS и завладения паролем с использованием метода «SIM swapping», благодаря которому мошенник может обмануть оператора связи и перенести номер телефона пользователя на другую SIM-карту, получив доступ к online-счетам пользователя в банках и на криптовалют-ных биржах.
Банк России предъявляет достаточные требования по функционированию в банках систем антивирусной защиты и использованию ресурсов сети Интернет. Дистанционное банковское обслуживание может применяться только с защитой от возможности подмены авторизованного клиента злоумышленником в рамках сеанса работы. Попытки такой подмены должны регистрироваться в установленном порядке.
Всем операциям клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания, в том числе операции по переводу денежных средств, должны предшествовать процедуры идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить закрытие текущей сессии и повторное выполнение процедур идентификации, аутентификации и авторизации.
Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.
Требованиями к информационной безопасности организаций банковской системы, сформулированными в анализируемом Стандарте, дополняются Положением Банка России № 683-П, которое направлено на защиту интересов клиентов от осуществления переводов денежных средств без их согласия. В нем требования предъявляются к защите информации, относящейся к объектам информационной инфраструктуры, прикладному программному обеспечению автоматизированных систем и приложений, технологии обработки защищаемой информации. Системно значимые кредитные организации должны обеспечить усиленный уровень защиты информации в отношении объектов информационной инфраструктуры в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017. Остальные кредитные организации должны реализовы-вать стандартный уровень защиты информации. Обязательным становится ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Подводя итоги анализа Стандарта, систему требований к банкам можно охарактеризовать в целом как системную и достаточную. Тем не менее нельзя не отметить крен в сторону требований к АБС и собственно банковской стороне информационного взаимодействия.
Возможно следует более четко сформулировать требования, касающиеся защиты клиентов от приемов социальной инженерии и защиты конечных клиентских точек ДБО (ПО «Банк-Клиент» и мобильных приложений).
В данном Стандарте содержатся ограниченные требования, относящиеся к случаям применения приемов социальной инженерии, а именно для систем дистанционного банковского обслуживания должны применяться защитные механизмы по снижению вероятности выполнения непреднамеренных или случайных операций, или транзакций авторизованными клиентами с помощью доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов. В последнее время, по данным ФинЦЕРТ, появился новый способ хищений - участились случаи подмены исходящих телефонных номеров на номера coll-центров банков, с которых звонят мошенники и представляются сотрудниками банков. Затем, используя приемы социальной инженерии они получают у клиентов банков информацию о кодах подтверждений, контрольных словах и другую с целью использования для хищения средств. [6] Недавно стало известно об очередном способе мошенничества в системе ДБО через установку на мобильные телефоны программы удаленного доступа, которую ки-берпреступники заставляют клиентов банков установить на свои телефоны. [7]
Все говорит о том, что киберпреступность продолжает развивать средства для осуществления противоправной деятельности. В 2019 году стал распространяться такой опасный вирус как Android-троян Gustuff. Этот вирус для Android может автоматически переводить деньги со счета клиента через банковское мобильное приложение, установленное на смартфоне, на счет злоумышленника без уведомления пользователя. По сообщению РБК, банки, которые столкнулись с указанным вирусом, имеют специальные средства, которые позволяют выявлять факты установки троянов на устройства клиентов. Но троян попадает на телефон в результате действий клиента, который заражает его при скачивании различных приложений, файлов, по электронной почте и СМС. [8]
Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями банков, описывающими процедуры выполнения операций или транзакций. Очень важным является подробное описание для клиентов банков, использующих ДБО, правил информационной безопасности. Вопросы возможного телефонного общения клиентов с сотрудниками банка так же должны быть комплексно регламентированы. Все перечисленное могло бы входить в клиентские правила работы в ДБО, обязательные для исполнения. Представляется необходимым провести разработку и утверждение данных правил Банком России при определяющей роли ФинЦЕРТ с учетом его опыта по проведению информационной компании по финансовой безопасности и киберграмотности.
Необходимо определить и нормативно закрепить требования к банкам по обязательному использованию двухфакторной аутентификации с использованием одноразового пароля из SMS, по ограничению сроков его действия и запрету подбора пароля.
По клиентам-юридическим лицам, использующим систему ДБО, необходимо предусмотреть обязательное использование мер защиты против вредоносного кода, направленного на взлом программного обеспечения
«Банк-клиент», с похищением ключей электронной подписи с незащищенных носителей, из оперативной памяти или осуществление несанкционированного доступа к криптографическим возможностям смарт-карты, что обеспечит подмену документа при передаче его на подпись в смарт-карту.
Литература
1 Информационная безопасность в банках. 2019/09/27 // Tadviser- портал выбора технологий и поставщиков. URL: http://www.tadviser.ru/index.php/Ста-тья:Информационная_безопасность_в_банках#
2 Fortinet. Почему традиционные средства защиты конечных точек могут подвергать вас риску. URL: https://www.fortinet.com/content/dam/fortinet/assets/white-papers/ru_ru/wp-why-your-tradtional-endpoint-security-may-be-putting-you-at-risk.pdf
3 Основные направления развития финансовых технологий на период 2018-2020 годов. // Банк России. URL:
https://www.cbr.ru/StaticHtml/File/36231/0N_FinTex_2017. pdf
4 Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.2-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399). 2014 // Банк России. URLhttp://www.cbr.ru/content/document/file/46922/st-12-14.pdf
5 Греф рассказал, как Сбербанк искал виновника утечки данных. 5.10.19. //РИА Новости. URL: https://www. ria.ru/20191005/1559475773.html
6 ЦБ назвал новый способ мошенничества с банковскими картами. 10.10.19. //РИА Новости. URL: https://www.news.ru/economics/cb-nazval-novyj-sposob-moshennichestva-s-bankovskimi-kartami/
7 Эксперты сообщили о новом способе кражи денег через смартфон. 23.10.19// РБК. URL: https://www.rbc.ru/rbcfreenews/5dafbbd29a7947063b1a90 47?utm_source=yxnews&utm_medium=desktop&utm_refer rer= https%3A%2F%2Fyandex.ru%2Fn ews
8 Российские банки обнаружили новый вирус для хищения денег. 29.11.19// РБК URL: https://www.rbc.ru/finances/29/11/2019/5ddfdac19a7947d4 dbd74bd6?utm_source=yxnews&utm_medium=desktop&ut m_referrer=https%3A%2F
Matters of information security in the banking sector Malofeev S.N.
Financial University under the Government of the Russian Federation
In this issue shown the results of the analysis of information security in the banking sector. During the process of implementation of information and new financial technologies, primarily linked to development of remote banking customer service services, it's arisen new risks and threats. The requirements for information security of banks contained in the industry standards of the Bank of Russia should be orientated on these risks neutralizing. The article analyzes the current requirements of the Bank of Russia to protect information in the banking sector, assesses their effectiveness in the digital economy, identifies possible areas for improving these requirements. In particular, it was pointed out the need to supplement the security system of remote banking services with comprehensive instructions on financial and cyber security, the expansion of normatively defined banking standards by the need for two-factor identification, as well as protection against unauthorized access
X X О го А С.
X
го m
о
ю 2
М О
to the cryptographic capabilities of a smart card and electronic signature keys.
Keywords: Information security, banking sector, information protection, standard requirements, Bank of Russia, remote service channels References
1 Information security in banks. 2019/09/27 // Tadviser- portal for
the selection of technologies and suppliers. URL:
http://www.tadviser.ru/index.php/Article:Informational_safety_i
n_banks#
2 Fortinet. Why traditional endpoint protections can put you at risk.
URL:
https://www.fortinet.com/content/dam/fortinet/assets/white-papers/ru_ru/wp-why-your-tradtional-endpoint-security-may-be-putting-you-at-risk. pdf
3 The main directions of development of financial technologies for
the period 2018-2020. // Bank of Russia. URL: -https://www.cbr.ru/StaticHtml/File/36231/ON_FinTex_2017.pdf
4 Bank of Russia Standard "Ensuring the Information Security of
Organizations of the Banking System of the Russian Federation. General Provisions" STO BR IBBS-1.2-2014 "(adopted and enforced by Bank of Russia Ordinance No. P-399 dated 05.17.2014). 2014 // Bank of Russia. URL: http: //www.cbr.ru/content/document/file/46922/st-12-14.pdf
5 Gref told how Sberbank was looking for the culprit of the data leak.
10/10/19. //RIA News. URL:
https://www.ria.ru/20191005/1559475773.html
6 The Central Bank named a new method of fraud with bank cards.
10/10/19. //RIA News. URL:
https://www.news.ru/economics/cb-nazval-novyj-sposob-
moshennichestva-s-bankovskimi-kartami/
7 Experts reported a new way to steal money through a smartphone.
10.23.19 // RBC. URL:
https://www.rbc.ru/rbcfreenews/5dafbbd29a7947063b1a9047? utm_source=yxnews&utm_medium=desktop&utm_referrer=htt ps%3A%2F%2Fyandex.ru%2Fnews
8 Russian banks have discovered a new virus to steal money.
11.29.19 // RBC URL:
https://www.rbc.ru/finances/29/11/2019/5ddfdac19a7947d4dbd 74bd6?utm_source=yxnews&utm_medium=desktop&utm_refe rrer=https%3A%2F
o
CS
CS Ol
O m m x
<
m o x
X