Кто и как крадет персональную информацию из российских финансовых организаций

Платежные данные пользователей в России «утекают» значительно реже, чем в среднем по миру. Однако если в РФ более 75% всех утечек происходит по вине сотрудников финансовых учреждений, то в глобальном масштабе информация становится публичной в основном из-за внешних атак. Для предотвращения «сливов» Центробанк принял ряд требований к участникам рынка. Финансовые организации, в свою очередь, предлагают собственные решения защиты информации. Помимо мер технологического характера, важно проводить разъяснительную работу с персоналом.

КАК УТЕЧКА СТАЛА PR-ХОДОМ

В июне 2019 года появилась новость о том, что персональные данные (ПД) около 900 тыс. россиян – клиентов «ОТП Банка», Альфа-Банка и «Банка Хоум Кредит» – оказались в открытом доступе.

В банках провели внутренние расследования. Впоследствии IT-директор Альфа-Банка назвал информацию об инциденте уткой.

Роскомнадзор оперативно включил сайт phreaker.pro, где базы с информацией о месте работы, остатках на банковском счете, ФИО и паспортными данными граждан размещались для платного скачивания, в Реестр нарушителей прав субъектов ПД.

Причины утечек могут быть разными, но недобросовестную конкуренцию надо рассматривать в первую очередь

Такое заявление сделал президент Ассоциации российских банков (АРБ) Гарегин Тосунян на пресс-конференции.

«900 тысяч – громко звучит, это пиар-ход, не имеющий к реальным событиям никакого отношения», – заявил заместитель руководителя службы ИБ банка «Возрождение» Василий Окулесский.

Эксперт отметил, что налицо отдельный кейс, который был связан «с разгильдяйством» IT-специалистов. «Инцидент, скорее всего, произошел в одном из банков в процессе переноса старой клиентской базы на новое ПО», – сказал он.

«Резервная копия большей части этих данных в результате небрежного отношения персонала давно оказалась в DarkNet, находилась там десять лет. Когда поняли, что ее сложно коммерциализировать, она попала в открытый доступ», – объяснил В. Окулесский.

Часть свежих ПД была скопирована на внешние носители и сфотографирована с экрана монитора. Вероятно, информацию хотел сохранить увольняющийся сотрудник, предположил В. Окулесский.

ФОТО НА РАБОЧЕМ МЕСТЕ – КРАЖА ИЛИ СЕЛФИ?

Доля утечек, совершенных через фотографирование дисплеев компьютеров камерами смартфонов, резко выросла (с 1-2% в 2018 году до 10% в 2019-м), констатировали аналитики компании «Смарт Лайн Инк». Они объясняют это тенденцией к незаконному заказному получению информации («пробиву») об отдельных гражданах.

Внутрибанковским системам видеонаблюдения сложно понять, делает сотрудник селфи или фотографирует данные с экрана, отметил руководитель комитета АРБ по информационным и интернет-технологиям Олег Скворцов. Он уточнил, что такие манипуляции невозможны в иностранных финансовых учреждениях.

В. Окулесский добавил, что несколько российских банков уже ввели запрет на фотографирование дисплеев компьютеров

Базы ПД в формате Excel с ФИО, телефоном, паспортными данными, адресом продаются в теневом секторе по 20-25 коп. за запись. Комплект из сканов паспорта, ИНН, СНИЛС и водительских прав оценивается в 300 рублей. Выписки за месяц с клиентских счетов из банков, входящих в топ-10, предлагаются от 8 тыс. рублей, рассказал О. Скворцов.

Одним из эффективных способов ограничения доступа к конфиденциальной информации становится использование защитных пленок. Они наклеиваются на экран, затемняют его при просмотре под углом и таким образом препятствуют подсматриванию, рассказала RSpectr специалист по направлению «Материалы и системы для экранов» компании 3М Алиса Шевченко.

Нужно применять не только традиционные методы ИБ, но и защищать сами данные – маскировать их и обезличивать, отметил в разговоре с RSpectr управляющий партнер DIS Group Александр Тарасов. По его словам, эффективная защита включает в себя два этапа. На первом нужно найти данные, которые нуждаются в маскировании. Второй этап – непосредственное блокирование доступа к определенной информации в зависимости от роли сотрудника. «Примеров успешного маскирования ПД достаточно и на зарубежном рынке, и на российском», – пояснил А. Тарасов.

100% БАНКОВ УЯЗВИМЫ

«По данным InfoWatch, более 75% всех утечек в РФ происходит по вине внутреннего, а не внешнего нарушителя», – напомнил RSpectr коммерческий директор IT-компании «Онсек» Дмитрий Огородников.

Согласно исследованию Group-IB, основная масса хакерских атак (70%) в 2018 году в РФ традиционно пришлась на финансовый сектор, при этом:

– 74% банков оказались не готовы к кибератакам,

– у 29% обнаружены активные заражения вредоносными программами,

– более 60% были неспособны централизованно управлять своей сетью.

В конце июня ЦБ сообщил, что обнаружил проблемы с кибербезопасностью во всех 75 проверенных банках. «Нарушения не критические, но в любой момент они могут стать серьезными, если руководители банков закроют на них глаза и ничего не станут предпринимать», – отмечала глава ЦБ Эльвира Набиуллина.

«Современные банки мигрируют в сторону так называемых финтехов*, что кратно увеличивает площадь атаки на них. Постоянный поиск и использование новых технологий (не всегда безопасных), а также гонка за конкурентами приводят к тому, что банковские продукты не успевают проходить соответствующие тестирования безопасности», – объяснил RSpectr начальник отдела консалтинга Центра ИБ «Инфосистемы Джет» Павел Волчков.

Он также отметил основные вызовы для банков:

– сокращение отставания ИБ от IT: наращивание усилий в области комплексной защиты разработки (DevSecOps), защита веб-приложений, облаков и больших объемов данных (Big Data);

– необходимость соответствовать большому количеству нормативных актов по ИБ, которые не всегда адекватно предписывают защиту новых технологий.

«Финансовый сектор ориентируется на удобство клиентов, поэтому банки торопятся внедрить технологии и цифровые услуги, даже если в них есть уязвимости. Это осознанный риск: если продукт появится на рынке раньше, банк заработает больше денег, которые можно потратить в том числе на его ИБ-защиту. В результате ни один российский банк “в моменте” не защищен полностью», – высказал RSpectr свою точку зрения руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Эксперт сослался на недавнее исследование, в котором говорится, что 100% банков уязвимы.

МЕТОДЫ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ

Положительным сдвигом А. Парфентьев называет требования ЦБ по обеспечению кибербезопасности, которые вступили в силу 1 июня 2019 года.

Раньше кредитные организации должны были обеспечивать ИБ только при проведении операций по переводу денег, а теперь норма действует и в отношении процедуры по привлечению вкладов.

Документ также обязывает банки один раз в год проводить анализ уязвимостей в ПО с участием сторонних специалистов.

Главное, чтобы требования выполнялись по факту, а не «на бумаге», отмечает А. Парфентьев.

По мнению директора департамента ИБ Oberon Андрея Грузинова, создать федеральный закон, которой будет полностью обеспечивать безопасность, не представляется реальным. Объясняет он это несхожестью инфраструктур в банках и невозможностью ежедневного внесения изменений, учитывающих новые угрозы и способы защиты.

Г. Тосунян напомнил, что еще год назад банки не сообщали о хакерских атаках в ЦБ: участие в информационном обмене было добровольным. С 1 июля 2018 года уведомление о нападениях и предложение планируемых мер стали обязательными для всех кредитных организаций. Тогда же была введена в эксплуатацию автоматизированная система обработки инцидентов. По информации АРБ, 

на основе этой структуры вскоре будет запущена база данных о случаях и попытках осуществления переводов денег без согласия клиента

Д. Огородников считает, что современные финансовые информационные системы защищены достаточно хорошо. Он приводит данные ФинЦЕРТа**, который подсчитал, что «потери самих банков в 2018 году были рекордно скромными. Это всего четыре успешные атаки на процессинговые центры, одно хищение с корсчета и один удаленный захват систем».

InfoWatch подтверждает, что платежные данные российских пользователей «утекают» значительно реже, чем в среднем по миру.

Тем не менее, отметил А. Грузинов, «для любой информационной системы (не только банкам) важно проводить регулярный аудит, пользоваться услугами пентестеров и так называемых редтимеров, которые проверяют сеть на наличие угроз и имитируют атаки хакеров». В дальнейшем по таким отчетам можно выстроить или дополнить существующую ИБ-инфраструктуру.

Защита данных клиентов в России происходит на многих уровнях и не сводится только к противодействию хакерским атакам и разграничению прав доступа к информации у сотрудников банка, рассказал RSpectr ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. Это также: 

– защита банковских приложений для смартфонов, которые сканируют устройство на наличие вредоносных программ перед началом работы со счетами в банке;

– комплексная защита карточного процессинга и всех внутренних систем банка, обрабатывающих данные клиентов.

На каждом из этих уровней мы наблюдаем совершенствование систем безопасности и повышение степени защищенности, отметил С. Голованов.

«Если раньше защиту от кибератак встраивали в уже существующую архитектуру, то сейчас “безопасников” подключают еще на этапе проектирования системы. И это правильно. Подушки безопасности в автомобиль необходимо устанавливать на заводе, а не силами автовладельца после покупки», – отметил в разговоре с RSpectr директор по бизнес-развитию направления биометрических систем группы компаний ЦРТ Андрей Хрулев.

Участники рынка сегодня активно предлагают собственные решения. В частности, 

Сбербанк анонсировал платформу для обеспечения ИБ Threat Intelligence Platform, которая позволит прогнозировать действия киберпреступников

По словам В. Окулесского, помимо технологической защиты, важна воспитательная работа с персоналом. Необходимы как разъяснения, так и публичные наказания в случае обнаружения фактов утечек, считает он. При этом службы внутренней безопасности в банках должны следить за настроениями сотрудников и уделять повышенное внимание тем, кто намерен искать новую работу.

Д. Огородников добавил, что «доля умышленных “сливов” информации в нашей стране не так высока, и большая часть внутренних нарушений в банках связана с халатностью и небрежным обращением с конфиденциальными данными». Эксперт также подчеркнул важную роль повышения осведомленности внутреннего персонала в вопросах защиты информации и проведения киберучений.

5G и IoT – ОПАСНОСТЬ ДЛЯ ИБ?

Угрозу для ИБ эксперты видят и в развитии новых технологий. 20 июня на Международном конгрессе 

Сбербанк назвал 5G риском для кибербезопасности, поскольку сети пятого поколения не только быстро передают информацию, но и препятствуют скорой остановке ее утечки

Аналитики отмечают и дополнительные риски удаленной идентификации. Банковские трояны в мобильных приложениях могут перехватывать изображение с камер и голос с микрофона – таким образом возможна подмена личности клиента.

На Конгрессе эксперты говорили, что интернет вещей также несет угрозы защите личных или корпоративных данных. Объектом DDoS-атак может стать любое устройство, находящееся в банке – роутер, видеокамера, чайник и т. д.

Однако Д. Огородников считает, что не стоит беспокоиться, поскольку инструменты ИБ совершенствуются так же быстро, как навыки и умения хакеров. Особенно в тех отраслях, которые, как и банковские услуги, «завязаны» на сохранности клиентских данных.

Например, «Лаборатория Касперского» в 2019 году разработала руководство для защиты интернета вещей с точки зрения ИБ.

По мнению А. Грузинова, не 5G, IoT и биометрия будут виновны в утечках данных. Это всего лишь способ передачи и взаимодействия, где обязанности по защите возлагаются на систему, предоставляющую услуги.

А. Хрулев рассказал RSpectr, что продукты разработчика голосовой и лицевой биометрии, речевой аналитики, синтеза и распознавания речи ГК ЦРТ оснащены защитой от взлома, мошеннических атак и человеческих ошибок. Технология liveness detection позволяет системе не просто опознать пользователя, но и подтвердить, что перед ней не синтезированная копия лица или голоса.

Эксперт ГК ЦРТ рекомендует клиентам банков сдать свои биометрические образцы, пока за них это не сделали мошенники: в этом случае профиль пользователя уже не сможет быть связан с данными злоумышленника.

Источник: RSpectr.com