«Хакеры в течение суток могут найти уязвимость и внедриться»

Один из ведущих российских экспертов по информационной безопасности, Алексей Лукацкий, рассказал о том, как повлияли на кибербезопасность банков внешние исследователи (белые хакеры, багхантеры). И почему российские банки находятся на несколько шагов впереди планеты всей с точки зрения кибербеза. Однако ни средства защиты, ни люди, ни технологии не спасут, если у руководства банка нет профессиональной компетенции и управленческой зрелости для принятия своевременных и достаточных решений.

Выйти из полноэкранного режима

Развернуть на весь экран

«Необходимо стало эмулировать реальные хакерские атаки»

— Российские банки начали привлекать внешних специалистов, исследователей — белых хакеров (багхантеров) — к тестированию информбезопасности в 2023 году?

— Не совсем корректно так говорить. Регуляторные положения о необходимости привлекать внешних проверяющих для поиска проблем безопасности давно присутствуют в нормативных документах ЦБ, а также в ряде международных стандартов. В частности, речь идет о ежегодной проверке, а также ежеквартальном сканировании на предмет поиска багов в инфраструктуре, которая отвечает за платежные сервисы. Банки приглашали компании или команды специалистов для проведения пентестов (от англ. «penetration test» — «тест на проникновение».— “Ъ”). Пробуя взломать систему, внешние специалисты (багхантеры.— “Ъ”) получали оплату независимо от результата: нашли или не нашли проблему. Но из реального поиска слабых мест, которые надо закрыть, процедура зачастую превращалась в бумажную отчетность. Обычно результаты тестирования описывались техническим языком: в мобильном банковском приложении найдена такая-то уязвимость, на сайте банка — такая то уязвимость, а еще можно аутентифицироваться в интернет-банке в обход системы.

— Что же изменилось в 2023 году?

— Геополитическая ситуация. В 2022 — начале 2023 годов резко усилились атаки на финансовые организации. Необходимо стало эмулировать реальные хакерские атаки.

— Именно в это время начинается активное создание в России платформ Bug Bounty — сервисов, где компании официально приглашают багхантеров искать уязвимости в своих системах и платят за найденные ошибки?

— Да, многие банки, финансовые организации решили: надо привлекать легальных исследователей (белых хакеров). В рамках Bug Bounty работы оплачиваются только при условии, если будут найдены уязвимости. Bug Bounty привлекает почти неограниченное количество хакеров. Это дает возможность при схожем размере бюджета достичь более существенного эффекта. Багхантеры предложили проводить кибериспытания, в рамках которых мы идем дальше, результаты описываются другим языком. Например, это не просто уязвимость в мобильном приложении — она позволяет увести деньги. А через уязвимость в интернет-банкинге можно заполучить список клиентов приват-банкинга и условия их обслуживания, а это уже прямое воздействие на бизнес.

И вот такая информация уже абсолютно понятна руководству финансового учреждения. Хищение денежных средств или отток лояльных клиентов — удар по репутации!

«Выйти за рамки типичности»

— Как технически осуществляется взаимодействие багхантеров с банковской системой?

— Самой популярной формой остаются пентесты. Банк, к примеру, ставит задачу найти уязвимости в своем новом мобильном приложении или при переходе с зарубежного программного продукта на отечественный хочет проверить его защищенность.

— Назовите наиболее подверженные взломам элементы банковских сервисов.

— Можно выделить два самых популярных типа проблем: уязвимости в собственном программном продукте и в программном обеспечении, которое используется как фундамент для автоматической банковской системы, интернет-банкинга и так далее. Например, где-то по-прежнему используется Windows. В нем можно обнаружить огромное количество уязвимостей. А если скомпрометировать платформу, на которой работает банковское приложение, дальше можно делать все что угодно.

Что касается собственных банковских приложений, то, к сожалению, многие компании не соблюдают должным образом процессы их безопасной разработки. Требования установлены Центробанком и правительством. Но нанятые банком программисты далеко не всегда им следуют.

Взять очень типичную историю с полем для ввода пароля. Стандартная длина пароля — от 8 до 20 символов. Но программист не подумал это проверить, поскольку сам использует стандартные пароли.

А у багхантера, наоборот, задача — выйти за рамки типичности. Он вводит в это поле не 20, а 500 символов. Поскольку программа написана криво, такое действие может быть расценено системой как команда. В эту команду можно заложить все что угодно, включая требования слить список всех клиентов, удалить все записи в базе данных, перевести деньги с одного счета на другой.

«Любой инцидент спровоцирован человеческой ошибкой»

— А методы социальной инженерии?

— Это более привычные сценарии, не связанные напрямую с банковской спецификой. В качестве примера можно привести отправку фишингового сообщения операционисту, бухгалтеру или финансисту банка. Якобы речь идет о новых требованиях регуляторов. Электронное письмо может быть замаскировано и под внутренние регламенты финансовой организации. Айтишнику могут отправить послание, что его резюме понравилось компании, в которой открылась высокооплачиваемая вакансия, но прежде надо выполнить тестовое задание. Вредоносный файл из письма позволяет захватить компьютер, оттуда начинается проникновение во внутреннюю инфраструктуру банка. Такой фишинг осуществляется в основном через электронную почту, но в последнее время и через мессенджеры.

Отмечу, что из банков крадут на самом деле не так много данных. Учетные записи клиентов скачивают чаще из почтовых сервисов, соцсетей, с маркетплейсов. Человек — существо ленивое и использует один и тот же пароль для личных сервисов и служебных задач. Утечка пароля помогает злоумышленникам проникнуть в инфраструктуру банка.

— В перечисленных примерах проблему создает человеческий фактор, а не технологическая ошибка. Разве нет?

— По большому счету любой инцидент спровоцирован человеческой ошибкой. Технические решения призваны минимизировать риск. Допустим, в день банковский операционист обрабатывает 30–40 клиентов. Я могу ограничить права его доступа к данным этим числом. Ведь бывает, операционист злоупотребляет неограниченным доступом к клиентским базам. Но банковская архитектура не позволяет ввести ограничения, потому что никто об этом не подумал заранее. А теперь уже сложно вносить изменения в код, потому что у айтишников есть правило: не трогай, пока работает и так далее. Если у руководства банка нет зрелости или ресурсов, такие технические меры реализовать не получится.

— Вы удовлетворены тем, как российские банки реагируют на выявленные угрозы, выстраивают стратегию борьбы за информационную безопасность?

— Десять лет назад была очень популярна схема взлома автоматизированной банковской системы, использование фальшивых платежных поручений и так далее. Сейчас такого практически нет. Процесс перевода денежных средств теперь неплохо защищен. Гораздо более актуальна борьба с DDoS-атаками, когда веб-сайты заваливают паразитным трафиком, а легальные пользователи не могут подключиться к интернет-банку или мобильному приложению.

Ряд банков архитектурно грамотно подошли к решению этой задачи. Они создали резервную площадку, на которую трафик переключается в ходе атаки. Но это недешевое решение — далеко не каждый может себе это позволить. Банк может сказать: да, я принимаю эти риски и готов нести определенные репутационные потери, поскольку бороться все равно окажется дороже.

В отличие от собственных продуктов банков, мобильные приложения на платформе iOS и Android хакеру очень сложно взломать. Но наш опыт показывает, что через них также можно проникнуть во внутреннюю сеть банка.

По-прежнему проблемой остается банальная невнимательность, когда IT-специалист банка после проведенных работ оставляет открытым внешний доступ к базам с данными клиентов, историей трансакций и т. д. И тогда, подобрав соответствующие настройки, все желающие могут эту информацию скачать.

По нашей статистике злоумышленники начинают активно эксплуатировать обнаруженные уязвимости в течение 24 часов, тогда как айтишники обычно отводят на устранение критических уязвимости семь дней, менее критических — две недели и так далее. То есть хакеры в течение суток могут найти уязвимость и внедриться, а айтишники начинают закрывать дыры в системах через неделю.

— Если сравнить ситуацию примерно двухлетней давности и нынешнюю, уязвимостей стало больше, меньше?

— Объективных данных по России нет, поскольку участников рынка никто не наказывает за непредоставление такой информации. Но ежегодный прирост уязвимостей мы оцениваем примерно в 15%. Об этом же свидетельствует и зарубежная статистика.

«Мы через это уже прошли!»

— Понимаю, что такой статистики тоже нет, но, по вашей оценке, насколько российские банки соответствуют мировому уровню в части кибербезопасности?

— У российских банков зачастую более высокий уровень цифровизации, чем у многих зарубежных финорганизаций. Я имею в виду зрелость технологий, номенклатуру их применения и, главное, цифровой суверенитет. Ряд государств являются в этом смысле заложниками американских компаний.

После отключения средств защиты в России в связи с санкциями многие страны, приняв это во внимание, всерьез задумались о смене цифровой политики или как минимум о том, чтобы иметь запасной план. Мы через это уже прошли, поэтому российские банки находятся на несколько шагов впереди и с точки зрения кибербеза.

Взять США: в этом плане Штаты достаточно консервативная страна. Там даже карты с магнитной полосой до сих пор используются, тогда как в России от них отказались уже много лет назад. В Европе есть достаточно продвинутые банки, а есть менее продвинутые. Работа с финтех-платформами, с тестированием цифрового рубля расширяет наши возможности в области цифровизации и, как следствие, в области технологий кибербеза.

«Число уязвимостей возрастет»

— Какие угрозы появятся в ближайшие два-три года именно для банков?

— Хакеры тоже довольно ленивы, поэтому социальная инженерия останется темой номер один, думаю, еще годы. Человек — самое слабое звено, и, как его ни обучай, он все равно будет ловиться на удочку мошенников. Проблема технических уязвимостей тоже никуда не уйдет. Надо учесть, что программисты теперь для быстрого выпуска продукта на рынок используют различные утилиты с искусственным интеллектом, которые допускают огромное количество ошибок. Мы прогнозируем, что число подобных уязвимостей возрастет. Прибавьте к этому утекшие пароли и учетные данные. Эта тройка лидеров, по нашим данным, не меняется минимум последние пять лет и вряд ли станет иной в ближайшее время.

Что появится нового? По мере того как будет внедряться цифровой рубль, атаки начнутся на него. Мы видим определенные математические ограничения блокчейна и то, что разработчики платформ, связанных с криптовалютами, не уделяют должного внимания безопасности.

Но все это пока будет носить эпизодический характер и на горизонте двух-трех лет не даст злоумышленникам быстрого доступа к деньгам.

Искусственный интеллект сегодня применяют в рамках антифрода, биометрии, анализа огромных объемов данных. Для того чтобы ИИ корректно работал, надо правильно выбирать обучающие данные и модели и защищать их. Иначе есть риск кражи или подмены фальшивыми данными, что приведет к неверному обучению и принятию неверных управленческих решений.

Дмитрий Толстогузов