В России с каждым годом растет число преступлений, которые совершаются с использованием современных информационно-коммуникационных технологий. На тренинге «Хакеры: современные тенденции кибератак на банки» начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский рассказал об актуальных методах, используемых злоумышленниками для атаки на организации, и методах защиты информации.
„Ъ“: В последние годы существенно возросло число кибератак на банки. На ваш взгляд, чем это вызвано?
С. Ч.: Развитие киберпреступности связано с одним простым фактом — эволюцией экономики: сервисы уходят в онлайн, деньги переводятся в электронный вид, набирают популярность криптовалюты. По прогнозам экспертов из Норвегии и Швеции, в ближайшие годы количество наличных денег в обороте будет сокращаться. И уже сейчас злоумышленники приспосабливаются к новым реалиям. Они реже грабят банкоматы и инкассаторов, вместо этого взламывая онлайн-банки и переводя крупные суммы на свои счета. Если десять лет назад хакеры просто хотели доказать, что они могут написать вирус и приостановить работу предприятия, то сейчас у них большой интерес к монетизации. Они осознают, что, написав вирус и совершив атаку на банк, в результате можно получить столько денег, «сколько за всю жизнь нельзя заработать». И сейчас это целые подготовленные криминальные группы, владеющие собственным институтом разработки, научно-исследовательские центры, изучающие современные системы защиты. К сожалению, мошенничество в интернете и кибератаки можно осуществлять из любой точки мира. Так, находясь в Таиланде, можно попытаться взломать банки в России, и наоборот.
„Ъ“: Но ведь системы защиты также совершенствуются?
С. Ч.: К сожалению, защита находится в догоняющей позиции, поскольку она всегда строится исходя из уже совершенных атак и мошенничеств, реагируя именно на них. Однако ситуация начинает меняться во всем мире, и в России в частности, потому что проблемой киберугроз озабочено не только банковское сообщество, но и государство. Например, существуют четыре требования, которые финансово-кредитная организация предъявляет к информационной безопасности. Во-первых, чтобы деньги не украли со счетов. Во-вторых, функционирование IT-систем, обеспечивающих бесперебойную работу банка, без сбоев. Если учреждение на сутки перестает работать, то его недополученная прибыль может измеряться десятками миллионов рублей. В-третьих, обеспечить отсутствие утечки конфиденциальной банковской информации. И в-четвертых, организовать работу без претензий со стороны регуляторов и надзорных органов: ФСБ, Роскомнадзора, Банка России и т. д.
„Ъ“: Какими видами кибератак чаще всего пользуются хакеры?
С. Ч.: Сейчас появилось такое понятие, как APT (advanced persistent threat) — целенаправленная атака, когда хакеры выбирают определенную кредитно-финансовую организацию, изучают, ее защиту, слабые и сильные стороны и, в конце концов, пытаются ее взломать. Защищаться от таких атак достаточно сложно, но возможно благодаря современным средствам защиты.
Для того чтобы украсть деньги из банка, преступник должен получить доступ к его IT-системе. Часть этих систем являются главными, именно в них обрабатываются счета клиентов, и если преступник доберется до такой системы и получит в ней полномочия, то деньги он может перевести на свой счет, а в последствии снять их в банкомате. Чтобы добраться до главной IT-системы, хакеры сначала получают доступ в периметр организации. Для этого они зачастую используют электронные письма, содержащие вирусы или ссылки, переход по которым приводит к тому, что компьютер сотрудника банковского учреждения заражается. После чего мошенник из любой точки мира получает доступ к этому зараженному компьютеру. В организациях существует разный уровень доступа к системам: самый низкий — когда человек со своим логином и паролем не может ничего сделать на компьютере, и самый высокий, который позволяет делать все, что угодно. Преступник старается украсть логин и пароль самого высокого уровня доступа. Если ему это удается, действуя от имени сотрудников, у которых были украдены данные, он переводит денежные средства на свои заранее подготовленные счета. Также злоумышленники могут подсаживать вирусы внутрь банкомата, чтобы они давали устройству легитимные команды на выдачу денег.
Другой вид онлайн-нападения — DDoS-атаки. Сервер интернет-банка рассчитан на определенное количество запросов от фиксированного количества людей за единицу времени. Если у организации нет 1 млрд клиентов, то ее сервер не рассчитан на такое количество запросов. DDoS-атака — это когда зараженные компьютеры посылают на сервер банка массовые запросы, превышающие допустимое количество. Соответственно, платформа с такой нагрузкой не справляется, организация перестает работать, и все легитимные клиенты, которые хотели в тот момент воспользоваться услугами компании, не могут получить сервис. Любым компаниям достаточно сложно противостоять мощным DDoS-атакам. Из-за трудностей с монетизацией они не приносят большой прибыли, их, как правило, используют для шантажа, нечестной конкурентной борьбы и т. д. Такие атаки легко организовать ввиду низкой стоимости.
„Ъ“: Какие есть примеры масштабных кибератак за последнее время?
С. Ч.: Сейчас считается, что вирусы-вымогатели являются главной киберугрозой 2017 года. Две самые масштабные атаки вирусов-шифровальщиков — небезызвестные WannaCry и Petya. Их особенность в том, что если один из работников переходит по ссылке вирусного e-mail, то заражаются все компьютеры, находящиеся в единой сети. WannaCry и Petya всю информацию на компьютере зашифровывали, и ее невозможно было восстановить. Если такой вирус попадает в крупную организацию, то она за считанные секунды останавливает свою работу и не может дальше функционировать. Для того чтобы расшифровать данные, злоумышленники требовали перевести часть биткоинов на их счет и тогда они якобы присылали ключ, при помощи которого можно все данные расшифровать. От вирусов-вымогателей пострадало много компаний в России, Украине, Европе и т. д.
„Ъ“: Можно ли подхватить вирус, пользуясь сервисами банка с мобильного телефона?
С. Ч.: Вирусы начинают мигрировать с классических компьютеров и ноутбуков в мобильные устройства. Это тренд, который будет и дальше развиваться. В дальнейшем мы увидим все более сложные и опасные вирусы, нацеленные на мобильные устройства.
„Ъ“: Что могут сделать банки для повышения уровня безопасности?
С. Ч.: Безопасность стала сейчас бизнес-составляющей, которую можно продавать клиенту. При высоких уровнях риска банковское учреждение со своей стороны может внедрить средства защиты: фрод-мониторинг, средства выявления подмены клиента, скрипты, вшитые в онлайн-сервисы банка и т. д.
Недостаток бдительности является одной из основных проблем. Система защиты может работать замечательно, но если работник не осведомлен в области информационной безопасности, если он недостаточно бдительный, то никакая система сохранности данных может не сработать. Клиенты также могут обезопасить себя: не стоит переходить на сомнительные сайты и ссылки, открывать вложения от неизвестных отправителей, которые что-то обещают или воздействуют на эмоции, никому нельзя сообщать CVV-код на обратной стороне карты. Если для совершения операций используется компьютер, то на нем должен стоять антивирус с актуальными вирусными базами, обновляющимися каждый день. Соблюдение базовых гигиенических требований информационной безопасности и проявление разумной бдительности позволяют существенно снизить риск быть атакованным.