Фальшивые лица и романтики с взрывчаткой

29 июня в Москве, в отеле Palmira Business Club состоялась II практическая конференция «Информационная безопасность в финансах: регулирование, экспертиза, кейсы». Гости мероприятия, организованного журналом «Банковское обозрение», разбирались в новых тенденциях в сфере удаленных атак и вариантах защиты от них.

Модератор конференции, исполнительный вице-президент АРБ Эльман Мехтиев для начала извинился перед собравшимися за то, что «почти опоздал» и «за господина Собянина, который устроил нам этот ад». Гости оценили юмор, и содержательная часть мероприятия началась. Модератор отметил, что специалисты по информационной безопасности в банках сейчас нарасхват. Один из них следом и взял слово.

Удобство против безопасности и интернет-банк для бабушек

Андрей Бухтияров, главный архитектор и разработчик ЧатБанка (Совкомбанк) рассказал немного о своем опыте: «Мы ведем разработку для эксплуатации всегда в агрессивной среде, то есть всегда предполагаем, что за нами наблюдают, что все уже атаковано… - поделился представитель Совкомбанка. – Такой подход, естественно, дает больше защищенности».

Бухтияров порекомендовал избегать постоянных логинов и паролей, заменяя их одноразовыми. «Давно не существует хакеров-студентов, уже много лет мы имеем дело с организованной преступностью», - пояснил он необходимость подобной осторожности. Докладчик поведал об особенностях многокомпонентной цифровой подписи, которая используется в ЧатБанке и «выглядит несколько сложнее, чем в промышленных решениях». По мнению Бухтиярова, не существует баланса между безопасностью и удобством. Банк либо защищен, либо нет.

В зале заволновались, что бабушки – клиенты Совкомбанка не смогут пользоваться дистанционным обслуживанием из-за сложности многокомпонентной цифровой подписи. Андрей Бухтияров попытался рассеять сомнения: «То, к чему мы привыкли, мы считаем это простым. Бабушка не видела другого интернет-банка, она привыкла к этому, с тремя полями».

Стандарты Еврозоны для всех

Евгений Ким, старший менеджер отдела по управлению информационными технологиями и ИТ-рисками компании E&Y, рассказал о новых требованиях Европейской Экономической Зоны в области обработки и защиты персональных данных, которые коснутся и многих российских компаний. Например, тех, которые имеют англоязычные версии сайтов и предоставляют возможность гражданам Еврозоны совершать на них платежи, а также тех, которые собирают и обрабатывают персональные данные европейцев. Сложность вопроса для отечественных компаний состоит в том, что новые европейские требования, вступающие в силу с 25 мая 2018 года, придется совмещать с российскими.

Многообразие мошеннических инструментов

Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка, представил вниманию собравшихся очень полезную презентацию. Он описал конкретные инструменты, при помощи которых мошенники наживаются на финансовой неграмотности и доверчивости людей. В список попали: «голосовая социальная инженерия» (звонки от так называемых сотрудников банка), смс-сообщения о «выигрыше» или блокировке карты (с просьбами перезвонить или перейти по ссылке), смс от «родственников», подброшенные флэшки с «троянами», сайты-клоны известных интернет-магазинов или сервисов по продаже авиабилетов, e-mail-сообщения о «задолженностях» и др. На этом список мошеннических технологий, к сожалению, не заканчивался.

Директор по информационной безопасности Московской Биржи Сергей Демидов посетовал на сложность работы с финтехом: «Часть компаний появляются и честно хотят заработать деньги, но часть хотят просто собрать деньги и исчезнуть». Московская биржа выдвигает свои собственные требования по информационной безопасности и требует от финтех-компаний их строгого соблюдения. При этом на Бирже надеются, что регулятор пока не будет добавлять к этому свои требования, чтобы не «кошмарить» финтех.

Евгений Матюшёнок, заместитель коммерческого директора Searchinform, поделился фактом: «Только за три первых месяца 2017 года у 24% компаний из тех, что присутствовали на наших мероприятиях, произошли утечки конфиденциальных данных». Утечки случились еще до WannaCry и других «громких» атак.

«Взломанная» биометрия

Александр Мец, руководитель направления бизнес-решений Samsung, рассказал о внедрении в смартфоны этой фирмы технологий биометрической идентификации. Биометрические данные практически невозможно подделать, заверил он. По крайней мере, таких случаев ему пока не известно.

Выступавший позже, ближе к концу конференции, Олег Бакшинский, руководитель направления Security Intelligence компании IBM Россия и СНГ, поделился неожиданным фактом: «Кто-нибудь знает, что вся биометрия уже взломана? Наберите в поиске «взлом телефона Samsung», и вы увидите, как это было…». По его словам, снимок радужной оболочки глаза наклеивался изнутри на контактную линзу, и смартфон принимал «подделку» за глаз своего хозяина.

Развиваемся нормально, но в жесткой парадигме

Настало время панельной дискуссии о поиске золотой середины между расходами на безопасность и доходностью банковского бизнеса. Эльману Мехтиеву в президиуме не хватило кресла. «Я пешком постою, ничего страшного» - не смутился модератор.

- Любой безопасник хочет закрутить гайки на все 100%, хотя абсолютной безопасности не существует, - рассуждал Алексей Голенищев. – Ну а бизнес, понятно, хочет обратного…

Участники дискуссии согласились с тем, что бизнесу нужны «железобетонные» доказательства необходимости внедрения тех или иных систем безопасности. Аргумент из серии: «У всех банков уже есть, а у нас нет» - в расчет не принимается.

Александр Виноградов из Руссобанка предупредил, что будет говорить за «маленькие и средние банки»: «Если будут какие-то виды угроз, о которых мы раньше не знали, думаю, понадобится помощь экспертов…».

- Если я зааутсорсил все на свете, и банк хакнули, то перед Банком России отвечать буду все равно я, а не аутсорсинг, - сказал Сергей Демидов к вопросу о передаче части функций по обеспечению информационной безопасности внешним компаниям. При этом сама Московская Биржа очень многое отдает на аутсорсинг. «У нас есть проблема: для нас инсорсинг очень дорогой» - объяснил Демидов.

- Аутсорсинг можно реализовать так, что он будет гораздо лучше того, что сделано внутри. Вместе с тем организация действительно несет юридическую и финансовую ответственность, - подтвердил Алексей Поспелов, начальник управления методологии и стандартизации информационной безопасности Банка России. – Но, наверно, некоторые вещи-то можно передать, не выпуская из рук какие-то основные весовые значения процедур.

II практическая конференция «Информационная безопасность в финансах: регулирование, экспертиза, кейсы»
Фото: Альберт Тахавиев, Finversia.ru

Представитель ЦБ отметил, что даже те, кто соблюдает написанные регулятором правила игры, не застрахован от потерь.

- Эти правила игры, они созданы исходя из парадигмы: «то, что написано – то разрешено» или «то, что написано – запрещено»? – задал заковыристый вопрос представителю ЦБ Эльман Мехтиев.

- Если мы в финансовой структуре, то парадигма жесткая, - ответил Поспелов. – Разрешено только то, что разрешено.

- А как же мы тогда будем развиваться? – забеспокоился Мехтиев.

- Развиваться будем нормально. Мы не будем терять людей и деньги. Будем вводить только отработанные правильные движения. Мы же не против развития!

Во время обеда участники конференции сошлись во мнении, что нужно проводить больше закрытых мероприятий по вопросам информационной безопасности. В отсутствие прессы представители банков охотнее обсуждают такую деликатную проблему и делятся примерами из практики.

Виртуальные личности с фальшивыми лицами

Григорий Сальников из компании «РТЛабс» (дочка Ростелекома) рассказывал о возможностях удаленной идентификации на базе Национальной биометрической платформы. «Биометрическая идентификация – это то, что нам знакомо с детства, - заявил Сальников. – Только рождаясь, мы начинаем узнавать своих родителей по голосу, по запаху и т.д.». Докладчик сообщил, что на данный момент Единая система идентификации и аутентификации (ЕСИА) содержит уже более 30 миллионов записей. В качестве участников пилотного проекта по первичной идентификации пользователей выбраны десять крупнейших российских банков.

- Самый сложный вариант атаки – это создание виртуальных личностей с фальшивыми лицами, - поделился представитель «РТЛабс», поспешив добавить, что и от таких атак уже придумана защита.

… и романтики с взрывчаткой

- Алексей Плешков раньше работал в Газпромбанке… - начал было представлять следующего спикера Эльман Мехтиев.

- И продолжаю там работать… – сказал Плешков, уже вышедший к микрофону.

- А почему здесь написано «независимый эксперт»? – удивлялся Мехтиев, глядя в программу.

- Потому что здесь я выступаю как независимый эксперт – заинтриговал слушателей Плешков.

По словам Алексея Плешкова, 2016-й год характеризовался большим количеством физических атак на банкоматы с использованием взрывных устройств. Эта тенденция продолжилась и в нынешнем году. Только теперь чаще используются газовые горелки, с помощью которых злоумышленники выплавляют отверстия, чтобы подключаться к внутренним системам банкоматов. В качестве превентивной меры Плешков порекомендовал «налаживать отношения с теми арендодателями, на территории которых стоит банкомат», устанавливать всевозможные датчики и камеры наблюдения.

Сергей Золотухин, менеджер по развитию Group-IB, который выступал с докладом чуть позже, на это заметил: «Прагматичные люди в Москве уже логически бомбят, а вот романтики в регионах все еще взрывают…».

- Взлом банков поставлен на поток, - уверил Алексей Плешков, упомянув в числе прочего наделавшие на днях шума вирусы Petya и Misha. При этом источниками инсайдерской информации, так необходимой хакерам, часто становятся бывшие сотрудники банков, по разным причинам уже не лояльные к ним.

Независимый эксперт рассказал, как на одном из публичных мероприятий по информационной безопасности к нему подошли хакеры и хотели разузнать, какими полномочиями он обладает, чтобы затем использовать их в своих интересах.

«Потолка» атак не будет

Роман Сабылин из Ростелекома объявил гостям конференции о том, что российский финансовый сектор гораздо больше подвержен DDos-атакам, чем мировой. «Объем атак с каждым годом растет в разы. Надо понимать, что потолка не будет!» - убеждал Сабылин. Мотивы у злоумышленников разные: конкурентная борьба, политические мотивы, вымогательство и так далее.

- Массовые атаки на банки почему-то все время происходят осенью. Не знаю, почему… - заметил Сабылин, как бы намекая, что сезон близится.

Артём Синицын, руководитель программ информационной безопасности в Центральной и Восточной Европе компании Microsoft, просветил собравшихся: самым популярным каналом распространения вредоносных программ является электронная почта. На втором месте – корпоративные сети.

Публичный Wi-Fi – как общественный бассейн…

После кофе-брейка Сергей Антонян из НАФИ, как обычно, представил социологические выкладки. Оказалось, каждое новое поколение соотечественников сообщает о себе все больше информации в интернете, и считает этот процесс абсолютно безопасным. Причем женщины в этом отношении беспечнее мужчин, как свидетельствуют соцопросы. Более трети опрошенных не используют на своих компьютерах регулярно обновляемое антивирусное ПО, а примерно пятая часть респондентов считают возможным осуществлять платежи через публичные Wi-Fi-сети. «Это как пользоваться общественным бассейном и подхватить там, извините, заразу» - привел аналогию Сергей Антонян.

- Должна быть максимальная защита от «дурака» с помощью технологий. Нужно работать над тем, чтобы пользователей защитить от самих себя, - призвал работников финансовой сферы Антонян.

Москва.