Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Киберкриминал, да и просто мошенники всех мастей, не давали банкирам весь 2016 год забыть о себе. А чтобы их мелкие (и не очень) делишки посильнее врезались в память, пик активности как хакеров, так и правоохранителей пришелся на декабрь
16 декабря 2016 года всем поклонникам детективного жанра компания Positive Technologies представила детальный отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации были похищены несколько миллионов рублей (эквивалент в местной валюте). Избежать более крупных потерь банку помогла случайность: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, из-за чего злоумышленникам не удалось выполнить свои задачи по выводу денег полностью.
Из этого отчета помимо всего прочего любой желающий смог сделать два вывода. Во-первых, у организованной киберпреступности не было и нет государственных границ. Поэтому, говоря о проблемах соседей, следует иметь в виду, что, скорее всего, вы еще не в курсе, что сходные проблемы нависли и над вами. Во-вторых, ИБ как была хай-теком всего высокотехнологичного сектора, так и осталась. Не обладая соответствующей квалификаций, лучше в хакеры не идти. Роль «гопника на районе» куда безопасней. Зато те, кто проявил себя с лучшей стороны, обречены на «вечную славу» и гарантированное рабочее место в любой преступной группировке. История с Cobalt — яркое тому подтверждение.
Информация о деятельности преступной группы, именуемой Cobalt, о которой пишет Positive Technologies, появилась в ноябре 2016 года, когда был выпущен обзор компании Group-IB. В нем деятельность Cobalt связывают в первую очередь с известной ранее кампанией Buhtrap. Именно эта группа, предположительно, стоит за хищением более 1,8 млрд рублей со счетов российских банков в 2015-2016 годах. Предполагается также, что часть участников группы перешла в Cobalt либо костяк Buhtrap переключил свое внимание на банкоматы.
В это же время, осенью 2016 года, Positive Technologies проводила расследование компьютерного инцидента в одном из банков Восточной Европы, где были зафиксированы фишинговые рассылки и факты компрометации множества ресурсов внутренней сетевой инфраструктуры, а также сети банкоматов. Все следы явно указывали на нацеленную атаку (APT), а выявленные факты — на деятельность организованной преступной группы, которая в период с августа по октябрь успешно осуществила ряд аналогичных атак на различные банки в России и Восточной Европе, а в ближайшем будущем может активизироваться и на Западе. Анализ данных подтвердил причастность группы Cobalt.
В чем ценность этого кейса от Positive Technologies и почему с ним стоит внимательно ознакомиться? В нем описан пример реальной APT-атаки, которая может быть осуществлена по отношению к любому из банков в любой точке мира. Для ее реализации группа использовала общедоступное программное обеспечение, а недостатки и уязвимости, которые были эксплуатированы, являются одними из наиболее распространенных в корпоративных системах большинства организаций, в том числе в банках.
В качестве некоторых выводов по данной атаке следует упомянуть следующее:
• злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. Добраться до уязвимостей помогают фишинговые рассылки, которые остаются одним из самых успешных векторов атаки в силу недостаточного уровня осведомленности работников банков в вопросах ИБ;
• целенаправленная рассылка электронных писем, имитировавших финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время осуществили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них;
• APT становятся все более организованными и распределенными во времени. Старт данной атаки пришелся на начало августа. В сентябре начались атаки в целях выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО в банкоматы и осуществили кражу денежных средств: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.
Максим Филиппов, директор по развитию бизнеса Positive Technologies в России, в качестве одного из важнейших уроков инцидента отметил: «Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь “для галочки”, с целью соответствия требуемым стандартам».
Среди многочисленных авторов сообщений об атаках на кредитные организации, случившихся в декабре 2016 года, особняком стоит Федеральная служба безопасности (ФСБ), которая 2 декабря выпустила сообщение о том, что получена информация о подготовке иностранными спецслужбами масштабных кибератак, целью которых является дестабилизация финансовой системы России, включая деятельность ряда крупнейших российских банков. Ожидалось, что кибернападения будут сопровождаться массовыми рассылками sms-сообщений и публикациями провокационного характера в социальных сетях (в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ведущих банков).
В этом случае интересно не столько то, откуда у ФСБ появилась эта информация и с кем она ей поделилась, а то, как на нее отреагировали.
В Positive Technologies, уже зная все о Cobalt, заявили: «Мы считаем, что атаки, о которых предупреждает ФСБ, вполне реальны. Более того, практика расследований подтверждает, что в последние год-два резко увеличилось именно число целевых атак на банки. Любая такая атака чаще всего является гибридной: нацеленной как на остановку сервисов, так и на прямые финансовые хищения, и использует в качестве инструмента технологические возможности, а также методы социальной инженерии и манипуляции».
Алексей Лукацкий, известный эксперт в области ИБ, у себя в блоге разместил свое «официальное заявление» по этому поводу, где он скорее критикует спецслужбу, чем одобряет ее действия: «Я считаю, что данные в Интернете редкие рекомендации не имеют никакого отношения к действительности, так как исходят из привычной парадигмы “банк может быть атакован хакером, цель которого украсть деньги”. В данном случае речь идет о совершенно иной мотивации у тех, кто стоит за планируемыми атаками, и хищения средств, скорее всего, не предвидится. Также малореализуемые и неконкретные рекомендации банкам по присоединению к ГосСОПКА, обращению в FinCERT, чтению отраслевых стандартов или реализации правил разработки безопасных приложений. Если вы (банк) этого не делали раньше, то сейчас уже поздно. Более того, когда федеральный орган исполнительной власти, уполномоченный в области национальной безопасности страны, публикует свою новость перед выходными и у целевой аудитории остается меньше суток на принятие каких-либо мер, то рекомендации должны быть очень конкретными и понятными».
«Ситуация находится под контролем, — сказал представитель ЦБ «Российской газете». — Необходимые рекомендации банкам даны. Проведено совещание с Минкомсвязи и телекоммуникационными операторами, в рамках которого выработаны первоочередные меры по предотвращению таких атак». Наверное, единственным банком, который публично отчитался о том, как пережил эту «атаку», стал ВТБ. Изданию «Коммерсант» в группе ВТБ сообщили, что «зафиксировали слабые DDoS-атаки. По состоянию на вечер 5 декабря 2016 года было неизвестно, откуда атаковали ВТБ. Эксперты не исключают, что это отдельная история, но призывают банки не терять бдительности. По мнению специалистов, хакеры могли отложить масштабные мероприятия из-за широкой огласки».
Примерно такое отражение в публичной плоскости получила первая и пока единственная кибератака, о которой предупредила сама ФСБ. Однако это вовсе не значит, что история закончилась. Будем ждать новой информации.
Прежде чем закончить с «ужасами» декабря, вспомним распространенную американским новостным каналом CNN информацию о попытке хищения 5 млрд рублей из банковской системы страны. Однако, как выяснила «Российская газета», в ЦБ накануне выхода этой «утки», действительно указывали на то, что в начале года предпринимались попытки подмены входных данных для автоматизированного рабочего места клиента Банка России. Удалось предотвратить хищения на 1,67 млрд рублей, а в целом, по данным ЦБ, в 2016 году банки сообщили регулятору об ущербе в 5,2 млрд в результате атак на системы ДБО.
О том, какие меры регулятор в связи с этим уже предпринял и планирует в будущем, в ходе панельной дискуссии на третьей ежегодной конференции-консилиуме «IT-бюджет банка — 2017», организованной bankir.ru, рассказал Артем Сычев, заместитель начальника главного управления безопасности и защиты информации Банка России. В частности, настоятельно рекомендуется задуматься о переносе электронной подписи из автоматизированного рабочего места клиента Банка России в автоматизированную банковскую систему. Кроме того, в рамках Технического комитета № 122 идет обсуждение аутсорсинга информационной безопасности, который решит проблему чрезмерных затрат на небольшие финансовые организации. Ждут изменения Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации: технические подробности из него «переедут» в ГОСТ, что сделает стандарт ЦБ, посвященный информационной безопасности более гибким.
Считать, что преступники нацелены исключительно на банки, ошибочно. Атакуют всю платежную (и не только) экосистему сразу, целенаправленно выискивая наименее защищенные участки и наиболее «жирных клиентов». Поэтому речь об ИБ должна вестись, во-первых, как о непрерывном процессе, и, во-вторых, как о комплексной проблеме. Об этом в рамках форума Finopolis 2016 говорил генеральный директор «Лаборатории Касперского» Евгений Касперский. По его словам, в век, который сами же финансисты называют «цифровым», забывать, что любые инновации, так милые сердцу «цифровых банкиров», являются не конечным этапом построения новых сервисов, а всего лишь элементом циклического характера процесса эволюции.
Результатом такого «склероза» становится построение некоего «защищенного» продукта, окруженного, как пустыней, IT-ландшафтом, о котором «безопасники» знают, но который, тем не менее, игнорируют. Касательно банковской сферы это происходит по причине ставки на соответствие нормативам регулятора, а не на достижения реального уровня системы ИБ, самым слабым звеном которой, как известно, являются люди. Это, по словам Касперского, иначе как «цифровым Средневековьем» назвать нельзя. Поэтому вопиющий случай с частично удавшейся попыткой ограбления ЦБ Народной Республики Бангладеш — закономерность.
Ну а раз сами же некоторые потенциальные жертвы по старинке не хотят думать «дальше своего периметра», находится немало желающих доказать первым, что мир стал мобильным, а значит, другим.
Сергей Гордейчик из «Лаборатории Касперского» на одной из сессий Finopolis, развивая эту тему, рассказал о том, что бюджеты на НИОКР мирового киберандеграунда и не снились любому банку мира. Эти ребята не испытывают пиетета перед грандами мировой финансовой инфраструктуры и атакуют помимо всего прочего SWIFT — святая святых платежной инфраструктуры. Рассказал спикер и о нашумевшей группировке Lazarus Group — одной из самой «трудолюбивых» APT-группировок из всех изученных «Лабораторией Касперского» хакерских сообществ.
«Это не просто новый рынок для меня и других компаний. Это новая киберреальность. Нельзя подходить к ней с точки зрения традиционных средств безопасности: сделали систему, шлеп сверху антивирус — и поехали. Это плохо. Это работает медленнее и дороже в обслуживании. Так устроены технологии, которые мы используем сейчас, и они все очень старые. Им по 20–30 лет. Их разрабатывали в те времена, когда хакеров не было и не существовало понятия “кибертерроризм”. Сегодня необходимо изначально проектировать новые системы на безопасных платформах, где ИБ must be», — цитирует Евгения Касперского bankir.ru.
Сергей Лебедь, руководитель службы информационной безопасности Сбербанка, в интервью «Б.О» озвучил довольно интересные факты и наблюдения:
«За восемь — десять лет ситуация в области киберпреступности в банковской сфере драматически изменилась. Если, например, восемь лет назад 98% преступлений, связанных с мошенничеством, составляли грабежи и воровство наличных денег и только 2% приходилось на кибермошенничество, то сейчас ровно наоборот: 98% — это киберпреступления и только 2% приходится на все остальное.
Кроме того, эта тенденция каждый год неуклонно усиливается. Например, в 2015 году ЦБ зафиксировал около 32 тыс. попыток воровства денег у клиентов российских банков через электронные каналы. Если бы не противодействие служб информационной безопасности и правоохранителей, ущерб составил бы приблизительно 5 млрд рублей. По сравнению с 2014 годом — рост в 12 раз!»
Ежесуточно Сбербанк фиксирует более 25 тыс. срабатываний антивируса Касперского на смартфонах пользователей. Понятно, что это касается не всех телефонов, а в основном устройств тех пользователей, которые нарушают правила безопасности, стараются установить всевозможные приложения с непроверенных источников и т.д.
По предварительным данным, 2016 год не стал исключением, рост продолжается! Например, по данным Сбербанка с августа 2016 года до конца 2016 года в России были зафиксированы атаки на 21 банк, общая сумма ущерба составила около 2,5 млрд рублей. Методы хищения денежных средств со счетов банков совершенно разные, но в целом ситуация выглядит примерно так. Преступность переориентируется с эксплуатации уязвимостей устройств конечных пользователей, банкоматов, POS-терминалов на инфраструктуру банков. Причем атакуют не только банки: мировая статистика свидетельствует о том, то похожие атаки происходят в аэропортах, больницах, торговых сетях и много еще где.
«При этом существуют и иные деяния киберкриминала, которые не приводят к краже денег напрямую, а воздействуют на работоспособность организации в целом. Это, например, DDoS-атаки. Именно поэтому Сбербанк реализует стратегию кибербезопасности на 2014–2018 годы, чтобы не дожидаться, когда в нашу дверь начнут ломиться бандиты, а бороться с преступниками в проактивном режиме, предотвращать уже сегодня угрозы завтрашнего дня», — говорил Сергей Лебедь.
Что же в итоге? Очевидно, что в одиночку банкирам бороться против индустрии киберпреступности невозможно. Поэтому целые секторы ИБ уходят в облака и на аутсорсинг: DDoS, антифишинг и т.д. Невзирая на геополитические сложности, глобальные игроки идут на сближение и партнерство. Почему так происходит? В современном мире важен оперативной обмен информацией, аккумулирующейся в FinCert и аналогичных структурах. Только таким образом можно бороться с таргетированными атаками.
Много говорилось о том, как использование микросервисных решений для банков увеличивает производительность, ускоряет вывод новых бизнес-продуктов на рынок и помогает банкам стать по-настоящему цифровыми. В сложившихся реалиях ЦБ уделяет повышенное внимание стабильности критической инфраструктуры, к которой относится и банковская. Поэтому возникает серьезный вопрос: как поведут себя «модные» микросервисы в случае серьезных сбоев? Сможет ли банк сохранить требуемую регулятором непрерывность предоставления услуг?
Основатель Международного онлайн-университета инвестиций, инвестиционный советник Юлия Кузнецова в интервью генеральному директору АЦ «БизнесДром» Павлу Самиеву рассказала о своих прогнозах развития финансового рынка, начавшемся буме первичных размещений, рисках и возможностях сегмента высокодоходных облигаций (ВДО) и инвестициях в недвижимость