Система быстрых платежей (СБП) по привязанному к карте номеру телефона, тестируемая Центробанком РФ, может спровоцировать новую волну лишения банков лицензий. По мнению специалистов по кибербезопасности Qrator Labs, такую вероятность нельзя исключать, так как у СБП есть уязвимости, которыми могут воспользоваться злоумышленники для хищения персональных данных банковских клиентов.
Хотя больше всего банки боятся финансовых последствий в результате хакерских атак, угроза лишиться лицензии остается для них весьма ощутимой. Это показало исследование безопасности финансового сектора, которое на днях презентовала специализирующаяся на предотвращении DDоS-атак Qrator Labs. Анализ проводился на основе опроса 100 финансовых организаций – банков и платежных систем – из российского топ‑200. Банки не любят тратить деньги, не доверяют отечественному программному обеспечению, блокчейну и облачным технологиям, говорят аналитики, но достаточно ли они защищены и способны ли противостоять современным киберугрозам?
Чего боятся банки
Несмотря на свойственную им скаредность, банки из года в год увеличивают свой бюджет на информационную безопасность. «Банки не любят делиться, но на протяжении последних двух лет примерно в половине опрошенных организаций бюджет на ИБ увеличивался хотя бы один раз», – говорит технический директор Qrator Labs Артем Гавриченков. Довольно ощутимая доля опрошенных (31,8%) при этом сообщили об увеличении расходов на безопасность, но добавили, что «не могут об этом сказать открыто». В результате они попали в раздел «нет данных» (см. график). Тут существенную роль сыграл второй по своей силе страх: репутационные риски. Многие не хотят видеть упоминания собственного имени, бренда наряду с киберугрозами. В целом не было ни одного респондента, у кого бюджет на соответствующие расходы упал бы в период с 2016 по 2018 год.
Динамичный рост этой отрасли связан с главным страхом банков – финансовыми последствиями от кибератак. В этом признались более половины участников опроса. Этот страх вполне оправдан и подтверждается недавним исследованием Group-IB: основная масса хакерских атак в прошлом году пришлась именно на финансовый сектор. Это целевые атаки, конкурентный шпионаж, атаки с помощью вирусов‑шифровальщиков и криптомайнинг. По данным Qrator Labs, общее число атак в год растет в 1,5–2 раза. Увеличилось и число DDоS-атак. Если раньше хакеры предпочитали получать выкуп от своих жертв в цифровой валюте, то сейчас вернулись к старым способам монетизации своей «работы», так как в 2018 году наблюдалось падение курсов практически всех криптовалют. Тут, правда, есть один плюс: хотя угроза и выросла, отражать ее банки научились довольно неплохо.
Но радоваться этому прежде-временно. По данным Group-IB, к 74% различных атак банки оказались не готовы. «Подавляющее большинство российских компаний, ставших жертвами хакерских атак в прошлом году, не имели плана реагирования на киберинцидент, не были готовы в сжатые сроки мобилизовать работу профильных подразделений и не способны организационно и технически противостоять действиям атакующих», – отмечается в исследовании.
Банковская «Зарница»
Российская банковская система, в отличие от американской и даже европейской, довольно прогрессивна. Если в США люди все еще посылают традиционной почтой друг другу чеки, то в России можно за несколько минут оформить перевод в электронном виде. Но все же, как и любая банковская система, российская – довольно консервативная структура, она не любит меняться, просто создали ее уже на основе более-менее новых технологий. И хотя киберпреступность стала серьезным вызовом для обновления собственных систем защиты для финансовых организаций, не всякую технологию они возьмут на вооружение.
Неинтересны банкам и облачные технологии, которые позволяют существенно снизить затраты в ряде случаев. Однако тогда все финансовые и персональные данные нужно будет доверить третьим лицам – операторам облаков. Банки на это не идут, не хотят делиться пользовательскими данными: зачем давать другим возможность заработать на этих данных, если заработать на них можно самостоятельно? Сбербанк, например, построил огромный центр обработки данных, где может проводить обработку данных, аналогичную производительности крупных IT-компаний.
Практически до нуля упал интерес банков к блокчейну, который еще недавно превозносился как наиболее передовая технология для хранения и защиты финансовых данных. На практике, увы, это оказалось почти неприменимым. Пару лет назад глава Сбербанка Герман Греф не без зависти отмечал, что IT-гигант Amazon «производит 10 тысяч изменений своей системы в день». До такого подавляющему большинству финансовых организаций в России не дорасти никогда – слишком рискованно.
Но появились и довольно существенные положительные сдвиги в области укрепления бастионов кибербезопасности. Тот же Сбербанк, Ростелеком-Solar, Qiwi, ряд других крупных финансовых компаний обзавелись так называемыми red team и blue team. Это похоже на популярную в советское время молодежную военно-спортивную игру «Зарница». «Красная команда» – это внутренняя команда «хакеров», которые работают на опережение. Круглосуточно, без праздников и выходных они ищут уязвимости, дыры в системе, через которые могут осуществляться проникновения, получение доступа к данным, вывод средств. Задача «синей команды», соответственно, не дать «красной команде» осуществить проникновение. И такая модель оказалась эффективнее, чем нанимать сторонние организации для защиты в случае возникновения угроз.
Генералы готовятся к прошлой войне
Современная банковская система, тем не менее, защищена довольно серьезно, и в ней уже сложно найти слабое звено. Поэтому одной из главных угроз и главным источником вывода средств из банков остается фишинг. Это ловля «на удочку» беспечных пользователей с помощью «наживки» – поддельных копий сайтов, почтовых сообщений. Самое слабое звено – пользователь. Он до сих пор не знает, что номер звонящего можно подделать, что нельзя раскрывать свои пароли, не понимает, кто ему звонит, кто спрашивает ключевое слово по телефону. Совсем недавно, например, общественность взбаламутили звонки злоумышленников, представлявшихся сотрудниками банков и вымогавших данные карт. Заподозрить мошенничество было непросто: звонившие называли имя, фамилию и отчество клиента, знали, в каком банке у него счета и карты.
Банковская система, как и система мобильных операторов, довольно инертна. Ее ключевой показатель эффективности (KPI) – непрерывность операций. Инновации, цифровая экономика – все это приемлемо только в том случае, если не нарушает привычный рабочий процесс. Хотя, по словам эксперта, исключения есть (в частности, Qiwi и «Тинькофф»), похоже, это свойственно российскому бизнесу в целом. Это подтверждает первое исследование PwC на тему «Доверие цифровым технологиям», опубликованное на днях. Оно также проводилось на основе опроса, в котором участвовали 3 тыс. руководителей бизнеса со всего мира, 63 из них – российские.
Только 14% отечественных компаний, по результатам исследования, планируют в ближайшее время инвестировать в информационную безопасность. И 14% уверены, что уже предпринятые ими меры защиты вполне достаточны. Опять же 14% российских компаний уверены, что знают тех, кто может совершить на них атаку. Меньше половины компаний (40%) обзавелись программами по обучению своих сотрудников основам кибербезопасности, 37% осуществляют обучение на практике. И до сих пор, несмотря на наличие серьезной охраны в банках, туда спокойно может проникнуть кто угодно. Скажем, под видом грузчиков, которые привезли выпечку в банковскую столовую, приводит пример Артем Гавриченков.
Технологии тем временем не стоят на месте, они стремительно эволюционируют. Настольные компьютеры и ноутбуки больше не интересуют хакеров – это новый тренд прошлого года. От 40% до 60% всего пользовательского трафика – мобильные приложения. Бухгалтерия и аудит еще остаются на стационарных машинах, хотя малый и средний бизнес уже вовсю пользуется мобильными версиями. Это создает очень много вызовов для банков, но пока, сетует эксперт, они не очень с ними справляются.
Защита мобильных порталов и мобильных данных на телефоне – одна из самых серьезных проблем. Ведь что такое телефон среднестатистического пользователя? Как правило, это китайский гаджет двух-трехлетней давности, который давно не обновлялся, на котором установлены мобильные игры и приложения, запрашивающие доступ ко всем данным. Вот зачем, спрашивается, прогнозу погоды знать список ваших контактов, зачем ему доступ к sms?
Эволюционирует и вредоносное ПО. Но инертность системы опять же приводит к тому, что часто банки защищаются от тех атак, которые им уже известны, а новые вирусные модификации и зловредные технологии не кажутся им реалистичными. «Генералы готовятся к прошлой войне – это то, что сейчас происходит на финансовом рынке», – резюмировал Артем Гавриченков. Компании не готовы инвестировать в средства защиты, которые позволили бы устоять против будущих атак. А это тревожный звонок для всех: лучше всегда иметь при себе какую-то сумму в наличных, так как в случае атаки на банк за день проблему решить не удастся.
Вот одна из таких вероятных перспектив. Центробанк РФ с конца января тестирует систему мгновенных межбанковских переводов. До сих пор СБП по привязанному к карте телефонному номеру была доступна только клиентам Сбербанка, и фактически у него была монополия – в огромном количестве заведений и магазинов в крупных городах только так и расплачиваются. Сейчас в эксперименте участвует 12 банков, а впоследствии эта система может быть распространена повсеместно. Но при этом Сбербанк – не просто банк, а один из крупнейших операторов в России, который знает, кто, что и где покупает. И это весьма защищенная структура.
А сейчас к этим пользовательским данным получат доступ и другие банки, чья защитная система может быть на порядок слабее. Тогда, как в случае с сетевыми операторами, может произойти угон маршрутов – когда злоумышленник крадет чужую сеть, перехватывает трафик, получает доступ ко всем данным. Такие инциденты, по мнению гендиректора Qrator Labs Александра Лямина, могут повлечь за собой «следующую волну отзыва лицензий у банков». «А это, скорее всего, снова станет драйвером роста спроса на услуги информационной безопасности», – заключил он.