Кибербезопасность платежей: что делать, чтобы не было поздно

Переход многих клиентских сервисов в онлайн, а также вынужденный перевод банками и финкомпаниями своих сотрудников на удаленку требует пересмотра мер информационной и кибербезопасности.

Даже незначительный инцидент в сфере безопасности платежей, как например, утечка конфиденциальных данных, может стоить финансовому учреждению потери репутации, что равносильно потере бизнеса.

В Украине вопросам цифровой безопасности финансового сектора уделяют все больше внимания — как сами участники рынка, так и регулятор. Своим постановлением № 43 «Об утверждении Положения о защите информации и киберзащита в платежных системах», принятым в конце мая 2021 года, НБУ установил четкие требования к участникам платежного рынка.

От них регулятор в первую очередь требует построения системы защиты информации и обеспечения кибербезопасности. Также НБУ потребовал от платежных систем создать четкие алгоритмы действий на случай обнаружения кибератак, угрожающих их функционированию. НБУ полагает, что это позволит минимизировать количество инцидентов на рынке денежных переводов, а также ускорит процесс модернизации платежных систем с учетом современных технологий защиты информации.

«Данное положение в очень понятном виде регламентирует те аспекты обеспечения информационной безопасности, которые должны применяться по умолчанию, согласно мировым практикам. Да, определенные нюансы были учтены с учетом специфики украинского рынка, но в целом операторы и так применяют данные меры. — рассказывают представители Portmone.com, — При обеспечении безопасности данных нет понятия избыточности. Есть риск-ориентированный подход. И если подобный риск существует, его необходимо снижать»

Мировой контекст

Чтобы оценить значимость задачи по обеспечению информационной безопасности банков и других финучреждений, можно обратиться к результатам ежегодного исследования банковских приоритетов —CSI 2021 Banking Priorities Survey, — которое является самым обширным отчетом в банковской среде на сегодняшний день. В ходе исследования были опрошены 272 руководителя банков — лидеров по активам в США, чтобы установить самые насущные проблемы за последний год.

По результатам опроса 34% банкиров отметили, что проблема кибербезопасности сегодня оказывает наибольшее влияние на деятельность банков. Такое мнение четко отражает текущую ситуацию: пандемия коронавируса подтолкнула общество к удаленной работе, стимулировала стремительный рост цифровых услуг и тем самым расширила поле деятельности для киберпреступности.

Согласно данным исследования, подавляющее большинство — 81% — банкиров считают социальную инженерию крупнейшей угрозой для кибербезопасности в 2021 году.

Специалисты разделяют социальную инженерию на несколько видов:

• Фишинг, нацеленный на клиентов (отмечен 34% опрошенных). Нередко происходит в виде крупномасштабных атак по электронной почте, в том числе, нацеленных на сотрудников крупных корпораций. Злоумышленники представляются получателям писем сотрудниками банков и пытаются обманом выманить у сотрудников корпораций конфиденциальную информацию об их счетах.

• Фишинг, нацеленный на сотрудников (32%). Это фишинг, который позволяет злоумышленникам проникнуть во внутренние системы банка или сервиса платежных систем и перевода денег. Эта угроза вполне актуальна: ведь сотрудники, работающие на дому и столкнувшиеся с новыми финансовыми и семейными проблемами из-за пандемии, являются идеальной мишенью для киберпреступников.

• Замыкает тройку основных угроз кибербезопасности (14%) социальная инженерия во всех ее формах, включая бейтинг, целевой фишинг, вишинг, поиск «слабого звена» для входа в систему обманом и т. д.

Для справки: Fishing — это попытка украсть личную информацию или учетные данные, выдавая себя за легитимную персону, используя техники срочности и/или давления.

Каналы атак при фишинге используются самые разные: электронная почта, фальшивые веб-страницы, съемные носители, телефонные звонки и даже личные встречи.

Последствия реализации угрозы: создание канала внедрения в финансовый сервис, компрометация и утечка информации из банка или платежной системы.

Предотвращение фишинга — только одна сторона вопроса. Финучреждениям по-прежнему нужно беспокоиться о том как действовать, если успешная атака на них или их клиентов уже произошла, а системы оказались взломаны. Ведь часто последствия могут не ограничиваться кражей средств или персональных данных. Одним из последствий атаки может стать внедрение программ-вымогателей во внутренние информационные системы.

Программы-вымогатели или Ransomware — это вредоносное ПО, предназначенное для прекращения доступа к системам или файлам, обычно путем их шифрования, до тех пор, пока не будет выплачен выкуп. Программы-вымогатели — одни из самых вредоносных и дорогостоящих кибер-взломов. В 2020 году количество атак программ-вымогателей увеличилось, а требования вымогателей выросли. Сохранилась эта тенденция и в 2021 году.

Способы внедрения программы-вымогателя самые разные: почта, веб, съемные носители, вручную (внутренний пользователь).

Последствия для финучреждения в данном случае могут быть очень серьезные:

• утечка и уничтожение информации,
• блокировка работы платежной системы путем DoS-атак.

В последние годы к числу рисков добавились:

• Криптомайнинг (сryptomining) — добыча криптовалюты посредством запуска задачи, требующей значительных ресурсов от выделенных процессоров, графических карт, жестких дисков и другого оборудования.

Источник возникновения угрозы: почта, веб, съемные носители, вручную (внутренний пользователь).

Последствия: блокировка работы платежной системы из-за DoS-атаки, перерасход использования ресурсов.

• Троян (Trojan) — вредоносное ПО, замаскированное под легитимное ПО, содержащее вредоносный код, который в фоновом режиме без ведома пользователя способен собирать ключевые данные — логины, пароли, номера телефонов и счетов и пр.

Источник возникновения угрозы: почта, веб, съемные носители, вручную (внутренний пользователь).

Последствия: создание скрытого канала внедрения, компрометация и утечка информации, блокировка работы финансового сервиса или платежной системы, перерасход использования ресурсов и т. п.

Все оставшиеся отрасли кибербезопасности получили менее 5% голосов среди опрошенных банкиров, однако, это не означает, что эти риски можно не учитывать:

• Кража данных (5%)
• Мошенничество с подделкой идентификации личности (2%)
• Отказ в обслуживании (2%)
• Безопасность конечных точек (1%)

А как же обстоят дела у участников рынка платежных услуг?

Мы поинтересовались у представителя компании portmone.com — технического директора Григория Лисничего

Для справки — portmone.com — небанковская платежная система, основанная в 2002 году, и на сегодня является лидером рынка в сегменте небанковских платежей и платежных сервисов для e-commerce

Компания первой на рынке Украины прошла сертификацию по стандарту PCI DSS в 2004 году и с того времени безопасность платежных и клиентских данных соответствует международному стандарту безопасности.

Так же финансовым организациям в своей деятельности приходится сталкиваться со множеством информационных угроз. И хотя работа по повышению информационной и кибербезопасности ведется непрерывно, в этом направлении очень важно работать на опережение. «Одним из важнейших залогов снижения рисков хакерских атак на инфраструктуру и информационные системы компании является грамотное построение комплексной системы информационной безопасности. Именно отношение к информационной безопасности как к одному из важнейших направлений бизнеса, выстраивание необходимых процессов, а также инвестиции в оборудование и программное обеспечение помогают снизить подобные риски» — уверяет Григорий Лисничий. Так же в portmone.com проводится постоянное обучение внутренних пользователей правилам и регламентам работы по обеспечению защиты данных, что является важной задачей в данном контексте.

Подтверждают слова Григория Личничего и данные упомянутого исследования CSI 2021 Banking Priorities Survey. Согласно им, почти 85% учреждений планируют использовать обучение кибербезопасности для борьбы с угрозами в этой области.

Украинские реалии

Мошенничество — очень гибкое явление. Киберпреступники быстро приспосабливаются к текущей ситуации. А вот финучреждения часто бывают менее проворны. Нередко и банки, и финкомпании экономят на средствах цифровой защиты и их внедрении, а также не адаптируют свои системы безопасности к новым технологиям и продуктам, применяемым в бизнесе. Имеет место также и дефицит кадров в сфере информационной безопасности. Существующие же сотрудники нередко тратят слишком много времени на выполнение формальных требований регулирования в ущерб реальным мерам по борьбе с угрозами.

Что же может предпринять финсектор для выявления и блокировки мошенников? Например, для того, чтобы свести к минимуму вероятность проникновения в платежную систему эксперты рекомендуют использовать подход «defense-in-depth», предусматривающий многоуровневый контроль. В этом случае злоумышленник должен пройти через несколько различных защитных механизмов, прежде чем получит доступ к внутренней среде платежной системы.

Специалисты компании ESKA — эксперты в сфере информационной безопасности — разработали свой метод противодействия киберугрозам, который опирается на поведенческий анализ и может применяться подготовленной командой с минимально необходимым набором процессов и технологий.

Отвечая на запросы представителей финсектора эксперты компании ESKA описали список базовых мер, которые финучреждения могут предпринять для защиты своих систем, операций и данных клиентов:

1. Постоянная проверка уровня защищенности и оценка уязвимостей — тест на проникновение

Оценка рисков кибербезопасности — лучший способ проверить наихудшие предположения. Тест на проникновение поможет проверить элементы ИТ-инфраструктуры, права доступа, привилегированные учетные записи, системные журналы, средства и способы восстановления после возможной атаки.

Проведение теста на проникновение помогает согласовать меры кибербезопасности, выявить самые слабые места в системе защиты финучреждения и избежать перерасхода средств в тех областях, где уровень защиты уже на должном уровне.

Оценка уязвимостей в свою очередь позволит автоматически управлять исправлениями продуктов информационных технологий (операционных систем, программного обеспечения, прошивок и т. д). Кроме того, данный инструмент может периодически сканировать и проверять состояние систем, устанавливать последние стабильные версии приложений и патчи к ним.

2. Постоянное обучение пользователей и администраторов

Как уже упоминалось, «человеческий фактор» — это большая потенциальная слабость учреждения. Если сотрудники не проходят тесты на устойчивость к социальной инженерии, необходимо переосмыслить свою стратегию, чтобы более эффективно объяснять персоналу угрозы, научить сотрудников выявлять признаки готовящихся атак и стимулировать их выполнять свою часть работы по достижению информационной безопасности.

Для этого сотрудники банка должны пройти специальные тренинги, после которых они будут знать:

• как идентифицировать угрозы и уязвимости, оценивать подверженность риску;
• как действовать в случае обнаружения признаков атаки;
• как действовать во время атаки и реагировать на инцидент информационной безопасности;
• как действовать в непредвиденных ситуациях, при катастрофах и угрозе терроризма.

3. Мониторинг событий и реагирование на инциденты

С ростом числа атак организации должны учитывать все операционные, финансовые и репутационные последствия того, что они могут оказаться заложниками инцидентов в сфере информационной безопасности. Для этого необходимы:

• ведения журнала и записей системного аудита на всех устройствах;
• сбор данных, сравнение и анализ событий из разных источников.
• обнаружение угроз и реагирование на них, анализ поведения.

4. Проверка поведения на периметре и внутри сети

Сделать транзакции клиентов безопасными можно с помощью внедрения машинного обучения и поведенческого анализа.

Машинное обучение позволяет проверять неизвестные файлы в облачной базе данных, инспектировать и анализировать трафик, DNS-запросы и проверять ссылки URL. Кроме того, Machine Learning может предоставить развернутую аналитику файлов и трафика в конечных устройствах, генерирующих трафик, и блокировать его в случае угрозы.

Эта функция также позволит предоставлять доступ лишь авторизованным пользователям, устройствам, системам, транзакциям, функциям, приложениям, компонентам и внешним подключениям. В довершение всего, внешние системы могут быть каталогизированы, а подозрительные IP, домены и веб-сайты — заблокированы.

5. Использование защищенных конечных устройств и серверов

Безопасная защита конечных точек является важным аспектом для любого учреждения с удаленными сотрудниками или конечными устройствами. В случае кражи или взлома корпоративных устройств банки могут столкнуться с потерей данных или другими серьезными рисками.

Защитить конечные устройства и сервера поможет анализ данных, полученных из сети, конечных точек доступа и облака, а также поведенческий анализ, осуществленный во время попыток компрометации устройств или поиска данных клиентов и интеллектуальной собственности с помощью машинного обучения.

6. Управление идентификацией и привилегированными учетными записями

Централизованное управление идентификацией и доступом привилегированных учетных записей жизненно важно для защиты конфиденциальной информации и информационных систем от кибератак.

Привилегированные пользователи требуют особого обращения, обучения и контроля. Именно поэтому следующие шаги помогут в управлении идентификацией и доступом учетных записей привилегированных пользователей:

• Использование greylisting для предотвращения предоставления незнакомым приложениям доступа в Интернет и получения прав на запись, чтение, изменение прав, необходимых для шифрования данных.
• Использование whitelisting на серверах для определения разрешенных команд и приложений, которые можно запускать.
• Регулирование прав локальных администраторов, использование принципа наименьших привилегий, выдача необходимых привилегий лишь на определенное время, контроль над приложениями.
• Полное скрытие учетных данных (паролей, ключей), благодаря чему пользователи не смогут передать эти данные злоумышленникам.
• Полная видео и текстовая фиксация всех привилегированных сессий. При подозрительной активности система защиты может самостоятельно останавливать сессии пользователей, информируя ответственных лиц о подозрительной активности.
• Управление паролями (сложность, периодичность, срок действия).
• Использование двухфакторной аутентификации для всех пользователей, имеющих право вносить изменения в настройки конфигурации системы.

7. Мониторинг состояния инфраструктуры

Предоставляет информацию об отдельных компонентах и их совместной работе в приложениях, операционных системах, серверах, хранилищах и многих других местах для получения полной картины производительности.

С помощью функции управления мониторингом состояния инфраструктуры осуществляется:

• мониторинг за уровнем использования ресурсов (CPU, RAM, HDD);
• анализ путей доступа к данным и выполнения производственной деятельности;
• оценка рисков и воздействия.

В современных условиях приоритеты бизнеса зачастую находятся в противовесе с постоянным давлением растущих киберугроз. Пандемия с ее локдаунами сместила периметр защиты финучреждений в дома пользователей, что потребовало расширения и ужесточения требований к информационной безопасности. В связи с этим Национальный банк намерен добиваться от финсектора повышения уровня кибербезопасности. В частности, регулятор готовится предоставить банкам методические рекомендации по усилению безопасности операций в онлайн-банкинге, онлайн-операций с использованием карточек, мобильных приложений и чат-ботов в мессенджерах.

Самим же финучреждениям недостаточно знать теорию, они должны иметь возможность практически обнаруживать угрозы кибер-атак и уметь защищаться от них. В этом поможет использование лучших мировых практик, настроенные бизнес-процессы, объединение усилий команды и внедрение современных технологий. Это сведет к минимуму вероятность проникновения в операции банка или платежной системы, позволит вовремя остановить злоумышленников, устранить вредоносную активность и быстро восстановить работу финансового сервиса.