Кібербезпека платежів: що робити, щоб не було запізно

Перехід багатьох клієнтських сервісів в онлайн, а також вимушене переведення банками і фінкомпаніями своїх співробітників на віддалену роботу вимагає перегляду заходів інформаційної та кібербезпеки.

Навіть незначний інцидент у сфері безпеки платежів, як наприклад, витік конфіденційних даних, може коштувати фінансовій установі втрати репутації, що рівнозначно втраті бізнесу.

В Україні питанням цифрової безпеки фінансового сектора приділяють все більше уваги — як самі учасники ринку, так і регулятор. Своєю постановою № 43 «Про затвердження Положення про захист інформації і кіберзахист у платіжних системах», прийнятою наприкінці травня 2021 року, НБУ встановив чіткі вимоги до учасників платіжного ринку.

Від них регулятор насамперед вимагає побудови системи захисту інформації і забезпечення кібербезпеки. Також НБУ зажадав від платіжних систем створити чіткі алгоритми дій на випадок виявлення кібератак, що загрожують їх функціонуванню. НБУ вважає, що це дозволить мінімізувати кількість інцидентів на ринку грошових переказів, а також прискорить процес модернізації платіжних систем із урахуванням сучасних технологій захисту інформації.

«Дане положення в дуже зрозумілому вигляді регламентує ті аспекти забезпечення інформаційної безпеки, які повинні застосовуватися за замовчуванням, згідно світовим практикам. Так, певні нюанси були враховані з урахуванням специфіки українського ринку, але загалом оператори і так застосовують дані заходи — розповідають представники Portmone.com, — При забезпеченні безпеки даних немає поняття надмірності. Є ризик-орієнтований підхід. І якщо подібний ризик існує, його необхідно знижувати»

Світовий контекст

Щоб оцінити значимість завдання щодо забезпечення інформаційної безпеки банків та інших фінустанов, можна звернутися до результатів щорічного дослідження банківських пріоритетів —CSI 2021 Banking Priorities Survey, — яке є найбільшим звітом у банківському середовищі на сьогодні. У ході дослідження було опитано 272 керівника банків — лідерів за активами у США, щоб встановити найбільш нагальні проблеми за останній рік.

За результатами опитування 34% банкірів відзначили, що проблема кібербезпеки сьогодні має найбільший вплив на діяльність банків. Така думка чітко відображає поточну ситуацію: пандемія коронавірусу підштовхнула суспільство до віддаленої роботи, стимулювала стрімке зростання цифрових послуг і тим самим розширила поле діяльності для кіберзлочинності.

Згідно з даними дослідження, переважна більшість — 81% — банкірів вважають соціальну інженерію найбільшої загрозою для кібербезпеки у 2021 році.

Спеціалісти розподіляють соціальну інженерію на декілька видів:

• Фішинг, націлений на клієнтів (відзначений 34% опитаних). Нерідко відбувається у вигляді великомасштабних атак електронною поштою, в тому числі, націлених на співробітників великих корпорацій. Зловмисники представляються одержувачам листів співробітниками банків і намагаються оманою виманити у співробітників корпорацій конфіденційну інформацію про їх рахунки.
• Фішинг, націлений на співробітників (32%).Це фішинг, який дозволяє зловмисникам проникнути у внутрішні системи банку або сервіси платіжних систем і переказу грошей. Ця загроза цілком актуальна: адже співробітники, що працюють вдома і зіткнулися з новими фінансовими і сімейними проблемами через пандемію, є ідеальною мішенню для кіберзлочинців.
• Замикає трійку основних загроз кібербезпеки (14%) соціальна інженерія у всіх її формах, включаючи бейтінг, цільовий фішинг, вішинг, пошук «слабкої ланки» для входу до системи оманою тощо.

Для довідки: Fishing — це спроба вкрасти особисту інформацію або облікові дані, видаючи себе за легітимну персону, використовуючи техніки терміновості та/або тиску.

Канали атак при фішингу використовуються найрізноманітніші: електронна пошта, фальшиві веб-сторінки, знімні носії, телефонні дзвінки і навіть особисті зустрічі.

Наслідки реалізації загрози: створення каналу впровадження у фінансовий сервіс, компрометація і витік інформації з банку або платіжної системи.

Запобігання фішингу — тільки одна сторона питання. Фінустановам, як і раніше, потрібно турбуватися про те, як діяти, якщо успішна атака на них або їх клієнтів вже сталася, а системи виявилися зламані. Адже часто наслідки можуть не обмежуватися крадіжкою коштів або персональних даних. Одним із наслідків атаки може стати впровадження програм-вимагачів у внутрішні інформаційні системи.

Програми-вимагачі або Ransomware — це шкідливе ПЗ, призначене для припинення доступу до систем або файлів, зазвичай шляхом їх шифрування, доти, поки не буде виплачений викуп. Програми-вимагачі — одні з найшкідливіших і дорогих кібер-зломів. У 2020 році кількість атак програм-вимагачів збільшилася, а вимоги вимагачів зросли. Збереглася ця тенденція і в 2021 році.

Способи впровадження програми-вимагача найрізноманітніші: пошта, веб, знімні носії, власноруч (внутрішній користувач).

Наслідки для фінустанови в даному випадку можуть бути дуже серйозними:

• витік і знищення інформації,
• блокування роботи платіжної системи шляхом DoS-атак.

В останні роки до числа ризиків додалися:

• Криптомайнінг (сryptomining) — видобуток криптовалюти за допомогою запуску завдання, що вимагає значних ресурсів від виділених процесорів, графічних карт, жорстких дисків та іншого обладнання.

Джерело виникнення загрози: пошта, веб, знімні носії, власноруч (внутрішній користувач).

Наслідки: блокування роботи платіжної системи через DoS-атаки, перевитрата використання ресурсів.

• Троян (Trojan) — шкідливе ПЗ, замасковане під легітимне ПЗ, що містить шкідливий код, який у фоновому режимі без відома користувача здатний збирати ключові дані — логіни, паролі, номери телефонів і рахунків тощо.

Джерело виникнення загрози: пошта, веб, знімні носії, власноруч (внутрішній користувач).

Наслідки: створення прихованого каналу впровадження, компрометація і витік інформації, блокування роботи фінансового сервісу або платіжної системи, перевитрата використання ресурсів тощо.

Всі інші галузі кібербезпеки, що залишилися, отримали менше 5% голосів серед опитаних банкірів, однак, це не означає, що ці ризики можна не враховувати:

• Крадіжка даних (5%)
• Шахрайство з підробкою ідентифікації особистості (2%)
• Відмова в обслуговуванні (2%)
• Безпека кінцевих точок (1%)

А як же йдуть справи в учасників ринку платіжних послуг?

Ми поцікавилися у представника компанії portmone.com — технічного директора Григорія Лісничого

Для довідки —portmone.com — небанківська платіжна система, заснована у 2002 році, і на сьогодні є лідером ринку в сегменті небанківських платежів і платіжних сервісів для e-commerce

Компанія першою на ринку України пройшла сертифікацію за стандартом PCI DSS у 2004 році і з того часу безпека платіжних і клієнтських даних відповідає міжнародному стандарту безпеки.

Так само фінансовим організаціям у своїй діяльності доводиться стикатися з безліччю інформаційних загроз. І хоча робота щодо підвищення інформаційної та кібербезпеки ведеться безперервно, в цьому напрямку дуже важливо працювати на випередження. «Одним із найважливіших запорук зниження ризиків хакерських атак на інфраструктуру і інформаційні системи компанії є грамотна побудова комплексної системи інформаційної безпеки. Саме ставлення до інформаційної безпеки як до одного з найважливіших напрямків бізнесу, вибудовування необхідних процесів, а також інвестиції в обладнання і програмне забезпечення допомагають знизити подібні ризики» — запевняє Григорій Лісничий. Так само в portmone.com проводиться постійне навчання внутрішніх користувачів правилам і регламентам роботи щодо забезпечення захисту даних, що є важливим завданням у даному контексті.

Підтверджують слова Григорія Лічничого і дані згаданого дослідження CSI 2021 Banking Priorities Survey. Згідно з ними, майже 85% установ планують використовувати навчання кібербезпеки для боротьби з погрозами в цій області.

Українські реалії

Шахрайство — дуже гнучке явище. Кіберзлочинці швидко пристосовуються до поточної ситуації. А ось фінустанови часто бувають менш моторними. Нерідко і банки, і фінансові компанії економлять на засобах цифрового захисту та їх впровадженні, а також не адаптують свої системи безпеки до нових технологій і продуктів, що застосовуються в бізнесі. Має місце також і дефіцит кадрів у сфері інформаційної безпеки. Існуючі ж співробітники нерідко витрачають занадто багато часу на виконання формальних вимог регулювання на шкоду реальним заходам щодо боротьби із погрозами.

Що ж може зробити фінсектор для виявлення і блокування шахраїв? Наприклад, для того, щоб звести до мінімуму ймовірність проникнення в платіжну систему, експерти радять використовувати підхід «defense-in-depth», який передбачає багаторівневий контроль. В цьому випадку зловмисник повинен пройти через кілька різних захисних механізмів, перш ніж отримає доступ до внутрішнього середовища платіжної системи.

Фахівці компанії ESKA — експерти в сфері інформаційної безпеки — розробили свій метод протидії кіберзагрозам, який спирається на поведінковий аналіз і може застосовуватися підготовленою командою з мінімально необхідним набором процесів і технологій.

Відповідаючи на запити представників фінсектора експерти компанії ESKA описали список базових заходів, які фінустанови можуть зробити для захисту своїх систем, операцій і даних клієнтів:

1. Постійна перевірка рівня захищеності і оцінка вразливостей — тест на проникнення

Оцінка ризиків кібербезпеки — кращий спосіб перевірити найгірші припущення. Тест на проникнення допоможе перевірити елементи ІТ-інфраструктури, права доступу, привілейовані облікові записи, системні журнали, засоби і способи відновлення після можливої ​​атаки.

Проведення тесту на проникнення допомагає узгодити заходи кібербезпеки, виявити найслабші місця в системі захисту фінустанови і уникнути перевитрати коштів у тих областях, де рівень захисту вже на належному рівні.

Оцінка вразливостей, в свою чергу, дозволить автоматично керувати виправленнями продуктів інформаційних технологій (операційних систем, програмного забезпечення, прошивок тощо). Крім того, даний інструмент може періодично сканувати і перевіряти стан систем, встановлювати останні стабільні версії додатків і патчі до них.

2. Постійне навчання користувачів і адміністраторів

Як вже згадувалося, «людський фактор» — це велика потенційна слабкість установи. Якщо співробітники не проходять тести на стійкість до соціальної інженерії, необхідно переосмислити свою стратегію, щоб ефективніше пояснювати персоналу загрози, навчити співробітників виявляти ознаки підготовлюваних атак і стимулювати їх виконувати свою частину роботи щодо досягнення інформаційної безпеки.

Для цього співробітники банку повинні пройти спеціальні тренінги, після яких вони знатимуть:

● як ідентифікувати загрози та вразливості, оцінювати схильність до ризику;

● як діяти в разі виявлення ознак атаки;

● як діяти під час атаки і реагувати на інцидент інформаційної безпеки;

● як діяти в непередбачених ситуаціях, при катастрофах і загрозах тероризму.

3. Моніторинг подій і реагування на інциденти

Зі зростанням числа атак організації повинні враховувати всі операційні, фінансові та репутаційні наслідки того, що вони можуть виявитися заручниками інцидентів в сфері інформаційної безпеки. Для цього необхідні:

● ведення журналу та записів системного аудиту на всіх пристроях;

● збір даних, порівняння і аналіз подій з різних джерел.

● виявлення загроз і реагування на них, аналіз поведінки.

4. Перевірка поведінки на периметрі і всередині мережі

Зробити транзакції клієнтів безпечними можна за допомогою впровадження машинного навчання і поведінкового аналізу.

Машинне навчання дозволяє перевіряти невідомі файли у хмарній базі даних, інспектувати і аналізувати трафік, DNS-запити і перевіряти посилання URL. Крім того, Machine Learning може надати розгорнуту аналітику файлів і трафіку в кінцевих пристроях, що генерують трафік, і блокувати його в разі загрози.

Ця функція також дозволить надавати доступ лише авторизованим користувачам, пристроям, системам, транзакціям, функціям, додаткам, компонентам і зовнішнім підключенням. На додачу до всього, зовнішні системи можуть бути каталогізовані, а підозрілі IP, домени і веб-сайти — заблоковані.

5. Використання захищених кінцевих пристроїв і серверів

Безпечний захист кінцевих точок є важливим аспектом для будь-якої установи з віддаленими співробітниками або кінцевими пристроями. У разі крадіжки або злому корпоративних пристроїв банки можуть зіткнутися з втратою даних або іншими серйозними ризиками.

Захистити кінцеві пристрої і сервера допоможе аналіз даних, отриманих із мережі, кінцевих точок доступу і хмари, а також поведінковий аналіз, здійснений під час спроб компрометації пристроїв або пошуку даних клієнтів і інтелектуальної власності за допомогою машинного навчання.

6. Керування ідентифікацією і привілейованими обліковими записами

Централізоване керування ідентифікацією та доступом привілейованих облікових записів життєво важливо для захисту конфіденційної інформації та інформаційних систем від кібератак.

Привілейовані користувачі вимагають особливого поводження, навчання і контролю. Саме тому такі кроки допоможуть в управлінні ідентифікацією та доступом облікових записів привілейованих користувачів:

• Використання greylisting для запобігання надання незнайомим додаткам доступу в Інтернет і отримання прав на запис, читання, зміну прав, необхідних для шифрування даних.
• Використання whitelisting на серверах для визначення дозволених команд і додатків, які можна запускати.
• Регулювання прав локальних адміністраторів, використання принципу найменших привілеїв, видача необхідних привілеїв лише на певний час, контроль над додатками.
• Повне приховування облікових даних (паролів, ключів), завдяки чому користувачі не зможуть передати ці дані зловмисникам.
• Повна відео і текстова фіксація всіх привілейованих сесій. При підозрілій активності система захисту може самостійно зупиняти сесії користувачів, інформуючи відповідальних осіб про підозрілу активність.
• Керування паролями (складність, періодичність, термін дії).
• Використання двофакторної аутентифікації для всіх користувачів, які мають право вносити зміни в налаштування конфігурації системи.

7. Моніторинг стану інфраструктури

Надає інформацію про окремі компоненти і їх спільну роботу в додатках, операційних системах, серверах, сховищах і багатьох інших місцях для отримання повної картини продуктивності.

За допомогою функції керування моніторингом стану інфраструктури здійснюється:

• моніторинг за рівнем використання ресурсів (CPU, RAM, HDD);
• аналіз шляхів доступу до даних і виконання виробничої діяльності;
• оцінка ризиків і впливу.

У сучасних умовах пріоритети бізнесу часто знаходяться в противазі з постійним тиском зростаючих кіберзагроз. Пандемія з її локдаунами змістила периметр захисту фінустанов до будинків користувачів, що вимагало розширення і посилення вимог до інформаційної безпеки. У зв'язку з цим Національний банк має намір домагатися від фінсектора підвищення рівня кібербезпеки. Зокрема, регулятор готується надати банкам методичні рекомендації щодо посилення безпеки операцій в онлайн-банкінгу, онлайн-операцій з використанням карток, мобільних додатків і чат-ботів у месенджерах.

Самим же фінустановам недостатньо знати теорію, вони повинні мати можливість практично виявляти загрози кібер-атак і вміти захищатися від них. У цьому допоможе використання кращих світових практик, налаштовані бізнес-процеси, об'єднання зусиль команди і впровадження сучасних технологій. Це зведе до мінімуму ймовірність проникнення в операції банку або платіжної системи, дозволить вчасно зупинити зловмисників, усунути шкідливу активність і швидко відновити роботу фінансового сервісу.