Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Мой банк – моя крепость
Александр Смычников, руководитель консалтингового направления, 10Guards | cybersecurity company

Каждый год сумма средств, украденных с карточных счетов украинцев, растет в разы. Тема безопасности в банковской индустрии поднимается чаще, чем в любой другой отрасли, за исключением разве что государственного сектора и объектов критической инфраструктуры на уровне страны. Кто же в ответе за то, что мы уже привыкли к новостям об очередной афере с платежными картами наших граждан, и почему нельзя валить всю ответственность на сами банки?

(Старые) Новые песни о Главном

В сентябре прошлого года Национальный банк Украины выпустил постановление № 95, которое утвердило Положение об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины. Некоторые источники даже заявили, что это первый случай регулирования вопросов киберзащиты банковской системы со стороны регулятора, совсем позабыв об истории со стандартом СОУ НБУ 65.1 и соответствующем постановлении, датируемом 2010-м годом. Тогда на приведение системы управления информационной безопасностью в соответствие с новыми нормами выделили чуть меньше года. С постановлением № 95 времени еще меньше: первая часть требований должна была быть готова еще к началу марта текущего года.

В чем разница и что изменилось за эти годы в сфере банковской безопасности Украины? И почему у постановления № 95 намного больше шансов прижиться и получить практическое применение, чем у его предшественника? Мы не будем разбирать изменения и дополнения, которые, конечно, присутствуют в новом регуляторном документе, ведь технологии все это время не стояли на месте. Основополагающие же принципы безопасности не изменились.

К тому же банковские структуры, как правило, довольно консервативны и подвержены плановому развитию, что лишает их возможности оперативно реагировать на изменения в технологическом поле. Именно эта особенность делает фундаментальные принципы кибербезопасности еще более значимыми для представителей этой индустрии.

Ошибочным является мнение, что уровень безопасности в банковской среде невысок. Стоит отметить, что толчком к его повышению послужил не стандарт НБУ, а требования международных платежных систем, сформулированные в стандарте PCI DSS (Payment Card Industry Data Security Standard). По иронии судьбы, случилось это как раз в начале 2010-х, когда начала набирать популярность сертификация на соответствие требованиям PCI DSS под страхом потенциальных штрафов и потери бизнеса с МПС для украинских банков и компаний, работающих с персональными данными владельцев платежных карт. Именно тогда банки начали осознавать важность кибербезопасности, хоть и с помощью "кнута". Это привело к тому, что практически каждый банк внедрял новые технологии, разрабатывал и внедрял нормативно-организационную документацию, следил за уровнем физической и информационной безопасности, хотя бы в части работы с карточными данными.

Кто-то может сказать, что сертификационные аудиты и проверки можно обвести вокруг пальца или отделаться формальными отговорками и отписками. Частично это действительно так. Однако, вспомните, может и в вашей школе были учителя, которые сознательно давали списывать, аргументируя это тем, что в процессе подготовки шпаргалок и их чтения вы все равно запоминаете часть информации. Ситуация аналогичная. За прошедшие с того момента семь – восемь лет каждый из банков каждый год проходил сертификацию. Волей-неволей кибербезопасность вошла в обиход и ее правила и, главное, ее необходимость укоренились в головах и рядовых сотрудников, и руководства.

Именно поэтому выполнение предписаний нового постановления НБУ вряд ли испугает крупные и средние банки, которые уже годами вкладывают средства в обеспечение своего соответствия международным стандартам. В противном случае у руководства может возникнуть вполне резонный вопрос: что делалось все эти годы и почему "новые" требования стали такой неожиданностью для компании.

В действительности, украинский банк очень "прилично" защищает свою инфраструктуру и борется с, поверьте, постоянными атаками на нее. С точки зрения защиты периметров, внедрения новых средств безопасности и уровня общей обеспокоенности и вовлеченности на всех уровнях компании, все очень даже неплохо.

Троянская (конь) конница

Когда вы видите очередную новость об украденных средствах, обратите внимание на то, как это было сделано. В большинстве случаев это будет не взлом сервера и не массированная атака на информационные системы банка или платежной системы. Более того, в последнее время на второй план ушли даже методы мошенничества с присутствием самой платежной карты (card-present fraud, CPF). Еще несколько лет назад использование "скиммеров" для считывания ваших данных во время работы с банкоматом или подменных POS-терминалов в торговых сетях, которые выполняли ту же функцию, были почти нормой. Сегодня это не имеет смысла. Разве что какой-то энтузиаст-консерватор купит/соберет себе портативный RFID-считыватель для ваших карт с возможностью бесконтактной оплаты и будет ловить "клиентов" в общественном транспорте или в других местах массового скопления людей.

Ситуация с защитой банками денег на счетах своих клиентов схожа с защитой порта от воров. Вы можете построить крепкие стены, наладить патрулирование, уведомить население, даже объявление на рейде повесить с предупреждением. Но если житель города сам на своем судне привезет мошенника в порт – вы бессильны, потому что вы можете об этом даже не узнать. Та же ситуация и с мошенничеством с платежными картами. Для того чтобы получить доступ к средствам жертвы, уже не нужно за ней следить, воровать карту из кармана или подменять считыватели в тех местах, где используется карта.

Самый популярный вид мошенничества сегодня – это массовый "фишинг" и "вишинг" населения. Об этих методах уже были написаны сотни материалов, а в прошлом году, на волне подобных атак на население, даже проводилась образовательная программа в киевском метрополитене.

Вкратце напомним, что "фишинг" – это попытка скомпрометировать вас и получить доступ к данным (в том числе и карточным) с помощью рассылки по электронной почте, социальным сетям, в мессенджерах и других средствах общения. Цель – заставить вас перейти по заранее подложной ссылке, по которой вы попадете на мошеннический ресурс и оставите данные, нужные мошенникам. Иногда "фишинг" бывает совсем простым, то есть с просьбой переслать свои данные куда-то непосредственно по почте или в сообщении. "Вишинг" – попытка получить ваши данные в процессе телефонного разговора. Это те самые пресловутые звонки "из банка", когда нужно срочно узнать ваш PIN или другие данные.

И тут возникает вопрос. А что может сделать банк в этом случае? Он может быть сертифицирован и защищен по всем стандартам и нормам и готов чуть ли инопланетян обслуживать. Но он не может застраховаться от клиента, который, по сути, сам отдает свои деньги в руки злоумышленников. Да, банк может и обязан проводить образовательные программы среди своих клиентов, объяснять им важность их карточных данных, предостерегать от возможных методов мошенничества и оперативно информировать о появлении новых. Особенно это касается работы со старшим поколением, которое только успело привыкнуть к банкоматам и платежам в Интернете, а тут оказывается – это опасно. Примеры такой работы с клиентами в Украине есть. Причем с очень грамотным подходом, что не может не радовать. Однако даже формальное требование со стороны регулятора в лице НБУ или международных платежных систем тут не поможет. Нельзя обвинять банк в том, что кто-то "клюнул" на эту "фишинговую удочку".

Использовать нельзя отказаться

Конечно, никто не собирается отказываться от использования платежных карт, равно как и платежей в Интернете. Основы безопасного использования карт при совершении онлайн-платежей остаются неизменными: не передавайте свои данные третьим лицам и внимательно следите за тем, где вы платите и какие ресурсы в Сети посещаете. Но не забывайте и о психологических методах получения доступа к вашим деньгам даже без получения данных платежной карты, к примеру, полная предоплата товаров с "очень акционной" стоимостью. Также не пренебрегайте открытием карты для совершения онлайн-платежей или виртуальной карты, если ваш банк предоставляет такой продукт. Таким образом вы выставите дополнительный барьер для мошенников от получения доступа к средствам на ваших основных счетах.

Что же касается безопасности банковской индустрии в целом, то паниковать не стоит ни банкам, ни клиентам. Как бы там ни было, именно банки являются одними из наиболее защищенных от киберугроз структур в Украине. И Национальный банк от своих подопечных не отстает, оставаясь одним из наиболее продвинутых государственных регуляторов в сфере кибербезопасности.

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua