Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Спробувати Оформити передплату
Спробувати Оформити передплату
Мій банк – моя фортеця
Олександр Смичніков, провідний консультант, 10Guards | cybersecurity company

Щороку сума коштів, викрадених з карткових рахунків українців, зростає в рази. Тема безпеки в банківській індустрії порушується частіше, ніж у будь-якій іншій галузі, за винятком хіба що державного сектору й об'єктів критичної інфраструктури на рівні країни. Хто ж відповідає за те, що ми вже звикли до новин про чергову аферу з платіжними картками наших громадян, і чому не можна валити всю відповідальність на самі банки?

(Старі) Нові пісні про Головне

У вересні минулого року Національний банк України випустив постанову № 95, яка затвердила Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України. Деякі джерела навіть заявили, що це перший випадок регулювання питань кіберзахисту банківської системи з боку регулятора, зовсім забувши про історію зі стандартом СОУ НБУ 65.1 і відповідну постанову, датовану 2010-м роком. Тоді на приведення системи управління інформаційною безпекою у відповідність до нових норм виділили трохи менше року. З постановою № 95 часу ще менше: перша частина вимог мала бути готова ще до початку березня поточного року.

У чому різниця і що змінилося за ці роки у сфері банківської безпеки України? І чому у постанови № 95 набагато більше шансів прижитися й отримати практичне застосування, аніж у її попередника? Ми не будемо розбирати зміни та доповнення, які, звісно, присутні в новому регуляторному документі, адже технології весь цей час не стояли на місці. Основні ж принципи безпеки не змінилися.

До того ж банківські структури, як правило, досить консервативні і схильні до планового розвитку, що позбавляє їх можливості оперативно реагувати на зміни в технологічному полі. Саме ця особливість робить фундаментальні принципи кібербезпеки ще більш значимими для представників цієї індустрії.

Помилковою є думка, що рівень безпеки в банківському середовищі невисокий. Варто зауважити, що поштовхом до його підвищення став не стандарт НБУ, а вимоги міжнародних платіжних систем, сформульовані в стандарті PCI DSS (Payment Card Industry Data Security Standard). За іронією долі, трапилося це саме на початку 2010-х, коли почала набирати популярності сертифікація на відповідність вимогам PCI DSS під страхом потенційних штрафів і втрати бізнесу із МПС для українських банків і компаній, що працюють із персональними даними власників платіжних карток. Саме тоді банки почали усвідомлювати важливість кібербезпеки, хоч і за допомогою "батога". Це призвело до того, що практично кожен банк впроваджував нові технології, розробляв і впроваджував нормативно-організаційну документацію, стежив за рівнем фізичної й інформаційної безпеки, хоча б у частині роботи з картковими даними.

Хтось може сказати, що сертифікаційні аудити та перевірки можна обкрутити круг пальця або відбутися формальними відмовками та відписками. Частково це дійсно так. Однак, згадайте, може й у вашій школі були вчителі, які свідомо давали списувати, аргументуючи це тим, що в процесі підготовки шпаргалок та їх читання ви однаково запам'ятовуєте частину інформації. Ситуація аналогічна. За сім – вісім років, що минули з того моменту, кожен із банків щороку проходив сертифікацію. Волею-неволею кібербезпека увійшла в ужиток і її правила і, головне, її необхідність укоренилися в головах і рядових співробітників, і керівництва.

Саме тому виконання приписів нової постанови НБУ навряд чи злякає великі та середні банки, які вже роками вкладають кошти в забезпечення своєї відповідності міжнародним стандартам. В іншому разі у керівництва може виникнути цілком резонне питання: що робилося всі ці роки і чому "нові" вимоги стали такою несподіванкою для компанії.

Насправді ж український банк дуже "пристойно" захищає свою інфраструктуру і бореться з, повірте, постійними атаками на неї. З погляду захисту периметрів, впровадження нових засобів безпеки і рівня загальної стурбованості та залучення на всіх рівнях компанії, усе дуже навіть непогано.

Троянська (кінь) кіннота

Коли ви бачите чергову новину про викрадені кошти, зверніть увагу на те, як це було зроблено. У більшості випадків це буде не злом сервера і не масована атака на інформаційні системи банку або платіжної системи. Більше того, останнім часом на другий план відійшли навіть методи шахрайства із присутністю самої платіжної картки (card-present fraud, CPF). Ще кілька років тому використання "скімерів" для зчитування ваших даних під час роботи з банкоматом або підмінних POS-терміналів у торговельних мережах, що виконували ту саму функцію, були майже нормою. Сьогодні це не має сенсу. Хіба що якийсь ентузіаст-консерватор купить/збере собі портативний RFID-зчитувач для ваших карток із можливістю безконтактної оплати і ловитиме "клієнтів" у громадському транспорті чи в інших місцях масового скупчення людей.

Ситуація із захистом банками грошей на рахунках своїх клієнтів схожа із захистом порту від злодіїв. Ви можете побудувати міцні стіни, налагодити патрулювання, повідомити населення, навіть оголошення на рейді повісити з попередженням. Але якщо житель міста сам на своєму судні привезе шахрая в порт – ви безсилі, оскільки ви можете про це навіть не дізнатися. Та сама ситуація і з шахрайством із платіжними картками. Для того щоб одержати доступ до коштів жертви, уже не потрібно за нею стежити, красти картку з кишені або підмінювати зчитувачі в тих місцях, де використовується картка.

Найбільш популярний вид шахрайства сьогодні – це масовий "фішинг" і "вішинг" населення. Про ці методи вже було написано сотні матеріалів, а торік, на хвилі подібних атак на населення, навіть проводилася освітня програма в київському метрополітені.

Коротко нагадаємо, що "фішинг" – це спроба скомпрометувати вас і отримати доступ до даних (у тому числі і карткових) за допомогою розсилки електронною поштою, соціальними мережами, у месенджерах та інших засобах спілкування. Мета – змусити вас перейти заздалегідь підкладеним посиланням, за яким ви потрапите на шахрайський ресурс і залишите дані, потрібні шахраям. Іноді "фішинг" буває зовсім простим, тобто з проханням переслати свої дані кудись безпосередньо поштою або в повідомленні. "Вішинг" – спроба отримати ваші дані в процесі телефонної розмови. Це ті самі сумнозвісні дзвінки "з банку", коли потрібно терміново довідатися ваш PIN чи інші дані.

І тут виникає питання. А що може зробити банк у цьому випадку? Він може бути сертифікованим і захищеним за всіма стандартами та нормами і готовим ледь не інопланетян обслуговувати. Але він не може застрахуватися від клієнта, який, по суті, сам віддає свої гроші в руки зловмисників. Так, банк може і зобов'язаний проводити освітні програми серед своїх клієнтів, пояснювати їм важливість їх карткових даних, застерігати від можливих методів шахрайства й оперативно інформувати про появу нових. Особливо це стосується роботи зі старшим поколінням, яке тільки встигло звикнути до банкоматів і платежів в Інтернеті, а тут виявляється – це небезпечно. Приклади такої роботи з клієнтами в Україні є. Причому з дуже грамотним підходом, що не може не тішити. Однак навіть формальна вимога з боку регулятора в особі НБУ чи міжнародних платіжних систем тут не допоможе. Не можна звинувачувати банк у тому, що хтось "клюнув" на цю "фішингову вудку".

Використовувати не можна відмовитися

Звісно, ніхто не збирається відмовлятися від використання платіжних карток, так само як і платежів в Інтернеті. Засади безпечного використання карток під час здійснення онлайн-платежів залишаються незмінними: не передавайте свої дані третім особам і уважно стежте за тим, де ви платите і які ресурси в Мережі відвідуєте. Але не забувайте й про психологічні методи одержання доступу до ваших грошей навіть без одержання даних платіжної картки, приміром, повна передоплата товарів з "дуже акційною" вартістю. Також не нехтуйте відкриттям картки для здійснення онлайн-платежів або віртуальної картки, якщо ваш банк надає такий продукт. Таким чином ви виставите додатковий бар'єр для шахраїв від одержання доступу до коштів на ваших основних рахунках.

Що ж стосується безпеки банківської індустрії в цілому, то панікувати не варто ні банкам, ні клієнтам. Як би там не було, саме банки є одними з найбільш захищених від кіберзагроз структур в Україні. І Національний банк від своїх підопічних не відстає, залишаючись одним із найбільш просунутих державних регуляторів у сфері кібербезпеки.

Мати доступ до номерів і всіх статей видання Ви зможете за умови передплати на електронне видання ЮРИСТ&ЗАКОН
Контакти редакції:
uz@ligazakon.ua