CC BY
28
УДК 336.719
Тумеркин И.Ш. студент магистратуры 2 курса «Институт инновационных технологий и государственного управления» Московский технологический университет МИРЭА
Россия, г. Москва КИБЕРАТАКИ В БАНКОВСКОМ СЕКТОРЕ - ПОДХОД К ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИТ-ИНФРАСТРУКТУР КОММЕРЧЕСКИХ БАНКОВ
Аннотация:
Настоящая статья посвящена проблеме уязвимости информационной инфраструктуры коммерческих банков к атакам кибермошенников. Актуальность данной работы обуславливается существенным ростом киберпреступлений в банковской сфере, значительный ущерб от которых нанесен не только коммерческим банкам, но и экономике в целом. Однако в российской банковской практике отсутствует универсальный системный подход к обеспечению информационной безопасности, который подразумевал бы своевременное предупреждение киберугроз и надлежащую защиту ИТ-инфраструктуры.
В данном исследовании, во-первых, были описаны наиболее распространенные среди киберпреступников способы атак, во-вторых, были указаны фактические данные об ущербе российских банков за 2016-2017 гг., а также проанализированы основные причины массового допущения кредитными организациями подобных инцидентов.
Результаты исследования, подкрепленные фактическими данными о потерях от кибепреступности, показывают, что коммерческие банки по-прежнему не уделяют должное внимание вопросу безопасности своего киберпространства. В процессе изучения вопроса уязвимости организаций к хакерским атакам, был установлен ряд недостатков банковского риск-менеджмента в области обеспечения кибербезопасности. В качестве наиболее распространенных недостатков можно отметить следующие: уязвимость программного обеспечения и платежных приложений; отсутствие надлежащего соблюдения рекомендаций Центробанка и требований нормативных документов, в том числе в области стандартизации и обеспечения информационной безопасности; а также отсутствие должной координации деятельности банков в сфере противодействия массовым и типовым киберугрозам.
На основе проведенного исследования автором предлагается ряд мероприятий по построению комплексной системы обеспечения защиты
информации банков от кибератак, которая будет отвечать всем требованиям информационной безопасности, учитывать рекомендации Банка России и требования отраслевых стандартов.
Автор полагает, что проведение данных мероприятий позволит кредитно-финансовым организациям предотвратить значительную часть кибератак, и, как следствие, сократить ущерб от киберпреступлений.
Ключевые слова: кибепреступления; информационная безопасность; кибербезопасность; ИТ-инфраструктура; кибератака; киберворы; DDoS-атака.
UDC 336.719
Tumerkin I.master student Second-year university, «Institute of Innovative Technologies and Public
Administration Moscow technological University MIREA
Russia, Moscow
CYBERSECURITY IN THE BANKING SECTOR - THE APPROACH TO THE SECURITY OF THE IT-INFRASTRUCTURE
Abstract:
This article is about the problem with the information vulnerability to the cyber-attacks in commercial banks. This work is actual in itself due to a significant increase of cybercrime in the banking sector, that results in significant damages not only for commercial banks, but also for the economy as a whole. However, Russian Banks have no practice to organize the common system-based approach to information security, which would constitute a well-timed warning of cyber threats and appropriate protection of IT-infrastructure.
First of all, his research work covers the most common cyber attack methods. Secondly, it provides actual data about the losses of Russian banks for 2016-2017, as well as the analysis of the main causes of mass assumptions, where the credit organizations could overlook similar incidents.
The results of the study, backed by actual data on losses from cybercrime, show that commercial banks still do not give due attention to the security of their cyberspace. The examining process of the organizations' vulnerability to hacker attacks traced a number of shortcomings of the Bank risk management in the field of cybersecurity. The most common disadvantages are the following: vulnerability of the software and payment applications; the lack of adequate compliance with the recommendations of the Central Bank and regulatory requirements, including the field of standardization and information security ensuring; the lack of proper coordination of the bank activities in the subject against typical cyber threat prevention.
Based on the conducted research the author proposes a series of measures to build an integrated system of information security banks against cyber attacks for banks, which will meet all the information security requirements, consider the recommendations of the Bank of Russia and requirements of industry standards.
The author believes that these measures will allow financial institutions to prevent a significant portion of cyberattacks, and, as a consequence, to reduce damage by cybercrime.
Keywords: cybercrimes; information security; cybersecurity; IT-infrastructure; cyberattack; cyber-fraudsters; DDoS-attack.
Развитие технологий в современном мире происходит в ускоренном темпе. Все большую массовость приобретают социальные сети, онлайн-транзакции, облачные хранилища и автоматизированные процессы. Но наряду с технологической эволюцией происходит и развитие киберпреступности, которая постоянно разрабатывает новые типы атак, инструментов и методов, позволяющих хакерам проникать в наиболее сложные или наиболее контролируемые среды, при этом наносить большой урон и оставаться незамеченными.
Под киберпреступлениями подразумеваются противоправные действия с использованием высоких технологий с целью извлечения экономической, политической или иной выгоды [1, с. 24]. Преступления производятся посредством кибератак, то есть покушения на информационную безопасность компьютерных систем. Одними из наиболее популярных мишеней среди киберпреступников являются кредитные организации.
В России с каждым годом общий объем киберпреступлений растет более, чем на 100%. При этом, согласно прогнозам экспертов, количество кибератак на кредитные организации в 2017 году увеличиться еще на треть, а сумма похищенных у банков средств может возрасти вдвое. За 2016 год хакерам удалось похитить 1,37 млрд руб., а общий объем нанесенного российским банкам ущерба оценен в 2,87 млрд руб [6].
Киберворы атакуют кредитные организации разных размеров. Но особый интерес у злоумышленников вызывают именно средние банки, которые располагают достаточно большой долей активов, но в то же время недостаточно инвестируют в безопасность. При этом атаки на банковских клиентов уходят на второй план в пользу выведения денежных средств из самих банков или иных финансовых организаций.
Одним из наиболее популярных видов атак на кредитные организации является массовая рассылка зараженных писем, которые, к примеру, поступают от имени Банка России или FinCERT [10]. Успех данных преступлений обеспечивает человеческий фактор: ввиду непредусмотрительности и
невежества, сотрудники банка открывают письма, пришедшие из подозрительных источников, при этом осознанно обходя механизмы защиты, игнорируя оповещения антивируса или вовсе отключая соответствующие настройки, что позволяет злоумышленникам загрузить в систему банка вредоносное программное обеспечение.
Также, распространенным средством киберпреступлений является DDoS-атака (Distributed Denial of Service - распределенный отказ в обслуживании) [7, c. 18]. В отличие от обычной DOS атаки, DDoS производится не с одного компьютера, а с сотни, тысячи или десятка тысяч компьютеров, которые одновременно начинают атаковать сервер, чтобы заставить его перестать отвечать на запросы. Данный прием не подразумевает извлечение секретной информации, но сможет для достижения этой цели инициировать другие типы атак. К примеру, некоторые программы при отключении сервисов могут исполнять тот код, который предоставил злоумышленник и, соответственно, реализовывать любую вредоносную функцию. Хорошую конкуренцию DDoS-атакам создает взлом «умных вещей», которые по тому же принципу «забивают» трафик банковских серверов и приводят к отказу в работе [5].
Среди киберугроз на банки также часто встречаются вирусы-шифровальщики: проникая в сеть кредитной или любой другой организации, они шифруют все информацию, после чего злоумышленники требуют огромные суммы денежных средств за расшифровку.
Говоря о киберпреступности в кредитно-финансовых организациях, стоит упомянуть, что от рук киберворов страдают и физические лица. Для обмана населения часто используется СМС-рассылка от имени Центробанка или кредитных организаций. При этом характер сообщений имеет огромный спектр вариаций: от сбора сведений о гражданах до информации о необходимости срочного закрытия вкладов. Так или иначе, цели одни и те же - нанесение ущерба или хищение денежных средств.
Следствием значительных потерь для банков можно назвать целый ряд причин:
1. Отсутствие должного уровня защиты от киберугроз в силу незначительной доли инвестирования в безопасность. Маленькие и средние банки в первую очередь акцентируются на оптимизации расходов, при этом очень мало внимания уделяется автоматизированным системам и приложениям, которые не соответствуют требованиям информационной безопасности.
2. Недостаток эффективности мер, предпринимаемых кредитными организациями, по выполнению рекомендаций Банка России в области стандартизации и обеспечения информационной безопасности [8].
3. Нехватка риск-ориентированного внутреннего контроля в кредитных организациях, позволяющего бы своевременно реагировать на
угрозы, либо вовсе их избегать [2].
4. Несовершенство программного и аппаратного обеспечения автоматизированных систем и приложений в области защиты, что является следствием множественных уязвимостей [9].
5. Отсутствие среди кредитно-финансового сообщества объединенных усилий по борьбе с мошенниками, которые могли бы избавить организации от кибератак, а не только минимизировать потери.
В целях предотвращения киберпреступлений был введен в действие стандарт Банка России СТО БР ИББС-1.3-2016. Стандарт включает в себя все необходимые указания по сбору, обработке, анализу и документированию технических данных, используемых как банками, так и клиентами для осуществления безналичных переводов. Он касается как сверившихся угроз, так и предпринимаемых и потенциальных, что в будущем позволит банкам в полной мере обладать необходимой информацией и объединить усилия для предотвращения кибератак.
На данный момент, чтобы обезопаситься от угроз кибермошенников, кредитным организациям необходимо построить комплексную систему обеспечения безопасности, которая должна включать в себя следующие компоненты:
1. Оценка рисков. В первую очередь, для создания надежной защиты от кибератак стоит больше внимания уделить объективной и разносторонней оценке рисков [4]. Для этого необходимо проанализировать вероятность угроз информационной безопасности и оценить потенциальный ущерб от реализации целенаправленных атак.
2. Подержание ключевых основ информационной безопасности:
• Контроль и анализ. Осуществление периодического анализа всех элементов программного обеспечения с целью своевременного определения наличия уязвимостей.
• Многоступенчатая система защиты (эшелонированность), где отдельно защищен каждый уровень информационной инфраструктуры.
• Стандартизация. Каждый элемент программного обеспечения полностью отвечает всем требованиям внутренних стандартов безопасности.
• Мониторинг и аудит. Проведение учета всех процессов на каждом уровне функционирования информационной инфраструктуры и централизованное исследование данной информации.
• Централизованное и оперативное реагирование на угрозы.
• Минимальные права сотрудников на доступ к информации и выполнение определенных задач. Это позволит снизить вероятность разглашения информации либо некорректного ее использования.
• Разделение ответственности за функционирование каждого бизнес-
процесса.
• Документирование каждой операции и ее отдельных элементов [3]. Любая кибератака основана на желании заполучить секретную информацию, либо нанести вред информационной инфраструктуре, что достигается через использование несовершенства системы безопасности. Поэтому успешная реализация данного мероприятия во многом зависит от профессионализма хакера, ценности информации, недостаточной компетенции администратора системы защиты и отсутствия должного внимания к вопросам информационной безопасности в данной организации.
В первую очередь необходимо учитывать тот факт, что истребить киберпреступность невозможно, но вполне реально сделать этот процесс контролируемым и отвечающим всем требованиям информационной безопасности в условиях современного уровня и темпа развития технологий.
Поэтому главная задача любой кредитно-финансовой организации обусловлена необходимостью проведения целенаправленных мероприятий по усовершенствованию законодательной базы, регулирующей информационные технологии. Первым этапом должны рассматриваться вопросы обучения банковских сотрудников правилам использования информационной инфраструктуры. Также руководству кредитных организаций стоит признать, что важность поддержания уровня информационной безопасности на должном уровне равноценно вопросам конкурентоспособности, что позволит предоставить банку необходимый фундамент для развития и увеличения доли рынка.
Использованные источники:
1. Безкоровайный М.М., Татузов А.Л. Кибербезопасность. Подходы к определению понятия // Вопросы кибербезопасности. 2014. №1. С. 24.
2. Доклад о ситуации с мошенничеством, 2016 г. URL: http://bankir.ru/publikacii/20160705/banki-vs-kiberprestupniki-pyat-prichin-zadumatsya-o-situatsii-s-moshennichestvom-10007780/ (дата обращения 17.08.2017).
3. Защита банка от целенаправленных атак // Портал цифровой трансформации, 2016 г. URL: https://www.cio.ru/articles/236 (дата обращения 07.06.2017).
4. Интернет-технологии в банковском бизнесе: перспективы и риски: учебно -практическое пособие / Ю.Н. Юденков, Н.А. Тысячникова, И.В. Сандалов, С.Л. Ермаков. 2-е изд., стер. 2014. С. 318.
5. Кибербезопасность: процессы важнее технологий // Национальный банковский журнал: электронный журнал, 2017. №2. URL: http://nbj.ru/publs/banki-i-biznes/2017/08/27/kiberbezopasnost-protsessy-vazhnee-texnologii/index.html (дата обращения: 19.08.2017).
6. Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России, 2016 г. URL:
http://www.cbr.ru/credit/Gubzi_docs/FinCERT_survey.pdf (дата обращения 05.06.2017).
7. Ревенков П.В., Бердюгин А.А. Расширение профиля операционного риска в банках при возрастании DDoS-угроз // Вопросы кибербезопасности. 2017. №3. С.18.
8. П.В., Фролов Д.Б. Кибербезопасность в условиях применения систем электронного банкинга, 2016 г. URL:
http: //www.cbr.ru/publ/MoneyAndCredit/frolov_06_ 16 .pdf (дата обращения: 05.06.2017).
9. Старовойтов А. В. Кибербезопасность как актуальная проблема современности // Информатизация и связь. 2011. №6. С. 5-7.
10. Финансовый информационный портал, 2016 г. URL: http://www.banki.ru/news/lenta/?id=9082968 (дата обращения 05.06.2017).
References:
1. Bezkorovajnyj M.M., Tatuzov A.L. Kiberbezopasnost'. Podhody k opredeleniju ponjatija // Voprosy kiberbezopasnosti. 2014. №1. P. 24.
2. Doklad o situacii s moshennichestvom, 2016.
http://bankir.ru/publikacii/20160705/banki-vs-kiberprestupniki-pyat-prichin-zadumatsya-o-situatsii-s-moshennichestvom-10007780/ (accessed August 17, 2017).
3. Zashhita banka ot celenapravlennyh atak // Portal cifrovoj transformacii, 2016. https://www.cio.ru/articles/236 (accessed June 7, 2017).
4. Internet-tehnologii v bankovskom biznese: perspektivy i riski: uchebno-prakticheskoe posobie / Ju.N. Judenkov, N.A. Tysjachnikova, I.V. Sandalov, C.L. Ermakov. 2-e izd., ster. 2014. P. 318.
5. Kiberbezopasnost': processy vazhnee tehnologij // Nacional'nyj bankovskij zhurnal: jelektronnyj zhurnal, 2017. №2. http://nbj.ru/publs/banki-i-biznes/2017/08/27/kiberbezopasnost-protsessy-vazhnee-texnologii/index.html (accessed August 19, 2017).
6. Otchet Centra monitoringa i reagirovanija na komp'juternye ataki v kreditno-finansovoj sfere Glavnogo upravlenija bezopasnosti i zashhity informacii Banka Rossii, 2016 . http://www.cbr.ru/credit/Gubzi_docs/FinCERT
_survey.pdf (accessed June 5, 2017).
7. Revenkov P.V., Berdjugin A.A. Rasshirenie profilja operacionnogo riska v bankah pri vozrastanii DDoS-ugroz // Voprosy kiberbezopasnosti. 2017. №3. P.18.
8. P.V., Frolov D.B. Kiberbezopasnost' v uslovijah primenenija sistem jelektronnogo bankinga, 2016. http://www.cbr.ru/publ/MoneyAndCredit/ frolov_06_16.pdf
(accessed June 5, 2017).
9. Starovojtov A. V. Kiberbezopasnost' kak aktual'naja problema sovremennosti // Informatizacija i svjaz'. 2011. №6. Pp. 5-7.
10.Finansovyj informacionnyj portal, 2016 . http://www.banki.ru/news/ lenta/?id=9082968 (accessed June 5, 2017).
УДК 336.77
Тумеркин И.Ш. студент магистратуры 2 курса «Институт инновационных технологий и государственного управления» Московский технологический университет МИРЭА
Россия, г. Москва МЕТОДИКА ОЦЕНКИ КРЕДИТНОГО РИСКА КОММЕЧЕСКОГО БАНКА
Аннотация:
Настоящая статья посвящена современным подходам к оценке кредитного риска. Актуальность данной работы обуславливается существенным ростом просроченной задолженности в банковской сфере. На сегодняшний день существуют различные методики оценки и управления кредитным рисками, в том числе посредством кредитных рейтингов, составляемых ведущими рейтинговыми агентствами. Однако в российской банковской практике отсутствует универсальный системный подход к оценке кредитного риска, который бы позволил наиболее точно определить его степень.
На основе проведенного исследования автором предлагается ряд мероприятий по построению комплексной системы оценки кредитного риска, которая будет отвечать всем требованиям эффективного риск-менеджмента, учитывать рекомендации Банка России и требования отраслевых стандартов.
Ключевые слова: банковский сектор; коммерческий банк; дефолт; кредитный риск; кредитоспособность; корпоративный заемщик.
UDC 336.77
Tumerkin I.master student Second-year university, «Institute of Innovative Technologies and Public
Administration» Moscow technological University MIREA
Russia, Moscow
