CC BY
107УДК 336.075.8
ЗАЩИТА ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ БАНКОВСКИХ СИСТЕМАХ
Левина А.Ю., студентка ФГОБУ ВО «Финансовый университет при Правительстве Российской Федерации»,
Москва, Российская Федерация E-mail: annlevina97@gmail.com
Аннотация: в условиях глобального информационного развития банковская сфера становится более уязвимой и подверженной преднамеренному вмешательству извне. В связи с актуальностью данной темой в работе проанализированы основные способы борьбы с целевыми атаками, направленными на хищение информации в автоматизированных банковских системах. Рассмотрены основные средства защиты информации: физические, технические и программные средства. Автором было рассмотрено российское законодательство по защите информации в автоматизированных банковских системах и деятельность Банка России по борьбе с кибератаками в частности развитие Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере как главного института по сбору и обработке всех потенциальных угроз и совершившихся киберпреступлений. В заключение был сделан вывод о том, что защита информации в автоматизированных банковских системах ведется не на должном уровне: отсутствует профессиональная подготовка кадров в данной области, пренебрегаются правила безопасности в банках, отсутствует системность банковского законодательства, не найдены эффективные средства борьбы с компьютерными вирусами. Для обеспечения безопасности необходим более комплексный подход, предполагающий содействие всех кредитных организаций в целом.
Ключевые слова: автоматизированная банковская система, информационные атаки, киберпреступления, защита информационных систем, ФинЦЕРТ.
PROTECTION OF INFORMATION IN AUTOMATED BANKING
SYSTEMS
Anna Levina, student
Finance University under the Government of Russian Federation, Moscow, Russian Federation
E-mail: annlevina97@gmail.com
Abstract: In terms of the global information development the banking system becomes more vulnerable and subject to deliberate outside interference. In connection with the relevance of this topic, the author analyzes the main ways of fighting with targeted attacks aimed at stealing information from automated banking systems. The basic means of information protection are physical, technical and software means. The author considers the Russian legislation on protection of information in automated banking systems and the activities of the Bank of Russia to counteract the cyberattacks. There was evaluated the performance of the Center for monitoring and responding to computer attacks in the credit andfinancial sphere as the main institution for the collecting and processing all potential threats and committed cybercrime. In conclusion, it was approved that the protection of information in automated banking systems did not conduct at the proper level: there is no professional training in this area, safety rules in banks are neglected, there is no systematic banking legislation, no effective means of combating computer viruses. To ensure security, a more comprehensive approach is needed, involving the assistance of all credit institutions.
Keywords: automated banking system, information attacks, cybercrime, protection of information systems, FinCERT.
Появление автоматизированной банковской системы позволило кредитным организациям эффективнее организовывать свою работу, сокращая время обработки информации и обеспечивая непрерывное функционирование всех процессов. Однако их большая открытость и широкое распространение одновременно приводят к уязвимости банков. Этим пользуются киберпреступники, которые посредством атак на автоматизированные банковские системы
получают доступ к хранящейся, передаваемой и обрабатываемой информации. Основными причинами подобных преступлений являются однотипность стандартных вычислительных средств, наличие локальных вычислительных сетей с базовой техникой и программным обеспечением, а также схожего языка программирования, используемого при написании программного обеспечения. При этом с каждым годом повышается и техническая
оснащенность киберпреступников: атаки на информационные системы становятся более комплексными и адресными, тщательно распланированными и менее предсказуемыми. В результате банковский сектор несет существенные денежные потери, снижается количество клиентов и падает доверие на рынке финансовых услуг в целом. Так, например, хакерская атака на два российских банка «Русский международный банк» и «Металлинвестбанк» в 2016 г. привела к финансовому ущербу более чем 1 млрд. рублей.
Способы совершения преступления бывают разные и подразумевают определенную систему поведения злоумышленника до совершения преступления, в момент злодеяния и после него. Каждый способ включает в себя характерные черты, помогающие криминалистам определять суть преступления, цель и основные последствия. Основные способы совершения преступления могут быть классифицированы в пять групп:
1. Изъятие средств компьютерной техники -направлено на изъятие чужого имущества. При этом компьютерная техника выступает лишь предметом совершения преступления.
2. Перехват информации - при данном способе преступник нацелен на получение информации посредством аудиовизуального и электромагнитного перехвата.
3. Несанкционированный доступ к СКТ может осуществляться в момент активности информационной системы и отсутствия сотрудника банка на своем рабочем месте, а также посредством перехвата контроля над системой после сигнала о завершении активного режима работы. Самым популярным способ является так называемый «компьютерный абордаж». Он подразумевает автоматический перебор абонентских номеров компьютерной системы с помощью модемного устройства. С помощью такого перебора злоумышленник
пытается подключиться к компьютеру в банке.
4. Манипуляция данными и управляющими командами заключается в подмене данных при их вводе и выводе.
5. Комплексные методы. [1]
Для того, чтобы обезопасить банки от преднамеренных вмешательств в нормальный процесс функционирования автоматизированной банковской системы необходимо разрабатывать и применять на практике определенные способы и средства защиты информации. Первый способ заключается в создании препятствий на пути к информации. Он может быть реализован через физические средства защиты такие как физическую изоляцию территории, установку систем опознавания личности, систем теленаблюдения и кодовых замков, установку сейфов и др. Защиту данных можно также обеспечить путем управления доступом, который предполагает получение ресурсов
информационной системы только определенным кругом лиц - использование технических средств защиты. Такой способ помогает идентифицировать специалистов банка, следить за регламентом запросов на информацию, регистрировать обращения к секретным ресурсам, реагировать на попытки получения несанкционированного доступа в систему. Следующий способ - кодирование информации -является наиболее используемым в наши дни и предоставляющим наибольшую защиту системе. Кодирование или криптографическое закрытие предусматривает использование механизмов шифрования. Так, передаваемые сообщения кодируются с помощью определенного алгоритма шифрования - ключа и затем могут быть расшифрованы только в результате его восстановления. [6]
Помимо технических средств шифрования разработаны и программные, при которых особая роль в обеспечении безопасности системы отдается программному обеспечению. В Российской практике одними из распространенных программных средств защиты
являются «песочница» и SIEM. «Песочница» (sandpit) предполагает глубокий анализ передаваемой информации в виртуальной среде и при обнаружении вредоносных файлов их блокировку. В итоге данная машина способна безопасно оценить риски открытия файлов данных и заблокировать в случае угрозы. В большинстве случаев «песочница» используется против целевых атак, направленных на определенный банк и рассчитанных на длительное время. Суть такой атаки заключается во внедрении вирусного кода в информационную систему. Целенаправленные атаки представляют собой большую угрозу по сравнению с мелкими взломами и способны нанести существенный
вред системе. По данным Hewlette Packard Enterprise время с момента проникновения злоумышленника до его обнаружения в системе может занимать около 243 дней, т.е. около восьми месяцев. В качестве машины по виртуальной диагностике данных на российском рынке хорошо зарекомендовало себя программное решение FireEye [8].
В отличие от «песочницы» система SIEM не способна бороться с угрозами, ее основная цель заключается в анализе поступающей информации и выявлении отклонений от норм по установленным критериям. Работу SIEM можно условно представить в виде рисунка (1).
t
Сбор информации
Ф
*
Анализ информации
Ф
f
Формирование базы данных
Ф
t
Предоставление отчетов
Рис. 1. Механизм функционирования 8ГБМ Источник: составлено автором согласно приведенной литературе [4]
Входная информация может быть любой, все зависит от того как запрограммировать. Основные правила программирования могут включать наборы условий, сценарии поведения, триггеры и счетчики. Например, 81БМ в ходе анализа платежных расчетов клиента обнаруживает территориальную
несогласованность: два платежа с одной банковской карты в течение 10 минут сделаны в двух разных странах. В таком случае предупреждающее сообщение, которое выдается системой, будет содержать информацию о необходимости блокировки карты.
Особую роль в организации безопасности автоматизированных банковских систем играет законодательство. В Российской Федерации основные требования к информационным системам заложены в федеральном законе №86-ФЗ «О центральном банке Российской Федерации» в п.14. ст.4 и в федеральном законе №152-ФЗ «О персональных данных» в частности в главе 4 «Обязанности оператора». Также участники информационного обмена могут на добровольной основе принять «Стандарт Банка
России по обеспечению информационной безопасности организаций банковской системы Российской Федерации» (СТО БР ИББС) и выполнять требования данного стандарта. В случае непринятия СТО БР ИББС все работы, связанные с разработкой и сопровождением автоматизированной банковской системы, предполагают наличие лицензий таких органов как ФСТЭК (Федеральной службы по техническому и экспортному контролю) и ФСБ. К тому же в данном случае все разработанные средства защиты информации должны соответствовать требованиям Федерального закона №149-ФЗ «Об информационных технологиях и защите информации» [5].
Наличие нормативно-правовой базы позволяет выстроить определенные регламенты функционирования автоматизированных
банковских систем, а также установить меру ответственности за их нарушение. В настоящее время Банк России ведет активную работу по нейтрализации информационных атак, путем разработки положений и стандартов, призванных обеспечить согласованность и комплексность в
борьбе с киберпреступностью. Одним из продуктов деятельности Центрального Банка Российской Федерации можно также считать создание Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) в июне 2015 г. Основными причинами создания ФинЦЕРТа стали необходимость получения оперативной информации об актуальных информационных угрозах и создания программных средств и рекомендаций, призванных уменьшить риски потерь участников финансового рынка. Источниками всех данных являются кредитные организации. До июля 2018 г. предоставление информации носило добровольный характер, и все сведения о кибератаках поступали в ФинЦЕРТ в неполном объеме, что не позволяло получить целостную картину всех информационных угроз. Начиная с 1 июля передача всех сведений носит обязательный характер.
За четыре года работы ФинЦЕРТа удалось уменьшить количество и объем
несанкционированных операций, снизить киберриск, увеличить защищенность прав и интересов клиентов российских банков, повысить уровень финансовой устойчивости участников кредитно-финансовой сферы [3].
Процессы совместной борьбы с киберпреступностью происходят не только в России. Так, например, восемь крупных банков США, среди которых присутствуют J.P. Morgan Chase&Co., Bank of America Corp. и Goldman Sachs Group, объединяются, чтобы общими усилиями бороться с финансовой киберпреступностью [6].
Все действия, направленные на защиту информации в автоматизированных банковских системах, существенно повышают
информационную безопасность. Однако решить все проблемы до сих пор не предоставляется возможным. Руководитель службы безопасности «Тинькофф Банка» Станислав Павлунин в своем интервью говорит о цикличности хакерских атак. Злоумышленники находятся в постоянном поиске новых путей проникновения в
информационную систему. В таком случае, если банки находят пути защиты от одной угрозы, неизменно появляется новая, от которой они никак не защищены. По мнению Павлунина, в банках существует нехватка
высококвалифицированных кадров, которые бы своевременно могли реагировать на целевые кибератаки и даже их предупреждать [10].
Согласно исследованием «Лаборатории Касперского» кредитные организации зачастую пользуются устаревшим оборудованием и программным обеспечением, а
автоматизированные банковские системы могут не обновляться годами. Только после морального износа оборудования, компании принимают решения о покупке новых компьютерных средств с новым ПО. [9]
Несмотря на наличие обильной нормативно-правовой базы, она по своей сути является очень запутанной и в некоторых случаях противоречивой. В то же время злоумышленники показывают высокую осведомленность в несостыковках законодательства и используют «лазейки» для совершения противоправных деяний.
Чаще всего атака может быть спровоцирована сотрудником банка, в силу незнания или нарушения правил безопасности [3]. Подобное «случайное» вмешательство может происходить и в силу наличия разрыва между разработчиком и пользователем системы. Сотрудники получают продукт и используют его в своей работе в банке, обслуживая клиентов и выполняя операционные задачи, при этом не вникая в суть самого процесса и не тестируя систему на наличие внутренних ошибок. Поэтому в случае наличия проблем не могут их своевременно обнаружить.
Существенной угрозой для
автоматизированных банковских систем являются компьютерные вирусы, которые внедряются для выполнения разрушительных действий. Известно большое количество вредоносных программ как «троянские кони», «червяки», «захватчики паролей» и др., которые путем заражения других программ, искажения или уничтожения информации, а также другими
действиями способны нанести существенный урон системе. Проблема заключается в том, что полностью избавиться от компьютерных вирусов невозможно. Всех имеющих средств противодействия недостаточно для борьбы с данной угрозой.
Одним из средств преступлений является рассылка вредоносного программного обеспечения. ВПО способно проникнуть в автоматизированную банковскую систему посредством смс-рассылки на почты сотрудников банка или ссылок на сайты с ВПО. По данным ФинЦЕРТа на финансовые организации приходится 40,2% целевых атак с ВПО, остальные же атаки направлены либо на хищение средств клиентов, либо иные цели.
Одним из опасных вирусов считаются WannaCry, NotPetya и BadRabbit. Однако в 2018 г. воздействие WannaCry на банковскую систему не было значительным. Кроме нескольких заразившихся банкоматов и одного терминала других инцидентов не было [3].
Для того, чтобы обеспечить антивирусную защиту автоматизированной банковской системы кредитные организации обязаны соблюдать ряд требований. Необходимо устанавливать и постоянно обновлять антивирусные программные средства защиты на всех компьютерах, организовывать
автоматический режим обновления
антивирусных программ, контроль со стороны руководящих органов в процессе установки и обновления. Необходимо устанавливать средства фильтрации трафика электронного почтового обмена, осуществлять предварительную проверку на отсутствие вредоносных файлов в устанавливаемом программном обеспечении и др. В случае обнаружения вирусов, необходимо официально документировать их характерные черты, степень атаки, основные потери в связи с их присутствием в системе, порядок отражения и методы борьбы с ними. [1]
Автоматизированная банковская система хранит в себе самую полную информацию обо всех транзакциях, остатках и движениях по счетам, и потому является самой желанной
целью злоумышленников. Чтобы получить доступ в систему атаки становятся более подготовленными, адресными и
контролируемыми, тем самым увеличивая риски кредитных организаций. Таким образом, для решения данной проблемы необходимо уделять повышенное внимание организации
профессионального обучения в целях подготовки кадров для борьбы с киберпреступностью, обучению сотрудников в области техники безопасности, разрабатывать согласующиеся законодательные стандарты. Проблема защиты информационной системы должна стать общей задачей всей банковской системы. Действуя в рамках единой политики безопасности, кредитные организации смогут минимизировать финансовые потери и выстроить более прочную структуру защиты.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
[1] Автоматизация деятельности кредитной организации на платформе "1С: Предприятие 8": Учебное пособие / ; под ред. Д.В. Чистова. - М.: ООО "1С-Паблишинг", 2012. - 436 с.
[2] Автоматизированная обработка банковской информации: учебное пособие / И.В. Додонова, О.В. Кабанова. - Москва: КноРус, 2014. - 176 с.
[3] Банк России. Финцентр URL: http://www.cbr.ru/Content/Document/File/50959 /survey_0917_0818.pdf
[4] Дрозд А. «Обзор SIEM-систем на мировом и российском рынке». [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/ Technology_Analysis/Overview_SECURITY_s ystems_global_and_Russian_market
[5] Заложнев А. Разработка и сопровождение банковских информационных систем. Подходы и принципы / Заложнев А., Пахомов С., Черкунов Л. // Риск: ресурсы, информация, снабжение, конкуренция, 2015. - № 1. - с.248-251
[6] Нейтрализация негативного влияния факторов уязвимости национального банковского сектора: монография / О.И.
Лаврушин, под ред. и др. - Москва: КноРус, 2018. - 175 с.
[7] Обеспечение безопасности полного жизненного цикла АБС — адекватный ответ на «новый вектор» информационных атак [Электронный ресурс]. URL: https://journal.ib-bank.ru/post/360
[8] Свинцицкий А., Сердюк В. «Основные векторы атак на банки». [Электронный ресурс]. URL: https://www.dialognauka.ru/ upload/BIS_03_2017_Serdiouk_Svintsitskiy_Ba nks_attack_vectors.pdf
[9] ATM AND POS SECURITY GUIDE [Электронный ресурс]. URL: https://media.kaspersky.com/en/business-security/enterprise/Kaspersky_Embedded_Syste ms_Security_Whitepaper_ENG.pdf
[10] NBJ. Национальный банковский журнал «Чтобы обезвредить киберпреступника, нужно быть с ним «на одной волне» [Электронный ресурс]. URL: http://nbj.ru/publs/banki-i-biznes/2017/04/21/
chtoby-obezvredit-kiberprestupnika-nuzhno-byt-s-nim-na-odnoi-volne/index.html
[11] Воронкова Л.П. ГЛОБАЛИЗАЦИЯ ТУРИЗМА В АНТРОПОЛОГИЧЕСКОМ АСПЕКТЕ / Вестник Московского университета. Серия 27: Глобалистика и геополитика. 2015. № 1-2. С. 16-20.
[12] Змеев В.А. РОССИЙСКОЕ ОБРАЗОВАНИЕ В УСЛОВИЯХ ГЛОБАЛИЗАЦИИ / Вестник Московского университета. Серия 27: Глобалистика и геополитика. 2015. № 1-2. С. 36-48.
[13] Ильин И.В., Лось В.А., Урсул А.Д. СТРАТЕГИЯ УСТОЙЧИВОГО РАЗВИТИЯ В КОНТЕКСТЕ ГЛОБАЛИЗАЦИИ / Вестник Московского университета. Серия 27: Глобалистика и геополитика. 2015. № 1-2. С. 49-65.
[14] Ильин И.В., Шестова Т.Л. ГЛОБАЛИСТИКА И ГЛОБАЛЬНЫЕ ИССЛЕДОВАНИЯ / Вестник Московского университета. Серия 27: Глобалистика и геополитика. 2015. № 1-2. С. 66-76.
V V
