Переводы, онлайн-покупки, оплата налогов. Мы привыкли к тому, что большинство финансовых операций можно совершить за несколько минут и даже секунд. Однако у скорости, доступности и комфорта есть другая сторона – киберриски. Для того чтобы защитить своих клиентов от мошенников, банки выстраивают многоуровневую защиту. Рассказываем, как устроены киберкрепости и кто стоит на страже информационной безопасности.

31 декабря 2023
Дарья Климова
Андрей Сабынин

Регулятор роста

За последние 10 лет объем безналичных расчетов в России вырос в шесть раз. Люди настолько привыкли совершать финансовые операции «в один клик», что к августу 2023 года впервые в истории доля «безнала» превысила 80%. Для сравнения, в 2013 году на платежи наличными в стране приходилось 87% оборота финансовых средств. 

При этом согласно прогнозам Центрального Банка количество онлайн-платежей продолжит расти и в дальнейшем. Как отметила зампред ЦБ РФ Ольга Скоробогатова, потребность граждан в использовании современных сервисов по проведению платежей в одно касание заставляет регулятора и банки двигаться быстрее в создании таких опций. 

Желание удовлетворить спрос потребителей приводит к тому, что нагрузка на банковские серверы постоянно растет, поэтому требования к IT-инфраструктуре банков из года в год становятся все более жесткими. Они прописаны в законе «О безопасности критической информационной инфраструктуры РФ», и все финансовые организации должны их строго соблюдать. Существует целый ряд нормативных документов, который регулирует безопасность операций. При этом Центральный банк ежегодно выпускает новые положения о защите IT-инфраструктуры. 

Отметим, что такое серьезное отношение к кибербезопасности возникло не на пустом месте: количество DDoS-атак на банки и других видов киберпреступлений с каждым годом продолжает увеличиваться по мере вовлечения в безналичные схемы расчетов все большего числа клиентов банков. 

DDoS-атака (Distributed Denial of Service – «распределенный отказ от обслуживания») – форма кибератаки на веб-системы банка с целью вывести их из строя или затруднить доступ к ним для обычных пользователей. Злоумышленники обычно используют распределенную сеть множества устройств, одновременно отправляющих запросы на сервер «жертвы». Перегрузка сервера ведет к приостановке работы сервисов банка. Как отмечают специалисты, DDoS-атаки на банки часто используются в качестве «прикрытия» во время хакерских взломов систем банка. 

В ноябре 2023 года «Сбер» подвергся самой мощной DDoS-атаке за всю свою историю: на серверы банка поступало более 1 млн запросов в секунду.

Кибермошенники предпочитают телефон

В июне 2023 года Центробанк впервые раскрыл информацию о масштабах кибератак мошенников на счета россиян. По словам директора Департамента информационной безопасности Банка России Вадима Уварова, схемы мошенников становятся все сложнее, они активно используют новые приемы обмана.

Только за I квартал 2023 года российские банки отразили свыше 2,7 млн атак, предотвратив хищение 712 млрд рублей. И все же злоумышленникам удалось найти лазейки в защите, совершив 252,1 тыс. операций без согласия клиентов. В результате было похищено 4,5 млрд рублей. Наибольшая доля хищений пришлась на переводы с помощью онлайн-банкинга, включая заемные средства. Увеличилась и активность телефонных мошенников. 

«В банковской сфере наиболее актуальным способом кибермошенничества по-прежнему остается кража персональных данных с помощью телефонных звонков. Методы, которые используют злоумышленники, становятся все изощреннее», – говорит Валерий Ледовской, менеджер по развитию продукта X-Config компании Spacebit, российского разработчика решений в области информационной безопасности. Самая распространенная схема, используемая киберпреступниками, – звонки и СММ-оповещения от имени лжесотрудника банка. Мошенники звонят своим жертвам или отправляют СМС, оформленные под официальную рассылку, с целью получить связку логин-пароль или коды из СМС для входа в программу. Если мобильный банк не защищен дополнительными средствами аутентификации или же пароль обновляется нерегулярно, то хакеры вполне могут поживиться деньгами со счета. Более технологичный вид преступлений – создание приложений-клонов. Установив фейковое банковское приложение, клиент может потерять все накопления. 

Основными мерами, направленными на предотвращение телефонного мошенничества, по словам Валерия Ледовского, являются создание общей системы антифрод-мониторинга, многофакторная аутентификация, использование технологий искусственного интеллекта, а также защитные инструменты, такие как обратная верификация сотрудников банка и определитель номера с указанием рейтинга и свойств телефона, с которого идет вызов.

Сложные преступные схемы, требующие серьезной подготовки и высококвалифицированных специалистов, используются, как правило, для получения «большого куша» и при атаке непосредственно на саму банковскую организацию. (ИНФОГРАФИКА).

Крепостная стена

Современные банковские системы кибербезопасности можно сравнить со средневековой крепостью: для удачного штурма враг сначала должен преодолеть несколько серьезных последовательных или взаимосвязанных преград. У каждой банковской организации в России есть своя «крепость», но в основе всех защитных киберсооружений лежат так называемые антифрод-системы – программные комплексы, которые работают в режиме реального времени и позволяют обнаружить и пресекать противоправные операции. 

Антифрод-системы – многокомпонентные программы для предотвращения мошеннических транзакций. Они состоят из системы обнаружения мошенничества, системы предотвращения и системы анализа. Антифрод-решения анализируют каждую транзакцию и присваивают ей метку, характеризующую ее надежность.

Алгоритмы антифрод-систем анализируют каждую банковскую транзакцию, проверяя ее более чем на 100 параметров. Ключевые – сумма, тип и время совершения операции, ресурс, на котором она совершается. После анализа каждой транзакции присваивается своя метка. Зеленая – транзакция одобрена. Желтая – требуется дополнительная проверка. Красная – платеж запрещен. Антифрод-система постоянно анализирует все наши финансовые действия, учитывая переводы, онлайн-платежи, расчеты картой в магазине и даже визиты в офис банка. Цель – выявить операции, которые не типичны для каждого конкретного клиента. 

Важно, что банк не всегда может защитить клиента от потери персональных данных. Если на мошенническом сайте-клоне человек ввел данные своей карты, то банк может только отклонить операцию. Номер карты и другие важные сведения попадут в руки злоумышленников, а клиенту придется обращаться в банк для перевыпуска карты. 

Есть своя антифрод-защита и в системе быстрых платежей (СПБ), к которой подключены все крупнейшие российские банки. Каждая операция, даже если это перевод 200 рублей коллеге за кофе, проходит пять стадий: сбор поведенческих данных, получение факта операции, расчет признаков риска, формирование вектора признаков для передачи в национальную систему платежных карт, принятие решения по операции и передача вектора.

На форуме «Кибербезопасность в финансах», который прошел в феврале 2023 года, прозвучало предложение создать единую антифрод-систему для всех банковских операций, проводимых в России. ЦБ идею поддержал. Планируется, что глобальную антифрод-систему в пилотном режиме будут тестировать «Сбер» и ВТБ, а потом к ней подключатся другие банки. Пока предложение носит рекомендательный характер.

Еще одно важное устройство в системе защиты банков –аппаратный модуль безопасности (HSM). Это физическое устройство, которое хранит цифровые ключи или другие секретные данные, генерирует и управляет ими, а также производит с их помощью криптографические операции. 

Раньше российские банки пользовались модулями французской корпорации Thales, которая в 2022 году ушла из России. На смену пришли российские HSM-модули. Компания «Крипто» в 2023 году первой получила документы для распространения аппаратных модулей безопасности собственной разработки, на устройство уже получены все необходимые сертификаты для использования. По словам директора технического департамента RTM Group Федора Мазуевского, для российских решений по защите информации «характерен рост уровня зрелости с того момента, как появилась тенденция импортозамещения». В целом, по мнению эксперта, программы для мониторинга финансовых операций в России, появившиеся в том числе благодаря участию Центробанка, можно считать одними из наиболее  комплексных в мире. 

Все крупные банки – участники платежной системы «Мир» обязаны перейти на отечественные HSM-модули с 1 января 2024 года. Такой приказ выпустил Центробанк. Стоимость одного HSM-модуля стартует от 3 млн рублей. 

К наиболее старым системам защиты относятся сетевые экраны. Эти устройства для обеспечения безопасности банки используют уже больше 25 лет. Экраны осуществляют мониторинг входящего и исходящего сетевого трафика. Цель системы – выявить подозрительный трафик. Нередко хакеры, находя слабые места в IT-инфраструктуре банков, внедряются в нее, чтобы украсть персональные данные. Экраны позволяют обнаруживать и блокировать хакерские атаки. 

Еще одной эффективной системой является DLP-защита. Перед ней стоит задача по предотвращению передачи конфиденциальной информации за пределы информационной системы банка. DLP оснащена различными модулями и алгоритмами, которые автоматически обнаруживают нарушения безопасности и предотвращают их. Система постоянно анализирует данные со всех устройств системы (ПК, ноутбуки, смартфоны, принтеры и т. д.), чтобы определить потенциальные угрозы, обнаружить и блокировать попытки несанкционированного доступа.

Стражи банков

За работой всех систем защиты в банках следят сотрудники управлений информационной безопасности (ИБ). Деятельность ИБ можно разделить на два основных направления: защиту и атаку. В профессиональной среде специалистов, которые работают по этим двум направлениям, принято называть командой «синих» и командой «красных».

«Синие», или команда защиты, занимаются мониторингом сети, настройкой средств защиты, выявляет уязвимые места в IT-инфраструктуре банка, предотвращает утечки данных и т. д. То есть в полном смысле слова стоят на страже кибербезопасности. Специалисты в этой области более универсальны: их главная задача – отслеживать киберугрозы в режиме реального времени. Зачастую в команде «синих» также работают сотрудники, занимающиеся предотвращением преступлений с помощью телефонного мошенничества. 

«Красные», или команда атаки, специализируются на моделировании кибернападений. Они выступают в роли хакеров, что позволяет «синим» посмотреть на инфраструктуру глазами злоумышленника и понять, насколько она защищена от реальной угрозы.  

Если банку необходимо провести оценку уровня защищенности от киберпреступлений, команды могут провести тестирование на проникновение – пентест. Задача такого теста – обнаружить критические уязвимости за отведенное время и проэксплуатировать их, чтобы доказать возможность получения доступа. 

Несмотря на многоуровневую систему киберзащиты, высокопрофессиональных сотрудников отделов ИБ и постоянно совершенствующееся программное обеспечение, киберпреступники все равно находят лазейки. К сожалению, им на руку играет и человеческий фактор. Чья-то невнимательность, забывчивость или желание выгоды приводит к потере денежных средств. Не стоит торопиться совершать финансовую операцию, если есть хоть малейшее подозрение на возможное мошенничество. В данном случае как нигде будет уместна поговорка «Семь раз отмерь, один раз отрежь». 

Цифры:

В 4 раза увеличилось количество кибератак на финорганизации России в 2023 году

9% составляет доля финорганизаций от общего числа кибератак на российские компании 

77% российских компаний в 2023 году столкнулись с необходимостью расширить штат отделов информационной безопасности 

50 тыс. человек – дефицит сотрудников в области кибербезопасности

теги:
Поделиться:
Напишите что-нибудь и нажмите Enter