22.02.2012

Магнитогорские впечатления (часть 3)

Продолжаем...

Дистанционное банковское обслуживание

Пожалуй, наиболее активным был день, посвященный ДБО. Оно и понятно. С хищениями средств сталкиваются почти все банки - это реальная угроза для банковского сообщества и гораздо более реальная (на данный момент), чем НПС или СТО. Поэтому и докладчики и слушатели были активны.

Артем Сычев (Россельхозбанк) начал с того, что привел цифры. Средняя сумма покушения составляет около 400 тысяч рублей (для юриков). Стоимость же организации самой атаки - всего 30 тысяч рублей. В итоге злоумышленники всегда в выигрыше. Специализированные банковские ботнеты имеют средний улов в 20-40 тысяч аккаунтов ДБО, что позволило сделать о том, что проституция, наркотики и терроризм "отдыхают" по сравнению с хищениями в ДБО (то ли еще будет).


При этом действующее законодательство находится на стороне преступников, а вступающий в силу ФЗ-161 "О национальной платежной системе" ситуацию только усугбляет, не только формируя ощущение безнаказанности у преступников, но и по сути узаконивая мошенничество. В пресловутой 9-й статье ФЗ-161 говорится о том, что по завялению клиента банк сначала обязан возместить ему потери, а потом уже доказывать, что виноват клиент. Представляете себе каким буйным цветом расцветет мошенничество в России? Пока действующее законодательство тоже не сильно помогает банкам. Например, хищения, как правило, происходят не там, где выводятся деньги. А по УПК дело возбуждается по месту вывода денег, а не их хищения. Это дает возможность следственным органам перекидывать дела между собой, что убийственно сказывается на результате действий банковских служб безопасности. Ведь деньги выводятся мобильно - за 2-3 часа. Судебное решение получить за это время нереально; как и осуществить коммуникации с коллегами. При этом атаки осуществляются преимущественно из регионов с большим количеством "зон". Деньги уходят в тюрьмы, в теневой бизнес, и вернуть их оттуда почти невозможно.

Попытка самостоятельно решить эту задачу без привлечения правоохранительных органов обречено на неудачу. Расследование инцидентов и сбор доказательной базы - это задача не банка. Собранные им доказательства в суде разбиваются в пух и прах и могут быть
признаны незаконно собранными, т.к. доказательства могут собирать только уполномоченные на это органы.

Если раньше милиция не горела большим желанием заниматься киберпреступлениями, т.к. это портит статистику, то сейчас в МВД наметился сдвиг в решении этой проблемы. В частности, комитет АРБ по ИБ получил рекомендации МВД, адресованные Мошковым Тосуняну, по оформлению инцидентов с хищениями средства. Получить их можно через комитет АРБ по информационной безопасности. В них, в частности, говорится о том, какие документы нужны при разборе преступлений в отношении юридических и физических лиц.


Проблема усугуьляется тем, что у киберпреступников создана целая индустрия; у банков - только разрозненные элементы, не объединенные целостной системой, включающей помимо служб безопасности, отраслевого регулятора, правоохранительные органы, центры обучения и т.д. Но поэтапное движение для решения проблем с ДБО уже началось. Как я уже писал в понедельник ЦБ на уровне надзора и регулирования платежной системы обратил свой взгляд на
проблему и сейчас готовит свои предложения по данному вопросу.

А пока суть да дело в АРБ создана группа по координации усилий банков и правоохранительных органов в решении проблем с хищениями в ДБО. Находится она в процессе становления, но уже сейчас в нее входит 123 банка, взаимодействующих по различным вопросам мошенничества.

Без такого взаимодействия действия отдельных банков обречены на неудачу. Ведь атака обычно идет через цепочку банков (в одном похитили, в другой перевели). Поэтому в одиночку противостоять проблеме нереально. Даже упавшие на счет дроппера (мула) деньги по Гражданскому Кодексу принадлежат клиенту и банк не имеет права ими распоряжаться по своему усмотрению; а факт воровства надо доказать. Когда же доказательства получены, то обычно деньги уже выведены (как я написал выше на это уходит всего несколько часов). Оснований же для приостановления платежа у банков нет - инструкций и разъяснений ЦБ на эту тему пока нет. Некоторые банки блокируют перевод средств под соусом 115-ФЗ, но на это идут не все.

Ситуацию осложняет то, что часто вывод денег осуществляется через мобильных операторов и системы мгновенных платежей (например, Юнистрим), с которыми тоже нужно взаимодействовать. А пока, как было сказано на конференции, из большой тройки только Билайн и МТС озабочены данной проблемой и пытаются бороться с ней.

Как сказал председатель Нацбанка Башкирии Марданов Р.Х., основная причина хищений - недостаточная защищенность ДБО. Причем подвержены атакам и уязвимостям все типы ДБО - и "тонкие" и "толстые" клиенты. Об этом говорят и последнее исследование Digital Security и webinar'ы Positive Technologies. Производители же ДБО игнорируют эту проблему и считают, что их это не касается. Им пора уже задуматься! Сейчас формируются стандарты и требования для разработчиков платежных приложений в части ИБ, которые позволят унифицировать рекомендации не только в части повышения защищенности ДБО, но и сформируют единый набор требований к системе сбора доказательств, которые должны будут фиксировать системы ДБО.


3 главных угрозы ДБО - кража ключей электронной подписи, удаленное управление пользовательским компьютером без ведома владельца и подмена/модификация платежных поручений.Для нейтрализации этих угроз на конференции представлены были различные решения - TrustScreen, MAC-токены, QR-мидлеты и LiveCD/LiveUSB. "Актив", Аладдин Р.Д., VASCO, Бифит, С-Терра представляли все из них. Интересно, что о TrustScreen'ах - доверенных средствах отображения подписываемых платежных документов заговорили на прошлогодней конференции и вот уже сейчас рабочие решения были представлены потребителям.

Немного с другой стороны проблему показал Дмитрий Кузнецов из Positive Technologies. В своей презентации он высказал идею о том, что хакеры атакуют клиентов, что дает повод банкам думать о своей защищенности. Это не так! Банки занимаются только теми угрозами, с которыми реально сталкивались (вспомните мою заметку о психологии восприятия рисков). Кстати, Positive Technologies представила и свой сервис SurfPatrol для бесплатного анализа защищенности клиентских рабочих мест ДБО. Я про этот сервис уже писал. Иван Янсон из Промсвязьбанка продолжил тему, начатую предыдущими коллегами, и рассказал о том, как они борятся с хищениями. По мнению Янсона наиболее надежный превентивный способ - мониторинг истории платежей и контроль новых получателей, ранее незанесенных в предварительный список одобренных получаталей платежей. К другим способам можно отнести контроль аномалий платежа (некоторые АБС имеют такой функционал) и контроль изменений программной среды совершения платежа (например, смену IP-адреса, местоположения, браузера, версии ОС и т.п.).

Вот так примерно выглядел третий день деловой программы конференции.

ЗЫ. Завтра поговорим о мобильных устройствах и облаках в банковской деятельности.

5 коммент.:

Сергей комментирует...

К вопросу об обязанности вернуть деньги физлицу, а потом разбираться. Что будет банку, если он не вернет деньги? В КоАПе точно ничего нет, под УК тоже невозможно подвести.

Алексей Лукацкий комментирует...

Хороший вопрос ;-) Если бы мне не вернули деньги, то я бы накатал телегу в ЦБ и прокуратуру

Сергей комментирует...

И банк тоже заяву на мошенничество (халатность). Пока дело до суда дойдет, пока суд, кассация-аппеляция, глядишь и получится доказать факт мошенничества или нарушения правил ДБО. Не получится доказать, наказание за невыплату не предусмотрено, только сумма транзакции и сверху только судебные издержки.

doom комментирует...

>По мнению Янсона наиболее надежный превентивный способ - мониторинг истории платежей и контроль новых получателей, ранее незанесенных в предварительный список одобренных получателей платежей.

Эта идея точно звучала на прошлогодней IT&Security - так что не так чтобы ново.

А вообще можно дальше развивать - сколько платежей в интернет банке формируется с нуля? Есть же шаблоны, повторы платежей и т.п. Если клиент явно выбирал шаблон, а приходит что-то явно не из этого шаблона - значит вероятна подмена платежки и т.п.

Yriy комментирует...

Немного не по теме, но Ваш блог будет смотреться много приятнее, если в стилях зафиксировать фоновое изображение.Делается это очень просто:в строку background: #ffffff url(http://farm4.static.flickr.com/3213/2370538892_ee42ddc799_o.jpg) repeat left top; добавьте: background-attachment: fixed;