Обязательство банков уведомлять об инцидентах вынесено на уровень закона

30 мая в Госдуму был внесен законопроект, который устанавливает следующие нормы (путем внесения поправок в ФЗ-161 о национальной платежной системе):

1. При выявлении оператором по переводу денежных средств (то есть банком) признаков совершения переводов денежных средств без согласия клиента оператор обязан выполнить ряд обязательных шагов
• Приостановить платеж
• Приостановить использование электронного средства платежа
• Информировать клиента о предыдущих двух шагах
• Предоставить клиенту информацию о выявленных признаках мошенничества и рекомендации по снижению вероятности его повтора
2. Обязательные признаки мошенничества устанавливаются Банком России (в предыдущих редакциях это мог делать и сам банк).
3. Клиент обязан незамедлительно уведомлять банк о фактах несанкционированного доступа или утери электронного средства платежа.
4. Между банком получателя и банком плательщика устанавливаются правила взаимодействия в случае мошеннических операций, включая и возврат незаконно списанных денежных средств.
5. Если будет доказано, что клиент неправомерно заявил о списании средств, то все убытки для получателя несет клиент (плательщик).
6. Все участники НПС, попадающие под действие 27-й статьи (по защите информации в НПС) теперь обязаны соблюдать нормы ЦБ в области противодействия мошенничеству, установленные Банком России (ждем этих норм после принятия законопроекта). В том числе участники НПС обязаны назначать соответствующих должностных лиц, подотчетных СВК (не ИБ).
7. ЦБ обязуется вести базу инцидентов по мошенническим операциям и предоставлять из нее информацию участникам НПС, в названии которых есть слово "оператор".
8. Все участники НПС, в названии которых есть слово "оператор", обязаны уведомлять ЦБ обо всех инцидентах, связанных с мошенничеством. Правила установит Банк России.
9. Специально указано, что информация об инцидентах не относится к банковской тайне.

Также новый законопроект наделяет ЦБ правом устанавливать, по согласованию с ФСТЭК и ФСБ, обязательные для кредитных и некредитных финансовых организаций требования по защите информации, за исключением требований по защите информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.

Ну что можно сказать? Законопроект описывает ровно то, что говорится в дорожной карте, о которой я уже писал ранее. Интересных моментов тут несколько:

1. Роль FinCERTа возрастает еще больше. Тут и активное участие в проверках, и разработка методических рекомендаций и требований для банков, и многое другое. Кстати, недавно у этого подразделения сменился руководитель.


2. Если сейчас обязанность уведомлять об инцидентах установлена только для АРМ КБР (в 552-П), то новые требования говорят уже обо всех видах инцидентов, связанных с мошенничеством. Учитывая оперативность, с которой мошеннические операции должны быть остановлены, срок уведомления будет тоже небольшим (возможно, те же 3 часа, как и в 552-П).
3. Появляется база инцидентов, о которой говорили в Магнитогорске несколько лет назад. И хотя ЦБ говорит, что она будет закрытой, существует вероятность утечек из нее с последующими репутационными рисками для банков-жертв. 
4. ЦБ утверждает, что из этой базы данные если и будут предоставляться участникам НПС, то в ограниченном объеме и, скорее всего, о дропперах. Но тут всплывает старая история про персональные данные, так как информация о человеке (даже о дроппере) относится именно к ним и на их распространение нужно согласие субъекта (под исключения данная деятельность не попадает). Но во внесенном законопроекте про это ни слова.
5. Также в свое время планировалось вносить поправки в УК и УПК, облегчающие расследование мошеннических операций, но и про это в текущем законопроекте ни слова. Видимо не договорились между собой разные участники законодательной инициативы. Прописана только процедура разбирательств в арбитраже.
6. ЦБ наконец-то получает право (если примут законопроект) регулировать ИБ не только в банках и НПС, но и во всех некредитных финансовых организациях. Страховые, негосударственные пенсионные фонды, микрофинансовые организации, брокеры, биржи (глубже, чем сейчас) и другие попадают под руководящую длань Банка России в полный рост.
7. Интересная ситуация с последним пунктом про возможность установления требований по защите информации по согласованию с ФСТЭК и ФСБ. Вспоминаю историю с принятием ГОСТа по базовым защитным мерам - тогда ФСТЭК выступал явно против ГОСТа, а ФСБ - против одной из норм. При этом текст стандарта несмотря на это был утвержден на заседании ПК1 ТК122 и должен быть отправлен в Ростехрегулирование. Но если ФСТЭК и ФСБ не согласуют эти требования, то дальше что?.. По новой запускать процедуру согласования или вносить изменения задним числом уже без согласования с членами подкомитета? Тут вообще сложные материи.

Интересно будет следить за судьбой этого законопроекта.

Подробнее…

Зачем фиксировать IP, MAC, IMEI, если их легко модифицировать?

В планируемой к выпуску новой версии 382-П одно из основных изменений коснулась требования по фиксации действий клиентов, осуществляющих перевод денежных средств. Это по сути проект 262-П, который вызвал немало вопросов в свое время, перенесенный в 382-П и выпавший из под контроля Росфинмониторинга. В 382-П необходимо будет фиксировать "идентификационную информацию, используемую для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, ПО с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, МАС-адрес, номер sim-карты, номер телефона и (или) иной идентификатор устройства".

Вот тут самое интересное. Если посмотреть на мотивацию добавления такого требования, то оно направлена на борьбу с отмыванием денежных средств, полученных преступным путем, а также на борьбу с иными протиправными действиями. При борьбе с мошенничеством в системах ДБО также требуется фиксация такой информации. Но такое требование, если посмотреть правде в глаза, не сильно поможет в борьбе с реальными злоумышленниками; по крайней мере, компьютерными злоумышленниками.

Во-первых, все мы знаем, что злоумышленники переводят деньги не со своего компьютера, а с взломанного компьютера жертвы. Либо используя его как промежуточный узел, либо через троянца, действующего по заранее заданного сценарию и, если и имеющего связь с серверами управления, то одностороннюю (в любом случае установить реальную личность злоумышленника в этом случае невозможно).

Во-вторых, IP- или MAC-адрес легко подменить. Либо путем прямой манипуляции с компьютером, либо путем ARP Spoofing'а, IP Spoofing'а и других аналогичных сценариев. С номером телефона, идентификатором телефона (IMEI), серийным номером SIM-карты ситуация сложнее, но как оказывается и они могут быть подменены. Например, недавно, после обнаружения вредоносной программы Pincer для Android, эксперты из Sourcefire Vulnerability Research Team проанализировали код Pincer и, основываясь на его коде, смогли подменить IMEI, телефонный номер, модель телефона.

До и после изменения идентификационных данных на Android

Эксперты из Sourcefire не тестировали свой код на стабильность, но могу предположить, что в случае с умышленной несанкционированной активностью этим исследованиям могут дать соответствующее развитие и тогда идентифицировать мобильные устройства (пока только на базе Android), участвующие в мошеннических схемах, будет затруднительно. Да и вообще этот процесс можно автоматизировать так, чтобы идентифицирующие признаки менялись очень часто, что еще больше затруднит деятельность специалистов по защите информации.

Собственно, получается что большого смысла все попытки фиксировать IP, MAC, IMEI, номер телефона и т.п. не имеют. Злоумышленники могут их легко обойти, а вкладывать инвестиции в более надежные способы нецелесообразно. Особенно в условиях, когда даже обнаруженный и пойманный злоумышленник может выйти сухим из воды из-за пробелов в отечественном законодательстве. Мне кажется, что для борьбы с мошенниками все силы надо бросать на изменение Уголовного и Уголовно-процессуального кодексов, а также на обучение сотрудников правоохранительных и судебных органов. Технические меры безусловно важны, но и заменить ими организационно-правовые методы борьбы с киберпреступниками не получится.

Подробнее…

Кому нужно ломать приложения для мобильного банкинга? Никому!

Не смог не запостить еще и сюда ;-) Идет в LinkedIn дискуссия. Одна из многих. Местами жаркая. Обсуждаем, как водится, технический подход к ИБ и бизнес-подход. Доходит дело до отчета Digital Security о безопасности приложений для мобильного банкинга. И Илья Медведовский делает такое заявление: "Что касается мобилок, то в самих мобильных банкингах масса проблем и их актуальность на практике мне очевидна. Сидя в чужой WiFi сети, делаешь перевод Васе, а деньги уходят Пети и всего делов - и никакой конопли не нужно :). И никакого тут FUDа впомине нет. Потому что мобильный банкинг набирает ход по полной и при этом пока абсолютно дырявый на практике. И надо помочь обратить на это внимание."

К технической стороне отчета у меня претензий нет; да и не может быть - я же бумажный безопасник. Но в дискуссии мы дисскутируем на тему, насколько бизнесу важны технические вопросы, уязвимости, демонстрации взломов и т.д. Я считаю, что в массе своей нафиг не нужны, а уж в отношении приложений для мобильного банкинга тем более. И поскольку мой тезис надо как-то обосновать, пришлось потратить 15 минут на подготовку аргументированного ответа. Не хочется его терять - поэтому и копирую сюда (чуть причесав).

Итак. Возможность сделать что-то, еще не означает, что это будут делать. Это проблема всех исследователей дыр. Наличие дыры не означает ее использование на практике. В ряде случаев ее вообще можно не закрывать, т.к. этот риск можно либо принять (технарям это бывает сложно понять), либо переложить на чужие плечи, например, застраховав. А может быть и такая ситуация, что хакерам вообще наплевать на найденную кем-то дыру. И происходить это может по разным причинам. Нафиг не надо, есть варианты проще, есть варианты выгоднее...

В случае с мобильными клиентами ДБО применимы все три случая. Попробую это показать в цифрах. Во-первых, надо развенчать мнение, что мобильный банкинг - это наше все и у него большое будущее. Как показало исследование рынка ДБО, проведенное AnalyticResearchGroup, мобильный банкинг в России встречается крайне редко. И то преимущественно в крупных городах. В регионах, по мнению специалистов АnalyticResearchGroup, даже кризис не подтолкнул жителей небольших городов к использованию дистанционных банковских услуг; обычных, не говоря уже о мобильных. При этом три четверти россиян не только не пользуются мобильным и интернет-банкингом, но даже не знают о существовании таких услуг. Об этом свидетельствуют результаты опроса, проведенного Фондом «Общественное мнение» (ФОМ). Постоянными пользователями услуг мобильного банкинга является всего 3% россиян. Но это же может быть именно те 3%, которым принадлежат все богатства страны?! Может. Поэтому посмотрим на распространенность мобильного банкинга применительно к объемам денежных средств, которые там циркулируют.

Работающие на российском рынке кредитные организации ориентированы, в большей степени, на корпоративный рынок. Только 30,4% из них используют системы дистанционного обслуживания физических лиц. Системы типа мобильный банк установлены только в 6,8% банков. Почему? Потому, что деньги в мобильном банкинге смешные. Всего 8.1 млрд. рублей в 2012-м году по данным J’son & Partners Consulting. Это все деньги. Из них доля денежных переводов составляет всего 30%. Т.е. на денежные переводы, о перехвате и подмене которых указывается в отчете, как основной угрозе, приходится всего 2.7 млрд.рублей. К слову, объем рынка электронных платежных систем в России в 2012-м году по оценкам J’son & Partners Consulting составляет 1811 млрд.рублей. Т.е. мобильные переводы денежных средств - это всего 0.14%. Ну если взять все платежи через мобильный банкинг (т.е. + оплата услуг и товаров), то получится около 0.45%. Это в рамках статистической погрешности ;-) И не надо забывать, что электронные платежные системы - это тоже копейки в общем объеме денежных переводов.

Я не смог быстро найти в открытом доступе объем банковских платежей, совершенных юридическими лицами с использованием платежных поручений, переданных в банк электронным способом, за 2012-й год. Нашел только за 1-е полугодие 2010 года. Это значение превысило 101 трлн руб. (из них 51 трлн руб. - платежи со счетов, обслуживаемых через системы интернет-банкинга). Я не буду прикидывать, сколько этот объем составлял в 2012-м году. Допустим столько же (хотя по всем оценкам он должен быть больше). Но сделаем допущение, что столько же, т.е. 200 триллионов рублей в год. А дальше посмотрим, какова доля мобильного банкинга на фоне переводов денежных средств юрлицами через системы ДБО. 0.0013%!

Доля мобильного банкинга (а им пользуются только физики) в объеме рынка ДБО для юриков - 0.0013%! И после этого кто-то будет рассказывать о значительной угрозе мобильных приложений? Какой смысл ломать физика через мобильный телефон, когда ломая юрика можно получить на порядок-другой больше денег? Я не понимаю. Только гики будут ломать таким образом физиков со смартфонами, гоняясь за их копейками. "Нормальная" киберпреступность, входящая в состав оргпреступности, будут работать по-крупному - т.е. на рынке ДБО для юридических лиц. И эта тенденция еще долго не будет переломлена.

Т.е. число мобильных платежей будет очевидно расти. И расти оно может быть даже быстрее, чем объемы средств, переводимых через ДБО для юриков. Но беря соотношение денег в обоих сегментах злоумышленнику по всем законам выгоднее ломать юридических лиц. Тем более, что если примут 9-ю статью ФЗ-161 в нынешней редакции и внесут поправки в ГК РФ, то мошенникам даже ломать ничего не надо - достаточно просто заявить в банк, что платеж проведен не по распоряжению клиента и банк должен будет вернуть деньги. И зачем при таком "узаконенном мошенничестве" заниматься поиском дыр и их использованием, получая дополнительные риски по ст.272 УК РФ? Никакого резона.

Вот и получается, что не умаляя технических достоинств отчета Digital Security, даже с точки зрения злоумышленников ломать приложения мобильного банкинга смысла нет. Разумеется в массовом порядке (если взломать конкретного человека, то ему будет очень неприятно). А если это угроза незначительная, то зачем вкладываться в ее нейтрализацию? Этого не будет делать разработчик ДБО (если ему на навяжут эти требования), этого не будет делать банк-покупатель таких решений (бизнес там копеечный и запускается, как правило, ради имиджа, а не заработка).

Резюмируя: с точки зрения технической тема интересная и с ней можно попробовать даже выступить на каком-нибудь Blackhat. С точки зрения бизнеса тема не стоит и выеденного яйца и в ближайшие годы ситуация не изменится. В этом и есть разница в подходах к ИБ с точки зрения технического и бизнес-взглядов.

Подробнее…

Как взломали один банк...

UPDATE : Вопрос частично разрулили. Служба ИБ банка отработала сигнал оперативно. Деньги должны вернуть!

Что-то банковская тема не сдается и постоянно дает о себе знать. Вроде как еще вчера на секции по НПС была активная дискуссия на тему взаимоотношения банка, клиента и регулятора, а тут практическая ситуация ;-) Позвонила знакомая и сообщила, что ее счет в одном крупном банке взломали. Взломали очень интересно. Если дело было действительно так, как она описывала, то это верх разгильдяйства и непрофессионализма тех, кто выстраивал АБС. Ну и к службе ИБ там тоже есть вопросы (если они участвовали в процессе построения системы). Но написать я хотел о другом.

Два факта сопровождали этот взлом. Они интересны именно с точки зрения практической реализации различных требований и рекомендаций по защите ДБО. В частности, упомянутая мной сегодня методичка ЦБ по защите ДБО. В ней, в разделе технологических мер есть такой совет, как установление ежедневного лимита на снятие денег со счета.  Звучит она так "При использовании клиентского рабочего места в режиме минимального уровня защиты должно действовать ограничение на максимальную сумму транзакции, а ряд транзакций могут быть запрещены банком. Суточный объем транзакций также может быть ограничен". Но вот дальше возникает вопрос, а КАК должна быть реализована эта мера? Что должен просить клиент банка при реализации этой меры? Как проверить выполнение этой меры в рамках контроля (надзора)?

В упомянутом выше взломе мошенники действовали просто - первую сумму они сняли в 23.59, а вторую в 00.01. Формально требование суточного лимита соблюдено - 23.59 и 00.01 - это два разных дня. Правда идея суточного лимита все-таки относится к астрономическим, а не календарным суткам. Поэтому банкам стоит настраивать свои системы именно на 24-хчасовой интервал межжу транзакциями, а не на на учет календарных суток. А клиентам уточнять при оформлении данной услуги - как банк учитывает сутки, календарно или астрономически?

Дальше больше. Мошенники на двукратном снятии денег не остановились и пошли в соседний банкомат другого банка. И что же? Они с успехом сняли деньги и там, т.к. суточное ограничение на снятие наличных действовало только для собственной банкоматной сети и не было (почему-то) привязано к самому счету. И вновь совет банкам - привязывать суточные лимиты к счету или даже клиенту целиком, а никак не к банкомату или собственной банкоматной сети. Клиентам же стоит также интересоваться, ограничение действует только в "своих" банкоматах или распространяется на все банки без исключения. Причем обе рекомендации легко проверить на практике.

И тут вспоминается вчерашняя дискуссия на Инфофоруме. Представитель общества по защите прав потребителей говорил, что нужно повышать осведомленность клиентов банков в области ИБ. Представитель HandyBank напротив был уверен, что это все не работает и делает только хуже, создавая у клиентов чувство ложной защищенности. Он наоборот предложил концентрироваться на ловле преступников, а не на давлении регуляторов на банки. Представитель ВТБ говорил, что увеличение требований по ИБ не может идти бесконечно и в какой-то момент встанет дилемма "безопасность или удобство". В качестве примера приводилась африканский кейс, где ввели правило биометрической идентификации по отпечаткам пальцев при снятии денег. Через какое-то время после введения этой меры число мошенничеств перестало снижаться и опять стало расти, как и число инцидентов с отрезанными пальцами. При этом вице-президент ВТБ вскользь бросил идею, что регулятору стоило бы жестко установить минимальный уровень защиты.

Что могу сказать? Все правы и неправы, если посмотреть на упоминаемый мной взлом. Клиенту стоило бы знать, какие вопросы задавать банку при оформлении услуги "суточный лимит". А помочь ему в этом могли бы ролики повышения осведомленности. Но роликов недостаточно. Нужны были разъяснения и требования со стороны регулятора (скорее всего именно ЦБ), как должна была быть реализована данная услуга по суточному лимиту. Простой формулировки как в вышеупомянутой методичке ДИС явно недостаточно. А помимо требований в методику контроля (надзора) должен был быть вставлен соответствующий пункт (что и как проверять). Ну а преступников конечно ловить надо в любом случае. Только вот непросто это в таких кейсах.

Подробнее…