России еще предстоит столкнуться с проблемой интернет-мошенничества в полной мере, но эксперты рынка уже сейчас понимают, что необходим комплексный подход: сочетание законодательных мер, активного использования систем информационной безопасности основными операторами транзакций – банками и телекомом, интеллектуальной аналитики, организованного взаимодействия всех участников рынка позволяют добиться высоких результатов. И конечно, грамотность простого пользователя.
Также комитетом НП НПС по безопасности завершена разработка предложений по нормативному закреплению прав банков по предотвращению совершения несанкционированных переводов. Для этого предлагается разрешить банку плательщика и банку получателя приостановить операцию при получении информации об отсутствии согласия владельца средств на осуществление перевода. В этом случае в порядке упрощенного арбитражного судопроизводства может быть установлен юридический факт отсутствия согласия на перевод, что будет служить основанием для осуществления возврата денежных средств.
«Предлагаемые Национальным платежным советом модели, конечно, не решат все вопросы киберпреступности, но в случае их реализации позволят эффективно снижать риски мошенничества», – отметил Андрей Емелин. Наряду с этим он напомнил о скором вступлении в силу закона №161-ФЗ «О национальной платежной системе», в котором до сих пор не решены ни вопросы уведомления об операциях, ни проблемы предотвращения мошеннических требовании о возврате средств. «Национальный платежный совет считает единственно приемлемой модель «обратной франшизы», которая позволит сразу возвращать суммы до 3 тыс. рублей, а по остальным проводить обязательное разбирательство», – считает глава НПС. Кроме того, в целях корректной реализации закона необходимо включить в него положения, отраженные в рекомендациях Банка России (письмо № 172–Т).
Системы ДБО – основная мишень
За последние 10 лет из области, где действовали энтузиасты, кибермошенничество превратилось в индустрию, работающую по принципам легального бизнеса, и, надо признать, мошенники достигают хороших результатов в планировании своих операций и в использовании современных технологий – ИТ-ландшафт мошенников не уступает корпоративным архитектурам. Поэтому компании должны использовать для противодействия мошенникам эшелонированную оборону, сказал Александр Чигвинцев, менеджер по работе с партнерами, EMC RSA.
Одной из излюбленных целей атак мошенников являются системы дистанционного банковского обслуживания (ДБО). Поэтому банковское сообщество проявляет наибольшую обеспокоенность вопросами борьбы с киберпреступлениями. В этой связи необходима комплексная защита каналов ДБО: нужно остановить фишинг и троянов вне ДБО, чтобы предотвратить хищение паролей и другой конфиденциальной информации, использовать двухстороннюю аутентификацию при входе в ДБО, проверять и защищать транзакции внутри системы ДБО.
Компания RSA поставляет набор сервисов для обнаружения и блокировки атак в реальном масштабе времени, создания и поддержки БД с элементами обнаруженных атак, а также поддержки инфраструктуры «акаунтов-ловушек» для оперативного выявления фродтсеров. Использование статистических моделей на основе байесовской сети позволяет блокировать 96–98 % подозрительных транзакций. Система является самообучаемой и поэтому может адаптироваться к новым угрозам, чтобы оставаться на острие борьбы с злоумышленниками.
Защита за разумные деньги
В то же время стоит помнить, что защита от угроз стоит денег, и поэтому банки должны тщательно взвешивать риски и стоимость мероприятий по повышению безопасности, не забывая также и об удобстве пользователей. Об этом напомнил Алексей Ермаченков, советник председателя правления «Промсбербанка»: «На все денег не хватит, нужно выделить угрозы, которые реально наносят ущерб. Иначе получится, что затраты на защиту превысят потери от мошенничества, а это было бы экономически неразумно».
Для моделирования операционных рисков в банковском бизнесе, совместно НПС и АРСИБ была создана межбанковская рабочая группа, куда в качестве экспертов вошли руководители служб информационной безопасности банков – всего 40 участников, но за которыми стоит активов на 6 трлн рублей. В результате деятельности группы была разработана актуальная модель угроз для ДБО и проведена оценка эффективности защитных мер. Оказалось, что применение 29 защитных мер обеспечивает снижение рисков не более чем в 10 раз. Самыми действенными из них были названы наличие в банке системы fraud-мониторинга, осуществление банком информирования клиентов обо всех операциях, совершенных от их имени, использование оборудования с неизвлекаемыми ключами и карантин на реальное исполнение операции (задержка от уведомления клиента до реального исполнения документа).
Алексей Ермаченков рекомендовал более взвешенно оценивать обещания поставщиков аналитических систем, поскольку реальных данных может попросту не хватить, чтобы статистические модели заработали. Например, для построения профиля злоумышленника при текущей статистике сбора подозрительных транзакций может уйти более десяти лет. Также может быть избыточно sms-информирование по всем операциям, затраты могут оказаться выше, чем возможные потери от мошенничества. В принципе, банки не должны проверять все транзакции, это будет избыточно дорого – фрод-мониторинг должен фокусироваться на больших транзакциях. При этом транзакции в пользу надежных контрагентов должны меньше подвергаться дополнительной обработке и проходить быстрее.
Чем дольше клиент работает с банком, тем меньше проблем должен доставлять ему фрод-мониторинг: система не должна нагружать добропорядочных людей лишними действиями. «Мы не должны жить так, как хочется мошенникам», – заключил он.
Начиная с аппаратного уровня
Для противодействия мошенникам нужно выстраивать эшелонированную систему защиты, и первый рубеж должен быть обеспечен на аппаратном уровне. Даже ПО низкоуровневого шифрования дисков на самом деле шифрует не весь диск – у злоумышленников остается шанс перехватить управление на стадии загрузки системы. Между включением компьютера и запуском антивирусной программы существует окно, когда никто не контролирует загружаемые драйверы и приложения. Boot-kit и root-kit приложения активно используют его для заражения системы. О том, какие риски вследствие этого возникают и как обеспечить защиту от взлома на аппаратном уровне, рассказал Ренат Юсупов, старший вице-президент Kraftway.
Производители компьютеров потенциально могут обеспечить такую защиту на аппаратном уровне при помощи специальной микросхемы – криптопроцессора. На аппаратном уровне также может быть организовано хранилище корневых сертификатов и открытых ключей. К сожалению, российским потребителям эти технологии недоступны в силу ограничений на импорт криптосредств. Компания Kraftway разработала собственную концепцию доверенной платформы с использованием отечественных СЗИ, обеспечивающую комплексную защиту от взлома системы начиная с самого нижнего уровня.